Postkvantna kriptografija - kvantna prijetnja postaje pitanje uprave

Godinama se o kvantnim računalima govorilo kao o tehnologiji budućnosti, impresivnoj i revolucionarnoj, ali još dovoljno dalekoj da ne zahtijeva konkretne poslovne odluke. Takva percepcija danas više nije održiva. Posljednjih mjeseci postalo je jasno da kvantna prijetnja ubrzano prelazi iz domene dugoročnih tehnoloških predviđanja u područje strateškog upravljanja rizicima.

Dovoljno je pogledati poteze vodećih tehnoloških kompanija u posljednjih nekoliko tjedana. Google i Cloudflare javno su istaknuli 2029. godinu kao cilj za dovršetak tranzicije na postkvantnu sigurnost. Ne kao početak priprema, nego kao rok do kojega njihova infrastruktura mora biti prilagođena novoj generaciji kriptografije. Kad organizacije koje upravljaju velikim dijelom globalnoga internetskog prometa počnu govoriti u tako konkretnim rokovima, to više nije tehnološka spekulacija, nego signal tržištu da se vremenski horizont ubrzano skraćuje.

Ključna promjena

Takvu promjenu nije potaknula samo strateška opreznost, nego i stvarni tehnološki napredak. Nedavna istraživanja pokazuju da bi kvantna računala mogla ugroziti kriptografiju eliptičkih krivulja (ECC), jedan od temelja današnje digitalne sigurnosti, prije nego što se donedavno procjenjivalo. Tako se dodatno smanjuje prostor za odgađanje odluka.

U središtu tih promjena nalazi se postkvantna kriptografija, odnosno nova generacija algoritama razvijenih kako bi ostali sigurni i u svijetu u kojem kvantna računala mogu kompromitirati današnje standarde poput RSA-a i ECC-a. Iako se još često percipira kao tema rezervirana za uski krug tehničkih stručnjaka, riječ je o području koje će u idućim godinama postati sastavni dio standardne poslovne infrastrukture. No ključna promjena nije tehnološka, nego upravljačka. Kvantna prijetnja više nije tema koja se može prepustiti isključivo IT odjelu; naprotiv, njezine posljedice daleko nadilaze tehničku domenu.

Sigurnost za sutra

Razlog tomu leži u samoj prirodi rizika. Za razliku od većine kibernetičkih prijetnji kvantni rizik ne počinje onoga trenutka kada dovoljno snažno kvantno računalo postane operativno. Naprotiv, on postoji već danas. Napadači već godinama primjenjuju pristup poznat kao harvest now, decrypt later, pri čemu pohranjuju šifrirane podatke kako bi ih dešifrirali kada tehnologija to omogući. Drugim riječima, podaci koji su danas formalno sigurni mogu sutra postati čitljivi a da nikakav sigurnosni incident ne bude zabilježen.

To iz temelja mijenja način na koji organizacije moraju promišljati zaštitu podataka. Više nije dovoljno pitati jesu li podaci danas zaštićeni; potrebno je procijeniti hoće li ostati zaštićeni i za deset ili dvadeset godina. Za organizacije koje upravljaju intelektualnim vlasništvom, dugoročnim ugovorima, osjetljivim osobnim podacima, istraživačkim rezultatima ili strateškom dokumentacijom riječ je o pitanju poslovne otpornosti, a ne tehničke optimizacije.

Upravo zato postkvantna sigurnost postupno izlazi iz domene tehničkih timova i postaje tema uprave. Ona utječe na regulativnu usklađenost, reputaciju organizacije, dugoročnu zaštitu ključne imovine i sposobnost održavanja povjerenja klijenata i partnera. To su pitanja koja po svojoj prirodi pripadaju strateškom odlučivanju, a ne operativnom upravljanju infrastrukturom.

Čekanje je uvijek najskuplje

Uprave pritom često ovu temu doživljavaju kao još jedan budući tehnološki trošak, no takav je pristup dugoročno neisplativ. Trošak kasne i prisilne tranzicije gotovo je uvijek veći od troška pravodobne pripreme. Organizacije koje budu morale migrirati pod regulativnim pritiskom ili u uvjetima tržišne panike suočit će se s višim troškovima uvođenja, manjkom stručnoga kadra i znatno većim operativnim rizikom.

Povijest tehnoloških tranzicija pokazuje da oni koji čekaju posljednji trenutak rijetko prolaze jeftinije. Naprotiv, upravo oni najčešće plaćaju najvišu cijenu zbog ubrzanog uvođenja, lošijih odluka i potrebe za paralelnim održavanjem zastarjele i nove infrastrukture. Postkvantna tranzicija vjerojatno neće biti iznimka.

