Dentro brevemente
- O relatório do GAO alerta que os EUA enfrentam grandes riscos de segurança cibernética decorrentes da computação quântica devido a lacunas de liderança e a uma estratégia nacional incompleta.
- Embora os esforços para desenvolver a criptografia pós-quântica e os sistemas federais seguros continuem, os principais setores de infraestrutura carecem de orientação e apoio claros para a transição.
- O relatório apela ao Gabinete do Administrador Cibernético Nacional para coordenar, coordenar esforços e resolver as lacunas de financiamento e responsabilização para mitigar a ameaça crescente.
Os EUA enfrentam uma grave ameaça à segurança cibernética à medida que os computadores quânticos se aproximam da perturbação dos sistemas criptográficos que protegem dados e infraestruturas governamentais críticas, de acordo com um relatório do Government Accountability Office (GAO). Sem uma liderança clara e uma estratégia nacional unificada, alertam os especialistas, a nação permanece vulnerável.
O que está em risco?
A criptografia está no centro da segurança cibernética moderna, protegendo tudo, desde comunicações governamentais confidenciais até transações financeiras e sistemas de energia, afirma o relatório. Ele funciona usando quebra-cabeças matemáticos complexos que levam anos – ou até séculos – para serem resolvidos pelos computadores convencionais. Mas os computadores quânticos, com as suas capacidades únicas, podem contornar estas defesas em horas, de acordo com o GAO.
O relatório também reconhece a necessidade de agir agora, mesmo que os computadores quânticos sejam suficientemente poderosos para hackear os atuais esquemas criptográficos preparados para o futuro.
“Os adversários podem capturar informações confidenciais hoje, armazená-las e anotá-las mais tarde, quando os computadores quânticos se tornarem mais poderosos”, escreveram os analistas do GAO. Conhecida como “criptografar agora, descriptografar depois”, essa ameaça significa que é necessária ação agora para proteger os dados para o futuro.
O desenvolvimento de um computador quântico criptograficamente correto (CRQC) – capaz de quebrar estas defesas matemáticas – é possível nos próximos 10 a 20 anos, estima o relatório. Este cronograma deixou as agências governamentais e os proprietários de infraestruturas críticas lutando para se preparar.
Estratégia de Alteração
Embora os EUA tenham tomado medidas para enfrentar estes riscos, o GAO concluiu que a estratégia nacional de cibersegurança quântica é deficiente em diversas áreas. Os esforços até agora concentraram-se em três objetivos principais: criar novos métodos criptográficos que sejam resistentes a ataques quânticos (criptografia pós-quântica, ou PQC), mudar os programas governamentais para estes métodos e incentivar a indústria privada a segui-los.
No entanto, o relatório do GAO salienta que, embora os dois primeiros objectivos sejam subabordados, o terceiro – trazer a bordo indústrias como as financeiras, os cuidados de saúde e os serviços públicos – é negligenciado. Os marcos das agências governamentais estão incompletos e não existem medidas de desempenho para medir o progresso.
Os setores de infraestruturas críticas ainda não receberam orientação clara ou apoio para a transição para a criptografia pós-quântica, sugerem os analistas do GAO, acrescentando que isso pode deixar alguns dos sistemas mais críticos vulneráveis.
O relatório afirma: “Os documentos de segurança cibernética da computação quântica do governo identificaram as metas e atividades dos dois primeiros objetivos relacionados à medição do PQC e à conversão de programas de agências federais em PQC. No entanto, os documentos não explicavam completamente os propósitos ou funções do
outro objectivo é encorajar todos os sectores – incluindo infra-estruturas críticas – a migrar para o PQC.”
Liderança Vazia
Uma das conclusões mais proeminentes deste relatório é a ausência de uma autoridade central para supervisionar e coordenar estes esforços. O GAO designou o Gabinete do Diretor Nacional Cibernético (ONCD), criado em 2021, como a melhor agência para preencher esta vaga. No entanto, a ONCD ainda não aceitou este papel, deixando as agências e as empresas privadas sem supervisão unificada.
Um vácuo de liderança pode retardar o progresso e aumentar os riscos. Sem uma responsabilização clara, as partes interessadas podem ficar inseguras quanto às suas responsabilidades e objectivos, sugere o relatório.
