NSM anbefaler å utarbeide en oversikt over systemer som faller inn i minst én av følgende kategorier:

  • Systemer som understøtter kritisk eller langlevd infrastruktur, grunnleggende nasjonale funksjoner eller skjermingsverdige objekter og infrastruktur, jamfør sikkerhetsloven kapittel 7.
  • Systemer som behandler minst én av følgende: Sikkerhetsgradert eller skjermingsverdig ugradert informasjon, strategiske varer, tjenester eller teknologi som er underlagt eksportkontroll. 
  • Sensitive personopplysninger. 
  • Systemer som benytter kryptografiske løsninger som forventes å være sårbar i møte med kryptografisk relevante kvantedatamaskiner. Dette inkluderer systemer som behandler data med levetid til tidligst 2030 eller benytter seg av logisk adgangskontroll basert på asymmetriske algoritmer. Se oppdatert liste over sårbare algoritmer på nsm.no/kvantemigrasjon.

Innledningsvis anbefalte NSM virksomheter å ta flytteprosessen trinnvis, og å kartlegge nåværende bruk av kryptografi. Det er viktig med et fullstendig situasjonsbilde av virksomheten. På den måten kan virksomheten fremskaffe oversikt over flere områder som blir viktige i kvantemigrasjonen.

For å få best mulig oversikt over virksomhetens nåværende situasjon, anbefaler NSM at man går gjennom disse fire områdene:

Risikovurdering

Kritiske virksomheter utfører allerede interne risikovurderinger. Disse bør ta utgangspunkt i at en potensiell trusselaktør er fleksibel og har tilgang på kryptografisk relevante kvantedatamaskiner. Det er nødvendig å anta at en trusselaktør vil unytte ny teknologi til å angripe hittil utilgjengelige svakheter i eksisterende teknologi, og dermed må virksomheten revurdere risikoen den står overfor.

Oversikt over egen bruk av kryptografi

Hver virksomhet må ha fullstendig oversikt over egne kryptografiske systemer og ressurser for at overgangen skal kunne gjennomføres på en sikker måte. Dette gjelder både program- og maskinvare, i tillegg til nye anskaffelser. Dersom en usikker kryptografisk komponent forblir i virksomheten, kan det fungere som en inngangsport til hele systemet. 

Oversikten bør være så detaljert som mulig. Som et minimum bør den inneholde informasjon om hvorvidt hver enkelt ressurs er sårbar overfor kryptografisk relevante kvantedatamaskiner. I tillegg bør den beskrive hvilket kvantesikkert alternativ som er den beste erstatningen. Dersom ressursen er anskaffet av en ekstern leverandør må dette fremkomme i rapporten. 

Oversikt over informasjon, systemer og verdier som forvaltes av virksomheten

Virksomheten må opprettholde en detaljert oversikt over hvilke verdier og data den forvalter for å avgjøre hvilke kompontener og systemer som skal ha høyest prioritet i flyttingen. 

Listen bør inneholde følgende informasjon:

  • Hvilken datatype dette gjelder. Er den lagret, i bruk eller i transitt?
  • Hvor dataen befinner seg.
  • Dataens verdi. Er det krav til konfidensialitet?
  • Eventuell sikkerhetsgradering.
  • Individuell risikovurdering for hver gruppe av data.
  • Hvilke personer har tilgang på verdiene. 

Oversikt over leverandører av kryptografiske tjenester og utstyr

Mesteparten av kryptografiske komponenter og systemer i norske virksomheter er anskaffet fra eksterne leverandører. Det er vesentlig at virksomheten har tett dialog med leverandør i overgangsprosessen, og sørger for at leverandør tilbyr mulighet for overgang til nye standarder. 

Kritiske virksomheter må ha oversikt over egen kryptografiske verdikjede og alle leverandører involvert, inkludert leverandører av digitale sertifikater. Oversikten bør inneholde informasjon om alle produkter som er anskaffet, alle avtaler inngått og kontaktinformasjon til hver enkelt leverandør. Virksomheter bør kartlegge egne interne kommunikasjonssystemer, inkludert hjemmekontorløsninger og såkalt «skygge-IT». 
Virksomheter som forsyner andre med kryptografiske løsninger, må begynne forberedelsene til å flytte egne kunder til kvantesikker kryptografi tidlig. 

For mer informasjon, se nsm.no/kvantemigrasjon