Curtis Simpson, CISO di Armis, spiega perché, nell’era del quantum computing, siamo in una corsa contro il tempo per prepararci contro l’inevitabilità dei cyberattacchi quantistici.
A fine 1999, in preda alla paura e all’incertezza, il mondo trattenne il fiato mentre i sistemi informatici obsoleti minacciavano di crollare sotto il peso del nuovo millennio – Y2K Millennium Bug. Sebbene il disastro non si sia mai materializzato grazie al duro lavoro di molti dietro le quinte, è servito a ricordare le reali vulnerabilità della nostra infrastruttura digitale.
Se si va avanti di oltre 20 anni, l’informatica quantistica o quantum computing rappresenta oggi una minaccia simile, ma esponenzialmente più avanzata. Tanto che è stata soprannominata Y2Q. A differenza dell’Y2K, si basa sulle leggi stesse della fisica, utilizzando la meccanica quantistica per risolvere problemi troppo complessi per i computer tradizionali.
Infatti, la prossima generazione di computer quantistici romperà tutti gli algoritmi di crittografia tradizionali utilizzati per salvaguardare i nostri dati sensibili, rendendoli fondamentalmente inutili. Il tutto in un batter d’occhio. Si tratta di una tecnologia che alla fine verrà utilizzata da soggetti malintenzionati per violare la sicurezza dei governi, interrompere le transazioni finanziarie, compromettere i dati personali e danneggiare le infrastrutture critiche. Presto raggiungeremo il punto di non ritorno e, a sua volta, questa è diventata una corsa agli armamenti contro i malintenzionati.
Allora perché non ci sono più persone preoccupate del quantum computing?
L’incombente minaccia quantistica
Il quantum computing è ormai una certezza da diversi anni e porta in primo piano la questione della preparazione e dell’adattabilità delle nostre attuali difese informatiche.
Purtroppo, c’è molto di più. Solo negli ultimi dodici mesi i tentativi di attacco globali sono raddoppiati, con un aumento del 104%. La comunità della sicurezza informatica ha inoltre identificato e gestito ben 65.000 CVE unici, sottolineando la vastità delle minacce potenziali. Questa proliferazione di vulnerabilità è ulteriormente aggravata dalla cifra sbalorditiva di oltre 3,6 miliardi di CVE associati ad asset attivi.
In parole povere, i punti ciechi e le vulnerabilità critiche della cybersicurezza stanno peggiorando. L’adozione diffusa della GenAI ha fatto la sua parte, con l’NCSC nel Regno Unito che ha recentemente riferito che tutti i tipi di attori delle minacce informatiche – statali e non statali, qualificati e meno qualificati – stanno già utilizzando l’IA in varia misura.
Se a ciò si aggiungono altri rischi come ransomware, malware e violazioni SaaS, non sorprende che il 25% dei team e dei professionisti di sicurezza informatica si senta sopraffatto dalle minacce odierne e dall’enorme quantità di dati. Molti non sono nemmeno in grado di affrontarle efficacemente o di stabilirne la priorità a causa della mancanza di automazione. È un’onda anomala di potenziali minacce, rischi, vulnerabilità e anomalie; c’è semplicemente troppo ed è difficile sapere da dove cominciare.
Presto il quantum computing di nuova generazione peggiorerà esponenzialmente la situazione. Nelle mani sbagliate, non c’è nulla che non sia in grado di decifrare: dai file personali alle informazioni professionali, dai segreti commerciali ai piani di sicurezza nazionale. La possibilità che questi computer riescano a violare la crittografia a chiave pubblica entro i prossimi 3-5 anni sta diventando sempre più probabile, con l’accelerazione della ricerca quantistica.
Non è più un problema “di domani”. Infatti, sta già accadendo con gli attacchi “Harvest Now, Decrypt Later” – “Raccogliere ora, decifrare dopo” –, in cui i malintenzionati possono rubare dati sensibili e crittografati ora, con l’intento di decifrarli, come suggerisce il nome, in un secondo momento. È quindi necessario un approccio diverso.
L’ignoranza non è ammessa: il costo del non agire
È opportuno pensare all’approccio necessario per preparare le difese informatiche in modo diverso.
Nel marzo 2021, la nave cargo Ever Given si è incagliata nel Canale di Suez. Per sei giorni ha bloccato una delle rotte commerciali più trafficate al mondo, rallentando in modo significativo gli scambi tra Europa, Asia e Medio Oriente e bloccando un valore stimato di 9,6 miliardi di dollari al giorno.
L’impatto è stato immediato e globale, ma la soluzione per liberare la nave ha richiesto un’attenta pianificazione, tempo di attuazione e uno sforzo internazionale coordinato. Proprio come la liberazione dell’Ever Given, la transizione verso una sicurezza resistente ai quanti su scala, all’interno dei nostri complessi ambienti di tecnologie legacy e moderne nel cloud e nei data center, richiede un approccio similare. Soprattutto perché i cyberattacchi quantistici saranno più devastanti e diffusi di una rotta commerciale bloccata.
