Sisältöön

Kvanttitietokoneet ja tulevaisuus - SecMeter

Ohita valikko
Ohita valikko

Kvanttitietokoneet ja tulevaisuus

Yritysturvallisuus > Johtaminen
Kvanttitietokoneiden vaikutus yritysturvallisuuteen


Lähes kaikki yritysten kriittinen tieto, liiketoimintaprosessit ja viestintä perustuvat nykyään tietojärjestelmiin, joiden turvallisuus rakentuu vahvan kryptografian varaan. Teknologinen kehitys etenee nopeasti, ja yksi merkittävimmistä tulevaisuuden muutoksista liittyy kvanttitietokoneisiin.

Kanttilaskenta tarjoaa huomattavia mahdollisuuksia esimerkiksi lääketieteeseen, materiaalitutkimukseen, energia-alalle ja tekoälyn kehittämiseen, se muodostaa samalla vakavan haasteen nykyisille tietoturvaratkaisuille.

Kvanttitietokoneiden kehittyminen uhkaa erityisesti nykyisiä salausmenetelmiä, joiden turvallisuus perustuu siihen, että tietyt matemaattiset ongelmat ovat perinteisille tietokoneille käytännössä ratkaisemattomia.

Riittävän tehokas kvanttitietokone voisi kuitenkin ratkaista nämä ongelmat huomattavasti nykyisiä tietokoneita nopeammin, mikä voisi johtaa nykyisten salausjärjestelmien murtumiseen.

Tästä syystä sekä Euroopan unioni, kansalliset viranomaiset että yritykset ovat käynnistäneet laajoja valmistautumistoimia kvanttiturvalliseen aikakauteen siirtymiseksi.
Yritysjohdon tehtävälista
Vaihe 1: Nykytilan kartoitus (0–6 kk)

  1. Nimeä kvanttiturvallisuudesta vastaava henkilö tai työryhmä.
  2. Laadi kryptografinen inventaario käytössä olevista algoritmeista (RSA, ECC, AES jne.).
  3. Tunnista järjestelmät, joissa salatun tiedon luottamuksellisuusvaatimus on yli 10 vuotta.
  4. Arvioi toimittajien ja kumppaneiden kvanttiturvallisuusvalmius.
  5. Lisää kvanttiriski osaksi yrityksen riskienhallintaa.
  6. Selvitä, missä kaikkialla yrityksessä käytetään kryptografiaa:

  • VPN-yhteydet
  • TLS/SSL-varmenteet
  • Sähköposti
  • Pilvipalvelut
  • Tietokannat
  • Digitaaliset allekirjoitukset
  • IoT-laitteet
  • Etäyhteydet

Riskiluokittelu (6–12 kk)

  1. Arvioi "Kerää nyt – pura myöhemmin" (Harvest Now, Decrypt Later) -riski.
  2. Määritä liiketoimintakriittiset järjestelmät, jotka vaativat ensimmäisenä PQC-siirtymän.
  3. Luokittele tietoaineistot:

  • Korkea riski
  • Keskitasoinen riski
  • Matala riski

4. Tunnista tiedot, joiden vuotaminen aiheuttaisi merkittävää haittaa myös 10–20 vuoden kuluttua:

  • Asiakasrekisterit
  • Potilas- ja terveystiedot
  • Tuotekehitysdata
  • Patentit
  • Liikesalaisuudet
  • Sopimukset
  • Turvallisuusselvitykset

Vaihe 3: Kryptoketteryys (1–2 vuotta)

  1. Arvioi järjestelmien kyky vaihtaa salausalgoritmeja ilman suuria muutoksia.
  2. Sisällytä kaikkiin uusiin IT-hankintoihin vaatimus kryptoketteryydestä.
  3. Päivitä hankintapolitiikka huomioimaan PQC-vaatimukset.
  4. Dokumentoi kryptografisten muutosten hallintaprosessi.
  5. Varmista, että tulevat järjestelmät tukevat:

  • PQC-standardeja
  • Hybridikryptografiaa
  • Päivitettäviä sertifikaatteja

Vaihe 4: Tekninen valmistautuminen (1–3 vuotta)