Tko čeka regulativu, već kasni

Posebno je važno razumjeti da se regulativni okvir u Europi razvija upravo u tom smjeru. Iako postkvantna tranzicija još nije eksplicitno propisana svim sektorskim regulativama, zahtjevi povezani s upravljanjem kriptografskim rizikom, operativnom otpornošću i dugoročnom zaštitom podataka već su prisutni u regulativnim inicijativama poput DORA-e i direktive NIS2 i sve su stroža očekivanja regulatora od uprava. To znači da je pitanje vremena kada će spremnost na postkvantnu tranziciju postati sastavni dio regulativnih provjera, revizija i procesa dubinskog snimanja poslovanja (engl. due diligence). Organizacije koje čekaju formalnu obvezu prije nego što počnu djelovati vjerojatno će u trenutku regulativnog pritiska već biti u zaostatku. Takav pristup posebno je rizičan za sektore u kojima su povjerenje i sigurnost temelj poslovnog modela, kao što su financijske institucije, zdravstveni sustav, telekomunikacije, energetika i javni sektor, kao i za privatne kompanije koje upravljaju osjetljivim poslovnim ili korisničkim podacima.

Pitanje odgovornosti uprave

U mnogim organizacijama još prevladava pretpostavka da su pitanja kriptografije previše tehnička da bi bila predmet rasprave na razini uprave. No upravo je to razmišljanje razlog zbog kojeg brojne kompanije kasne s pripremama. Uprava ne mora razumjeti detalje algoritama da bi upravljala ovim rizikom, jednako kao što ne mora razumjeti tehničke detalje arhitekture oblaka, ali mora razumjeti njezin poslovni utjecaj. Uloga uprave nije odabrati tehnologiju, nego osigurati da organizacija pravodobno prepoznaje i upravlja strateškim rizicima koji mogu utjecati na poslovanje.

Kvantna prijetnja upravo je takav rizik. Ona zahtijeva donošenje odluka o prioritetima ulaganja, vremenskim okvirima prilagodbe, upravljanju dobavljačima i razini prihvatljivog rizika. Drugim riječima, zahtijeva upravo onu vrstu prosudbe koja pripada upravljačkim strukturama. Organizacije koje tu temu i dalje promatraju isključivo kao tehničko pitanje riskiraju da prekasno shvate da problem nikada nije bio samo u tehnologiji nego u upravljanju promjenom.

Jasno sagledati vlastiti problem

Posebno je važno naglasiti da se taj izazov ne odnosi samo na tehnološke tvrtke ili financijski sektor. Gotovo svaka suvremena organizacija oslanja se na kriptografiju u svakodnevnom poslovanju u sklopu digitalnih identiteta, platformi u oblaku, komunikacijskih sustava, aplikacija, uređaja i opskrbnih lanaca. Drugim riječima, kvantna prijetnja nije zaseban sigurnosni problem, nego horizontalni poslovni rizik koji zahvaća cjelokupno digitalno gospodarstvo.

Najveća opasnost pritom nije nedostatak dostupnih tehnologija, nego pogrešna procjena vremena. Mnoge organizacije i dalje polaze od pretpostavke da se pripreme mogu odgoditi dok kvantna računala ne postanu operativno sposobna za napade. Takav pristup zanemaruje da tranzicija na novu generaciju kriptografije nije projekt koji se može provesti u nekoliko mjeseci.

U većini velikih organizacija nitko nema potpunu sliku o tome gdje se sve kriptografija primjenjuje. Ona je ugrađena u aplikacije, protokole, mrežnu infrastrukturu, identitetske sustave, IoT uređaje i rješenja trećih strana, često bez centralnog nadzora. Već samo mapiranje tog ekosustava može trajati mjesecima, a zatim slijede godine prilagodbi, testiranja i postupne migracije.

Tko krene prvi, imat će prednost

Postkvantnu tranziciju ne treba promatrati isključivo kao obrambenu mjeru. Organizacije koje prve razviju kriptoagilnost, a koja se definira kao sposobnost brzog i kontroliranog prilagođavanja kriptografskih mehanizama, steći će važnu konkurentsku prednost. U poslovnom okružju u kojem povjerenje postaje jedan od ključnih diferencijatora sposobnost dugoročne zaštite podataka prerasta u stratešku tržišnu prednost. Investitori, partneri i klijenti sve će više razlikovati organizacije koje aktivno upravljaju dugoročnim tehnološkim rizicima od onih koje reagiraju tek kada problem postane neposredan.

Najveća pogreška koju organizacije danas mogu napraviti nije pogrešan odabir tehnologije. Najveća je pogreška vjerovati da za odluku još ima dovoljno vremena. Jer pitanje više nije hoće li kvantna prijetnja postati relevantna – pitanje je tko će je dočekati spreman.