Thales: le aziende vedono il quantum computing come una minaccia per i loro dati

Thales, un colosso che può contare 83.000 dipendenti sparsi su 68 diversi Paesi, ha pubblicato l'edizione europea del suo ultimo rapporto sullo stato della cybersecurity, il 2020 Data Threat Report. I risultati si basano su un campione di 509 executive del settore, appartenenti a diversi settori di business così da offrire uno spaccato della situazione che non sia non limitato a uno solo di questi. 

L'indagine mostra come i dati siano sempre più a rischio, in parte grazie anche alla diffusione del cloud, che sposta i dati al di fuori dei data center aziendali, dati che non sempre vengono protetti in maniera efficace. L'aspetto più interessante del rapporto però è quello relativo alle minacce future: a fare paura è l'evoluzione del quantum computing.

Cloud e multicloud: per garantire la sicurezza è fondamentale cifrare i dati che si spostano sulla nuvola

Il report di Thales evidenzia come quasi la metà delle aziende intervistate (48%) abbia subito, nella sua storia, almeno una violazione dei dati. Il 28% di queste afferma che questo sia successo negli ultimi 12 mesi. Il dato che più fa riflettere però è quello relativo alla loro preparazione: quasi un'azienda su 4 (il 24%) non ha superato un audit di ottemperanza (compliance) nell'ultimo anno. 

Il rapporto approfondisce il rapporto della aziende con il cloud, che ormai è alla base di numerosissime imprese: il 46% infatti archivia sulla nuvola tutti i propri dati e il 43% di questi è considerato sensibile. Di per sé questo non sarebbe un problema: il cloud non è meno sicuro del classico data center, alla fine, a patto di implementarlo correttamente. Cosa che però non sempre avviene: la totalità degli intervistati ha infatti ammesso di non cifrare tutti i dati che trasferisce sul cloud: solo poco più della metà di queste informazioni (54%) è conservata in forma criptata. 

Ed è proprio su questo che insiste Thales: l'importanza della crittografia. Poco conta che i dati vengano sottratti, se tanto sono illeggibili. Cifrare le informazioni, però, non è sufficiente se non si gestiscono in maniera adeguata le chiavi necessarie a sbloccarli. Affidare al cloud provider la cifratura dei dati, infatti, offre un livello di sicurezza relativamente basso, che può essere incrementato con l'approccio BYOK, Bring Your Own Key, nel quale è il cliente a creare e gestire le chiavi, invece che il provider. Anche questa soluzione, però, potrebbe non essere ottimale in caso di dati particolarmente sensibili, ed è qui che entra in gioco il concetto di HYOK, Hold Your Own Key. I questi scenari, sono le aziende a creare, gestire e custodire le chiavi, e il cloud provider si limita a conservare i dati sui suoi sistemi. Il grado più elevato di sicurezza è in ogni caso rappresentato dal BYOE, Bring Your Own Encryption, nel quale l'azienda controlla anche la forma di cifratura, non affidandosi ad entità di terze parti. 

Nel report, realizzato in collaborazione con IDC, vengono dati ulteriori suggerimenti su come mettere i dati in sicurezza, a partire dal porre l'enfasi sulle soluzioni di data discovery: per proteggere le informazioni è necessario sapere dove queste sono conservate, ma con le moderna architetture multi e hybrid cloud questo non è sempre scontato. 

Il cloud computing fa paura

Il 69% delle aziende mostra preoccupazione nei confronti della rapida evoluzione del quantum computing. Non si tratta di paure come quelle, infondate, sui pericoli del 5G: l'avvento del quantum computing accelererà enormemente certi tipi di calcolo, in particolare quelli su cui si basano gli attuali sistemi di criptazione. Oggi i dati criptati sono al sicuro proprio perché i computer attuali non hanno la potenza di calcolo necessaria per aggredire le attuali chiavi di sicurezza. I computer quantistici, invece, potrebbero scardinare senza troppa fatica gli attuali sistemi di crittografia simmetrica, a quanto dichiara il report. 

Per questo motivo le aziende più attente alla sicurezza stanno valutando di abbandonare questi sistemi in favore di quelli asimmetrici oppure di adottare sistemi di gestione della chiavi crittografiche che supportano i quantum safe random number generator.