Današnja enkripcija uskoro neće vrijediti, evo što nam je činiti

Svijet kakav poznajemo se promijenio, a trenutačni se geopolitički sukobi u sve većoj mjeri sele u kibernetički prostor, zbog čega kibernetička sigurnost postaje ključna karika društvene i gospodarske stabilnosti. Upravo je to bila središnja poruka konferencije o kibernetičkoj sigurnosti Span Cyber Security Arena, koja je u opatijskom hotelu Ambasador okupila svjetske i domaće stručnjake.

– Kibernetička sigurnost danas postaje srce svake kompanije, a IT stručnjaci moraju sjediti za istim stolom s menadžmentom, pravnicima i compliance timom. Svi oni trebaju uspostaviti zajednički jezik jer pritisak regulatora raste, a odgovornost za sigurnost više se ne može delegirati samo jednoj funkciji – istaknuo je u uvodnom dijelu konferencije Nikola Dujmović, predsjednik Uprave Spana.

Nikola Dujmović

Sve naprednija budućnost napada, ali i obrane

Konferencija je otvorena predavanjem bivšeg operativca američke Nacionalne sigurnosne agencije Ire Winklera. Zbog inovativnih simulacija špijunaže kojima je pomogao nekim od vodećih svjetskih organizacija ojačati sigurnost, Winklera često nazivaju modernim Jamesom Bondom, a na ovoj se konferenciji bavio time može li jedna nemarna ljudska greška srušiti cijelu kompaniju. Naime, Winkler je naglasio da se sigurnost više ne može oslanjati samo na opreznost korisnika, već trebamo sustave koji će moći sami spriječiti da ljudska pogreška dovede do velikih incidenata.

– Mnogi korisnici zanemaruju osnovne korake zaštite, ne ažuriraju redovito aplikacije i sustave, koriste iste lozinke na više servisa i često ne štite fizički pristup svojim uređajima. Ako, primjerice, netko koristi istu lozinku na različitim servisima i ta lozinka procuri kod jednog pružatelja usluge, napadači će je pokušati iskoristiti i na svim ostalim platformama, tzv. credential stuffing – objasnio je Winkler.

Ira Winkler

Zbog opasnosti poput phishing poruka, lažnih poziva, Bluetooth ranjivosti i ransomwarea, važno podizati svijest o kibernetičkim prijetnjama, no to nije čarobno rješenje. Winkler je istaknuo da koliko god ulažemo u edukaciju, uvijek će postojati rizik ljudske pogreške. Ipak, veća informiranost smanjuje ukupnu izloženost prijetnjama.

– Korisnicima je danas dostupno mnogo tehničkih mjera koje mogu sami primijeniti. Multifaktorska autentifikacija, primjerice, besplatno je dostupna na platformama poput Facebooka, Instagrama i Twittera te ju je svakako preporučljivo aktivirati. Google nudi dodatne sigurnosne mehanizme unutar svojih aplikacija koje je važno pravilno konfigurirati. Što više sigurnosnih slojeva uvedemo, to ćemo biti otporniji na prijetnje – naglasio je Winkler.

Kako sačuvati podatke od kvantnih računala?

Međutim, u bliskoj budućnost možda ni to ne bude dovoljno, o čemu je govorio Martin Svik, glavni tehnološki direktor za sjevernu, srednju i istočnu Europu u IBM-u. Upozorio je da se već danas moramo ozbiljno pripremiti na budućnost u kojoj će kvantna računala postati dovoljno moćna da razbiju enkripciju koja danas štiti naše bankovne račune, elektroničku poštu i državne tajne. Trenutak kada kvantna računala probiju današnju enkripciju naziva se Q-Day, no Svik kaže da 'ne postoje javni dokazi da je Q-Day već nastupio'. To, pak, ne znači da se Q-Day dogodio negdje u tajnosti, ali Svik otkriva što se o Q-Dayu za sada zna.

– U IBM-u znamo da napadači možda već pohranjuju šifrirane podatke kako bi ih mogli dešifrirati kasnije. Rizik je sve veći, pa je priprema ključna. Koncept 'pohrani sada, dešifriraj kasnije' je stvaran, zato za najkritičnije podatke preporučujemo korištenje kvantno sigurnih algoritama što je prije moguće – poručio je Svik.

Martin Svik

Na pitanje znači li to da će Q-Day, ako već nije nastupio ili kada saznamo da jest, vratiti svijet u analogno doba ili ćemo se okrenuti postkvantnim tehnologijama, Svik odgovara da 'nema potrebe gomilati pisaće strojeve i registratore'.

– Nećemo se vraćati pisaćim strojevima ni arhiviranju papira. Svijet se već kreće prema postkvantnoj kriptografiji, a standardi poput ML-KEM i ML-DSA američkog Nacionalnog instituta za standarde i tehnologiju (NIST) predvode taj put – kaže Svik.

U IBM-u vide veliku razliku među klijentima. Neki ozbiljno shvaćaju situaciju, dok drugi još uvijek čekaju. No, institucije poput američkog NIST-a već preporučuju da se enkripcija zamijeni postkvantnom kriptografijom, i to najkasnije do 2030. godine. Svik je pojasnio da će nova, postkvantna era ralunalstva biti sigurnija i inovativnija.

– Moći ćemo otkriti nove lijekove, razviti izdržljivije materijale, stvoriti nove molekule, pronaći optimalna rješenja u logistici, ekonomiji i drugdje. Svijet umjetne inteligencije i kvantnog računalstva uskoro će postati jedan svijet. Eksponencijalna računalna snaga kvantne tehnologije pomoći će u prevladavanju energetskih zahtjeva AI-ja. Zato u budućnosti vidim mnogo više pozitivnih stvari – zaključio je Svik.

Span Cyber Security Arena