Inside the Quantum Lab, a low camera shot, front view.

Por que razão as organizações devem preparar-se já para a cibersegurança na computação quântica

EY Angola

Firma de serviços profissionais multidisciplinares

4 minute read 14 abr. 2023
Related topics
Cibersegurança
Consulting

A tecnologia quântica está a sair dos laboratórios de investigação para chegar às aplicações comerciais, revolucionando as normas da criptografia.

Em resumo
  • A abordagem atual em matéria de segurança de dados está vulnerável a ameaças cada vez maiores, caso não se recorra à tecnologia quântica.
  • Nos próximos cinco anos, esta tecnologia será utilizada em muito maior escala, o que exigirá que as organizações se adaptem enquanto aguardam esclarecimentos regulamentares.
  • Certifique-se de que está a fazer as perguntas certas para avaliar as suas prioridades e a sua posição nesta jornada quântica.

O crescimento exponencial dos dados e das necessidades computacionais tem, frequentemente, sobrecarregado os sistemas informáticos binários — no entanto, a computação quântica (QC) está a começar a resolver problemas anteriormente insolúveis, graças a um salto qualitativo no poder de processamento. São agora possíveis arquiteturas de sistemas informáticos, redes de comunicação, software e infraestruturas digitais fundamentalmente novas.

No entanto, esta tecnologia irá também perturbar a criptografia, que é fundamental para a cibersegurança — intensificando assim os riscos existentes e dando origem a novas ameaças, especialmente no que diz respeito à resiliência dos algoritmos criptográficos. Devido à potência computacional superior do QC, é inevitável que várias cifras criptográficas se tornem obsoletas e vulneráveis a ataques — e essas mudanças não estão longe de acontecer.

Num estudo recente da Forrester, os especialistas do setor avançaram a hipótese de que os computadores quânticos serão capazes de decifrar todos os sistemas de encriptação atuais nos próximos cinco a 30 anos, tendo a maioria afirmado que existe uma probabilidade de 50%-70% de tal acontecer nos próximos 5 anos. São inevitáveis mudanças significativas na arquitetura empresarial e na infraestrutura de cibersegurança atuais — e estas devem ser abordadas desde já, de acordo com um relatório recente (pdf) do EY Quantum Computing Lab, que integra a equipa de Inovação Global. 

A computação quântica ameaça tornar obsoletos os atuais protocolos criptográficos, obrigando a comunidade científica a investigar novos algoritmos criptográficos e produtos de segurança que sejam resistentes a ataques quânticos.

Um estudo da EY intitulado "CEO Imperative", de 2021, revela que a computação quântica não constituía uma prioridade para os executivos nos dois anos seguintes, o que demonstra que esta tecnologia ainda não está pronta para aplicações comerciais quotidianas. No entanto, num inquérito separado realizado em 2022 junto de empresas do Reino Unido, a maioria dos inquiridos afirmou que a sua empresa irá tomar medidas concretas para se preparar para o QC no prazo de um a dois anos. E a criptografia é uma área de foco fundamental: 72% dos inquiridos do inquérito nos setores da tecnologia, dos meios de comunicação social e das telecomunicações afirmam que as tarefas relacionadas com a criptografia constituem a sua principal prioridade na utilização da computação quântica, enquanto 61% nos setores da produção avançada e noutros domínios da produção industrial afirmam o mesmo. Os setores do consumo, da energia e do capital de risco também classificaram a criptografia como a sua segunda maior prioridade no âmbito da QC.

Por que razão as OSC devem preocupar-se com a computação quântica hoje em dia

Embora a tecnologia ainda não esteja totalmente consolidada, os dados atuais continuam vulneráveis à desencriptação por QC, uma vez que a vida útil dos dados pode ser superior ao tempo necessário para quebrar os métodos de encriptação atuais. Estes ataques são frequentemente designados por "recolher agora, descodificar mais tarde", em que os autores mal-intencionados recolhem informações encriptadas neste momento, na esperança de que os computadores quânticos consigam quebrar essa encriptação no futuro. O recente relatório da EY intitulado «Quantum Approach to Cybersecurity» concluiu que os seguintes produtos de segurança se encontram expostos a um elevado nível de risco devido aos avanços na área dos computadores quânticos: 

Infraestrutura de chave pública

Autoridade de Certificação (CA), certificados SSL habitualmente utilizados. Desde 2014, quase todas as autoridades de certificação comerciais utilizam chaves públicas RSA com pelo menos 2048, o que é considerado vulnerável.

