Avaako kvanttiteknologia salatun tietoliikenteen hyökkääjille? Finanssiyhtiöt selvittivät varautumistaan pilotissa

Kun raha liikkuu esimerkiksi kaupan maksupäätteeltä kortinmyöntäjälle, se kulkee tietoverkon kautta kryptattuna, eli esimerkiksi salausalgoritmin avulla ulkopuolisilta suljettuna viestinä. Lisäksi pankkien ja vakuutusyhtiöiden järjestelmät ovat täynnä asiakkaita koskevaa kryptattua tietoa. Lähes kaikki digitaalinen toiminta maailmassa perustuu salausalgoritmeihin, joiden perusajatus on, että murtamisessa kestää niin kauan, että vihamielisen toimijan ei siihen kannata ryhtyä. Organisaation kryptausten kokonaisuutta kutsutaan kryptografiaksi.

”Varautumiskeskustelussa huomio kiinnittyy tällä hetkellä voimakkaasti sotilaallisiin ja geopoliittisiin uhkiin: varaudutaan panssarivaunuin ja kehitetään ruokahuoltoa. Kvanttiteknologian tulo on hyvä muistutus, että myös digitaalisesta varautumisesta on pidettävä yhtä lailla huolta”, toteaa Finanssiala ry:n valmiuspäällikkö Juha Nieminen, joka toimii Huoltovarmuusorganisaation rahoitus- ja vakuutusalan poolien poolisihteerinä.

Nykytekniikalla salausten murtaminen ei ole mahdollista, mutta Huoltovarmuusorganisaatio on jo alkanut varautua kvanttitietokoneiden kehitykseen. Pahimmissa skenaarioissa kvanttiteknologialla voitaisiin saada kryptattu tietoliikenne avattua vihamieliselle hyökkääjälle.

Salausten murtamisen uhka on jo todellinen, ei tulevaisuudessa odottava kriisi. Kvanttihyökkäyksissä voi käyttää niin sanottua Harvest Now, Decrypt Later -strategiaa: hyökkääjä voi jo nyt varastaa salattua tietoa säilöön odottamaan ja purkaa sen myöhemmin, kun kvanttiteknologia on saatu kehitettyä riittävälle tasolle.

”Vuosituhannen vaihteen alla kohistiin y2k:sta, kun digitaaliset järjestelmät piti saada ymmärtämään vuosiluku, joka alkaa luvulla 20 eikä 19. Vaadittuja muutoksia salausjärjestelmään eli kryptografiaan voi pitää vastaavanlaisena globaalina koko organisaatiota ja sen sidosryhmiä koskevana laajana mullistuksena.”

Pilotti: Varautuminen kannattaa jo aloittaa

Joukko suomalaisia finanssiyhtiöitä osallistui pilottiiprojektiin joka osoitti, että varautuminen kannattaa jo aloittaa. Siirtyminen kvanttiteknologian jälkeiseen kryptografiaan (PQC) on jo mahdollista eikä se edellytä kvanttitietokonetta.

EU ja Yhdysvallat edellyttävät kvanttiturvallisiin algoritmeihin siirtymistä viimeistään vuosina 2030–2035, ja kansallisesti kriittiset järjestelmät on priorisoitava tätä aiemmin. Pilottiin osallistui sellaisia yhtiöitä, joille kryptografian murros näyttäytyy jo nyt tulevina toiminta‑ ja sääntelyriskeinä.

Pilotti nosti esiin kolme keskeistä havaintoa:

1. Tarkka tieto omista järjestelmistä on edellytys hallitulle siirtymälle. Jotta tarvittavat muutokset pystytään tekemään, organisaatioissa on ymmärrettävä, missä ja miten kryptografiaa käytetään.

2. PQC on iteratiivinen prosessi, joka vaatii järjestelmiltä päivitettävyyttä ja organisaatiolta ketterää ohjausta muutoksissa.

3. Varhainen liikkeellelähtö tuo etua ja helpottaa sääntelyn noudattamista, parantaa tietoturvaa ja resurssien saatavuutta sekä mahdollistaa järjestelmien modernisoinnin hallitusti.

Pilotti osoitti, että erityisesti finanssialalla pitkät järjestelmäelinkaaret ja korkeat tietoturvavaatimukset tekevät varhaisesta valmistautumisesta välttämätöntä. Kvanttitietokoneiden aikatauluarviot vaihtelevat muutamasta vuodesta yli vuosikymmeneen, mutta riski on jo olemassa.

”Kyllähän tämä vähän scifijännäriltä kuulostaa, mutta uhka on aivan todellinen: kvanttiteknologian kehitys vaatii aivan uutta ajattelutapaa tietoturvaan ja järjestelmien suojauksiin”, Nieminen summaa.