Nytt kryptosenter skal gjøre Norge kvantesikkert
11. oktober åpner Nasjonal sikkerhetsmyndighet (NSM) et nytt nasjonalt kryptosenter. Senteret skal samle nasjonal kompetanse for å bevare og videreutvikle Norges sterke posisjon innenfor kryptologi. Første prosjekt blir å ruste norske virksomheter mot trusselen fra kvantedatamaskiner.
Kvantedatamaskiner kan i løpet av få år knekke mye av krypteringen vi bruker for å beskytte informasjon og kommunikasjon i dag. Trusselen fra kvantedatamaskiner og maskiner med raskt økende regnekraft er reell. I USA har Det hvite hus satt en tydelig og streng marsjordre for flytteprosessen – migrasjonen – til kvantesikre kryptoalgoritmer og systemer. Et sterkere signal om viktigheten får vi ikke.
Kryptoteknologi er en forutsetning for sikkerheten i alle samfunnssektorer. Krypto sikrer personopplysninger, finansielle transaksjoner, systemer som styrer viktig infrastruktur, og plattformer Forsvarets operative evne avhenger av. Den sørger for sikker elektronisk kommunikasjon i forvaltningen og i næringslivet.
Vi må forberede oss på at en kryptoanalytisk relevant kvantedatamaskin kan være klar rundt 2030. I så fall vil en betydelig andel av dagens IT-systemer være direkte sårbare mot angrep og avlytting. Det er viktig å merke seg at en aktør kan masselagre kryptert kommunikasjon i dag for så å bryte seg gjennom krypteringen til klarteksten den dagen kvantedatamaskiner blir tilgjengelig. Derfor er disse systemene allerede sårbare mot en kvantedatamaskin.
Nasjonalt senter for anvendt kryptologi
Nasjonalt senter for anvendt kryptologi er en operasjonalisering av Norsk kryptopolitikk og et viktig steg for å opprettholde nasjonal kontroll på krypto og posisjonen vår som leverandør til NATO. Målet er å samle ekspertise fra myndigheter, akademia og kryptoindustrien for å bevare og videreutvikle nasjonal kompetanse. Det gjør oss bedre rustet til å møte fremtidens utfordringer innenfor kryptologi.
Når snoren snart klippes for NSMs nye kryptosenter, vil første prosjekt være å forberede Norge på å bli kvantesikkert. Senteret bygger videre på en stolt norsk kryptotradisjon, der pioneren Ernst Selmer står i en særstilling og ga innpass i kryptosamarbeid med viktige allierte. NSM har arbeidet med kvantesikker kryptografi i flere år, og vi følger det internasjonale arbeidet med å utvikle nye kryptoalgoritmer. Algoritmene skal sørge for at IT-arkitekturen er sikker, selv når kvantedatamaskiner blir en realitet.
Bør din virksomhet kvantesikre nå?
Historien har vist at det tar veldig lang tid å erstatte gamle, utdaterte kryptoalgoritmer med nye i eksisterende systemer. I noen tilfeller er systemene designet slik at migrasjon og erstatning av kryptoalgoritmer rett og slett ikke lar seg gjøre uten å måtte erstatte hele systemet. For noen vil det være en uforholdsmessig kostnad veid opp mot risiko.
Flytteprosessen til kvantesikker teknologi vil koste både tid og penger.
Når NSM nå går ut med anbefalinger til norske virksomheter, retter vi oss i første rekke til de som utsettes for høyest risiko dersom kryptoen knekkes. Det gjelder bedrifter og virksomheter som har særlige skjermings- og sikkerhetsbehov. Forvalter virksomheten sensitiv eller gradert informasjon som er attraktiv for andre stater eller aktører? Sensitive personopplysninger som helsedata? OT-systemer med lang levetid som styrer viktig infrastruktur? Produserer dere varer, tjenester eller teknologi som er underlagt eksportkontroll?
I så fall anbefaler vi å oppdatere risikovurderingen og ta høyde for scenarioer der trusselaktøren har tilgang til en kvantedatamaskin. Flytteprosessen til kvantesikker teknologi vil koste både tid og penger. Kartlegg og få på plass oversikt over egen bruk av krypto. Få kontroll på hvilken informasjon og hvilke systemer og verdier dere forvalter, slik at dere kan prioritere hva som må kvantesikres først.
Sørg for å få kontroll på virksomhetens kryptografiske verdikjede. For de fleste leveres alt eller brorparten av kryptografiske komponenter og systemer av eksterne leverandører. En vesentlig del av flytteprosessen vil derfor bestå av å holde tett kontakt med leverandørene og sikre at de tilbyr en migrasjonsvei. Dersom leverandøren ikke planlegger med kvantemigrasjon, bør man bytte til en som gjør det. Legg vekt på «kryptosmidighet» – løsninger og komponenter som enkelt kan byttes ut uten å erstatte et helt system dersom behovet endrer seg. Kvantemigrasjonen må inn i teknologiutviklings- og investeringsplaner, slik at store investeringer og innføring av nye systemer ikke må gjøres på nytt.
Kan man få hjelp til kvantemigrasjonen?
Svaret på det er ja. Gjennom det nasjonale kryptosenteret vil NSM bistå med råd og veiledning. Vi publiserer en veileder for prosessen med kvantemigrasjon, og vi vil tilby assistanse til virksomheter som har særlig betydning for samfunnssikkerheten og nasjonal sikkerhet.
National Institute for Standards and Technology (NIST) har nylig publisert konkrete forslag til standarder. Disse er resultatet av et intensivt arbeid siden 2017. NSM har deltatt aktivt i det internasjonale standardiseringsarbeidet og representerer også Norge i kryptospørsmål i NATO.
Et kvantesikkert Norge krever planlegging og innsats, og det kommer ikke gratis. Men kostnadene av å være for sent ute eller feile i prosessen kan bli enda større. NSM anbefaler å starte arbeidet nå.