Alle systemen quantumveilig voor 2030?

Is cruciale informatie bij gemeenten nog veilig sinds de ontwikkeling van quantumtechnologie? De ene gemeente is al met maatregelen bezig, voor andere gemeenten is het vooralsnog toekomstmuziek. ‘Veel organisaties vragen zich af waar ze moeten beginnen.’

Ontwrichting

Met de rekenkracht van quantumcomputers zijn methoden waarmee gevoelige informatie van gemeenten wordt versleuteld eenvoudig te kraken. Daardoor is het risico op ontwrichting van de lokale samenleving levensgroot. Denk aan de chaos die ontstaat als inlogcodes van vitale infrastructuur beschikbaar komen. Of als hackers vrij baan krijgen bij het inzien en wijzigen van persoonsgegevens, financiële transacties of de communicatie in het veiligheidsdomein.

Ook al is quantumtechnologie nu nog niet in die vorm beschikbaar, cruciale informatie die vandaag door kwaadwillenden van internet wordt afgetapt en opgeslagen, kan later worden ontsleuteld als die technologie wél beschikbaar komt. ‘Wij starten nu gesprekken met onder meer het ministerie van Binnenlandse Zaken, het ministerie van Defensie, Logius en de G4-gemeenten over waar de grootste risico’s in onze vitale digitale infrastructuur gaan spelen’, zegt Stefan van Ingen, bij de gemeente Rotterdam verantwoordelijk voor Identity & Access Management.

Experts verschillen van mening over wanneer quantumtechnologie in staat is de huidige digitale beveiliging te doorbreken. Periodes van vijf, tien, twintig of veertig jaar worden genoemd. Maar hoe ver de ontwikkeling van quantumtechnologie is in landen als Rusland en China, weet niemand. Technologieontwikkelingen zijn onvoorspelbaar. Kortom, je kunt beter vandaag dan morgen starten met de voorbereidingen voor quantumveilige systemen.

Sturing

‘Er moet een gecoördineerde sturing komen’, stelt Albert de Ruiter, namens Logius beleidsautoriteit van PKI Overheid, het stelsel waarin Qualified Trust Service Providers kwalitatief hoogwaardige digitale certificaten uitgeven en beheren. Hij is ook betrokken bij diverse werkgroepen die de (semi-)overheid en andere organisaties quantumveilig moeten maken. ‘Coördinatie is essentieel, anders gaat ieder het op zijn eigen manier doen. Er dient een goed programma te liggen, zoals een Post Quantum Roadmap met alle elementen voor een adequate transitie. De uitvoering moet worden gepland en er moet worden getoetst.’
Alle overheidsinstanties moeten hiermee wat hem betreft aan de slag, maar hebben hun eigen verantwoordelijkheid en bepalen in grote mate de eigen invulling.

‘Er moet een mandaat komen met de opdracht de voorbereidingen te starten, de transitie te plannen en systemen gereed te hebben op een vastgestelde datum’, vult Paul van Brouwershaven aan. Hij is CEO bij Digitorus, specialist in Public Key Infrastructure (PKI) en digitale hand­tekeningen. Van Brouwershaven is ook voorzitter van het PKI Consortium, een wereldwijde organisatie die zich inzet voor digitale veiligheid en vertrouwen met behulp van PKI. De Ruiter is vice-voorzitter van ditzelfde consortium. 

Inventariseren

Eind januari beloofde staatssecretaris Zsolt Szabó de Tweede Kamer dat er voor de zomer van 2026 een inventarisatie ligt van alle cryptografische toepassingen bij de departementen. Ook is in het programma Quantum Veilige Cryptografie NL een werkgroep bezig om bij aanbestedingen en inkoop de leveranciers te verplichten duidelijk te maken hoe zij hun systemen voorbereiden op quantumveiligheid. Ondanks de trage start heeft de staatssecretaris de ambitieuze doelstelling dat alle systemen voor 2030 quantumveilig zijn.

Hoe overheidsorganisaties aan de slag kunnen, is duidelijk. Eind vorig jaar publiceerden de AIVD, Centrum Wiskunde & Informatica en TNO een herziene versie van het PQC-migratiehandboek met daarin een stapsgewijze handleiding. De Ruiter en Van Brouwershaven zien risico-analyse als eerste stap. ‘Weet wat je hebt! Welke software hebben we eigenlijk draaien? Welke cryptografie wordt gebruikt door deze applicaties? Komen er überhaupt nog updates van die applicaties? Maar ook: welke data hebben we en hoe gevoelig zijn die? Dat is iets waar iedereen vandaag mee kan beginnen. Zelfs als je niks van quantum afweet en nog geen idee hebt van de oplossingen die nodig zijn’, zegt Van Brouwershaven. 

Kostbaar

Staatssecretaris Szabó wees er eind januari op dat de inventarisatie bij de ministeries in volle gang is. Toch schetst Ton Oosterwijk, directeur van PKIpartners, eerder in Binnenlands Bestuur een veel somberder beeld, met name bij lokale overheden. ‘Alles is nog in een prematuur stadium’, bevestigt Van Ingen. ‘De gemeente Rotterdam onderzoekt momenteel wat de beste oplossing is voor geautomatiseerd Certificate Lifecycle Management.’ Hij ziet dat als een randvoorwaarde om de gemeente ‘quantumproof’ te maken.

Nog niet alle gemeenten zijn zo ver. De uitdaging zit in het kweken van bewustwording, zegt De Ruiter. ‘Veel partijen denken, zo is mijn beeld, er is nog geen quantumcomputer die de algoritmen heeft gekraakt. Dat duurt misschien nog dertig of veertig jaar. Waarom zou ik nu gaan investeren?’ Hij wijst erop dat het hele traject kostbaar is. ‘Anderen besluiten af te wachten totdat een ander de oplossing heeft bedacht.’

Lees het hele verhaal deze week in BB05 (inlog).