Em sua conferência anual Trust Summit, a DigiCert publicou os resultados de um estudo global que explora como as organizações estão enfrentando a ameaça da computação pós-quântica e como estão se preparando para um futuro pós-quântico seguro.
As principais conclusões revelam que, embora os líderes de TI estejam preocupados com a sua capacidade de se prepararem dentro dos prazos necessários, estão limitados por obstáculos, incluindo a falta de propriedade, orçamento e apoio executivo claros.
A computação quântica aproveita as leis da mecânica quântica para resolver problemas complexos demais para os computadores clássicos. No entanto, com a computação quântica, quebrar a criptografia se torna muito mais fácil, representando uma enorme ameaça aos dados e à segurança dos usuários.
"O PQC é um evento sísmico em criptografia que exigirá que os líderes de TI comecem a se preparar agora. As organizações com visão de futuro que investirem em criptoagilidade estarão melhor posicionadas para gerenciar a transição para algoritmos seguros quânticos quando os padrões finais forem publicados em 2024", explica Amit Sinha, CEO da DigiCert.
Destaques do estudo
A Ponemon Institute entrevistou 1.426 profissionais de TI e segurança de TI nos Estados Unidos (605), EMEA (428) e Ásia-Pacífico (393) que estão cientes da abordagem de suas organizações à criptografia pós-quântica.
As principais conclusões do estudo incluem os seguintes dados:
1. 61% dos entrevistados afirmam que as suas organizações não estão e não estarão preparadas para abordar as implicações de segurança do PQC.
2. Quase metade dos entrevistados (49%) afirma que a liderança da sua organização está apenas parcialmente consciente (26%) ou não (23%) sobre as implicações de segurança da computação quântica.
3. Apenas 30% dos entrevistados afirmam que as suas organizações estão alocando orçamento para a preparação do PQC.
4. 52% dos entrevistados afirmam que suas organizações estão atualmente fazendo um inventário dos tipos de chaves criptográficas utilizadas e suas características.
5. Desafios que as organizações enfrentam na preparação para um futuro seguro de computação pós-quântica
6. As principais conclusões indicam que as equipas de segurança devem conciliar a pressão para se manterem à frente dos ataques cibernéticos que visam as suas organizações, ao mesmo tempo que se preparam para um futuro de computação pós-quântica. Apenas 50% dos entrevistados afirmam que as suas organizações são muito eficazes na mitigação de riscos, vulnerabilidades e ataques em toda a empresa. De acordo com a pesquisa, ransomware e roubo de credenciais são os dois principais ataques cibernéticos sofridos pelas organizações neste estudo.
7. 41% dos entrevistados afirmam que as suas organizações têm menos de cinco anos para estarem prontas. Os maiores desafios são não ter tempo, dinheiro e experiência suficientes para ter sucesso. Atualmente, apenas 30% dos entrevistados afirmam que as suas organizações estão alocando orçamento para a preparação do PQC.
8. Muitas organizações desconhecem as características e a localização das suas chaves criptográficas. Apenas pouco mais de metade dos entrevistados (52%) afirma que as suas organizações estão atualmente fazendo um inventário dos tipos de chaves criptográficas utilizadas e das suas características. Apenas 39% dos entrevistados dizem que estão priorizando ativos criptográficos e 36% dos entrevistados estão determinando se os dados e ativos criptográficos estão localizados no local ou na nuvem.
Muito poucas organizações possuem uma estratégia de gerenciamento de criptografia centralizada e abrangente, aplicada de forma consistente em toda a empresa. Cerca de 61% dos entrevistados afirmam que suas organizações têm apenas uma estratégia limitada de gerenciamento de criptografia que se aplica a determinados aplicativos ou casos de uso (36%), ou nenhuma estratégia centralizada de gerenciamento de criptografia (25%).
Para proteger os ativos de informação e a infra-estrutura de TI, as organizações precisam melhorar a sua capacidade de implementar eficazmente soluções e métodos criptográficos. A maioria dos entrevistados afirma que suas organizações não têm fortes capacidades para implementar melhores práticas e políticas em toda a empresa, detectar e responder ao uso indevido de certificados/chaves, remediar correções ou violações de algoritmos e evitar certificados não planejados.
As organizações reconhecem que falta o conhecimento necessário para se manterem à frente dos requisitos pós-quânticos. Como resultado, recrutar e reter pessoal qualificado é a prioridade estratégica mais importante para a segurança digital (55% dos entrevistados). Isto é seguido pela obtenção de agilidade criptográfica (51% dos entrevistados), que é a capacidade de atualizar eficientemente algoritmos, parâmetros, processos e tecnologias criptográficas para melhor responder a novos protocolos, padrões e ameaças à segurança, incluindo aqueles que aproveitam a computação quântica.
Para estarem prontas para a computação pós-quântica, as organizações devem ter uma estratégia que inclua suporte de liderança sênior, visibilidade de chaves e ativos criptográficos e estratégias centralizadas de governança criptográfica que sejam aplicadas de forma consistente em toda a empresa com responsabilidade e propriedade.