Distribuição segura de software

Na sua maioria, assinaturas digitais baseadas em chaves públicas, que contêm chaves públicas RSA.

Autorização federada

Os métodos de autenticação única, tais como OAuth, OpenID e SAML, entre outros, baseiam-se amplamente no protocolo HTTP e, uma vez violados, são extremamente vulneráveis ao roubo de dados e a atos criminosos.

Troca de chaves através de um canal público

Partilha de chaves apenas entre indivíduos

 

Os métodos de troca de chaves e de acordo de chaves são utilizados em protocolos de segurança de rede, como o SSHE, o IKE, o IPsec, o SSL e o TLS, para proteger as comunicações privadas. Baseiam-se, em grande medida, nos algoritmos RSA, de criptografia de curvas elípticas ou de Diffie-Hellman (ECDH).

Correio eletrónico seguro

E-mails seguros, normalmente enviados através do S/MIME, destinados principalmente a entidades governamentais e empresas sujeitas a regulamentação, para a troca de e-mails confidenciais e autenticados. Dependem, em grande medida, de chaves públicas RSA.

Rede privada virtual

O IPSec garante o acesso à rede da empresa, o acesso a aplicações relacionadas com o trabalho e a mobilidade dos colaboradores. As VPN também podem ser utilizadas para contornar restrições locais à Internet em países estrangeiros, criando uma rede de tunelamento ativada através de RSA ou ECC com protocolos de estabelecimento de chaves, tais como o IKE ou o IKE móvel.

Navegação segura na Internet

Navegação segura na Internet através de sites com SSL/TLS ativado, o que é, na maioria dos casos, exigido por requisitos regulamentares e de conformidade devido às informações privadas do utilizador, tais como dados de pagamento. A RSA continua a ser a chave de autenticação mais comum.

Dispositivos de controlo

A criptografia integrada nos dispositivos de controlo de qualquer tipo de maquinaria (automóveis, aviões, instalações fabris, etc.) não dispõe, normalmente, das capacidades de armazenamento, computação ou comunicação necessárias para suportar métodos criptográficos, tais como os baseados em reticulados, sendo, além disso, frequentemente bastante difícil substituí-los.

Transações em blockchains privadas

Os algoritmos de proteção da blockchain incluem o RSA e o ECDSA; por isso, o mundo da criptografia tem de superar os algoritmos relacionados com o problema da fatoração para se manter seguro. As assinaturas das transações em blockchain para fins de identificação e os nós de blockchain com ligação à Internet são extremamente vulneráveis.

How EY can Help

Os diretores de segurança (CSOs) já podem estar a elaborar uma estratégia de controlo de qualidade que inclua:
 

  • Avaliar os riscos: que percentagem dos seus dados encriptados está em risco?
  • Análise dos possíveis impactos: qual seria o impacto na sua empresa se estas informações encriptadas fossem descodificadas nos próximos 5 a 10 anos?
  • Planear um roteiro: do atual ecossistema de cibersegurança empresarial para um ecossistema baseado na tecnologia quântica — como é que chegamos lá a partir daqui?


Embora os novos algoritmos de controlo de qualidade permitam às empresas aumentar o seu nível de segurança através da adoção de criptografia resistente à computação quântica, o nível de segurança dependerá também do grau de maturidade em matéria de cibersegurança e dos controlos atualmente em vigor na empresa, bem como da evolução da tecnologia a par da regulamentação.


Para continuarem a operar com sucesso e em segurança, as empresas terão de garantir que o seu plano de cibersegurança baseado na computação quântica esteja totalmente desenvolvido antes que a ameaça representada pelas tecnologias de computação quântica se torne uma realidade.


