DORA dan migrasi kriptografi yang aman dari quantum Anda
Komputasi Quantum adalah paradigma baru dengan potensi untuk mengatasi masalah yang tidak dapat diselesaikan oleh komputer klasik saat ini. Sayangnya, ini juga menimbulkan ancaman terhadap ekonomi digital dan khususnya sektor keuangan.
Undang-Undang Ketahanan Operasional Digital (DORA) adalah kerangka kerja yang memperkenalkan persyaratan seragam di seluruh Uni Eropa (UE) untuk mencapai “tingkat ketahanan operasional yang tinggi” di sektor jasa keuangan. Entitas yang dicakup oleh DORA — seperti lembaga kredit, lembaga pembayaran, perusahaan asuransi, penyedia layanan teknologi informasi dan komunikasi (TIK), dll. — diharapkan untuk mematuhi pada 17 Januari 2025.
DORA menetapkan serangkaian persyaratan di seluruh manajemen risiko TIK, pelaporan insiden, pengujian ketahanan operasional, ancaman siber dan berbagi informasi kerentanan, dan manajemen risiko pihak ketiga. Sebagai bagian dari persyaratan tersebut dan dalam konteks perlindungan data dan kriptografi, ditetapkan dalam Pasal 9 (“Perlindungan dan pencegahan”) bahwa entitas keuangan “harus menggunakan solusi dan proses TIK” yang “(a) memastikan keamanan sarana transfer data” atau “(c) mencegah [...] penurunan keaslian dan integritas, pelanggaran kerahasiaan dan hilangnya data.”
Elemen lebih lanjut untuk dipertimbangkan dalam konteks Pasal 9 dirujuk dalam Pasal 15 dan ditetapkan dalam (rancangan) standar teknis peraturan terkait, yang diterbitkan ESA pada 17 Januari 2024. Khususnya, JC 2023 86 memberikan persyaratan terperinci tentang panduan kriptografi. Selain itu, dalam pembukaannya, berikut ini dinyatakan:
“Mengingat perkembangan teknologi yang pesat di bidang teknik kriptografi, entitas keuangan [...] harus tetap mengikuti perkembangan yang relevan dalam kriptanalisis dan mempertimbangkan praktik dan standar terkemuka dan karenanya harus mengikuti pendekatan fleksibel berdasarkan mitigasi dan pemantauan untuk menangani lingkungan dinamis ancaman kriptografi, termasuk yang berasal dari quantum.”
Di bawah ini, kami akan menguraikan lebih lanjut tentang ‘ancaman kriptografi‘ yang dirujuk dan implikasinya terhadap lembaga keuangan dalam konteks quantum.
Buletin industri
Berita teknologi terbaru, didukung oleh insight dari pakar
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Sementara komputer quantum saat ini masih berjuang dengan kebisingan dan belum “toleran terhadap kesalahan,“ tonggak yang mengesankan telah dicapai telah membuktikan utilitas mereka. Mengingat banyaknya investasi yang dilakukan baik di sektor swasta maupun akademisi, diharapkan teknologi ini akan berskala dan meningkat secara drastis dari waktu ke waktu. Dengan demikian, potensi ancaman terhadap ekonomi digital akan tumbuh.
Pada tahun 1994, fisikawan Peter Shor memperkenalkan algoritma yang, ketika dijalankan pada komputer quantum skala besar, dapat menghancurkan algoritma kriptografi kunci publik seperti Rivest-Shamir-Adleman (RSA), Diffie-Hellman dan Elliptic Curve Cryptography (ECC). Sektor keuangan mengandalkan algoritma ini untuk memastikan kerahasiaan dan integritas transaksi bank, keaslian pelanggannya, validitas dokumen yang ditandatangani secara digital dan kerahasiaan data keuangan pelanggan. Jika kriptografi pendukung tidak dapat dipercaya lagi, seluruh sektor keuangan berisiko.
Ancaman quantum terhadap kriptografi
Untuk memecahkan kriptografi saat ini, apa yang disebut Cryptographically Relevant Quantum Computer (CRQC) perlu direalisasikan (beberapa pakar memperkirakan hal ini dapat terjadi pada awal tahun 2030-an). Namun, sementara dampaknya ada di masa depan, kita sudah berisiko. Orang dapat membayangkan seorang penyerang memanen data rahasia terenkripsi hari ini untuk mendekripsi nanti.
Untungnya, kriptografi yang aman dari quantum sedang distandarisasi, dengan upaya paling penting dijalankan oleh Institut Standar dan Teknologi Nasional (NIST). Pada tahun 2016, NIST meluncurkan kompetisi dengan lebih dari 80 kiriman untuk menstandardisasi bentuk kriptografi baru yang akan berjalan pada sistem biasa (misalnya, laptop, cloud, dll.) Tetapi akan tahan terhadap penyerang quantum karena bergantung pada masalah matematika yang sulit dipecahkan oleh komputer quantum (dan klasikal).
Empat algoritma pertama untuk standardisasi dipilih oleh NIST pada Juli 2022 (tiga di antaranya disumbangkan bersama oleh IBM®). Sementara standar direncanakan akan dirilis pada tahun 2024, kandidat alternatif tambahan masih dipertimbangkan.
