Strategie

Cyber security nell’era del quantum computing. Ci si difende così

HomeCybersecurity nazionale
Indirizzo copiato

Gli esperti concordano: l’informatica quantistica potrebbe facilmente decodificare le attuali misure di cyber security. Vediamo come le organizzazioni dovranno reagire a questa nuova tipologia di attacchi

Pubblicato il 26 giu 2024
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, BeDisruptive Training Center Director, ENIA Comitato Scientifico

quantum computing e sicurezza blockchain

Secondo un recente report pubblicato a fine aprile 2024 dal World Economic Forum (WEF), l’informatica quantistica potrebbe facilmente decodificare le attuali misure di cyber security.

Ne consegue che le aziende dovranno prevedere nuove protezioni per resistere ai cyber attack quantistici.

Che cos’è l’informatica quantistica

L’informatica quantistica differisce notevolmente dai computer classici che utilizzano processori digitali per eseguire calcoli complessi. I computer quantistici impiegano hardware e algoritmi specializzati basati sui principi della meccanica quantistica.

Questa branca della scienza, come spiegato dalla Enciclopedia Britannica, studia il comportamento di particelle subatomiche come molecole, atomi, elettroni e protoni.

Di fatto, utilizzando il comportamento subatomico, i computer quantistici possono creare “spazi computazionali multidimensionali” che permettono loro di eseguire miliardi di calcoli simultaneamente, risolvendo problemi complessi a velocità incredibili. Ad esempio, nel 2019, un computer quantistico di Google ha risolto in tre minuti un calcolo che avrebbe richiesto 10.000 anni al supercomputer più veloce.

Tale straordinario potere di elaborazione potrebbe permettere ai computer quantistici di superare i sistemi di crittografia attualmente in uso per proteggere le comunicazioni e i dati.

Le aziende tecnologiche stanno già affrontando i rischi della cyber security quantistica, nonostante l’assenza di una tempistica precisa per l’arrivo dei computer quantistici.

Zoom adotta la crittografia post-quantum: proteggersi oggi per evitare il furto di dati domani

Lo scorso 21 febbraio 2024, Apple ha annunciato un “protocollo crittografico post-quantistico rivoluzionario” chiamato “PQ3”, progettato per proteggere i dati su iMessage anche contro attacchi quantistici avanzati.

Si tratta di una mossa preventiva per difendersi dagli attacchi HNDL (Harvest-now, Decrypt-later) dove i criminali raccolgono dati con l’intenzione di decrittarli in futuro con la tecnologia quantistica.

Anche Google sta sviluppando e adottando protocolli di sicurezza post-quantistica per proteggere le sue comunicazioni interne, considerando che l’introduzione di nuovi sistemi di crittografia comporta dei rischi e che alcuni protocolli sono stati compromessi dai computer convenzionali.

WEF e quadro di governance e principi per la gestione dei rischi dei computer quantistici

La responsabilità di proteggere i sistemi essenziali dai malintenzionati che utilizzano computer quantistici va oltre le aziende tecnologiche.

Nel 2022, il WEF e Deloitte hanno creato Quantum Readiness Toolkit per aiutare le organizzazioni a pianificare una transizione ordinata verso un’economia quantistica, sottolineando l’importanza di un approccio ampio, collaborativo e critico da parte di una comunità globale e diversificata di leader aziendali e della cyber security, oltre ad evidenziare la necessità di stabilire principi e valori di governance per creare fiducia nella tecnologia e prevenire i rischi prima della sua commercializzazione.

Principi, temi e valori fondamentali della governance dell'informatica quantistica

Fonte immagine WEF – Un quadro per i principi di governance e i valori fondamentali per l’uso dell’informatica quantistica.

I principi di governance del WEF includono impegni per la sicurezza informatica, la privacy e la responsabilità che costituiscono la base del Quantum Readiness Toolkit sviluppato per aiutare le organizzazioni a prepararsi per la cyber security nell’era dell’informatica quantistica. Il tool prevede altresì l’integrazione di protocolli cyber-quantistici negli ecosistemi aziendali, oltre a promuovere la collaborazione nell’identificazione dei rischi e nell’adozione di misure protettive.

Ma vediamo di che si tratta.

WEF Quantum Readiness Toolkit

L’informatica quantistica offre la promessa di rivoluzionare la soluzione di problemi complessi, ma comporta anche il rischio di minacciare la sicurezza dei dati in modo senza precedenti se non gestita correttamente.

