Siirry sisältöön
Huoltovarmuuskeskus

Kvanttilaskenta laittaa yritysten salausalgoritmit uusiksi

Hyvin pian kvanttilaskenta on niin kehittynyttä, että yritykset pystyvät hyödyntämään sen mahdollisuuksia liiketoiminnassaan.  Samalla myös uhat kasvavat: käytännössä nykyiset salausalgoritmit ovat helposti murrettavissa kvanttilaskennalla. Yritysten kannattaa ottaa kvanttiuhat vakavasti ja aloittaa valmistautuminen niihin heti.

5.9.2024
digitaalinen-turvallisuus-2030kyberturvallisuusvarautuminen

“Kvanttiteknologia tarjoaa mahdollisuuksia, jotka suorastaan pakottavat yritykset tutkimaan potentiaalia oman liiketoiminnan näkökulmasta”, kuvailee valmiuspäällikkö Antti Nyqvist.

Hän työskentelee Teknologiateollisuudessa ja vastaa Huoltovarmuusorganisaation Digipoolin toiminnasta. Digipooli vahvistaa erityisesti huoltovarmuuskriittisten toimialojen kyberresilienssiä tarjoamalla yrityksille tietoa, tukea ja koulutusta, miten valmistautua erilaisiin teknologisiin haasteisiin ja mahdollisuuksiin.

Nyqvist kuvailee kvanttiteknologiaa tämän päivän teolliseksi vallankumoukseksi.

”Kvanttiteknologia tulee muuttamaan käytännössä kaikkien organisaatioiden toimintatapoja ja arkea, hyödynsi sitä itse tai ei. Koska kvanttilaskenta on niin tehokasta, sitä halutaan käyttää ja se tulee yleistymään hyvin nopeasti, kun nykyiset haasteet on selätetty”, hän sanoo.

Valkoihoinen mies hymyilee kameralle. Hänellä on lyhyet hiukset, silmälasit ja puku.
Teknologiateollisuuden valmiuspäällikkö ja Digipoolin sihteeri Antti Nyqvist

Uhkiin suhtauduttava vakavasti

Hyötyjen lisäksi kvanttiteknologia tuo mukanaan erityisesti kyberturvallisuuteen liittyviä uhkia. Tähän asti salausalgoritmit ovat perustuneet monimutkaisiin salausavaimiin, joita ei nykyteknologialla ole helppo murtaa.

“Kvanttilaskenta muuttaa tilanteen. Valtava, useita vaihtoehtoja samanaikaisesti sisältävä laskentateho tarkoittaa, että käytännössä kaikki nykyiset salausalgoritmit ovat helposti murrettavissa”, Nyqvist tiivistää.

“Tilalle tarvitaan uusia, kvanttilaskennan kestäviä salausmenetelmiä ja niitä hyödyntäviä sovelluksia. Monet ovatkin jo tuotteissaan huomioineet tarpeen kryptoketteryydelle.”

Käytännössä kaikki nykyiset salausalgoritmit ovat helposti murrettavissa.

Vaikka “peliaikaa” on periaatteessa vielä muutama vuosi, Nyqvist suosittelee kaikkia organisaatioita aloittamaan valmistautumisen heti.

“Muun muassa Kiina, Yhdysvallat ja Venäjä ovat julkisesti kertoneet panostavansa merkittäviä summia kvanttilaskennan edistämiseen. Vaikka laskennan odotetaan saavuttavan luotettava taso noin 10 vuodessa, näin merkittävä motivaatio ja rahoitus tuottaa todennäköisesti ennakoitua nopeampia tuloksia”, Nyqvist arvelee.

Esimerkiksi terveydenhuollon järjestelmissä on paljon sellaista tietoa, jonka säilytysaika on yli 20 vuotta.

”On tärkeää, että valmistaudumme muutokseen ja suojaamme tämäntyyppisen datan mahdollisimman hyvin ennakkoon. Aina on olemassa riski, että tietomurron kautta salattua dataa saadaan tai on jo saatu haltuun. Sitten kun kvanttilaskenta mahdollistaa, salaus puretaan ja data saadaan kokonaan rikolliseen käyttöön”, Nyqvist havainnollistaa.

Aloita inventaariolla

Digipoolin teettämän kvanttiselvityksen perusteella suomalaisyrityksillä on jonkin verran petrattavaa “asset managementinsa” eli omaisuudenhallintansa osalta kyberturvallisuudessa. Kaikki eivät esimerkiksi tiedä, missä kaikkialla ja mitä salausalgoritmeja heillä on käytössä.

“Lisäksi monessa yrityksessä on käytössä vielä vanhoja teknologioita, joita ei ehkä ole edes listattuna, mutta ne ovat käytössä. Tällaiset järjestelmät aiheuttavat suoran haavoittuvuuden organisaation tietoturvaan.”

Ensimmäinen askel on tehdä inventaario oman omaisuuden suhteen: ymmärtää mitä ict-omaisuutta on hallussa ja mitä salausalgoritmeja on käytössä. Seuraava vaihe on suunnitelma – tiekartta – kvanttilaskennan kestävän tilanteen saavuttamiseksi. Kolmantena on toimenpiteiden toteutus määriteltyjen prioriteettien mukaisesti.

Vaikka salausmenetelmien vaihtaminen ei onnistu hetkessä eikä vielä muutamaan vuoteen, toimenpiteitä pitää priorisoida ja valmistella ennakkoon.