Valor de proteção
Proteger apenas os sistemas federais terá um custo maior. O Escritório de Gestão e Orçamento (OMB) estima que a migração de programas governamentais para criptografia segura quântica poderia custar US$ 7,1 bilhões na próxima década. No entanto, mesmo este número é incerto, uma vez que o GAO observa que as agências ainda precisam de avaliar completamente as suas necessidades e recursos.
Referindo-se ao relatório do OMB, os analistas do GAO escrevem: “De acordo com o relatório, este número representa uma primeira ordem aproximada com um elevado grau de incerteza. O relatório do OMB acrescentou que as agências são obrigadas a revisar suas estimativas de custos anualmente para permitir ajustes à medida que se adaptam à documentação de criptografia e aos métodos de custo existentes, e ao processo de mudança.”
O sector privado enfrenta um desafio ainda maior. Muitos setores-chave de infraestrutura operam com ferramentas desatualizadas ou especializadas que nunca foram projetadas para lidar com métodos criptográficos avançados. Estes sistemas legados, explica o relatório, serão muito complexos e caros de desenvolver.
Corrida Internacional
Os EUA não estão sozinhos no enfrentamento de ameaças quânticas. Organizações internacionais como a NATO e a União Europeia já estão a pressionar por uma encriptação quântica segura. Muitos adotaram uma abordagem “híbrida” que combina métodos criptográficos existentes com soluções pós-quânticas para garantir melhor proteção durante a transição.
Grandes empresas de tecnologia, incluindo Amazon, Apple e Google, também começaram a incorporar criptografia em seus produtos. O GAO observa que, embora estes esforços sejam promissores, eles trazem complexidade e custos adicionais, exigindo que as organizações realizem duas migrações de forma eficaz: uma para sistemas híbridos e outra para criptografia totalmente segura.
A estratégia dos EUA, pelo contrário, carece de integração com estes esforços globais, deixando lacunas que os adversários podem explorar. A ligação com parceiros internacionais pode reforçar as proteções e reduzir a duplicação de esforços, sugere o relatório do GAO.
O que deve acontecer a seguir
O GAO apresentou várias recomendações para abordar estes riscos. Conforme mencionado, uma das recomendações centrais é designar a ONCD como a agência líder nos esforços de segurança cibernética quântica. A ONCD deve coordenar-se com as agências governamentais, o sector privado e os parceiros internacionais para desenvolver uma estratégia coerente e exequível. Isso inclui o estabelecimento de metas mensuráveis, cronogramas e estruturas de responsabilização.
O relatório também apela a mecanismos de financiamento mais fortes. As agências precisam de orçamentos e recursos humanos claros para concluir a transição para a criptografia quântica segura. O sector privado, por outro lado, pode beneficiar de incentivos governamentais para reduzir os elevados custos de aquisição de infra-estruturas críticas.
Esta liderança é essencial para os EUA acompanharem o ambiente tecnológico emergente que é crítico para a segurança nacional, relatam os analistas.
Janela de oportunidade
Embora as ameaças colocadas pela computação quântica sejam graves, o GAO sublinha que ainda há tempo para agir. Um cronograma de 10 a 20 anos fornece uma janela para as agências governamentais e o setor privado se prepararem. Mas isto exigirá uma acção decisiva agora, conclui o relatório.
O relatório fornece a seguinte conclusão: “As agências governamentais e os proprietários e funcionários de infraestruturas críticas enfrentam uma necessidade urgente de fazer a transição para o PQC para enfrentar a ameaça da criptografia da qual a nossa nação depende para proteger informações confidenciais. Esta mudança é particularmente importante dado o potencial dos adversários copiarem dados confidenciais hoje e acessá-los assim que o CRQC estiver disponível. As agências governamentais reconhecem a ameaça da computação quântica e tomaram algumas medidas para mitigá-la. A nomeação de uma liderança comprometida com a plena implementação das características desejáveis da estratégia nacional é essencial para garantir o sucesso. A ONCD está bem posicionada para preencher esta lacuna e fornecer um guia abrangente para a transição para o PQC. “
Este artigo tenta resumir os pontos-chave da análise do GAO, mas leia todo o relatório para uma análise completa da situação.