Pertanto, l’approccio non deve essere reattivo, bensì proattivo. Ci vorrà tempo, non accadrà da un giorno all’altro e richiederà molti sforzi. Ad esempio, si stima che solo le banche avranno bisogno di almeno otto-dieci anni per passare completamente ai protocolli post-quantum. Ma se non si agisce ora, non solo si sarà in ritardo, ma anche in balia di questa corsa agli armamenti.
Step pratici per un futuro quantum-ready
Fortunatamente, esistono misure cruciali e semplici che le organizzazioni possono adottare oggi per prepararsi all’inevitabilità dell’informatica quantistica.
1. Capire che ora è una corsa agli armamenti
Non si possono commettere errori. Questa è ormai una corsa agli armamenti tra cybercriminali, organizzazioni e governi. Negare la sua esistenza o rimandare l’azione non farà altro che mettere le organizzazioni in una posizione di grave svantaggio.
La minaccia non è più teorica, quindi è bene informarsi sui progetti e sulle strategie più importanti per supportare l’approccio giusto per la vostra organizzazione. Il National Institute of Standards and Technology (NIST) ha recentemente pubblicato una bozza di standard, mentre il Department for Science, Innovation and Technology (DSIT) del Regno Unito sta sostenendo la strategia quantistica del Paese. Insieme alla Quantum Economy Blueprint 2024 del World Economic Forum, sono disponibili numerose indicazioni.
2. Sostituire la tecnologia legacy
Molti settori, tra cui la sanità, il retail, l’istruzione e le utilities, utilizzano ancora sistemi operativi legacy, che hanno il 77% di probabilità in più di subire tentativi di attacco. I malintenzionati puntano di proposito a questi asset perché hanno una superficie di attacco estesa e intricata e sono più facili da colpire.
La tecnologia legacy è già un problema, ma l’informatica quantistica accelererà ulteriormente la necessità di modernizzazione e l’adozione di soluzioni resistenti alla quantistica. Proprio come il processo di spostamento del cargo Ever Given, la migrazione quantistica sarà probabilmente un processo lungo e a con un alto impiego di risorse, quindi è meglio iniziare subito. Questo, a sua volta, aiuterà i team IT e di sicurezza a gestire meglio le minacce che devono affrontare oggi, in particolare con investimenti nell’automazione.
3. Identificare le vulnerabilità e prioritizzare i rimedi
Soprattutto, la visibilità è la chiave della difesa.
In un giorno lavorativo sono circa 45.000 le risorse collegate alla rete di un’organizzazione britannica, ognuna delle quali rappresenta una minaccia. Il quantum computing renderà facile prendere di mira queste risorse. È quindi fondamentale investire nelle soluzioni giuste che consentano non solo di avere visibilità dell’intera superficie di attacco, ma anche di proteggerla e gestirla. Questo permetterà di valutare la postura di sicurezza dei fornitori, partner e di chiunque sia connesso alla rete; un singolo anello debole della catena può compromettere l’intero ecosistema di sicurezza.
Si pensi a questo come a una luce che illumina l’intero panorama digitale, esponendo i punti deboli nascosti e assicurando che non rimangano ombre in cui possano annidarsi le minacce. Illuminando l’intera superficie di attacco, si ottiene una comprensione olistica delle vulnerabilità e si può dare la priorità agli sforzi di rimedio in modo efficace, invece di lasciare le CVE critiche non affrontate. Questo aiuta a proteggersi meglio da attacchi diretti e potenziali violazioni, ora e in futuro.
Prepararsi ora, prima che sia troppo tardi
L’Y2K può essere un ricordo lontano, ma i segnali sono tutti uguali per la quantistica. Le differenze risiedono nel fatto che non si conosce la data esatta in cui dobbiamo essere pronti (l’Y2K aveva una scadenza specifica) o da dove proverranno le minacce, data l’evoluzione della corsa agli armamenti quantistici. In parole povere, la quantistica supererà tutto ciò che si è visto prima. Ora siamo in una corsa contro il tempo – e contro i cattivi attori – per prepararci contro l’inevitabilità dei cyberattacchi quantistici; attacchi che possono mettere fuori uso interi Paesi in un istante.
Tuttavia, la transizione verso un futuro resistente al quantum non avverrà da un giorno all’altro. Richiede un impegno a lungo termine e un approccio graduale. Iniziare subito a pianificare e a implementare la vostra roadmap è prioritario, ma soprattutto a ottenere visibilità sulla superficie di attacco. Ogni passo compiuto oggi rafforza le difese per il domani.
Adottando un approccio proattivo, collaborativo e lungimirante, le organizzazioni possono assicurarsi un futuro sicuro e resiliente, in cui non sono più in ritardo, ma in vantaggio.