Kritiske virksomheter versus andre virksomheter

Hele samfunnet skal på sikt gå over til kvantesikker kryptografi. Noen må gå foran, og det må være virksomheter som forsyner andre med kritiske tjenester. NSM gir eksempler på hvem som bør begynne med å bytte ut de kryptografiske standardene nedenfor. 

Seks faktorer kan benyttes til å vurdere hvorvidt det er kritisk at din virksomhet kommer snarlig i gang med prosessen med å bytte ut nåværende kryptografiløsninger. 

  • Angrepsflate: Bruker eller forsyner virksomheten infrastruktur som kan være sårbar overfor en kryptografisk relevant kvantedatamaskin? 
  • Systemtyper: Hvilke systemer drifter virksomheten? Hvilke konsekvenser kan oppstå dersom disse får nedsatt funksjonalitet? 
  • Informasjonstyper: Hvilken informasjon behandler virksomheten? Hvilke skader kan oppstå ved kompromittering, eller uautorisert og uoppdaget modifikasjon? 
  • Tidskritisk: Hvor lenge vil informasjonen leve? Hvilke konsekvenser kan det få om informasjonen blir kompromittert om ti år? 
  • Verdikjeder: Hvilke avhengigheter har virksomheten til andre? Hvilke andre virksomheter forsynes med data? 
  • Trusselnivå: Husk at alle virksomheter kan bli utsatt for cyberangrep. 

Virksomheter i følgende kategorier bør spesielt anse seg selv som kritiske 

Virksomheter som behandler personopplysninger med lang levetid

Dette kan være offentlige tjenester som i stor grad behandler personopplysninger over lang tid, som NAV og Skatteetaten, legekontorer og sykehus, eller banker og forsikringsselskaper. Krypterte personopplysninger er et utsatt mål fordi informasjonen kan lagres nå og dekrypteres på et senere tidspunkt ved bruk av en kryptografisk relevant kvantedatamaskin. Når nye standarder er klare, vil trolig GDPR-lovgivingen utvides med krav om beskyttelse mot kryptografisk relevante kvantedatamaskiner. 

Virksomheter som behandler hemmelige opplysninger

Dette kan være både sikkerhetsgradert informasjon og skjermingsverdig, ugradert informasjon. Det kan også gjelde strategiske opplysninger om varer, tjenester og teknologi som er underlagt eksportkontroll. 

Virksomheter som forsyner kritisk infrastruktur

Eksempler på dette er forsyning av vann og energi, samferdsel, telekommunikasjon og helsetjenester. Hvis disse tjenestene blir utsatt for funksjonsfeil, kan det føre til store helsemessige eller økonomiske tap. Virksomheter som drifter skjermingsverdige objekter og grunnleggende nasjonale funksjoner tilhører denne kategorien. 

Virksomheter som forsyner langlevd infrastruktur

Utstyr som produseres i løpet av det neste tiåret, er sannsynligvis sårbart overfor en fremtidig kryptografisk relevant kvantedatamaskin. De nye kvantesikre standardene krever mer av maskinvaren enn nåværende standard. Virksomheter som drifter systemer med lang levetid, eksempelvis over 20 år, bør derfor være spesielt oppmerksomme på at utstyret vil være tilrettelagt for utskiftning av kryptografiske komponenter uten langvarig tap av funksjonalitet, dvs. oppfyller krav til kryptosmidighet. Eksisterende utstyr som ikke kan erstattes, bør skjermes med et ytre lag med kvantesikker kryptografi, såkalt hybridisering.