Una dintre cele mai critice sarcini ale biroului IT al Pentagonului a devenit prioritatea principală: identificarea vulnerabilităților și modernizarea algoritmilor criptografici ai Departamentului Apărării (DoD) pentru a rămâne cu un pas înaintea hackerilor dușmani, în special într-o lume post-quantum.

„Trebuie să ne gândim din timp la ce ar putea dezvolta adversarii și să creăm algoritmi care să fie disponibili la timp pentru a contracara capacitatea acestora de a sparge algoritmii mai vechi,” a declarat David McKeown, care îndeplinește funcția de CIO adjunct al Pentagonului și ofițer superior de securitate informațională în cadrul DoD, într-un discurs principal la AFCEA Tech Summit.

O parte esențială a protejării datelor Pentagonului este construirea unor sisteme criptografice rezistente la calculatoarele cuantice, cunoscută sub denumirea de Criptografie Post-Quantum (PQC).

Tehnicile de calcul cuantic sunt atât de avansate încât, în teorie, ar putea sparge aproape orice criptare existentă. Majoritatea criptărilor pentru comunicarea digitală utilizează algoritmi bazați pe un cadru de securitate cunoscut sub numele de RSA, inventat în 1977, care permite două părți să comunice în siguranță fără a necesita schimbul prealabil de chei secrete. Oamenii de știință au teoretizat că, odată ce calculul cuantic va fi pe deplin dezvoltat, acesta ar putea utiliza un salt exponențial în viteză și complexitate pentru a sparge codurile.

Crearea unor algoritmi specifici rezistenți la atacurile cuantice cade sub responsabilitatea Agenției Naționale de Securitate (NSA), care se ocupă de modernizarea criptografică în ansamblu, pe baza standardelor în curs de dezvoltare de către Institutul Național de Standarde și Tehnologie.

McKeown a recunoscut că calculatoarele cuantice sunt probabil „la 10 ani distanță”, dar, a spus el, este momentul ca Pentagonul să efectueze o revizuire amplă pentru a determina unde ar putea fi vulnerabil.

„Va exista o zi în care [calculul cuantic] nu va mai fi la 10 ani distanță, ci la nouă, la opt și la șapte, așa că trebuie să lucrăm împreună,” a adăugat el.

„Trebuie să ne uităm la întreaga noastră inventarizare și să examinăm toate criptările pe care le utilizăm, apoi să identificăm ce trebuie înlocuit și să colaborăm cu furnizorii și comunitatea pentru a face upgrade-uri, astfel încât noua criptografie rezistentă la cuantice să fie implementată în cadrul departamentului,” a mai subliniat el.

Chiar și după ce algoritmii PQC devin operaționali, Pentagonul nu va putea să se odihnească, a spus McKeown, deoarece va trebui să fie actualizați constant pentru a face față atacurilor noi.

„În unele cazuri, s-ar putea să fie necesar să folosim algoritmii vechi fără criptare sau re-criptat cu cele noi pe care le-am dezvoltat. Așa că vedeți, acesta este un ciclu de viață extrem de lung pentru algoritmii de criptare și criptarea hardware-ului care trebuie menționat,” a spus el.

După modernizarea algoritmilor criptografici, următoarea prioritate majoră pentru departament este implementarea modelului de securitate zero trust, care presupune verificarea regulată a activității unui utilizator pe o rețea, mai degrabă decât să permită oricui care a trecut de un ecran de login/parolă să se desfășoare liber. McKeown a afirmat că Pentagonul este în continuare pe calea de a trece la un model de securitate cibernetică bazat pe zero trust până în 2027.

„Nu oprește toate atacurile, iar nimeni nu ar trebui să creadă asta, dar ceea ce face este că limitează succesul atacatorului, ne permite să detectăm atacurile mai repede și să răspundem mai rapid și să eliminăm atacatorii din rețeaua noastră,” a spus el. „De multe ori, înainte de a avea zero trust, adversarii puteau rămâne în rețeaua noastră pentru perioade lungi de timp. Am avut o situație în care adversarii au fost în rețeaua noastră timp de 18 luni înainte să descoperim că erau acolo.”

A treia prioritate pentru CIO este îmbunătățirea securității cibernetice a bazei industriale pentru apărare, a subliniat McKeown. Acest aspect include în principal aplicarea Certificării Maturității Cibernetice (CMMC) 2.0, care stabilește noi standarde pentru contractanții care gestionează informații controlate neclasificate. (Regulamentul final pentru CMMC 2.0 a fost publicat la începutul acestei luni.)

Tot în cadrul acestei priorități se menționează și necesitatea de a face liniile de producție mai „rezistente cibernetic și supraviețuibile”, a adăugat McKeown, făcând referire la atacul asupra Colonial Pipeline ce a avut loc acum mai bine de trei ani.

„Îți amintești de Colonial Pipeline, când a fost oprit și nu a fost benzină pe Coasta de Est timp de o săptămână? Nu ne-am dorit ca acest lucru să se întâmple cu unele dintre aceste sisteme cheie de fabricație a armelor,” a spus McKeown.