Veel (overheids)organisatie en IT-leveranciers moeten zich nu al voorbereiden vanwege het risico dat quantumcomputers met zich meebrengen. Bijvoorbeeld organisaties die data verwerken, die over langere tijd nog vertrouwelijk moeten blijven, of die systemen met een lange levensduur aanbieden.
Het PQC-migratie handboek van de AIVD geeft criteria voor wanneer je nu al moet beginnen. Je bent dan een zogenaamde ‘urgente adopter’. Dat ben je als te maken hebt met:
- Gevoelige informatie van de organisatie met een lange vertrouwelijkheidstermijn (‘store now decrypt later’);
- Persoonlijke informatie met een lange vertrouwelijkheidstermijn: paspoorten;
- Aanbieden van systemen voor de kritieke infrastructuur: betalingsverkeer, energie, transport;
- Aanbieden van systemen met een lange levensduur: waterbeheer, chemische industrie, drinkwater, spoor.
Onderneem de volgende acties om je voor te bereiden:
- Bescherm nu al je informatie die langdurig geheim moet blijven; ken je Te Beschermen Belangen (TBB).
- Neem de quantumdreiging op in je risicomanagementproces.
- Gebruik je symmetrische cryptografie? Verleng de sleutels, waardoor je de beveiligingswaarde verhoogt. Zo wordt AES256 momenteel als quantumveilig beschouwd.
- Voeg eisen voor (toekomstige) cryptografie toe in aanbestedingen.
Voorbereidingen voor wijzigingen later:
- Weet waar je welke cryptografie gebruikt en borg dit in het beheer van IT-bedrijfsmiddelen (assetmanagement).
- Zorg dat je voorbereidende wijzigingen doorvoert. Vervang bijvoorbeeld de Transport Layer Security versie 1.2 door versie 1.3 (TLS 1.3).
- Ga met je leveranciers in gesprek over cryptografie in hun producten.
Samenwerken om de risico’s op tijd te beheersen: Quantumveilige Cryptografie Rijk
Er is een programma ingericht om de Rijksoverheid te helpen de risico’s van quantumtechnologie op cryptografie op tijd te beheersen. Dit is het programma Quantumveilige Cryptografie Rijk (QvC Rijk). Hoe ondersteunt en stimuleert QvC Rijk?
Mens
- Werken aan bewustzijn en urgentie: we moeten nu aan de slag.
- Leveren van bewustwording, kennis en communicatie in samenwerking met onderzoek en wetenschap.
- Stimuleren van uitwisseling daarvan, voor alle doelgroepen binnen het Rijk.
Proces
- Richting geven aan wat we moeten doen.
- Adequaat beleid, kaders en richtlijnen beschikbaar stellen om departementen in hun verantwoordelijkheid te ondersteunen.
Technologie
- Ondersteunen bij hoe we het kunnen doen.
- Bieden van handreikingen en een expertisecentrum om de (voorbereiding van) veilige en tijdige beheersing van de risico’s te faciliteren.
Resultaten publiceren
Resultaten die door het programma worden opgeleverd en deelbaar zijn, komen in dit dossier te staan. Ook verwijst het dossier naar relevante ondersteunende hulpmiddelen van andere publieke partijen.
Meer informatie
Mail voor meer informatie of vragen naar: QvC-Rijk@rijksoverheid.nl.
