Quantum komt eraan: dit zegt de toezichthouder op gegevensbescherming

Door Phil Muncaster • 3 December 2024

Er komt een nieuwe technologische ontwikkeling in de aanhoudende wapenwedloop tussen netwerkverdedigers en hun tegenstanders, die het huidige landschap dramatisch zou kunnen verstoren. Wanneer volledig functionerende quantumcomputers eindelijk beginnen te verschijnen, zou de encryptie waarop het grootste deel van de digitale wereld vertrouwt, kunnen worden gekraakt. Dat heeft enorme implicaties voor gegevensbescherming, en daarom heeft de Britse toezichthouder, het Information Commissioner's Office (ICO), nieuwe begeleiding voor organisaties.

De boodschap is duidelijk. Het is tijd om kwantumgerelateerde risico's te identificeren en aan te pakken als onderdeel van programma's voor naleving van gegevensbescherming.

Wat betekent quantum computing?

Overheden en particuliere investeerders wereldwijd zijn tientallen miljarden uitgeven om onderzoek naar quantum computing te financieren. Het is makkelijk te zien waarom: de wetenschappelijke en wiskundige doorbraken die het belooft zijn verbijsterend. Niet voor niets is de betekenis van quantum computing vergeleken met het benutten van elektriciteit.

Quantum computing is gebaseerd op de theorie van de quantummechanica, die Albert Einstein als eerste introduceerde en waarmee hij de Nobelprijs won. Voor het ongetrainde oog lijkt het de logica te tarten. Quantumdeeltjes, of qubits, gedragen zich niet volgens de traditionele regels van de natuurkunde. Ze doen vreemde dingen, zoals op twee plaatsen tegelijk aanwezig zijn en vooruit of achteruit in de tijd reizen.

Terwijl computers van vandaag de dag informatie verwerken en opslaan in nullen en enen, gebruiken quantumcomputers qubits, die tegelijkertijd een nul en een één kunnen zijn. Dit verkort de tijd die nodig is om data te verwerken, te berekenen en problemen op te lossen radicaal.

Volgens de ICO zijn er verschillende potentiële toepassingsgevallen voor de technologie, waaronder:

Een nieuwe generatie kwantumsensoren en geavanceerde kwantumtimingtechnologieën voor gebruik in medische diagnostiek, stedelijke infrastructuur en beheer van milieubronnen, klimaatveranderingsplanning en bewaking en storingsbestendige navigatie
Met quantumverbeterde beeldvorming kunnen mensen en objecten om hoeken of achter muren worden gedetecteerd, of kunnen moleculen in het lichaam nauwkeuriger worden geïdentificeerd.
Een nieuwe en potentieel 'onhackbare' methode voor het veilig delen van cryptografische sleutels, bekend als quantum key distribution (QKD)

Het internet ontcijferen

Het meest zorgwekkende potentiële gebruiksscenario van quantum is echter het vermogen om de complexe wiskundige problemen op te lossen waarop moderne asymmetrische encryptie (public key cryptografie) is gebaseerd. Dat zou vijandige staten of goed gefinancierde cybercrimegroepen op een dag de mogelijkheid kunnen geven om alles te ontmaskeren, van gecodeerde e-commerce en online communicatie tot digitale bankgegevens. De implicaties voor organisaties die asymmetrische encryptie gebruiken om klantgegevens en gevoelige IP te beschermen, zijn duidelijk.

Er zijn zorgen dat kwaadwillenden mogelijk al gecodeerde gegevens verzamelen om deze in de toekomst te decoderen in de zogenaamde ‘store now, decrypt later’ (SNDL). aanvallenDaarom worden er steeds meer inspanningen geleverd om post-kwantumalgoritmen (PQA's) te vinden die bestand zijn tegen kwantumgestuurde decodering.

Dingen versnellen zeker. In een aanpak die wordt ondersteund door het Britse National Cyber Security Centre (NCSC) en het Amerikaanse National Institute of Standards and Technology (NIST), ze brachten de eerste drie uit post-quantum cryptografie (PQC) standaarden in augustus van dit jaar. De VS heeft al doelstellingen vastgesteld voor de publieke sector om over te stappen op quantum beveiligde systemen tegen 2035, terwijl de Britse overheid geïntroduceerde mitigaties voor kritieke services en zet technische richtlijnen en verwachtingen uiteen voor grote organisaties en systeemeigenaren. De Europese Commissie heeft lidstaten opgeroepen om een routekaart te ontwikkelen terwijl grote technologiebedrijven quantumveilige systemen onderzoeken.