Para avaliar o grau de preparação para a tecnologia quântica no panorama do seu negócio de cibersegurança, pergunte-se:
 

  • A segurança dos dados e a encriptação são essenciais para a sua empresa?
  • Em que medida está o seu panorama empresarial em matéria de cibersegurança bem preparado?
  • Está ciente das ameaças à cibersegurança decorrentes da tecnologia quântica emergente?
  • Tem plena consciência dos riscos e ameaças que estas tecnologias representam?
  • Tem à sua disposição um modelo de negócio bem elaborado e baseado na tecnologia quântica, pronto para ser implementado?
  • Os seus protocolos de segurança são "cripto-ágil"?"
  • Pode dar-se ao luxo de que as informações confidenciais que forem roubadas hoje venham a ser descodificadas quando as tecnologias de computação quântica estiverem disponíveis no futuro?

Um passo importante para as empresas no caminho rumo à criptografia resistente à computação quântica consiste também em manter-se a par dos desenvolvimentos no âmbito regulamentar. Já foram iniciadas as medidas regulamentares destinadas a abordar a criptografia pós-quântica. Nos EUA, o Instituto Nacional de Normas e Tecnologia (NIST) está a trabalhar num conjunto de normas, tal como o Instituto Europeu de Normas de Telecomunicações. Prevê-se que as normas do NIST sejam publicadas em 2024.

Os três caminhos para um futuro resistente à computação quântica

Tendo em conta as ameaças e a resposta regulamentar, é agora que se deve agir. Com o seguinte roteiro de preparação para a era quântica, as entidades podem avaliar em que medida o seu modelo de negócio cibernético está preparado para a era quântica e reduzir a sua exposição a ataques quânticos. Uma vez realizada a avaliação, o modelo e o órgão de governação podem ser revistos e redefinidos no caminho para um futuro resiliente à computação quântica.

Abordagem quântica visual

A preparação de uma organização para as ameaças quânticas e para a normalização pode ser dividida em três estratégias e cenários diferentes, a aplicar após uma avaliação exaustiva dos riscos quânticos, de acordo com o Laboratório de Investigação em Cibersegurança da Escola de Gestão Ted Rogers da Universidade Metropolitana de Toronto. Esses três, apresentados no gráfico acima, são:

A. Algumas organizações irão aguardar a entrada em vigor dos regulamentos de normalização antes de tomarem qualquer iniciativa. Isto inclui empresas cujos dados têm um valor relativamente baixo para potenciais hackers ou dados que existem apenas por um curto período de tempo.

B. Algumas organizações irão investir antecipadamente na agilidade no domínio das criptomoedas e estarão preparadas para lançar iniciativas adequadas quando as normas oficiais entrarem em vigor, através do estabelecimento de um roteiro adaptável e atualizado.

C. Poucas organizações com maior risco e recursos suficientes irão mais além; além de serem "cripto-ágile", adotarão uma abordagem híbrida, implementando uma camada de segurança resistente à computação quântica sobre a já existente. Isto ajudará a reduzir o risco de os dados serem roubados agora e descodificados no futuro, quando estiverem disponíveis computadores quânticos plenamente operacionais.

Resumo 

À medida que avançamos para um futuro impulsionado pela tecnologia quântica, avaliar e reduzir a exposição da sua organização aos riscos quânticos tornar-se-á fundamental. Embora a tecnologia quântica ainda se encontre numa fase inicial, as empresas que se prepararem desde já para um futuro resiliente à tecnologia quântica serão as que poderão oferecer a melhor defesa contra os novos vetores de ciberataques.

About this article

EY Angola
Firma de serviços profissionais multidisciplinares
Related topics
Cibersegurança
Consulting

Artigos relacionados

EY refere-se à organização global, e pode referir-se a uma ou mais firmas-membro da Ernst & Young Global Limited, cada uma das quais uma entidade juridicamente distinta. A Ernst & Young Global Limited, firma sedeada no Reino Unido, limitada por garantia, não presta serviços a clientes.