- Lähes kaikki digitaalinen toiminta sekä finanssitoimialalla että muualla perustuu ulkopuolisilta salattuun eli kryptattuun tietoliikenteeseen.
- Nykytekniikalla salausten murtaminen ei ole mahdollista, mutta tulevaisuudessa kvanttiteknologia voi mahdollistaa vihamielisille toimijoille pääsyn kryptattuun tietoliikenteeseen.
- Joukko suomalaisia finanssiyhtiöitä osallistui pilottiin, joka osoitti, että siirtyminen kvanttiteknologian kestävään salaukseen on jo mahdollista.
- Siirtymä on aloitettava pian, sillä salattua arkaluontoista tietoa voidaan kerätä jo nyt odottamaan kvanttiteknologian kehitystä.
Kun raha liikkuu esimerkiksi kaupan maksupäätteeltä kortinmyöntäjälle, se kulkee tietoverkon kautta kryptattuna, eli esimerkiksi salausalgoritmin avulla ulkopuolisilta suljettuna viestinä. Lisäksi pankkien ja vakuutusyhtiöiden järjestelmät ovat täynnä asiakkaita koskevaa kryptattua tietoa. Lähes kaikki digitaalinen toiminta maailmassa perustuu salausalgoritmeihin, joiden perusajatus on, että murtamisessa kestää niin kauan, että vihamielisen toimijan ei siihen kannata ryhtyä. Organisaation kryptausten kokonaisuutta kutsutaan kryptografiaksi.
”Varautumiskeskustelussa huomio kiinnittyy tällä hetkellä voimakkaasti sotilaallisiin ja geopoliittisiin uhkiin: varaudutaan panssarivaunuin ja kehitetään ruokahuoltoa. Kvanttiteknologian tulo on hyvä muistutus, että myös digitaalisesta varautumisesta on pidettävä yhtä lailla huolta”, toteaa Finanssiala ry:n valmiuspäällikkö Juha Nieminen, joka toimii Huoltovarmuusorganisaation rahoitus- ja vakuutusalan poolien poolisihteerinä.
Nykytekniikalla salausten murtaminen ei ole mahdollista, mutta Huoltovarmuusorganisaatio on jo alkanut varautua kvanttitietokoneiden kehitykseen. Pahimmissa skenaarioissa kvanttiteknologialla voitaisiin saada kryptattu tietoliikenne avattua vihamieliselle hyökkääjälle.
Salausten murtamisen uhka on jo todellinen, ei tulevaisuudessa odottava kriisi. Kvanttihyökkäyksissä voi käyttää niin sanottua Harvest Now, Decrypt Later -strategiaa: hyökkääjä voi jo nyt varastaa salattua tietoa säilöön odottamaan ja purkaa sen myöhemmin, kun kvanttiteknologia on saatu kehitettyä riittävälle tasolle.
”Vuosituhannen vaihteen alla kohistiin y2k:sta, kun digitaaliset järjestelmät piti saada ymmärtämään vuosiluku, joka alkaa luvulla 20 eikä 19. Vaadittuja muutoksia salausjärjestelmään eli kryptografiaan voi pitää vastaavanlaisena globaalina koko organisaatiota ja sen sidosryhmiä koskevana laajana mullistuksena.”
Pilotti: Varautuminen kannattaa jo aloittaa
Joukko suomalaisia finanssiyhtiöitä osallistui pilottiiprojektiin joka osoitti, että varautuminen kannattaa jo aloittaa. Siirtyminen kvanttiteknologian jälkeiseen kryptografiaan (PQC) on jo mahdollista eikä se edellytä kvanttitietokonetta.
EU ja Yhdysvallat edellyttävät kvanttiturvallisiin algoritmeihin siirtymistä viimeistään vuosina 2030–2035, ja kansallisesti kriittiset järjestelmät on priorisoitava tätä aiemmin. Pilottiin osallistui sellaisia yhtiöitä, joille kryptografian murros näyttäytyy jo nyt tulevina toiminta‑ ja sääntelyriskeinä.
Pilotti nosti esiin kolme keskeistä havaintoa:
1. Tarkka tieto omista järjestelmistä on edellytys hallitulle siirtymälle. Jotta tarvittavat muutokset pystytään tekemään, organisaatioissa on ymmärrettävä, missä ja miten kryptografiaa käytetään.
2. PQC on iteratiivinen prosessi, joka vaatii järjestelmiltä päivitettävyyttä ja organisaatiolta ketterää ohjausta muutoksissa.
3. Varhainen liikkeellelähtö tuo etua jahelpottaa sääntelyn noudattamista, parantaa tietoturvaa ja resurssien saatavuutta sekä mahdollistaa järjestelmien modernisoinnin hallitusti.
Pilotti osoitti, että erityisesti finanssialalla pitkät järjestelmäelinkaaret ja korkeat tietoturvavaatimukset tekevät varhaisesta valmistautumisesta välttämätöntä. Kvanttitietokoneiden aikatauluarviot vaihtelevat muutamasta vuodesta yli vuosikymmeneen, mutta riski on jo olemassa.
”Kyllähän tämä vähän scifijännäriltä kuulostaa, mutta uhka on aivan todellinen: kvanttiteknologian kehitys vaatii aivan uutta ajattelutapaa tietoturvaan ja järjestelmien suojauksiin”, Nieminen summaa.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
Janoatko lisää?
Tähän aiheeseen liittyviä uutisia ja kolumneja
Avaako kvanttiteknologia salatun tietoliikenteen hyökkääjille? Finanssiyhtiöt selvittivät varautumistaan pilotissa
Oikeusvaltion kulmakivi uhattuna – Verohallinnolle kaavaillaan oikeutta kerätä yksityisiä tietoja paljastavia tilitietoja kansalaisen siitä tietämättä
Fiva kartoitti pankkien verkkomaksamisen turvallisuutta – pankit tekevät paljon petosten estämiseksi, myös alustapalvelut tulisi velvoittaa rikosten torjuntaan
Ei valtiota makuuhuoneeseen – esitys Verohallinnon tiedonsaantioikeuksien laajentamiseksi rikkoo sekä yksityisyyden suojaa että tietosuojasääntelyä
