Inom ett par decennier kommer kvantdatorer att kunna knäcka den kryptering som idag skyddar allt från statliga hemligheter till företagsstrategier. Ändå är få verksamheter förberedda. Det är hög tid att lägga en plan för att undvika en framtida säkerhetskris.

Kvantdatorer är på väg in i verkligheten – och tiden är knapp. Inom bara ett par decennier kan de knäcka den kryptering som idag skyddar allt från statliga hemligheter till företagsstrategier.

“Kvantdatorer är inte längre science fiction,” säger Johan Lärksäter, Director Consulting Delivery, Cybersecurity hos CGI. “Genombrottet med stabila, felkorrigerade logiska kvantbitar har bara under de senaste två åren förvandlat kvantdatorer från forskningsexperiment till en teknik med verklig potential. När aktörer som Google, Quantinuum och QuEra nu lyckats köra logiska qubits i tusentals cykler utan fel, är det tydligt att kvantdatorer tagit ett stort och viktigt steg mot att skalas upp och lösa problem som dagens datorer inte klarar av.”

Det område där kvantdatorer kan bli ett konkret hot är inom kryptering. Mycket av den kryptering som används för att skydda digital kommunikation idag utvecklades redan på 1970-talet. RSA-algoritmen, som i årtionden varit en standard, bygger på att det är lätt att kryptera data med hjälp av stora primtal – men nästan omöjligt för klassiska datorer att lösa det omvända problemet. Det gör dagens kryptering säker. Kvantdatorerna kan komma att förändra den spelplanen.

“Med hjälp av kvantalgoritmer kan kvantdatorerna komma att utföra krypteringsberäkningar mycket snabbare, vilket betyder att kryptering som idag skulle ta miljontals år att knäcka plötsligt kan brytas på kort tid,” säger Johan Lärksäter. “Problemet är att information som skickas idag, som vi tror är säker, kan lagras för att dekrypteras med hjälp av kvantdatorer framöver. Det är extra illavarslande för känsliga uppgifter med lång livslängd, som statliga dokument, affärshemligheter eller persondata som då kan komma att exponeras.”

Fönstret för att agera är nu

Organisationer som NIST, ENISA och ETSI har redan börjat rekommendera nya så kallade post-kvantkryptografiska metoder. Det räcker dock inte att vänta på att dessa standarder lanseras utan verksamheter måste börja förbereda, planera och agera redan nu. Förmågan att snabbt kunna byta ut gamla krypteringsalgoritmer mot nya kallas krypto-agility. Utan det riskerar verksamheter att stå handfallna när hotet väl blir verklighet.

“En stor utmaning är att många IT-avdelningar saknar en tydlig överblick över vilka krypteringsmetoder som används i deras system,” säger Johan Lärksäter. “För att kunna migrera till nya, kvantsäkra algoritmer måste man först veta vad man har idag. Kryptering finns inbyggd i nästan alla digitala tjänster, från e-post till industriella styrsystem. Det handlar om att inventera, dokumentera och förstå var och hur kryptering används.”

Det finns redan idag incidenter där svag kryptografi varit orsaken. Det estniska ID-kortet drabbades av allvarliga säkerhetsproblem på grund av en bristfällig slumptalsgenerator trots att lösningen godkänts i certifieringsprocessen. Liknande misstag riskerar att upprepas om man litar på att dagens lösningar kommer att hålla även i morgon.

“Övergången till nya kryptometoder är inte bara ett nödvändigt skydd mot framtida hot,” säger Johan Lärksäter. “Det är också en chans att bygga bättre och säkrare system. Att luta sig tillbaka och hoppas att allt löser sig är ett farligt misstag. Vi vet att hotet kommer. Frågan är bara när.”

Många verksamheters PKI-strukturer (Public Key Infrastructure), som hanterar digitala certifikat och krypteringsnycklar, är idag komplexa och svåröverskådliga. Genom att se över vilka krypteringar som används kan krypteringshanteringen förenklas och stärkas.

EU:s nya cybersäkerhetsdirektiv NIS2 kräver också redan idag användning av “state of the art”-kryptografi. Verksamheter som väntar tills lagstiftningen tvingar fram förändringen riskerar att hamna långt efter.

“Det är viktigt att börja i tid och att också ta snabb och effektiv hjälp,” säger Johan Lärksäter. “Vi på CGI har metoder och erfarenhet av att både kartlägga och identifiera vilka olika kryptometoder som en verksamhet använder. Vi kan också hjälpa verksamheter att implementera flexibla tjänster som gör det snabbare och enklare att byta hela verksamhetens krypteringsmetoder när behovet uppstår.”

CGI har bred och lokal expertis inom cybersäkerhet i Sverige. Verksamheten spänner över riskanalys, utbildning, integration av säkerhetslösningar och driftstjänster. CGI:s djupa branschkunskap ger också stöd för regelefterlevnad och uppföljning av verksamhetsspecifika krav. Globalt har CGI över 1700 cybersäkerhetsexperter som ger verksamheten möjlighet att hjälpa kunder med en rad olika och komplexa säkerhetsutmaningar.

Läs mer om CGI:s säkerhetsexpertis och erbjudanden nedan eller kontakta Johan Lärksäter för att höra mer om hur CGI kan hjälpa er öka säkerheten och hantera er kryptering framöver. 

Cybersäkerhet