In risposta, il Quantum Readiness Toolkit propone cinque principi fondamentali per aiutare le organizzazioni a navigare verso un’economia quantistica sicura, fornendo indicazioni su come valutare la propria prontezza e stabilire priorità per le azioni future.

Il toolkit è scaturito da analisi approfondite del gruppo di lavoro sulla sicurezza quantistica del WEF che riunisce una comunità di professionisti senior in ambito cyber e quantistico ed esperti provenienti da aziende, governi, regolatori e istituzioni accademiche e vuole essere una leva strategica per le organizzazioni per gestire in modo prioritario il rischio quantistico insieme ai rischi esistenti, attraverso la definizione di una chiara roadmap e ruoli e responsabilità definiti.

Di fatto, per navigare con successo i rischi associati all’informatica quantistica, le organizzazioni devono rafforzare la consapevolezza, investire in formazione e tecnologia, oltre a collaborare all’interno dell’ecosistema.

Esse, utilizzando il toolkit e le linee guida fornite, possono acquisire una comprensione organizzativa del rischio quantistico e della sua gestione, essenziale per prosperare in un contesto di economia quantistica sicura.

Tuttavia, dato che le organizzazioni differiscono per dimensioni, settore e livello di sviluppo, il toolkit si propone come un punto di partenza piuttosto che una soluzione definitiva. Inoltre, le linee guida, pur fornendo un orientamento utile, richiedono che ogni organizzazione personalizzi il proprio percorso verso la sicurezza quantistica.

Di seguito i cinque principi del toolkit che offrono indicazioni pratiche per iniziare questo cammino, consentendo alle organizzazioni di valutare la propria posizione attuale, identificare carenze e fare passi avanti verso una sicurezza quantistica efficace.

Principi guida per comprendere la transizione alla sicurezza quantistica

Fonte immagine WEF – Toolkit per aiutare le organizzazioni a sviluppare protocolli per la sicurezza informatica quantistica.

Assicurare che la governance dell’organizzazione integri il rischio quantistico

Una governance efficace e ben definita è fondamentale per rendere un’organizzazione resistente ai rischi quantitativi, sia presenti che futuri. Questo include lo sviluppo di programmi per la transizione alla sicurezza quantistica, l’attribuzione di responsabilità specifiche e l’aggiornamento delle politiche e procedure operative. Implementare una struttura di governance che riconosca formalmente il rischio quantistico è cruciale per assicurare l’attuazione efficace delle misure di sicurezza. È inoltre importante che le organizzazioni si stabilizzino con chiarezza obiettivi e ruoli relativi alla sicurezza quantistica.

Considerazioni chiave per mitigare il rischio quantistico

  • Sviluppare linee guida prescrittive attraverso standard (internazionali), favorendo il consenso globale per aiutare le grandi organizzazioni a navigare senza contraddizioni nei requisiti.
  • Avviare il processo gradualmente, adottando un approccio interattivo, iniziando da sezioni specifiche dell’organizzazione o da determinati prodotti, per facilitare l’adozione tecnologica, oltre a coinvolgere l’intera organizzazione e gli stakeholder, ridurre le barriere all’ingresso e ottimizzare l’apprendimento per le fasi successive.
  • Integrare il rischio quantistico nella routine aziendale, trattandolo come un rischio riconosciuto all’interno delle pratiche di cyber security e incorporandolo nel modello operativo di cyber security esistente per affrontare sia i rischi quantistici attuali sia quelli crittografici futuri.

Attività per integrare il rischio quantistico nella governance dell’organizzazione.

  • Implementare una governance efficace per i progetti di sicurezza quantistica, assegnando le giuste responsabilità all’interno dell’organizzazione a figure chiave come consulenti legali, responsabili dei dati e manager operativi per contrastare le minacce quantistiche. È cruciale fornire supporto esecutivo al personale coinvolto nella transizione verso la sicurezza quantistica e mantenere aggiornate le funzioni di cyber security e di risk management sui progressi e sui rischi.
  • Nominare champion della crittografia per promuovere la consapevolezza del rischio quantistico, facilitare il dialogo tra i vari stakeholder e integrare i feedback nei piani di sicurezza quantistica per migliorare continuamente le strategie adottate.
  • Sviluppare una roadmap strategica per la sicurezza quantistica, delineando obiettivi, scadenze e traguardi, e allinearla con le valutazioni del rischio quantistico. Questo include la stima dei costi e delle tempistiche, l’allineamento con le roadmap di cyber security e altre strategie di sicurezza, l’implementazione di meccanismi di feedback e la documentazione delle lezioni apprese per orientare le future iniziative.
  • Aggiornare regolarmente politiche e procedure per riflettere i cambiamenti organizzativi e gli sviluppi nel campo della sicurezza quantistica, integrando requisiti specifici di sicurezza quantistica nelle politiche di crittografia, organizzando sessioni di formazione per i team e includendo nei contratti con terze parti clausole che riguardano l’uso di tecnologie quantistiche sicure.

Aumentare la consapevolezza del rischio quantistico in tutta l’organizzazione

Il rischio quantistico, spesso percepito come complesso e tecnico, risulta essere un concetto nuovo e talvolta frainteso da molti stakeholder, portando a ritardi o inazioni significative. Pertanto, per superare questi ostacoli, le organizzazioni devono migliorare la comprensione del rischio quantistico e promuovere una maggiore consapevolezza tra gli stakeholder interni ed esterni, diffondendo conoscenze specifiche su di esso.

Considerazioni chiave

  • Evitare approcci che generino incertezza o dubbi – È necessario trattare rattando le minacce quantitative come si farebbe con altre minacce informatiche emergenti. Ciò aiuta a demistificare l’argomento e ridurre lo scetticismo.
  • Sviluppare una strategia per garantire la disponibilità di talenti – Le organizzazioni, per assicurare la disponibilità di talenti nel campo, devono essere consapevoli che non è necessario che tutti siano esperti in fisica quantistica o in campi affini, bensì considerare di diversificare e puntare sulla riqualificazione del personale esistente.
  • Adattare le attività di sensibilizzazione e formazione – Si tratta di personalizzare le attività di sensibilizzazione e formazione per diverse funzioni all’interno dell’organizzazione per mantenere tutti aggiornati sui progressi e sull’importanza della minaccia quantistica, promuovendo un approccio informato all’innovazione e allo sviluppo delle competenze necessarie a tutti i livelli. Ciò include identificare i ruoli più impattati, sviluppare competenze mirate, garantire l’accesso a talenti specializzati e aumentare la consapevolezza tra i leader sull’importanza di prepararsi alla tecnologia quantistica.

Integrare il rischio quantistico nella governance organizzativa: Strategie e operazioni

  • Valutare quali conoscenze sono necessarie tra i vari gruppi di stakeholder per rendere l’organizzazione pronta al quantico:
    • Identificare i ruoli all’interno dell’organizzazione impattati dal rischio quantistico (es. esperti di crittografia, risorse umane, risk manager).
    • Creare una matrice delle competenze per definire i requisiti di conoscenza specifici per ogni ruolo, facilitando la personalizzazione delle iniziative di sensibilizzazione. Al contempo, utilizzare guide ed esempi esistenti, come la guida curricolare di Quantum-Safe Canada o il framework di competenze dell’UE per le tecnologie quantistiche.
  • Disporre di talenti specializzati nel rischio quantistico
    • Valutare il fabbisogno di talenti in sicurezza quantica e formulare strategie per l’assunzione, la formazione e il miglioramento delle competenze.
    • Creare partnership e reti di collaborazione per potenziare il talento in sicurezza quantica.
    • Offrire formazione e sviluppo personalizzati per ruoli chiave nella gestione del rischio quantico, come crittografi, sviluppatori di prodotti e ingegneri di rete.

Gestione integrata del rischio quantistico e informatico

Le organizzazioni che mirano a prosperare nel digitale devono gestire efficacemente i rischi, promuovendo al contempo lo sviluppo del business. I rischi associati ai computer quantistici, specialmente in ambito crittografico, sono parte integrante della gestione dei rischi cyber. Pertanto, per affrontare e prioritizzare il rischio quantistico, è essenziale che le organizzazioni adottino un approccio strutturato per la sua valutazione e gestione, inserendolo nel contesto del programma esistente di gestione dei rischi cyber.

Considerazioni chiave

  • Riconoscere che le organizzazioni hanno priorità divergenti, riconoscendo che gli obiettivi e i metodi di gestione del rischio quantistico differiscono.
  • Apprendere dalle esperienze passate in termini di cyber security, riutilizzando successi e lezioni per affrontare nuove minacce emergenti.
  • Affrontare il rischio quantistico, combinando gestione del rischio, documentazione aggiornata ed efficace, e soluzioni tecniche. Ciò include la creazione di un “documento crittografico” che cataloghi i componenti crittografici usati, promuovendo un approccio modulare che separi la crittografia dalle applicazioni per facilitare l’agilità crittografica.

Gestione e Priorità del Rischio Quantistico e Informatico:

  • Eseguire valutazioni del rischio quantistico
    • Valutare la minaccia degli attacchi quantistici, attraverso l’analisi di rapporti o studi sulle potenziali minacce.
    • Effettuare una valutazione iniziale del rischio quantistico, stimando l’impatto sulla cyber security e considerando la durata di conservazione dei dati (i.e. “data shelf life” or “data half-life”).
    • Prioritizzare gli asset IT, identificando quelli critici da proteggere e i sistemi vulnerabili agli attacchi HNDL (Harvest-now, Decrypt-later).
    • Monitorare tecnologie ad alto rischio – Controllare regolarmente sistemi e applicazioni ad alto rischio e inserirli nella roadmap della sicurezza quantistica.
    • Gestire il rischio quantistico – Considerare alternative alla tecnologia sicura quantistica, come l’assicurazione informatica o l’accettazione dei rischi residui per tecnologie a basso rischio.
  • Incorporare piani di mitigazione del rischio quantistico nelle procedure esistenti di gestione del rischio
    • Registro dei rischi – Includere il rischio quantistico nel registro dei rischi dell’organizzazione per monitorarlo e prioritizzarlo nel tempo.
    • Mappatura dei dati – Integrare il rischio quantistico nelle esercitazioni annuali di mappatura dei dati per identificare sistemi ad alto rischio.
  • Valutare fornitori e terze parti
  • Analisi del rischio quantistico – Valutare il rischio quantistico dei fornitori basandosi sul valore dei dati accessibili e sui loro piani di prontezza quantistica.
  • Mitigazione del rischio dei fornitori – Collaborare con i fornitori per mitigare il rischio quantistico in base al loro rischio e valore aziendale.

Definire strategie per l’integrazione futura della tecnologia quantistica

Le organizzazioni, per mitigare il rischio quantistico, necessitano di rivedere la loro infrastruttura tecnologica – soprattutto l’impiego della crittografia – e di prendere decisioni strategiche per preservare la confidenzialità, disponibilità e integrità dei dati. Tale processo richiede l’esplorazione di concetti innovativi quali la cripto-agilità e l’investimento in nuove tecnologie emergenti. Pertanto, in vista dell’adozione futura della tecnologia quantistica, è essenziale che le organizzazioni pianifichino in anticipo, promuovano la cripto-agilità e assicurino che le loro capacità di cyber security siano flessibili e in grado di adattarsi a un panorama di minacce in costante mutamento.

Considerazioni chiave

  • Assicurare che strumenti e applicazioni siano progettati per essere facilmente utilizzabili in modo sicuro dagli sviluppatori, con l’obiettivo di prevenire incidenti di sicurezza informatica da parte degli utenti finali.
  • Avviare esperimenti e valutazioni per prepararsi all’introduzione di nuove tecnologie, coinvolgendo l’intera organizzazione per aumentare la comprensione e la fiducia nella cripto-agilità e nella crittografia post-quantistica, attraverso prove di concetto e valutazioni del loro impatto e delle implicazioni per il profilo di rischio dell’organizzazione.
  • Sfruttare l’adozione di tecnologie avanzate, non solo per prepararsi al futuro quantistico, ma anche per affrontare e risolvere vulnerabilità di sicurezza informatica esistenti, come l’implementazione di soluzioni automatiche per l’aggiornamento dei certificati per minimizzare i downtime del sistema.

