Positive Technologies, «Российский квантовый центр» и другие игроки отрасли назвали пять главных киберугроз квантовых технологий
27/05/24
По прогнозам аналитического агентства Gartner, к 2025 году около 40% крупных компаний будут поддерживать квантовые технологии и проводить на их основе пилотные проекты. Сейчас инвестиции в технологии, по данным отчета McKinsey & Company за 2023 год, достигли нового максимума — 2,35 миллиарда долларов. При этом квантовый мир привлекает не только корпорации, но и злоумышленников, которые ищут новые способы организации кибератак. Специалисты Positive Technologies в партнерстве с «КуБорд» (ООО «ОКТ»), QApp (ООО «КуАпп») и «Российским квантовым центром» (ООО «МЦКТ») представили исследование «Безопасность квантовых технологий в сфере IT», где назвали главные киберугрозы квантового мира. Кража информации, уязвимости ПО и атаки на квантовый интернет угрожают технологиям в первую очередь.
Согласно исследованию, можно выделить пять главных угроз квантовых технологий (первые четыре относят к угрозам для квантовых компьютеров, последнюю — к угрозам для квантовых коммуникаций):
- Угрозы на физическом уровне, связанные с нестабильностью и чувствительностью кубитов (квантовых битов). По оценкам экспертов, злоумышленники могут провести атаку типа «отказ в обслуживании» (DoS), например нагревая квантовый компьютер и создавая помехи для искажения данных. На данный момент проведение атак возможно в связи с тем, что оборудование отличается высокой чувствительностью к внешней среде и вмешательство злоумышленника может стать причиной его некорректного функционирования.
- Кража конфиденциальной информации. Эксперты прогнозируют, что украденные результаты квантовых вычислений будут высоко цениться у злоумышленников, поскольку сами системы и вычисления, созданные на их основе, стоят очень дорого.
«Как только появится действительно мощный квантовый компьютер, который позволит решать недоступные сейчас математические задачи, гонка между технологическими гигантами перейдет на новый уровень. Результаты компьютерных вычислений станут более ценными как для конкурентов, так и для хакеров. И одной из задач кибербезопасности станет защита результатов квантовых вычислений, — комментирует Екатерина Снегирева, старший аналитик исследовательской группы Positive Technologies. — Традиционная гонка на рынке информационной безопасности между атакующими и защитниками с появлением квантового компьютера также перейдет на новый уровень».
- Уязвимости в программном обеспечении, предназначенном для квантовых вычислений, также будут представлять серьезную угрозу. Так, в решениях, используемых для реализации квантовых схем, они уже зафиксированы. Например, в cuQuantum, продукте NVIDIA, были обнаружены две уязвимости высокого уровня опасности — CVE-2018-20225 и CVE-2023-36632, а в библиотеке Quantum Development Kit для Visual Studio Code — CVE-2021-27082, также имеющая высокий уровень опасности. В будущем эксплуатация уязвимостей квантового ПО может привести к утечке конфиденциальной информации, захвату аппаратных ресурсов и выводу оборудования из строя.
- Угроза облачным вычислениям. Развитие облачного формата ресурсов квантовых технологий, вероятно, побудит злоумышленников активно искать уязвимости в решениях вендоров, а также проводить атаки на IT-компании, поставляющие облачные продукты. К типичным киберугрозам этой сферы относятся некорректная конфигурация облачных сервисов и уязвимости в них, небезопасное хранение и обработка данных со стороны поставщика услуг, а также атаки типа «отказ в обслуживании». Перечисленное представляет опасность и для инфраструктур QCaaS (quantum computing as a service).
- Атаки на квантовый интернет. Цели атак в условиях квантового интернета схожи с атаками на классические сети — это кража информации, нарушение целостности или доступности квантовых узлов или квантовых сетей, а также захват квантового соединения или вычислительных ресурсов.
Не менее важными эксперты назвали угрозы, связанные и с постквантовой криптографией. Как отмечается в исследовании, тактика «сохрани сейчас — расшифруй потом» (store now, decrypt later) позволит злоумышленникам в будущем расшифровывать данные, используя для этого более мощный квантовый компьютер. Поэтому многие конфиденциальные данные уже сейчас находятся под угрозой. Для защиты некоторые компании, в том числе российские, начинают внедрять метод постквантового шифрования.
В России квантовые технологии активно развиваются последние несколько лет. Сейчас основным драйвером их развития являются дорожные карты направлений «Квантовые вычисления» и «Квантовые коммуникации», которые курируют «Росатом» и РЖД соответственно.
«Комплексной задачей развития квантовых технологий на 2025–2030 г. является создание на основе полученного научного задела новых высокотехнологичных продуктов и услуг на стыке смежных и комплементарных технологий и научных дисциплин (квантовых и биомедицинских технологий, новых материалов, искусственного интеллекта и т. п.) и переход к их внедрению в приоритетных отраслях экономики, — рассказывает Ярослав Борисов, руководитель направления по новым проектам ООО «СП „Квант“». — Итогом станет появление новой высокотехнологичной индустрии, основой которой станут востребованные рынком решения, продукты, сервисы и услуги, относящиеся к различным сферам и отраслям, в том числе к кибербезопасности».
Также квантовые технологии стали одной из сквозных тем в национальном проекте «Экономика данных». Исследовательские центры, государственные корпорации, прогрессивный бизнес, университеты выступают агрегаторами и инициаторами многих проектов, связанных с изучением квантовых технологий в России.
«Стремительное развитие квантовых технологий и формирование квантовой индустрии мотивируют уже сейчас задуматься об аспектах их внедрений, — делится Алексей Федоров, руководитель научной группы «Российского квантового центра». — Наряду с очевидными преимуществами появление квантового компьютера — угроза информационной инфраструктуре, основанной на использовании определенных классов криптографических алгоритмов. Необходимо уже сейчас переходить на квантово-устойчивые решения. Кроме того, учитывая значимость квантовых вычислительных сервисов для решения различных задач, они сами могут становиться объектом атак. Для полноценной интеграции квантовых вычислений в бизнес-процессы необходимо уже сейчас учитывать определенные сценарии атак и направлять усилия на исключение условий для их реализации».
При этом комплексной защиты квантовых технологий от киберугроз на рынке информационной безопасности пока нет. Это связано с вариативностью развития самих квантовых технологий.
«Промежуточное и конечное программное обеспечение на основе постквантовых алгоритмов может повысить уровень кибербезопасности широкого спектра решений, в том числе, использующих квантовые технологии, — делится Антон Гугля, генеральный директор QApp. — На сегодняшний день выявлена и уже апробируется технологическая синергия с решениями квантовых коммуникаций и ведутся работы по другим направлениям».
Вендоры, в том числе Positive Technologies, одним из перспективных направлений защиты считают открытие новых программ багбаунти для поиска уязвимостей в квантовых системах. Также важный шаг для будущего кибербезопасности — концепция квантового распределения ключей, над которой ведут работу многие научные центры и которая обещает создание более защищенных каналов связи.