A DORA e sua migração de criptografia segura contra ataques quânticos

A computação quântica é um novo paradigma com o potencial de lidar com problemas que os computadores clássicos não conseguem resolver atualmente. Infelizmente, isso também traz ameaças à economia digital e, especialmente, ao setor financeiro.

A Digital Operational Resilience Act (DORA) é um framework que introduz requisitos uniformes em toda a União Europeia (UE) para alcançar um "elevado nível de resiliência operacional" no setor dos serviços financeiros. As entidades cobertas pela DORA, como instituições de crédito, instituições de pagamento, seguradoras, provedores de serviços de tecnologia da informação e comunicação (TIC) etc., devem entrar em conformidade até 17 de janeiro de 2025.

A DORA estabelece um conjunto de requisitos para a gestão de riscos na TIC, geração de relatórios de incidentes, testes de resiliência operacional, compartilhamento de informações sobre ameaças e vulnerabilidades cibernéticas e gestão de riscos de terceiros. Como parte desses requisitos e no contexto da proteção e criptografia de dados, estabelece no Artigo 9 (“Proteção e prevenção”) que as entidades financeiras “devem utilizar soluções e processos de ICT” que “(a) Garanta a segurança dos meios da transferência de dados" ou "(c) prevenir ... a alteração da autenticidade e integridade, as violações de confidencialidade e a perda de dados."

Outros elementos a serem considerados no contexto do Artigo 9 são mencionados no Artigo 15 e estabelecidos nas normas técnicas regulatórias relacionadas (projeto) relacionadas, publicadas pela ESA em 17 de janeiro de 2024. Particularmente, aJC 2023 86 fornece requisitos detalhados sobre orientação criptográfica. Além disso, em seus preâmetros, afirma-se o seguinte:

"Dado os rápidos desenvolvimentos tecnológicos no campo das técnicas criptográficas, as entidades financeiras ... devem permanecer informadas sobre os desenvolvimentos relevantes na criptoanálise e considerar as principais práticas e normas e, portanto, devem seguir uma abordagem flexível baseada na mitigação e no monitoramento para lidar com o cenário dinâmico de ameaças criptográficas, inclusive as de avanços quânticos."

A seguir, falaremos mais sobre as "ameaças criptográficas" mencionadas e as implicações que elas podem ter sobre as instituições financeiras no contexto da computação quântica.

Embora os computadores quânticos atuais ainda enfrentem ruído e ainda não sejam "tolerantes a falhas", marcos impressionantes já foram alcançados provando sua utilidade. Dado o número de investimentos que estão sendo feitos tanto no setor privado quanto no meio acadêmico, espera-se que essa tecnologia seja dimensionada e melhore drasticamente com o tempo. À medida que isso acontece, a ameaça potencial para a economia digital crescerá.

Em 1994, o físico Peter Shor introduziu um algoritmo que, quando executado em um computador quântico de grande escala, poderia decifrar algoritmos de criptografia de chave pública como Rivest-Shamir-Adleman (RSA), Diffie-Hellman e Elliptic Curve Cryptography (ECC). O setor financeiro depende desses algoritmos para garantir a confidencialidade e a integridade das transações bancárias, a autenticidade de seus clientes, a validade de documentos assinados digitalmente e a confidencialidade dos dados financeiros dos clientes. Se a criptografia de suporte não puder mais ser confiável, todo o setor financeiro estará em risco.

Ameaças quânticas à criptografia

Para quebrar a criptografia de hoje, o chamado computador quântico criptograficamente relevante (CRQC) precisaria ser realizado (alguns especialistas estimam que isso poderia acontecer no início da década de 2030 ). No entanto, embora o impacto esteja no futuro, já estamos em risco. Pode-se imaginar um invasor colhendo dados confidenciais criptografados hoje para descriptografá-los mais tarde.

Felizmente, novas criptografias “seguras contra ataques quânticos” estão sendo padronizadas, com o esforço mais notável sendo executado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Em 2016, o NIST lançou uma competição com mais de 80 inscrições para padronizar uma nova forma de criptografia que será executada em sistemas comuns (por exemplo, notebooks, nuvem etc.), mas será resistente a um ataque quântico porque depende de problemas matemáticos que são difíceis de resolver por um computador quântico (e clássico).

Os quatro primeiros algoritmos para padronização foram selecionados pelo NIST em julho de 2022 (dos quais três tiveram a cocontribuição da IBM). Embora a previsão de lançamento das normas seja em 2024, outros candidatos alternativos ainda estão sendo considerados.