  1. Seuraa NIST:n PQC-standardien käyttöönottoa.
  2. Ota käyttöön hybridiratkaisuja, joissa yhdistetään nykyiset ja kvanttiturvalliset algoritmit.
  3. Varmista yhteensopivuus asiakkaiden, toimittajien ja viranomaisten kanssa.
  4. Testaa kvanttiturvallisia algoritmeja laboratorioympäristössä.
  5. Toteuta pilottihankkeita:

  • VPN-yhteydet
  • Sähköposti
  • Sertifikaattijärjestelmät
  • Digitaaliset allekirjoitukset

Vaihe 5: Henkilöstön ja toimintatapojen kehittäminen

  1. Kouluta johto ymmärtämään kvanttiuhan liiketoimintavaikutukset.
  2. Kouluta IT- ja tietoturvahenkilöstö PQC-ratkaisuihin.
  3. Lisää kvanttiturvallisuus osaksi tietoturvapolitiikkaa.
  4. Sisällytä kvanttiriskit auditointeihin.
  5. Luo kvanttiturvallisuuden tiekartta vuosille 2026–2035.

Vaihe 6: Toimitusketjun hallinta

  1. Selvitä kriittisten toimittajien PQC-valmius.
  2. Lisää toimittajasopimuksiin kvanttiturvallisuusvaatimukset.
  3. Varmista pilvipalveluiden PQC-tiekartat.
  4. Arvioi ulkoistettujen palvelujen kryptografiset ratkaisut.
  5. Tee säännöllinen toimitusketjun tietoturva-arviointi.

Vaihe 7: Johdon strategiset päätökset

  1. Hyväksy kvanttiturvallisuuden investointisuunnitelma.
  2. Määritä budjetti vuosille 2026–2035.
  3. Seuraa EU:n PQC-tiekartan etenemistä.
  4. Raportoi kvanttiturvallisuuden tila vuosittain hallitukselle.
  5. Seuraa kansallisia suosituksia:

  • Kyberturvallisuuskeskus
  • Huoltovarmuuskeskus
  • VTT
  • NIST
Kvanttitietokoneiden toimintaperiaate
Perinteiset tietokoneet käsittelevät tietoa biteillä, joiden arvo voi olla joko 0 tai 1. Kvanttitietokoneet puolestaan hyödyntävät kubitteja, jotka voivat kvanttimekaniikan superpositio-ominaisuuden ansiosta olla samanaikaisesti useissa tiloissa. Lisäksi kubittien välinen lomittuminen mahdollistaa laskentatehon kasvattamisen tavalla, johon klassiset tietokoneet eivät kykene.

Kvanttitietokoneiden kehitys on kuitenkin teknisesti haastavaa. Nykyiset järjestelmät ovat virhealttiita, ja niiden toiminta edellyttää erittäin matalia lämpötiloja, lähellä absoluuttista nollapistettä.

Käytännön sovellukset ovat vielä rajallisia, alan kehitys on ollut nopeaa. Teknologiajätit kuten Google ja IBM sekä useat tutkimuslaitokset investoivat merkittävästi kvanttilaskentaan, koska sen odotetaan mahdollistavan tulevaisuudessa ratkaisuja ongelmiin, joita nykyiset supertietokoneet eivät kykene tehokkaasti käsittelemään.

Kvanttitietokoneiden vaikutus tietoturvaan
Tietoturvan näkökulmasta merkittävin uhka liittyy kryptografiaan. Nykyinen internetin turvallisuus perustuu suurelta osin julkisen avaimen kryptografiaan, kuten RSA- ja elliptisiin käyriin perustuviin algoritmeihin. Näiden turvallisuus perustuu matemaattisten ongelmien laskennalliseen vaikeuteen.

Kvanttitietokoneiden kehityksen myötä tämä oletus voi kuitenkin muuttua. Tunnettu Shorin algoritmi mahdollistaa esimerkiksi suurten lukujen tekijöihin jakamisen huomattavasti tehokkaammin kuin nykyiset menetelmät. Tämän seurauksena monet nykyiset salausjärjestelmät voivat muuttua käyttökelvottomiksi.

Vaikka täysin toimintakykyisiä kryptografisesti merkittäviä kvanttitietokoneita ei vielä ole olemassa, uhka on todellinen. Erityistä huolta aiheuttaa niin sanottu "Harvest Now, Decrypt Later" -ilmiö eli "kerää nyt, pura myöhemmin".

