Et kvantesprang i trusselbildet: «Stjel nå, dekrypter senere»

Kunstig intelligens, tokenisering og KI-assistert handel. Det mangler ikke akkurat på fenomener som utfordrer hverdagen til finansbransjen her og nå. Likevel har både Finans Norge og norske banker begynt å tenke over morgendagens trusler.

Trusselen ligger i at man utgår fra at kvantedatamaskiner som ikke bare er på eksperimentnivå, vil kunne knekke all eksisterende kryptering som finnes i dag. Om det skjer 10, 15, eller 20 år frem i tid er det ingen som har svar på. Men det påvirker likevel virksomheters forhold til sine egne data allerede i dag.

– All seriøs trafikk i dag går over krypterte linjer. Når vi snakker om «Harvest Now, Decrypt Later», handler det om en ganske så kvalifisert spekulasjon om at det allerede i dag forekommer datatyveri av krypterte pakker, som lagres for fremtidig bruk. Det virksomheter må spørre seg er om dataene de sender i dag kan være sensitive om 10 år. Hvis svaret er ja, er de allerede eksponert, sa Lars Nordbryhn, senior architect i IBM under en paneldebett på Finans Norge-arrangementet Betalings- og digitaliseringskonferansen.

Han delte scene med Astrid Undheim, konserndirektør teknologi og utvikling, Sparebank 1 SMN, Pål Christian Waag, fagdirektør cybersikkerhet i Finans Norge samt kvanteforsker og førsteamanuensis ved UiO, Marianne Etzelmuller Bathen. Samtalen ble ledet av Rebekka Borsch, avdelingsdirektør for Kompetanse, Innovasjon og Digitalisering i NHO.

SMN tenker på saken

Astrid Undheim i Sparebank 1 SMN bekreftet raskt at dette er noe hun som konserndirektør for teknologi må forholde seg til.

– Har vi begynt å tenke på det? Ja, absolutt. Vi har begynt å stille spørsmål til leverandørkjeden vår. Har vi begynt å jobbe veldig aktivt med det? Nei, det har vi ikke, sa Undheim og var tydelig på at problematikken er en bransjeutfordring mer enn at en og en bank må gjøre noe med det.

Det er et syn som deles av Pål Christian Waag, Finans Norges egen fagdirektør for cybersikkerhet. I Finans Norges egen trusselvurdering av ulike aktiviteter var kvanteteknologi langt fra den største.

– Vi snakker ikke om kriminelle gjenger. Dette er statlige aktører som kan gjøre dette fordi de ser muligheter i et etterretnings- eller spionasjeperspektiv, eller for å skaffe fordeler senere. Det er det perspektivet vi må ha, sa Waag.

Kartleggingen må begynne nå

Men nettopp det faktum at det handler om mindre vennligsinnede stater med ressurser til å samle inn store mengder informasjon og lagre den for mulig fremtidig bruk, gjør at man heller ikke kan innta en «vent og se»-holdning.

– Om vi har et tiårsperspektiv på at dagens kryptering vil bli knekt og irrelevant, må vi begynne kartleggingen nå, og finne ut hva som er mest kritisk for at vi kan eksistere i morgen, og så se på ting med lavere risiko etter hvert.

Ifølge Waag kan en slik kartlegging begynne med den jobben som allerede er gjort i forbindelse med innføringen av Dora.

– La oss gå videre på den løypa. Vi må senke terskelen: Hva betyr dette for oss? Hvor starter jeg? Her kan vi som bransjeorganisasjon bidra med veikart, sa Waag.

Trenger ti år på å finne svarene

Lars Nordbryhn peker på kryptering, særlig innen finans også brukes til signering, autentisering og verifisering, og at også slike områder vil kunne påvirkes.

- Det er en stor jobb å gå langt ned i materien: kode, programvare, underleverandørkjede – alt – for å løfte opp til de nye standardene som kommer nå. De ti årene er kanskje nettopp det vi trenger for å bygge om og fornye hvordan vi bruker kryptering, sa Nordbryhn.

Astrid Undheim mener bransjen trenger en «sense of urgency» og at myndighetene både må stille krav og koordinere jobben.

– For leverandørkjeden er dette en stor jobb med stor kostnad, og det er vanskelig å vite når man skal begynne å investere, samtidig som man ikke kan være 100 prosent sikre på at de nye standardene er trygge.

Ifølge Waag er det på kort sikt viktigst å bygge kompetanse på hvilke data som er viktigst å holde trygge 10, 15 eller 20 år fram i tid? På lengre sikt mener han man må se på hvordan kvanteteknologi kan brukes til noe positivt.

Fra bit til qubit

Den utvidede datakraften man får av å gå fra dagens bits til morgendagens qubits, eller kvantebits, er enorm og kan brukes til mye som kan være til gagn for menneskeligheten.

Hva er da forskjellen på en bit og qubit? Med ordene til Marianne Etzelmuller Bathen er den følgende:

– En klassisk bit i en datamaskin kan være enten 0 eller 1 – som en bryter som er av eller på. En kvantebit kan også være 0 eller 1, men samtidig i en superposisjon av begge tilstander. Den er altså både av og på – eller mer presist: den har en viss sannsynlighet for hver tilstand, og først når vi måler, «faller» den ned til én av dem.

Det er nettopp denne superposisjonen som gjør det mulig å skape nye typer teknologi.

Bra for norsk industri

Nordbryhn forklarer at IBM allerede samarbeider med 270 internasjonale aktører om kvanteteknologi og kvantberegninger fra et «use case»-perspektiv. - Vi tror på et gjennombrudd allerede neste år i positive anvendelser. I flere tilfeller innen områder som er relevante for norsk industri, for eksempel prosessindustri og store energikrevende industrier – forståelse av ovner, kjemiske prosesser, produksjon av kunstgjødsel, rimelig aluminium, god maling, sa Nordbryhn og la til:

– Men ser vi på tidslinjen for når kvantedatamaskiner blir store nok til å knekke asymmetrisk kryptering, ligger det langt frem – etter mange gode, industrielle anvendelser.

– Noen amerikanske forskere har sagt at man kan komme til å løse kreftgåten med kvanteteknologi før man knekker kryptoalgoritmene som ligger til grunn for blockchain – som et eksempel. Det finnes ulike meninger om det, men likevel: det finnes anledning til optimisme også, sa Undheim.