“Inventaario on kaiken perusta. Sen pohjalta laaditaan suunnitelma, miten ja missä järjestyksessä salausalgoritmit tullaan päivittämään. Vaikka salausmenetelmien vaihtaminen ei onnistu hetkessä eikä vielä muutamaan vuoteen, toimenpiteitä pitää priorisoida ja valmistella ennakkoon, jotta toteutus on mahdollista tehdä, kun vaihtoehtoja alkaa olla tarjolla”, Nyqvist sanoo.

Inventaarion tekeminen ohjaa jatkossa hankinta- ja päivitystarpeita. Vaikka yritykset ostaisivat uudet salausratkaisut palveluna, heillä pitää olla kuitenkin käsitys omasta toimintaympäristöstään.

“Samalla pitää ymmärtää, että siirtymäaikana joudumme elämään rinnakkain uusien ja vanhojen algoritmien kanssa. Molempiin liittyen pitää olla osaamista – joko itsellä tai kumppaneilla.”

Edellytä kumppanilta kryptoketteryyttä

Uusien salausalgoritmien kehittäminen on luonnollisesti jo käynnissä. USA:n standardointi-instituutissa tutkitaan tänä vuonna neljää eri vaihtoehtoa tulevaksi standardiksi. Kun käytännössä moni yritys tulee kuitenkin nojaamaan tässä asiassa omaan it-kumppaniinsa, oleelliseksi nousee it-alan yritysten kyvykkyys hallita ketterästi sekä vanhoja että uusia salausmenetelmiä.

“It-palveluja hankkiessaan yritysten pitää osata vaatia it-kumppaneilta kryptoketteryyttä. Kryptoketteryys on esimerkiksi sitä, että ohjelmistoihin on mahdollista vaihtaa helposti uusi salausalgoritmi sitten kun standardointi etenee”, Nyqvist antaa esimerkin.

Osaamisvastuuta ei voi kuitenkaan täysin ulkoistaa kumppanille. Myös yritysten itsensä pitää ymmärtää kvanttilaskennan mahdollisuudet ja uhat.

Aina, kun ryhdytään rakentamaan uutta liiketoimintaa jonkun uuden teknologian kautta, meille muodostuu riippuvuus tähän teknologiaan.

“Jos liiketoiminta perustuu jonkun toisen osapuolen tarjoamaan tehokkaaseen laskentakyvykkyyteen, yrityksellä pitää olla myös itsellään riittävä osaaminen ja kyky varmistaa liiketoiminnan jatkuvuus ja laskennan saatavuus”, Nyqvist muistuttaa.

Digipoolin tavoitteena on herätellä yrityksiä ja auttaa heitä valmistautumaan muutokseen.

“Yritysvakoilua ehkä ole pidetty meillä Suomessa niin suurena ongelmana kuin monessa muussa maassa. Tässä asiassa ei kuitenkaan kannata jäädä odottelemaan, sillä suunnitelmien tekemiseen ja toteutukseen tulee varata aikaa ja rahaa. Toimeen kannattaa tarttua heti”, Nyqvist kehottaa.

Digipoolin tuottaman selvityksen toteutti VTT, ja se rahoitettiin Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmasta.

Teksti: Annukka Ollitervo
Kuvat: Colourbox & Teknologiateollisuus ry

Tutustu Huoltovarmuuskeskuksen Kvanttilaskennan tietoturvavaikutukset – suositus varautua -raporttiin
Lue lisää aiheesta Digipoolin sivuilta

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Lyhyttukkainen mies katsoo kameraan päin ja hymyilee. Hänellä on päällään puku ja kädessään kahvikuppi.

Huoltovarmuusneuvoston puheenjohtaja Topi Manner: Uusia näkemyksiä Suomen huoltovarmuustoimintaan

”On keskeistä, että yhteiskunnan eri sektoreiden osaaminen ja näkemykset hyödynnetään huoltovarmuuden kehittämisessä. Näen, että Huoltovarmuusneuvoston työssä eri sektoreiden näkemysten ristiinpölytys on tämän kehittämisen käyttövoima. Kun eri tahot kohtaavat, syntyy niin oppimista, näkemyksiä kuin neuvoja.” Näin sanoo syyskuussa työnsä aloittaneen Huoltovarmuusneuvoston uusi puheenjohtaja Topi Manner.
Katri Liekkilä ja Nuutti Nikula

Maailman muutos näkyy huoltovarmuuden tavoitepäätöksessä

Valtioneuvoston päätös huoltovarmuuden tavoitteista päivitettiin tänä syksynä. Päätöksessä määritellään huoltovarmuustyön yleiset lähtökohdat, toteuttamisen periaatteet ja kansalliset tavoitteet.  HVK:n johtava asiantuntija Katri Liekkilä ja strategisen tuen päällikkö Nuutti Nikula käyvät läpi tavoitepäätöksen pääkohtia.
Sairaanhoitaja pitää käsissään tablettitietokonetta. Koneesta heijastuu ilmaan erilaisien lukkojen kuvia.

KyberSoTe-projektissa luodaan käytäntöjä kyberturvalliselle organisaatiokulttuurille

Jyväskylässä haetaan tieto-ja kyberturvallisia toimintatapoja sote-alan arkeen sekä keinoja parantaa vuorovaikutusta sote- ja IT-ammattilaisten kesken. Kolmivuotisen KyberSoTe-projektin vetovastuu on Jyväskylän ammattikorkeakoululla.