Kyberrikolliset tai valtiolliset toimijat voivat jo tällä hetkellä kerätä salattua tietoa talteen ja odottaa kvanttitietokoneiden kehittymistä ennen salauksen purkamista. Tämä on erityisen ongelmallista tiedoille, joiden luottamuksellisuus tulee säilyttää vuosikymmeniä. Esimerkiksi seuraavat tiedot ovat erityisen alttiita tulevaisuuden kvanttiuhille:

  • Potilastiedot
  • Puolustusmateriaalit
  • Valtionhallinnon asiakirjat
  • Tutkimus- ja tuotekehitystiedot
  • Kriittisen infrastruktuurin suunnitelmat
  • Yritysten liikesalaisuudet

Post-Quantum Cryptography (PQC) ja kvanttiturvallinen salaus
Kvanttiuhan torjumiseksi on kehitetty uusia salausmenetelmiä, joita kutsutaan kvanttiturvalliseksi kryptografiaksi eli Post-Quantum Cryptographyksi (PQC). Näiden algoritmien tarkoituksena on säilyttää turvallisuutensa myös tilanteessa, jossa tehokkaita kvanttitietokoneita on käytettävissä.

Yhdysvaltain kansallinen standardointi- ja teknologiainstituutti NIST julkaisi vuonna 2024 ensimmäiset viralliset PQC-standardit. Uusia algoritmeja arvioidaan jatkuvasti, jotta tulevaisuudessa käytettävissä olisi useita toisistaan riippumattomia vaihtoehtoja. Tämä vähentää riskiä, että yhden algoritmin haavoittuvuus vaarantaisi koko tietoturvaekosysteemin.

Euroopan unionin tiekartan mukaan:

  • Kansalliset PQC-suunnitelmat tulee laatia vuoden 2026 loppuun mennessä.
  • Korkean riskin järjestelmien tulee siirtyä kvanttiturvallisiin ratkaisuihin vuoteen 2030 mennessä.
  • Kaikkien järjestelmien siirtymän tulee olla valmis vuoteen 2035 mennessä.

Vaikutukset yritysturvallisuuteen
Yrityksille kvanttitietokoneiden kehitys merkitsee ennen kaikkea strategista turvallisuusriskiä. Yritysten kilpailukyky perustuu usein aineettomaan pääomaan, kuten tuotekehitykseen, patentteihin, asiakastietoihin ja liiketoimintasuunnitelmiin. Mikäli tällainen tieto päätyy kilpailijoille tai rikollisille toimijoille, seuraukset voivat olla vakavia. Kvanttitietokoneiden mahdollistama salauksen murtaminen voi johtaa:

  • Liikesalaisuuksien vuotamiseen
  • Immateriaalioikeuksien menettämiseen
  • Taloudellisiin tappioihin
  • Mainehaittoihin
  • Sääntelyrikkomuksiin
  • Asiakassuhteiden heikentymiseen

Operatiiviset riskit
Yritysten päivittäinen toiminta perustuu laajasti salattuihin tietoliikenneyhteyksiin. Erityisen haavoittuvia ovat rahoitusala, terveydenhuolto, energia-ala, teleoperaattorit, logistiikka ja julkishallinto. Verkkopankit, pilvipalvelut, VPN-yhteydet, sähköposti ja digitaalinen allekirjoittaminen hyödyntävät nykyisiä kryptografisia ratkaisuja. Jos nämä ratkaisut menettävät turvallisuutensa, seurauksena voi olla:

  • Tietomurtojen lisääntyminen
  • Identiteettivarkaudet
  • Maksuliikenteen väärinkäytökset
  • Toimitusketjujen häiriöt
  • Palveluiden keskeytyminen

Toimitusketjujen turvallisuus
Yritykset ovat laajojen digitaalisten ekosysteemien osia. Tietoturvan taso riippuu usein myös kumppaneista, alihankkijoista ja ohjelmistotoimittajista. Siksi yritysten on varmistettava, että myös niiden toimitusketjut ovat valmistautuneet PQC-siirtymään. Kvanttiuhkaan varautuminen ei koske vain omaa infrastruktuuria, vaan myös:

  • Pilvipalvelutoimittajia
  • Ohjelmistotaloja
  • Laitetoimittajia
  • Kumppaniverkostoja
  • Ulkoistettuja palveluita