Costruire la consapevolezza e la conoscenza tra i leader rilevanti dell’organizzazione

  • Progettare un contesto tecnologico cripto-agile che consenta un’implementazione e una configurazione rapida ed efficace della crittografia post-quantistica.
    • Valutare l’impatto delle tecnologie sicure per il quantistico sui servizi esistenti, inclusa la stabilità e l’efficienza.
    • Compilare un CBOM (Cyber security Bill of Materials) per mappare tutta la crittografia in uso nell’organizzazione.
    • Analizzare il rischio quantistico di specifici componenti crittografici e di quelli ad alto rischio per elaborare strategie di mitigazione.
    • Abilitare soluzioni ibride in cui gli algoritmi post-quantistici e classici sono stratificati per una protezione più ampia.
    • Considerare sia le minacce quantistiche sia le nuove possibili soluzioni per proteggere le informazioni, utilizzando applicazioni quantistiche, ad es. distribuzione di chiavi quantistiche o reti quantistiche.
  • Sviluppare il ciclo di vita del prodotto quantistico focalizzato sulla sicurezza quantistica.
  • Sviluppare cripto-agilità, progettando strategie per sistemi influenzati dal rischio quantistico.
  • Identificare tecnologie legacy non compatibili con le soluzioni di sicurezza quantistica e stabilire piani di mitigazione specifici.
  • Integrare requisiti di sicurezza quantistica in tutto il ciclo di sviluppo del sistema, imponendo a sviluppatori e ingegneri l’uso di algoritmi crittografici approvati.
  • Inserire criteri di sicurezza quantistica, quali l’adozione della crittografia post-quantistica, nei protocolli di test di sicurezza tecnica.
  • Implementare controlli di sicurezza appropriati per sviluppatori e prodotti di terze parti.
  • Includere requisiti di sicurezza quantistica nei contratti di prodotto nuovi o rinnovati.
  • Dare priorità ai test di penetrazione per prodotti di terze parti ad alto rischio e che dovrebbero includere requisiti di sicurezza quantistica.

Promuovere la collaborazione tra ecosistemi

Nell’attuale economia digitale fortemente interconnessa, dove i dati sono costantemente condivisi e immagazzinati attraverso vari ecosistemi, molti dei rischi di cyber security hanno una natura sistemica che va oltre la capacità di mitigazione da parte delle singole organizzazioni. Pertanto, per affrontare efficacemente la cyber security nell’era quantistica, è necessario che le organizzazioni creino sinergie con altri enti, terze parti, governi e istituzioni accademiche per comprendere meglio e affrontare collettivamente il rischio quantistico e il suo impatto a livello sistemico. Di fatto, la collaborazione tra ecosistemi permette di unire le forze, condividendo informazioni e conoscenze fondamentali per una gestione e mitigazione efficace del rischio quantistico..

Crittografia post-quantistica: linee guida UE per la sicurezza delle infrastrutture e dei servizi digitali

Considerazioni chiave

  • Collaborare per comprendere i rischi sistemici attraverso il proprio ecosistema, evitando che la mancanza di sicurezza quantistica in una parte dell’ecosistema crei vulnerabilità ad altre organizzazioni.
  • Contribuire a definire una visione unificata e ampia dell’ecosistema, coinvolgendo fornitori, partner della catena di approvvigionamento e il mondo accademico. Tale approccio promuove la condivisione delle migliori pratiche, genera urgenza nel settore e stimola la collaborazione per minimizzare i rischi nelle catene di approvvigionamento. Inoltre, la collaborazione con il mondo accademico e gli studenti favorirà l’innovazione e diffusione degli avanzamenti.

Pratiche e attività per incoraggiare la collaborazione tra ecosistemi

  • Connettersi agli ecosistemi per sviluppare una strategia di prontezza quantistica
  • Definire una visione comprensiva dell’ecosistema identificando tutti gli stakeholder coinvolti o influenzati dal rischio quantistico.
  • Riconoscere e sfruttare piattaforme e iniziative esistenti che promuovono la conoscenza necessaria per la transizione alla sicurezza quantistica.
  • Interagire con gruppi industriali, reti informali o Information Sharing and Analysis Centers (ISACs) per affrontare in modo collaborativo i rischi quantistici sistemici.
  • Partecipare allo sviluppo di standard tecnici condivisi
  • Partecipare attivamente ai programmi di certificazione dei prodotti, utilizzando criteri comuni come base.
  • Promuovere l’interoperabilità adottando standard tecnici condivisi, per esempio gli standard EMV per i pagamenti.
  • Essere informati su restrizioni geografiche, regolamentari e sui controlli all’importazione/esportazione che potrebbero influenzare l’uso di tecnologie e standard.
  • Partecipare allo sviluppo collaborativo della conoscenza quantistica.
  • Sostenere iniziative dell’ecosistema per arricchire la conoscenza collettiva e creare talenti, ad esempio attraverso progetti universitari.
  • Stimolare i dipendenti a conseguire certificazioni in ambito di sicurezza quantistica.