Cronograma de padronização do NIST para criptografia seguro contra ataques quânticos (também conhecida como criptografia pós-quântica)

Uma norma de criptografia segura contra ataques quânticos está à vista. Infelizmente, devido à complexidade do setor financeiro, em particular, há uma longa jornada pela frente. O NIST assume que "cinco a 15 ou mais anos se passarão... antes que a implementação completa dessas normas seja concluída." Se sobrepormos isso aos cronogramas de desenvolvimento de um CRQC, percebe-se que as entidades precisam iniciar essa jornada hoje.

As ameaças quânticas, quando se materializam, têm o potencial de afetar drasticamente a resiliência operacional das entidades financeiras e podem perturbar a economia globalmente. Felizmente, novos algoritmos de criptografia segura contra ataques quânticos estão disponíveis (com normas a serem publicadas em breve), que serão necessários para mitigar essas ameaças.

Se relacionarmos isso aos requisitos da DORA, podemos estabelecer vários links diretos. Para cumprir o Artigo 9, as entidades financeiras precisarão adotar meios de transferência de dados seguros contra ataques quânticos, bem como mecanismos seguros contra ataques quânticos para "prevenir [...] o comprometimento da autenticidade e da integridade, as violações de confidencialidade e a perda de dados".

Isso implica na necessidade de adotar protocolos futuros de transporte de dados seguros contra ataques quânticos, como segurança da camada de transporte (TLS) ou redes privadas virtuais (VPNs) seguras contra ataques quânticos, bem como mecanismos de assinatura (legalmente vinculativo) de documentos ou transações bancárias. Consequentemente, as entidades financeiras precisarão implementar uma infraestrutura de suporte, como uma infraestrutura de chave pública segura contra ataques quânticos (PKI) e sistemas de gerenciamento de chaves.

Além disso, as implementações hoje estão muitas vezes nas mãos de fornecedores terceirizados. Para aumentar a complexidade, em muitos casos, os programas existentes, como uma implementação de “migrar para a nuvem” ou “zero trust”, afetarão vários dos elementos mencionados acima.

No pior cenário possível, se as organizações de serviços financeiros não remediarem as ameaças quânticas no seu ecossistema digital, isso pode afetar a resiliência dos seus negócios ao:

• Ser incapaz de verificar usuários autorizados em sua rede gera confusão e uma completa falta de confiança em seu ecossistema digital.
• Ser incapaz de cumprir seus regulamentos de privacidade de dados devido à falta de confiança nos mecanismos (por exemplo, criptografia) usados para proteger esses dados.
• Aumento do risco de exposição a ameaças externas decorrentes da presença de protocolos e algoritmos de criptografia vulneráveis nas redes business-to-business e de cadeia de suprimentos.
• Interrupção dos negócios diários devido ao downtime necessário para remediar serviços digitais e aplicações.

Dados os requisitos atuais de projeto de acordo com o JC 2023 86, pode-se prever que logo após a padronização da criptografia segura contra ataques quânticos, ela será considerada uma prática líder em contas. Portanto, independentemente de quando as ameaças quânticas possam se materializar, requisitos regulatórios, como a DORA, em breve exigirão implicitamente a adoção de criptografia segura contra ataques quânticos no setor financeiro.

Ao mesmo tempo, as organizações devem aproveitar a oportunidade de melhorar sua agilidade criptográfica geral, modernizando a forma como a criptografia é implementada hoje e tornando as mudanças futuras muito mais oportunas e econômicas.

É claro que implementar criptografia segura contra ataques quânticos não será uma tarefa fácil. Esse programa de migração exigirá agilidade e também oferece a possibilidade de exploração de uma vantagem dos pioneiros. Isso exigirá uma abordagem multifacetada, incluindo prioridades de negócios de cima para baixo, bem como recursos técnicos de baixo para cima.

Recomendamos as seguintes etapas que as organizações afetadas pela DORA devem seguir, no mínimo:

• Avalie e revise a postura criptográfica da sua empresa e identifique elementos (aplicações, redes, projetos estratégicos etc.) potencialmente afetados por ameaças quânticas.
• Desenvolva um plano com base nas prioridades de negócios e leve em conta as sinergias com os programas de transformação existentes, estabelecendo uma abordagem de remediação para os serviços digitais afetados e sistemas correspondentes.
• Melhore sua postura criptográfica introduzindo recursos de descoberta criptográfica e de inventário. Introduzir observabilidade criptográfica para validar a conformidade criptográfica de forma contínua, incluindo o aproveitamentode " listas de material de criptografia." Esses elementos aumentarão a agilidade criptográfica da sua organização.
• Certifique-se de que os processos de mudança atuais e os projetos estratégicos levem em consideração o impacto da criptografia e que as disposições sejam feitas para implementar a remediação da forma menos disruptiva.
• Patrocine um programa para continuar as etapas acima continuamente.

Acima de tudo, não espere para começar a seguir essas etapas. Recomendamos fortemente que as organizações definam um programa de migração seguro contra ataques quânticos hoje mesmo.