Kryptoketteryys yritysturvallisuuden kulmakivenä
Keskeinen käsite kvanttiturvallisuudessa on kryptoketteryys (cryptographic agility). Sillä tarkoitetaan järjestelmien kykyä vaihtaa käytössä olevia salausalgoritmeja nopeasti ilman merkittäviä muutoksia koko järjestelmään. Kryptoketteryyden avulla yritykset voivat:

  • Reagoida uusiin uhkiin nopeasti
  • Ottaa käyttöön uusia standardeja hallitusti
  • Vähentää siirtymäkustannuksia
  • Parantaa pitkän aikavälin turvallisuutta

Käytännössä tämä tarkoittaa modulaarisia järjestelmäarkkitehtuureja, joissa kryptografia voidaan päivittää ilman koko järjestelmän uusimista. Sekä EU että NIST pitävät kryptoketteryyttä keskeisenä vaatimuksena tulevaisuuden tietoturvalle.

Suositukset yrityksille
Yritysten tulisi aloittaa valmistautuminen kvanttiturvalliseen aikakauteen jo nyt. Keskeisiä toimenpiteitä ovat:

  • Kryptografisen infrastruktuurin kartoitus.
  • Kriittisten tietovarantojen tunnistaminen.
  • PQC-standardien seuranta.
  • Hybridisalausratkaisujen pilotointi.
  • Kryptoketteryysvaatimusten huomioiminen uusissa hankinnoissa.
  • Toimittajien PQC-valmiuksien arviointi.
  • Henkilöstön kouluttaminen.
  • Kvanttiturvallisen tiekartan laatiminen.

Riskienhallinnan päivittäminen kvanttiuhkien näkökulmasta.
Kvanttitietokoneet ovat yksi merkittävimmistä tulevaisuuden teknologisista murroksista. Niiden potentiaali ratkaista monimutkaisia ongelmia voi tuoda huomattavia hyötyjä tieteelle, teollisuudelle ja yhteiskunnalle.

Ne muodostavat kuitenkin vakavan haasteen nykyiselle tietoturvalle, sillä riittävän tehokkaat kvanttitietokoneet voivat murtaa suuren osan nykyisistä salausjärjestelmistä.

Yritysten näkökulmasta kyse ei ole enää pelkästä tulevaisuuden skenaariosta, vaan konkreettisesta riskistä, johon on varauduttava ennakoivasti. Erityisen tärkeää on huomioida pitkäikäisen tiedon suojaaminen sekä mahdollisuus siihen, että tänään varastettu salattu tieto voidaan purkaa tulevaisuudessa.

Tästä syystä kvanttiturvallisiin ratkaisuihin siirtyminen, kryptoketteryyden kehittäminen ja PQC-standardien käyttöönotto muodostuvat keskeisiksi yritysturvallisuuden kehityssuunniksi seuraavan vuosikymmenen aikana.

Yritykset, jotka aloittavat valmistautumisen ajoissa, kykenevät hallitsemaan muutosta suunnitelmallisesti ja kustannustehokkaasti. Ne yritykset, jotka lykkäävät toimenpiteitä liian pitkälle tulevaisuuteen, voivat joutua kiireellisiin, kalliisiin ja riskialttiisiin muutoksiin.

Johdon tiekartta kvanttiturvallisuuteen
Vuoteen 2026 mennessä

  • Yrityksen kryptografinen inventaario on valmis.
  • Tietoaineistot ja järjestelmät on riskiluokiteltu.
  • Kvanttiturvallisuuden (PQC) siirtymätiekartta on laadittu ja hyväksytty.

Vuoteen 2030 mennessä

  • Korkean riskin järjestelmät on siirretty kvanttiturvallisiin tai hybridikryptografisiin ratkaisuihin.
  • Hybridikryptografia on käytössä kriittisissä palveluissa ja tietoliikenneyhteyksissä.
  • Toimitusketjun ja keskeisten kumppaneiden kvanttiturvallisuusvalmius on arvioitu.

Vuoteen 2035 mennessä

  • Yrityksen keskeiset järjestelmät ja palvelut käyttävät kvanttiturvallisia kryptografisia ratkaisuja.
  • Kryptoketteryys on sisäänrakennettu kaikkiin uusiin järjestelmiin, hankintoihin ja tietoturva-arkkitehtuureihin.
  • Yritys kykenee reagoimaan uusiin kryptografisiin uhkiin ilman merkittäviä liiketoimintahäiriöitä.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön