W świecie cyberbezpieczeństwa zagrożenia rzadko pojawiają się nagle. Zwykle rozwijają się stopniowo – najpierw jako koncepcja, potem jako realne ryzyko, aż w końcu stają się standardowym wektorem ataku.
Tak właśnie wygląda dziś scenariusz określany jako „harvest now, decrypt later”.

Na czym polega problem?

W dużym uproszczeniu:
Atakujący już dziś przechwytują i przechowują zaszyfrowane dane, których nie są jeszcze w stanie odszyfrować.
Zakładają, że w przyszłości – dzięki komputerom kwantowym – będzie to możliwe.
Obecnie stosowane algorytmy kryptograficzne, takie jak RSA czy ECC, są bezpieczne dla klasycznych komputerów. Jednak rozwój technologii kwantowych może sprawić, że ich złamanie stanie się wykonalne.
To nie jest problem „przyszłości”. To problem teraźniejszości z odroczonym skutkiem.

Jeśli Twoja organizacja:

• przetwarza dane wrażliwe (finansowe, medyczne, prawne),
• przechowuje dane przez wiele lat,
• korzysta z klasycznych mechanizmów szyfrowania,

to istnieje ryzyko, że dane przesyłane dziś mogą zostać odszyfrowane za kilka lub kilkanaście lat.

Kogo to dotyczy najbardziej?

• Sektor finansowy
  Transakcje, dane klientów, komunikacja międzybankowa – często mają wartość przez dekady.
• Ochrona zdrowia
  Dokumentacja medyczna musi być chroniona przez bardzo długi czas.
• Administracja publiczna i instytucje odpowiedzialne za bezpieczeństwo
  Informacje o znaczeniu strategicznym – często o długim okresie poufności.
• Firmy technologiczne
  Przechowywanie danych klientów, backupy, komunikacja API.

Przykładowy scenariusz ataku

• Atakujący przechwytuje zaszyfrowany ruch (np. TLS, VPN, e-mail).
• Dane są archiwizowane i przechowywane.
• Za 5–10 lat pojawia się wystarczająco wydajny komputer kwantowy.
• Dane zostają odszyfrowane.

Efekt?
Naruszenie poufności z przeszłości, które może mieć konsekwencje w teraźniejszości.

Dlaczego to często jest ignorowane?

Ponieważ:

• jeszcze nie ma komputerów kwantowych
• to problem na przyszłość
• nas to nie dotyczy

To klasyczny błąd poznawczy!

W rzeczywistości:

• dane mają długi cykl życia,
• migracja kryptografii zajmuje lata,
• infrastruktura IT rzadko jest gotowa na szybkie zmiany

Co można zrobić już dziś?

Nie chodzi o natychmiastową wymianę całej kryptografii. Chodzi o świadome przygotowanie.

Pierwsze kroki:

Inwentaryzacja kryptografii

• gdzie używasz szyfrowania?
• jakie algorytmy są stosowane?

Ocena ryzyka

• które dane muszą pozostać poufne przez 10+ lat?

Crypto agility

• czy Twoje systemy pozwalają łatwo zmieniać algorytmy?

Śledzenie standardów PQC

• np. prac nad nowymi algorytmami odpornymi na komputery kwantowe

Migracja do kryptografii post-kwantowej (PQC) to proces, który:

• wymaga czasu,
• wymaga planowania,
• zaczyna się dużo wcześniej, niż większość organizacji zakłada.

Największe ryzyko nie polega na tym, że komputery kwantowe pojawią się jutro.
Polega na tym, że gdy się pojawią – będzie już za późno na reakcję.

„Harvest now, decrypt later” zmienia sposób myślenia o bezpieczeństwie:

• nie chodzi tylko o ochronę danych dziś
• chodzi o ochronę danych w przyszłości!!!

Z tego powodu w USA już w 2022 wdrożono akt  prawny w postaci Quantum Computing Cybersecurity Preparedness Act, mający na celu przygotowanie administracji na nadchodzącą erę komputerów kwantowych.

Organizacje, które zaczną przygotowania wcześniej, zyskają przewagę – nie tylko technologiczną, ale też biznesową i regulacyjną.