De ICO wil crypto-flexibiliteit

Dus waar laat dat de meerderheid van de Britse organisaties? De huidige NIS-regelgeving (die binnenkort wordt bijgewerkt door de Wetsvoorstel cyberveiligheid en veerkracht) omvatten clouddiensten en e-commerceproviders, organisaties die digitale identiteits- of authenticatiediensten leveren, en internet- en telecomproviders. Zij moeten de ICO op de hoogte stellen van een inbreuk op persoonsgegevens (AVG) of een NIS-gerelateerd beveiligingsincident als:

Ze ontdekten een SNDL-aanval die ‘hun service aanzienlijk beïnvloedde of leidde tot de openbaarmaking van persoonlijke informatie’.
Ze maakten een fout bij de implementatie van PQC, waardoor persoonlijke informatie werd blootgesteld en de rechten en vrijheden van burgers in gevaar kwamen.

Alle andere organisaties hebben verplichtingen onder de AVG om persoonsgegevens te beveiligen “met behulp van passende technische en organisatorische maatregelen” die aansluiten bij het risico van verwerking en rekening houden met de stand van de techniek. Volgens de ICO betekent dit dat zij: “moeten overwegen om kwantumrisico's te identificeren en aan te pakken als onderdeel van hun bestaande wettelijke verplichtingen om zich aan te passen aan nieuwe en opkomende cyberdreigingen voor persoonsgegevens.”

Wat betekent dat in de praktijk? Zoals altijd zegt de ICO dat organisaties – onder de Data Protection Act 2018 en GDPR – moeten bepalen welke technische maatregelen ze nodig hebben om het “passende beveiligingsniveau” te garanderen. Maar er is nog een hint. De eigen richtlijnen voor encryptie dringt er bij organisaties op aan om “crypto agile” te zijn. Dit betekent dat het gebruik van encryptie regelmatig moet worden herzien en dat er alert moet worden gehouden op nieuwe updates en mogelijke kwetsbaarheden.

"Er zijn nieuwe normen ontwikkeld en het is waarschijnlijk dat PQC ergens in de komende tien jaar een geaccepteerde en breed geïmplementeerde norm zal worden in de toekomstige stand van de techniek", voegt het toe.

Een checklist voor naleving

Daarom moeten de meeste organisaties persoonlijke gegevens blijven beschermen in overeenstemming met best practices en standaarden voor encryptie en alle inbreuken of lekken melden, inclusief SNDL en alle incidenten die zijn veroorzaakt door fouten bij de implementatie van PQC. De ICO voegt toe dat ze proactief het volgende moeten doen:

Begin met het overwegen van blootstelling aan risico's 'in de onmiddellijke en nabije toekomst', inclusief het identificeren van informatie met een hoog risico en cryptografie en systemen die risico lopen.
Blijf op de hoogte van de veranderende internationale cryptostandaarden en NCSC-richtlijnen, conform NIS en de Britse AVG.
Als ze overwegen om QKD of andere quantum-secure tech te implementeren naast PQC, moeten ze overwegen om een data protection impact assessment (DPIA) uit te voeren. Dit kan helpen om te beoordelen of rechten en vrijheden die verband houden met persoonlijke informatie in gevaar kunnen zijn en documenteren welke maatregelen ze nemen om deze risico's aan te pakken.
Blijf de cyberrisico's op de korte en middellange termijn die “breed van opzet” zijn en die geen verband houden met quantum computing beperken, door de essentiële best practices voor cyberhygiëne voor gegevensbescherming te volgen.

Het zal nog jaren duren voordat er quantum computing verschijnt die asymmetrische encryptie kan kraken. Maar dat is geen reden voor zelfgenoegzaamheid. Het is beter om vandaag de risico's in te schatten en plannen te maken voor de toekomst dan morgen gedwongen te worden om overhaaste (en mogelijk dure) beslissingen te nemen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster