Er zijn voorbereidende acties nodig voor de komst van kwantumcomputing. Dat schrijft demissionair staatssecretaris Alexandra van Huffelen in antwoord op vragen van D66-kamerlid Joost Sneller.
Van Huffelen: 'Bereid je voor op kwantumdreiging'
Overheidsorganisaties kunnen niet op hun handen blijven zitten totdat de dreiging van aanvallen met een kwantumcomputer concreet wordt.
Technologisch ingrijpende wijziging
Krachtige kwantumcomputers zijn in staat om versleuteling (encryptie) te verzwakken of doorbreken. Dat betekent dat digitale gegevens die zijn opgeslagen bij de overheid niet meer veilig zijn. Daarom moet er nu al actie worden ondernomen, schrijft Van Huffelen.
Volgens de staatssecretaris is de overgang van kwetsbare cryptografie naar kwantumveilige cryptografie een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. ‘De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen,’ schrijft ze.
'State of the art' beveiligingsmaatregelen
Kamerlid Sneller wijst er op dat de Amerikanen al een wet hebben aangenomen die overheidsorganisaties verplicht om te migreren naar IT-systemen die bestand zijn tegen aanvallen met kwantumcomputers. In Europa vallen veel overheidsorganisaties onder de Network and Information Security Directive (NIS2), waarin staat dat ‘state of the art’ beveiligingsmaatregelen moeten worden toegepast, waaronder ‘state of the art’ encryptie, riposteert Van Huffelen. Organisaties die onder de richtlijn vallen moeten beleid en procedures rondom cryptografie hebben en meestal ook encryptie zelf. Ook in de Nederlandse Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden staat dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces.
Rijksbreed programma
Onder regie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) wordt de migratie naar kwantumveilige cryptografie binnen de rijksoverheid voorbereid. Hiervoor is een rijksbreed samenwerkingsprogramma opgezet: Quantumveilige Cryptografie (QvC-Rijk). Ook internationaal vindt er samenwerking plaats op dit gebied, onder meer met de Franse en Duitse nationale informatiebeveiligingsinstituten. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van het ministerie van Economische Zaken en Klimaat (EZK), houdt zich ondertussen bezig met een routekaart voor meerjarige onderzoeks- en innovatietrajecten rondom kwantumcomputing.
Welke acties?
Wat kunnen decentrale overheden nu al doen om zich te beschermen tegen toekomstige aanvallen met kwantumcomputers? Allereerst moeten ze goed weten wat ze te beschermen hebben: de zogeheten ‘kroonjuwelen’ van de organisatie. Verder is het verstandig om eisen voor (toekomstige) cryptografie toe te voegen in aanbestedingen en kwantumdreiging en het gebruik van versleuteling mee te nemen in het risicomanagementproces. En vergeet de sleutels van symmetrische cryptografie niet te verlengen, raadt de staatssecretaris aan. ‘De encryptiestandaard ‘ ‘AES-256’ wordt momenteel als kwantumveilig beschouwd.’ Waarvan akte.
Vorig jaar bracht de AIVD een handboek uit over migratie naar kwantumveilige cryptografie. In samenwerking met het NCSC publiceerde de AIVD ook een handreiking voor CIO’s, CTO’s en CISO’s.
