Προβληματισμοί για το Post Quantum Computing στο Cyber Intelligence Summit

Το πάνελ και το κοινό συμπέρασμα: πρώτα ξέρεις τι έχεις, μετά αλλάζεις κλειδαριές

Στο πλαίσιο του Cyber Intelligence Summit, είχα την τιμή να συμμετέχω στο πάνελ

«Κβαντικοί Ορίζοντες στην ασφάλεια: Προστασία Πληροφοριών στη Μετα-Κρυπτογραφική Εποχή»,

μαζί με εξέχοντες συνομιλητές:

• τον Μιχάλη Μπλέτσα, Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας

• τον Παναγιώτη Σούλο, Information Security GRC Senior Manager, STEELMET Corporate Services

Το πάνελ συντόνισε ο Γιώργος Νούνεσης, σε μια συζήτηση που —ευτυχώς— δεν έμεινε στη θεωρία.

Παρά τις διαφορετικές οπτικές (δημόσιος τομέας, κανονιστικό πλαίσιο, επιχειρησιακή ασφάλεια), συμφωνήσαμε όλοι σε κάτι πολύ συγκεκριμένο και πρακτικό:

 Η post-quantum προετοιμασία δεν ξεκινά με αλλαγή κρυπτογραφίας.Ξεκινά με κατανόηση του τι προστατεύουμε.

Πριν μιλήσουμε για post-quantum αλγορίθμους, πρέπει:

• να καταγράψουμε τα assets μας

• να τα κατηγοριοποιήσουμε σε sensitive / critical / non-critical

• να καταλάβουμε ποια δεδομένα πρέπει να αντέξουν στο χρόνο

Αυτό δεν είναι νέα απαίτηση.

Είναι ακριβώς αυτό που ήδη μας ζητούν:

• τα κανονιστικά πλαίσια

• το NIS2

• οι έννοιες risk-based προσέγγισης που εδώ και χρόνια συζητάμε, αλλά συχνά προσπερνάμε στην πράξη

Το κοινό συμπέρασμα του πάνελ ήταν ξεκάθαρο και —κατά τη γνώμη μου— υγιές:

Οι οργανισμοί δεν χρειάζεται σήμερα να “εφεύρουν” post-quantum λύσεις.

Χρειάζεται να ξέρουν τι έχουν, πόσο κρίσιμο είναι και για πόσο καιρό πρέπει να παραμείνει ασφαλές.

Από εκεί και πέρα, ναι — ας περιμένουμε τους vendors να δώσουν ώριμες λύσεις.

Δεν είναι ρεαλιστικό ούτε υγιές να μετακυλίεται όλο το βάρος στους τελικούς οργανισμούς.

Όμως υπάρχει μία ξεκάθαρη προϋπόθεση, στην οποία επίσης συμφωνήσαμε:

Να επιλέγουμε από σήμερα vendors που έχουν ξεκάθαρο PQC roadmap.

Όχι γιατί θα το εφαρμόσουμε αύριο.

Αλλά για να μη βρεθούμε, σε 5–7 χρόνια, με υποδομές που δεν μπορούν να προσαρμοστούν.

Η post-quantum συζήτηση, όπως φάνηκε και στο πάνελ, δεν είναι αγώνας ταχύτητας.

Είναι άσκηση ωριμότητας.

Και αν κάτι έδειξε αυτή η συζήτηση, είναι ότι:

• ο προβληματισμός έχει ξεκινήσει

• η κατεύθυνση είναι κοινή

• και το πρώτο βήμα δεν είναι τεχνολογικό, αλλά διοικητικό και στρατηγικό

Ας το πούμε απλά: γιατί φαίνεται “μακρινό” το πρόβλημα

Όταν μιλάμε για post quantum computing encryption, ο περισσότερος κόσμος ακούει κάτι σαν:

• επιστημονική έρευνα

• πανεπιστήμια

• κράτη και υπερδυνάμεις

• κάτι που αφορά το 2035 ή το 2040

Και μετά γυρνάει στην καθημερινότητα και λέει:

«Εδώ δεν έχουμε backup… θα ασχοληθούμε με κβαντικούς υπολογιστές;»

Και έχει δίκιο.

Γιατί αν προσγειώσουμε τη συζήτηση στην ελληνική πραγματικότητα, τα προβλήματα είναι πολύ πιο βασικά.

Η πραγματικότητα που βλέπουμε κάθε μέρα στην Ελλάδα

Μετά από χιλιάδες περιστατικά ransomware, ένα μοτίβο επαναλαμβάνεται σχεδόν ενοχλητικά συχνά:

• επιχειρήσεις χωρίς backup

• ή με backup που δεν έχει δοκιμαστεί ποτέ

• χωρίς disaster recovery

• χωρίς risk assessment

• χωρίς ξεκάθαρη εικόνα για το τι είναι κρίσιμο και τι όχι

Και όμως, αυτές οι ίδιες επιχειρήσεις καλούνται να απαντήσουν σε ερωτήσεις για:

• κανονισμούς

• NIS2

• resilience

• και τώρα… post-quantum εποχή

Εδώ γεννιέται η σύγχυση.

Το πραγματικό πρόβλημα δεν είναι η post-quantum τεχνολογία

Το πραγματικό πρόβλημα είναι ότι:

Δεν έχουμε λύσει ακόμα τα βασικά.

Στα ransomware, το βλέπουμε καθαρά:

• δεν “πεθαίνει” μια επιχείρηση επειδή της έλειπε ένα εργαλείο

• πεθαίνει επειδή δεν ήξερε τι έχει, τι χάνει και πόσο αντέχει

Ακριβώς το ίδιο ισχύει και εδώ.

Η συζήτηση για post-quantum ασφάλεια δεν ξεκινά από αλγορίθμους.

Ξεκινά από ερωτήσεις που θα έπρεπε να έχουμε απαντήσει ήδη:

• ποια δεδομένα είναι πραγματικά κρίσιμα;

• ποια αν χαθούν ή διαρρεύσουν δεν ανακάμπτω;

• για πόσα χρόνια πρέπει να παραμείνουν ασφαλή;

Αν δεν έχεις απαντήσει αυτά,

ούτε το καλύτερο post-quantum encryption δεν σε σώζει.

Τι μπορούμε να κάνουμε σήμερα (χωρίς επιστήμη και hype)

Και εδώ είναι το σημαντικό σημείο.

Η post-quantum συζήτηση δεν σου ζητά να λύσεις το πρόβλημα σήμερα.

Σου ζητά να μην συνεχίσεις να το αγνοείς.

Σήμερα, ρεαλιστικά, οι ελληνικές επιχειρήσεις πρέπει να κάνουν τρία απλά πράγματα:

• Backup που δουλεύει

Όχι “υπάρχει κάπου”.

Backup που έχει δοκιμαστεί και μπορεί να επαναφέρει την επιχείρηση.

• Disaster recovery έστω στοιχειώδες

Να ξέρεις:

πόσο χρόνο χρειάζεσαι για να σηκωθείς

• τι λειτουργεί πρώτο

• τι μπορεί να περιμένει

• Risk assessment με λογική κοινής λογικής

Όχι excel για το συρτάρι.

Να ξέρεις τι είναι critical, τι sensitive και τι απλώς “βολεύει”.

Αυτό ακριβώς ζητούν και οι κανονισμοί.

Αυτό ακριβώς λέει και το NIS2.

Και αυτό ακριβώς είναι η βάση για να συζητήσεις σοβαρά και την post-quantum εποχή.