Waarom moeten overheidsorganisaties nu maatregelen nemen om zich voor te bereiden op de komst van de krachtige quantumcomputer? Anita Wehmann, programmamanager Digitale Weerbaarheid Rijksoverheid, is initiatiefnemer van het Rijksprogramma Quantumveilige Cryptografie Rijk (QvC-Rijk). Ze legt uit waarom organisaties in beweging moeten komen.
Wehmann: “De AIVD gaat ervan uit dat er al vanaf 2030 een krachtige quantumcomputer kan bestaan. Dat is best snel. Partijen die daar dan over beschikken, kunnen met behulp van quantumtechnologie veel van de nu gebruikte geheime sleutels ontsleutelen.”
“Ons dagelijks leven en belangrijke processen worden steeds digitaler. Cryptografie is daarbij een belangrijk beschermingsmiddel. Gewone computers kunnen de huidige cryptografie niet ontsleutelen. Maar door een quantumcomputer, die data snel kan ontcijferen, zal de meeste cryptografie niet voldoende beschermd zijn. Uit het verleden weten we dat wijzigingen in bijvoorbeeld de versleuteling minstens 20 jaar duren. Daarom is het belangrijk dat alle Rijksorganisaties zich nu al voorbereiden, om op tijd de risico’s van quantumtechnologie voor cryptografie te beheersen.”
Welke processen en data lopen gevaar door de komst van de quantumcomputer?
“Een dreiging die nu al speelt is ‘store now decrypt later’: het verzamelen en opslaan van versleutelde gegevens om deze later met quantumtechnologie te ontsleutelen. Dat is een probleem voor informatie die lange tijd geheim moet blijven. Daarnaast zijn ook de meeste van onze belangrijke processen en gegevens die beschermd worden door cryptografie niet meer voldoende beveiligd. Als essentiële processen en vitale infrastructuren geraakt worden, is een verkeerschaos of betalingscrisis mogelijk het gevolg.”
Voor welke uitdaging staan we?
“Al jaren geleden is ontdekt dat de meeste van onze huidige cryptografie niet bestand is tegen de quantumcomputer. Sindsdien wordt er wereldwijd gewerkt aan cryptografie die dat wel is: post quantumcryptografie (PQC). De eerste vastgestelde standaarden worden in 2024 verwacht. Maar deze nieuwe cryptografie heeft andere kenmerken, en kan daarom niet zomaar worden toegepast in onze huidige toepassingen, systemen en infrastructuren. Dat is een grote uitdaging. De verwachting is dat we lang in een overgangssituatie blijven, waarbij niet iedereen de noodzakelijke wijzigingen heeft doorgevoerd. Het gaat een lange transitie worden, niet alleen in Nederland, maar over de hele wereld.”
Hoe bewust zijn overheidsorganisaties van de risico’s?
“Dat is groeiend. We zien nog veel dat mensen denken: die quantumcomputer is nog zo ver weg, we hebben nog zo veel andere dingen te doen. Maar alles wat je nu al doet aan voorbereiding is ‘no regret’; maatregelen waar je geen spijt krijgt. Het helpt je om je securitybasis op orde te krijgen, zoals je IT Asset Management. En om je hele organisatie op weg naar meer IT-volwassenheid te brengen. Dus waarom wachten?”
Het QvC Rijk helpt organisaties daarbij. Wat houdt het in?
“Het programma ondersteunt op 3 lijnen om iedereen klaar te maken. Het richt zich op mensen zelf, de processen en de technologie. In november 2023 hebben we onze eerste fase van awareness afgerond. Nu zijn we bezig met het eerste hulpmiddel voor service level managers (SLM’ers) om in gesprek te gaan met onze IT-leveranciers. Ook zij moeten zich voorbereiden. Het hulpmiddel wordt nu getest door leveranciersmanagers. Het hulpmiddel bevat vragen aan leveranciers. Dit helpt om het bewustzijn bij leveranciers te vergroten, en we krijgen als Rijksoverheid zo beter zicht op de voorbereidende stappen die onze IT-leveranciers zetten. Om de antwoorden te duiden zijn de CISO’s gevraagd om de SLM’ers te helpen. Je ziet dus dat er allerlei spin-offs uit het programma voortkomen, doordat collega’s van aanpalende vakgebieden elkaar beter weten te vinden en elkaar helpen. Dat vind ik supergaaf.”
Wat hebben gemeenten hieraan?
“Dit programma valt onder de I-strategie Rijk en wordt aangestuurd door de stuurgroep Digitale Weerbaarheid. Het is primair bedoeld voor de Rijksoverheid, maar we treden wel naar buiten. We publiceren de resultaten op digitaleoverheid.nl, zodat iedereen daar toegang toe heeft. Medeoverheden, maar ook private partijen, bedrijven en IT-leveranciers. Het hulpmiddel voor leveranciersmanagement komt ook online, zodat iedereen het kan gebruiken. Hetzelfde geldt voor het Rijksbrede Beleidskader Cryptografie en bijscholing voor IT-beheer, die in ontwikkeling is.”
“Verder willen we in samenwerking met het bedrijfsleven, onderzoek en wetenschap zorgen dat er tooling komt om voortdurend zicht te houden op de cryptografie in je organisatie. Dat is belangrijk voor alle organisaties, niet alleen voor de Rijksoverheid. Want als je niet weet wat je hebt, weet je ook niet welke risico’s je loopt en wat je moet migreren.”
Hoe zie je de toekomst van dit onderwerp?
“Als je het helemaal plat slaat, is het een ‘IT-change’, een wijziging die je moet doorvoeren. Ik vind het supergaaf dat ons programma kan helpen bij die complexe transitie en de voorbereidingen daarop. En ja, het is een kwestie van een lange adem.”
