Quantumcomputer: nu voorbereiden, straks geen crash-acties
De enorme rekenkracht van de quantumcomputer zal een brede en disruptieve impact hebben op onze economie. En ook grote gevolgen voor de huidige encryptie en beveiligde bedrijfsprocessen, aldus Marco Doeland en Oscar Covers, experts cyberveiligheid bij de Nederlandse Vereniging van Banken (NVB). De Nederlandse bankensector is goed voorbereid op deze ‘nieuwe millenniumbug’ en deelt internationaal haar expertise met andere partijen. Dit artikel is eerder verschenen in Bank | Wereld Online, een uitgifte van de Nederlandse Vereniging van Banken.
Op de vraag wat nu de status is van de quantumcomputer, antwoordt Marco Doeland, chief information security officer (CISO) bij de NVB: “Google heeft er een en IBM ook. Maar ze zijn nog niet schaalbaar en daarmee niet inzetbaar als generieke quantumcomputer. De verwachting is dat dat over 10 tot 15 jaar wel het geval zal zijn, want de ontwikkelingen gaan razendsnel."
"Het is dus niet de vraag of maar wanneer de quantumcomputer zijn intrede doet. De impact zal groots zijn. De quantumcomputer zal ons helpen bij het vinden van nieuwe geneesmiddelen. Zal veel efficiënter chemische processen uit de natuur kunnen nabootsen, maar zal ook een grote impact hebben op de huidige encryptie en beveiligde bedrijfsprocessen.”
Geen crash-acties
Banken maken veel gebruik van encryptie – onder meer voor het beveiligen van transacties. “Toch is de komst van de quantumcomputer geen reden tot paniek”, benadrukt Doeland, “want organisaties kunnen nu al een aantal keuzes maken ter voorbereiding. Banken bijvoorbeeld werken interbancair samen om voorbereidingen te treffen."
"De sector startte met een inventarisatie om te bepalen welke soorten encryptie waar worden gebruikt. Ze treffen vervolgens maatregelen om de veilige quantumresistente encryptie geleidelijk te kunnen introduceren, als onderdeel van reguliere vervangingscycli. Door die keuzes nu al te maken en producten met een lange looptijd nu al veilig te maken, voorkom je dat je straks ‘crash-acties’ moet doen.”
Internationaal is er ook grote belangstelling voor de manier waarop de Nederlandse bankensector zich voorbereidt, aldus Doeland: “We kregen enthousiaste reacties op eerdere artikelen en onze boodschap in het door ons geschreven hoofdstuk in het vandaag verschenen Multidisciplinaire aspecten van digital security is: hoe eerder je de juiste keuzes maakt op basis van de informatie die je dan hebt, des te beter je bent voorbereid en des te lager je kosten voor aanpassingen die nodig zijn voor de veiligheidsdreiging die uitgaat van deze nieuwe ontwikkeling.”
Rekenkundige drempel
Waar zit die dreiging van de quantumcomputer nou precies in? “Omdat de quantumcomputer op een heel andere manier rekent dat de huidige computer”, zegt Oscar Covers - cyber security analist bij de NVB. “De encryptie die we gebruiken, werpt een soort ‘rekenkundige drempel’ op die voor onze huidige encryptie is afgestemd op de huidige computerarchitectuur. Maar wat een rekenkundig probleem is voor de huidige computer, is dat niet altijd voor de quantumcomputer. Een deel van de huidige encryptie kan makkelijk worden gekraakt.”
“Encryptie is grofweg te verdelen in symmetrische en asymmetrische encryptie. De eerste is goed tot redelijk bestand tegen de quantumcomputer en is vrij eenvoudig ‘quantumcomputerproof’ te maken. Voor de andere soort encryptie geldt dat niet. Het lastige is dat encryptieprotocollen overal en nergens in organisaties worden toegepast. De eerste uitdaging is dus: krijg inzicht in welke bedrijfsprocessen gebruikmaken van encryptie-algoritmen en dan: om welke gaat het?"
"Daarna kan je op zoek gaan naar goede alternatieven en nagaan hoeveel tijd het kost om die te implementeren. Bedrijfsprocessen quantum ready maken kun je vergelijken met Y2K - de millenniumbug – of de komst van de euro. Maar van de generieke quantumcomputer weten we nog niet precies wanneer die komt, dus hoeveel tijd we nog hebben.”