Quantinuum Report – “7 steps to build quantum resilience”

Dalle informazioni presentate sinora, emerge chiaramente che la sfida principale per i CISO nel futuro sarà gestire la minaccia rappresentata dai computer quantistici nei confronti dei metodi crittografici attualmente in uso nelle organizzazioni.

Un aspetto evidenziato anche dal report “7 steps to build quantum resilience” di Quantinuum, la maggiore impresa indipendente nel campo del calcolo quantistico. Inoltre, dal report si evince come la corsa per costruire la resilienza quantistica è ormai imperativa per le aziende che vogliono evitare di rimanere indietro nella rivoluzione tecnologica innescata dai computer quantistici, considerando i nuovi rischi e vulnerabilità che essi comportano.

Le statistiche fornite dal report rivelano che il 74% delle aziende intervistate concorda sul fatto che chi non adotterà soluzioni basate sul quantum computing resterà indietro. Inoltre, il 69% delle imprese in tutto il mondo ha già adottato o prevede di adottare il quantum computing entro l’anno successivo. Ciò suggerisce che il valore del quantum computing non è più oggetto di speculazione e che la domanda non è se il quantum fornirà un vantaggio, ma quando.

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Fonte immagine – “7 steps to build quantum resilience” – Quantinuum Report.

Come già evidenziato, la sicurezza quantistica rappresenta un aspetto critico che le aziende devono gestire con priorità. L’avvento dei computer quantistici a tolleranza di errore minaccia gli attuali standard di crittografia, mettendo a rischio sistemi informatici e dati sensibili non protetti da misure quantum-proof.

Il report rivela che circa il 70% dei CISO è consapevole di tale rischio e della necessità di adottare misure protettive. Tuttavia, solo il 22% si sente attualmente equipaggiato per affrontare un attacco quantistico. Si prevede, inoltre, che nei prossimi 10-20 anni sarà necessario aggiornare o sostituire con tecnologie di crittografia quantistica oltre 20 miliardi di dispositivi digitali.

Il report di Quantinuum fornisce alle organizzazioni una guida in sette passaggi fondamentali per sviluppare resilienza quantistica e, precisamente:

  1. Conoscere i propri asset di dati, i.e. identificare i dati che rappresentano il maggior rischio organizzativo in caso di violazione e comprendere esattamente quali dati sono posseduti e quanto sono vulnerabili agli attacchi
  2. Prioritizzare i sistemi per la migrazione, i.e. catalogare dove gli algoritmi vulnerabili al quantum sono attualmente in uso e prioritizzare la migrazione basandosi su una conversazione di gestione del rischio
  3. Identificare gli usi della crittografia, i.e. leader tecnologici dovrebbero catalogare dove gli algoritmi vulnerabili al quantico sono attualmente utilizzati.
  4. Testare algoritmi per software sviluppati internamente, i.e. le aziende che sviluppano software proprietario sono invitate a iniziare la sperimentazione con gli algoritmi crittografici resistenti alla computazione quantistica selezionati dal NIST, i quali presentano caratteristiche diverse rispetto agli algoritmi attuali. L’approccio migliore per comprendere l’impatto di questi algoritmi sui sistemi aziendali consiste nel loro effettivo impiego e nella conduzione di test. Un ottimo punto di partenza per questa fase di sperimentazione è rappresentato dal progetto Open Quantum Safe, che offre varie implementazioni di algoritmi quantistici per esperimenti pratici..
  5. Considerare l’uso di modalità ibrida, i.e. le modalità operative ibride in crittografia combinano algoritmi convenzionali, suscettibili agli attacchi quantistici, con algoritmi quantistici sicuri, aumentando così la sicurezza di protocolli come TLS (Transport Layer Security) e SSH (Secure Shell). Questo metodo implica che un aggressore debba superare sia la barriera dell’algoritmo classico che quella dell’algoritmo quantistico sicuro, rendendo le soluzioni ibride comparabilmente sicure ai metodi tradizionali e potenzialmente resistenti agli attacchi quantistici. Nonostante ciò, l’assenza di uno standard comune confina il loro impiego a situazioni specifiche in cui emittente e ricevente concordano sull’uso di una crittografia non convenzionale. Benché il destino a lungo termine di queste soluzioni ibride rimanga incerto, al momento esse offrono un’opportunità per testare algoritmi non standardizzati.
  6. Parlare con i fornitori, i.e. è essenziale per le organizzazioni verificare le strategie dei loro fornitori in termini di sicurezza quantistica, data la prevalenza di soluzioni di terze parti nelle infrastrutture IT. Fornitori seri dovrebbero essere già impegnati nell’aggiornamento e nei test di algoritmi sicuri per l’era quantistica, potendo anche fornire versioni preliminari del loro software aggiornato. L’assenza di chiarezza o preparazione da parte di un fornitore su questi aspetti richiede una valutazione critica della partnership e l’imposizione di un piano d’azione definito.
  7. Assicurare l’agilità crittografica, i.e. Si riferisce alla capacità di passare facilmente da un algoritmo crittografico ad un altro in risposta a vulnerabilità identificate o per migliorare la sicurezza in ambienti specifici, un aspetto cruciale nella transizione verso la crittografia a prova di computer quantistici. I principali benefici includono la facilità di sostituzione di algoritmi crittografici inadeguati o obsoleti e la prevenzione dell’utilizzo prolungato di tecnologie crittografiche superate. La scelta dell’NIST di offrire diverse alternative algoritmiche sottolinea l’assenza di una soluzione universale adatta a ogni contesto.
Immagine che contiene testo, software, Icona del computer, Software multimedialeDescrizione generata automaticamente

