Is de financiële sector klaar voor de transitie naar post-quantum cryptografie?

Ontdek hoe de vooruitgang in quantumcomputing risico’s vormt voor de cryptografie van de Nederlandse financiële sector en de dringende noodzaak van post-quantum oplossingen.

In het kort:

• Quantumcomputing dreigt de asymmetrische cryptografie te doorbreken, die cruciaal is voor veilige (financiële) communicatie en transacties.

• De Nederlandse financiële sector heeft ongeveer vijf jaar de tijd om post quantum cryptografie te implementeren om gevoelige gegevens te beschermen.

• Het implementeren van nieuwe cryptografische standaarden is complex en vereist uitgebreide inventarisaties en proactieve maatregelen om kwetsbaarheden te beperken.

De Nederlandse financiële sector staat bekend om innovatie, met een sterke focus op technologie en cybersecurity. Maar de opkomst van quantumcomputers vormt een reëel risico voor moderne financiële systemen. Wat ooit onmogelijk leek, wordt nu realiteit: quantumtechnologie kan de asymmetrische cryptografie die communicatie, betalingen, identiteiten en infrastructuur beschermt, ondermijnen. Zijn Nederlandse financiële instellingen klaar voor deze uitdaging?

Quantumcomputing is dichterbij dan je denkt

Quantumcomputing is geen verre droom meer. Recente ontwikkelingen in de processortechnologie van Google, IBM en Microsoft laten zien dat het quantumtijdperk niet langer ver weg is (Google, 2024) (IBM, 2025) (Microsoft, 2025). Deze nieuwe techniek zal, zodra die ontwikkeld is, in staat zijn om asymmetrische cryptografische protocollen te breken. Deze protocollen zijn essentieel, niet alleen voor financiële instellingen, maar voor alle sectoren die afhankelijk zijn van digitale infrastructuur.

Schattingen wijzen erop dat tussen 2030 en2040 quantumcomputers beschikbaar zullen worden die asymmetrische encryptie kunnen kraken. Voor Nederlandse financiële instellingen vormt het blijven vertrouwen op klassieke encryptiemethoden een aanzienlijk risico: deze methoden zullen ontoereikend zijn tegen de kracht van quantumcomputers. De Nederlandsche Bank (DNB) benadrukt dat organisaties ontwikkelingen nauwlettend moeten volgen en proactieve maatregelen moeten nemen, waaronder de overstap naar post-quantum cryptografiestandaarden (DNB, 2024).

Kwetsbaarheden in de huidige cryptografie

Het kernprobleem ligt bij de complexiteitsaanname waarop moderne asymmetrische cryptografie is gebaseerd. Deze systemen steunen op de veronderstelling dat bepaalde wiskundige problemen voor klassieke computers praktisch onoplosbaar zijn binnen aanvaardbare tijd. Ze vormen de basis voor veilige communicatie, digitale handtekeningen, identiteitsverificatie en sleuteluitwisseling in de financiële sector. Quantumcomputing verandert het speelveld voor het oplossen van complexe wiskundige problemen.

Een voldoende krachtige quantumcomputer kan speciaal ontworpen quantumalgoritmes gebruiken om bepaalde taken veel sneller uit te voeren dan traditionele computers. Veel online beveiligingsalgoritmen, zoals RSA, vertrouwen bijvoorbeeld op de moeilijkheid van het ontbinden van grote getallen. Voor klassieke computers is dit momenteel uitdagend, waardoor deze systemen als veilig worden beschouwd. Een quantumcomputer kan dit echter snel uitvoeren, waardoor deze systemen kwetsbaar worden.

Wachten op volledig operationele quantumsystemen is riskant door de ‘harvest now, decrypt later’-dreiging

Een belangrijk aandachtspunt is het ‘harvest now, decrypt later’-model (HNDL): geavanceerde aanvallers onderscheppen en slaan vandaag al versleutelde data op, met de intentie deze later te ontcijferen zodra cryptografisch relevante quantumcomputers beschikbaar zijn. Dit kan door aanvallers worden gebruikt om waardevolle informatie te verzamelen, of om toegang te krijgen tot gegevens die in de toekomst van belang kunnen zijn, zeker in het licht van toegenomen dreigingen en technologische ontwikkelingen.

Gegevens die vandaag veilig lijken, kunnen in de toekomst kwetsbaar zijn, vooral informatie die langdurig beschermd moet worden, zoals financiële dossiers, medische gegevens of geheime communicatie. Hoewel regelmatig bijwerken van gevoelige informatie blootstelling kan verminderen, blijven veel gevoelige gegevens langdurig onveranderd zoals paspoortinformatie en BSN’s. De blijvende aard van dergelijke data vergroot het risico op fraude en identiteitsmisbruik, en benadrukt de noodzaak voor proactieve maatregelen door financiële instellingen.

De uitdaging van de overstap naar post-quantum cryptografie

Het effectief implementeren van post-quantum cryptografie binnen complexe systemen en organisaties is een grote uitdaging. De overgang naar veiligere cryptografische methoden vergt niet alleen veel middelen, maar ook een diepgaand inzicht in het cryptografische landschap binnen een organisatie. De eerste stap is het ontwikkelen van een volledig cryptografisch overzicht: een inventaris van alle cryptografische componenten binnen de organisatie en haar toeleveringsketen, inclusief algoritmes, protocollen, sleutels, certificaten, datastromen en systeemafhankelijkheden. Zonder dit overzicht bestaat het risico dat kritieke kwetsbaarheden en verborgen afhankelijkheden over het hoofd worden gezien, wat leidt tot vertragingen bij het verhelpen en een grotere blootstelling aan quantum gerelateerde dreigingen.

Veel organisaties ondervonden bijvoorbeeld grote problemen bij de migratie van de kwetsbare SHA-1-hashfunctie naar de veilige opvolger SHA-256. In de praktijk duurde deze overgang voor veel organisaties meer dan vijf jaar, zelfs nadat de benodigde specificaties en implementaties beschikbaar waren (AIVD,2024). Deze lange doorlooptijd illustreert de operationele traagheid die kan optreden bij de adoptie van nieuwe cryptografische standaarden, algoritmes en ondersteunende technologieën. Een vergelijkbare complexiteit en mogelijke vertraging is te verwachten bij de overgang naar post-quantum cryptografie, zeker nu de tijdlijnen voor cryptografisch relevante quantumcapaciteiten steeds nauwer worden.