Garis waktu standardisasi NIST untuk kriptografi aman dari quantum (alias 'pasca quantum)
Standar kriptografi yang aman dari quantum sudah di depan mata. Sayangnya, karena kompleksitas sektor keuangan khususnya, perjalanan panjang ada di depan. NIST mengasumsikan bahwa "lima hingga 15 tahun atau lebih akan berlalu [...] sebelum implementasi penuh standar tersebut selesai." Jika kita melapisi ini dengan garis waktu pengembangan CRQC, seseorang menyadari bahwa entitas harus memulai perjalanan ini hari ini.
Ancaman quantum, ketika terwujud, memiliki potensi untuk secara drastis berdampak pada ketahanan operasional entitas keuangan dan dapat mengganggu perekonomian secara global. Untungnya, algoritma kriptografi yang aman dari quantum baru tersedia (dengan standar yang akan segera diterbitkan), yang akan diperlukan untuk mengurangi ancaman tersebut.
Jika kita menghubungkan ini dengan persyaratan DORA, kita dapat menggambar beberapa direct link. Untuk memenuhi Pasal 9, entitas keuangan perlu mengadopsi cara transfer data yang aman dari quantum, serta mekanisme aman dari quantum untuk “mencegah [...] penurunan keaslian dan integritas, pelanggaran kerahasiaan dan hilangnya data.”
Ini menyiratkan perlunya mengadopsi protokol data-in-transit aman dari quantum seperti keamanan lapisan transportasi aman dari quantum (TLS) atau jaringan pribadi virtual aman dari quantum (VPN), serta mekanisme aman dari quantum untuk menandatangani (mengikat secara hukum) dokumen atau transaksi bank. Akibatnya, entitas keuangan perlu menerapkan infrastruktur pendukung seperti infrastruktur kunci publik yang aman dari quantum (PKI) dan sistem manajemen kunci.
Selain itu, implementasi saat ini sering berada di tangan pemasok pihak ketiga. Untuk menambah kompleksitas, dalam banyak kasus, program yang ada, seperti implementasi “pindah ke cloud” atau “zero trust”, akan berdampak pada beberapa elemen yang disebutkan di atas.
Dalam skenario terburuk, jika organisasi jasa keuangan tidak memperbaiki ancaman quantum dalam ekosistem digital mereka, ini dapat berdampak pada ketahanan bisnis mereka dengan:
- Tidak dapat memverifikasi pengguna resmi di jaringan mereka menyebabkan kebingungan dan kurangnya kepercayaan pada ekosistem digital mereka.
- Tidak dapat memenuhi peraturan privasi data mereka karena kurangnya kepercayaan pada mekanisme (misalnya, enkripsi) yang digunakan untuk melindungi data tersebut.
- Peningkatan risiko paparan ancaman eksternal dari kehadiran protokol kriptografi dan algoritma yang rentan pada jaringan bisnis-ke-bisnis dan rantai pasokan.
- Gangguan pada bisnis sehari-hari akibat waktu henti yang diperlukan untuk memperbaiki layanan dan aplikasi digital.
Dengan adanya rancangan persyaratan saat ini sesuai JC 2023 86, kita dapat mengantisipasi bahwa segera setelah kriptografi yang aman dari quantum distandardisasi, kriptografi ini akan dianggap sebagai praktik yang terdepan. Oleh karena itu, terlepas dari kapan ancaman quantum mungkin terwujud, persyaratan peraturan, seperti DORA, akan segera secara implisit mengamanatkan adopsi kriptografi yang aman dari quantum di industri.
Pada saat yang sama, organisasi harus memanfaatkan kesempatan untuk meningkatkan ketangkasan kriptografi mereka secara keseluruhan dengan memodernisasi cara kriptografi diterapkan hari ini dan membuat perubahan di masa depan jauh lebih tepat waktu dan hemat biaya.
Jelas bahwa mengimplementasikan kriptografi yang aman dari quantum tidak akan mudah. Program migrasi semacam itu akan membutuhkan kelincahan dan juga menawarkan kemungkinan untuk mengeksploitasi keuntungan penggerak awal. Ini akan membutuhkan pendekatan multi-cabang, termasuk prioritas bisnis top-down serta kemampuan teknis bottom-up.
Kami merekomendasikan langkah-langkah berikut yang minimal harus diambil organisasi yang terkena dampak DORA:
- Menilai dan ulasan postur kriptografi perusahaan Anda dan mengidentifikasi elemen (aplikasi, jaringan, proyek strategis, dll.) yang berpotensi terkena dampak ancaman quantum.
- Mengembangkan rencana berdasarkan prioritas bisnis dan memperhitungkan sinergi dengan program transformasi yang ada, menetapkan pendekatan untuk remediasi untuk layanan digital yang terkena dampak dan sistem yang sesuai.
- Tingkatkan postur kriptografi Anda dengan memperkenalkan penemuan kriptografi dan kemampuan inventaris. Memperkenalkan kemampuan pengamatan kriptografi untuk memvalidasi kepatuhan kriptografi secara berkelanjutan, termasuk memanfaatkan “bill of material kriptografi." Berbagai elemen tersebut akan meningkatkan kelincahan kriptografi organisasi Anda.
- Pastikan proses perubahan saat ini dan proyek strategis mempertimbangkan dampak kriptografi dan ketentuan dibuat untuk menerapkan remediasi dengan dasar yang paling tidak mengganggu.
- Mensponsori program untuk melanjutkan langkah-langkah di atas secara terus menerus.
Yang terpenting, jangan menunggu untuk mulai menangani langkah-langkah ini. Kami sangat menyarankan agar organisasi menentukan program migrasi aman dari quantum hari ini.