Kun raha liikkuu esimerkiksi kaupan maksupäätteeltä kortinmyöntäjälle, se kulkee tietoverkon kautta kryptattuna, eli esimerkiksi salausalgoritmin avulla ulkopuolisilta suljettuna viestinä. Lisäksi pankkien ja vakuutusyhtiöiden järjestelmät ovat täynnä asiakkaita koskevaa kryptattua tietoa.
Lähes kaikki digitaalinen toiminta maailmassa perustuu salausalgoritmeihin, joiden perusajatus on, että murtamisessa kestää niin kauan, että vihamielisen toimijan ei siihen kannata ryhtyä. Organisaation kryptausten kokonaisuutta kutsutaan kryptografiaksi.
– Varautumiskeskustelussa huomio kiinnittyy tällä hetkellä voimakkaasti sotilaallisiin ja geopoliittisiin uhkiin: varaudutaan panssarivaunuin ja kehitetään ruokahuoltoa. Kvanttiteknologian tulo on hyvä muistutus, että myös digitaalisesta varautumisesta on pidettävä yhtä lailla huolta, toteaa tiedotteessa Finanssiala ry:n valmiuspäällikkö Juha Nieminen, joka toimii Huoltovarmuusorganisaation rahoitus- ja vakuutusalan poolien poolisihteerinä.
Nykytekniikalla salausten murtaminen ei ole mahdollista, mutta Huoltovarmuusorganisaatio on jo alkanut varautua kvanttitietokoneiden kehitykseen. Pahimmissa skenaarioissa kvanttiteknologialla voitaisiin saada kryptattu tietoliikenne avattua vihamieliselle hyökkääjälle.
Salausten murtamisen uhka on Finanssialan mukaan jo todellinen, ei tulevaisuudessa odottava kriisi. Kvanttihyökkäyksissä voi käyttää niin sanottua Harvest Now, Decrypt Later -strategiaa: hyökkääjä voi jo nyt varastaa salattua tietoa säilöön odottamaan ja purkaa sen myöhemmin, kun kvanttiteknologia on saatu kehitettyä riittävälle tasolle.
– Vuosituhannen vaihteen alla kohistiin y2k:sta, kun digitaaliset järjestelmät piti saada ymmärtämään vuosiluku, joka alkaa luvulla 20 eikä 19. Vaadittuja muutoksia salausjärjestelmään eli kryptografiaan voi pitää vastaavanlaisena globaalina koko organisaatiota ja sen sidosryhmiä koskevana laajana mullistuksena, Nieminen vertaa.
Joukko suomalaisia finanssiyhtiöitä osallistui pilottiiprojektiin joka osoitti, että varautuminen kannattaa jo aloittaa. Siirtyminen kvanttiteknologian jälkeiseen kryptografiaan (PQC) on jo mahdollista eikä se edellytä kvanttitietokonetta.
EU ja Yhdysvallat edellyttävät kvanttiturvallisiin algoritmeihin siirtymistä viimeistään vuosina 2030–2035, ja kansallisesti kriittiset järjestelmät on priorisoitava tätä aiemmin. Pilottiin osallistui sellaisia yhtiöitä, joille kryptografian murros näyttäytyy jo nyt tulevina toiminta ja sääntelyriskeinä.
Pilotti osoitti, että erityisesti finanssialalla pitkät järjestelmäelinkaaret ja korkeat tietoturvavaatimukset tekevät varhaisesta valmistautumisesta välttämätöntä.
Kvanttitietokoneiden aikatauluarviot vaihtelevat muutamasta vuodesta yli vuosikymmeneen, mutta riski on jo olemassa.
– Kyllähän tämä vähän scifijännäriltä kuulostaa, mutta uhka on aivan todellinen: kvanttiteknologian kehitys vaatii aivan uutta ajattelutapaa tietoturvaan ja järjestelmien suojauksiin, Nieminen summaa.