Fonte immagine – “7 steps to build quantum resilience” – Quantinuum Report.

Conclusioni

L’avanzamento dei computer quantistici rappresenta una sfida critica per la sicurezza nella nostra economia digitale, minacciando la validità delle attuali misure crittografiche.

Affrontare questa minaccia richiede che le organizzazioni adottino senza indugi strategie di sicurezza quantistica ben consolidate. Al cuore di queste strategie si trova la “crypto agility”, la capacità di adattarsi rapidamente ai cambiamenti con soluzioni crittografiche avanzate e la necessità di integrare consapevolezza e resilienza nei confronti dei rischi quantistici in tutte le aree di gestione del rischio e di cyber security aziendale.

Una comunicazione efficace e la collaborazione intersettoriale emergono come elementi fondamentali per sensibilizzare i leader sull’urgenza di prepararsi e per sviluppare insieme strategie di mitigazione.

Di fatto, le soluzioni alla sicurezza quantistica richiedono un approccio olistico che coinvolga persone, processi e tecnologie, personalizzato sulle esigenze specifiche di ciascuna organizzazione.

Inoltre, la continua evoluzione tecnologica comporta intraprendere azioni immediate dato che, nonostante permanga l’incertezza sul quando i computer quantistici diventeranno una realtà diffusa, ciò non deve rallentare la preparazione.

È in quest’ottica che vano interpretati sia l’iniziativa del Toolkit di Prontezza Quantistica del WEF sia il report di Quantinuum, a sottolineare l’importanza di costruire quanto prima una resilienza quantistica per proteggere dati e infrastrutture.

È doveroso evidenziare che, in questo contesto, un impegno collettivo e il supporto da parte di governi e organizzazioni sono indispensabili per promuovere un cambio sistemico, con linee guida chiare, esempi pratici e metriche quantitative.

Solo attraverso un’azione congiunta e coordinata si potranno superare le sfide poste dalla crittografia nell’era quantistica, garantendo così un futuro digitale sicuro e resiliente scaturito dall’intersezione dell’implementazione dei principi di risk management, business continuity e cyber security.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, BeDisruptive Training Center Director, ENIA Comitato Scientifico

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • La guida

    La Direttiva NIS2 avanza: come prepararsi in questi 9 mesi

    23 Gen 2024

    di Federica Maria Rita Livelli

    Condividi

  • Il rapporto

    Le linee guida ENISA per la cyber security della supply chain

    07 Set 2023

    di Federica Maria Rita Livelli

    Condividi

  • Formazione

    Ecco le certificazioni professionali che qualificano i CISO

    29 Gen 2024

    di Alessia Valentini

    Condividi

  • Scenari

    Cyber security, come si può difendere il settore manifatturiero nel 2024

    21 Mar 2024

    di Federica Maria Rita Livelli

    Condividi

Prossimo

La Direttiva NIS2 avanza: come prepararsi in questi 9 mesi

Articolo 1 di 5