Думка: ШІ та квантові технології ставлять під загрозу безпеку компаній

Ідентифікаційна інфраструктура компаній в Азіатсько-Тихоокеанському регіоні (APAC) не витримує поточного рівня загроз, підсилених ШІ. Про це написав CEO Keeper Security Даррен Гуччоне у колонці для SMBtech.

ШІ спростив масштабування атак на облікові записи та системи доступу, а квантова загроза перестала бути «проблемою далекого майбутнього», заявив експерт із посиланням на дослідження Keeper Security Identity Security at Machine Speed.

За даними звіту, 83% керівників із кібербезпеки та IT в APAC відзначили ускладнення ситуації з потенційними загрозами. Майже половина респондентів (47%) напряму пов’язали це з ШІ-атаками.

Ще одна проблема — хмарна безпека. У регіоні 46% компаній вважають її основним слабким місцем свого захисту.

Гуччоне окремо відзначив зростання кількості нових «цифрових ідентичностей». 38% компаній в APAC відчувають тиск через збільшення облікових записів і пов’язаних із ними ідентифікаторів.

Ще 53% організацій вказали на проблеми взаємодії з сервісними обліковими записами, API-токенами та обліковими даними для автоматизації. Вони з’являються швидше, ніж компанії встигають вибудовувати контроль.

Багато організацій продовжують використовувати SMS-автентифікацію. В APAC метод застосовують у 36% компаній, у Китаї — у 40%.

Експерт вважає SMS одним із найвразливіших елементів захисту. Він нагадав про ризики підміни SIM-карти, фішингу в реальному часі та соціальної інженерії із використанням ШІ.

На цьому тлі 41% компаній регіону вже впровадили стійку до фішингу MFA — FIDO2, апаратні ключі безпеки та passkeys. Але повністю перейти на останній і найнадійніший тип захисту змогли лише 26% організацій.

Водночас 64% компаній у світі досі не мають повноцінно працюючої PAM-системи. В APAC такий механізм упроваджено у 38% організацій, а в Японії — лише у 22%.

Квантова загроза і нові стандарти

Друга частина колонки стосується квантової загрози. На думку Гуччоне, сценарій harvest now, decrypt later не можна вважати суто теоретичним. Зловмисники вже зараз акумулюють зашифровані дані, розраховуючи зламати їх після появи потужних квантових комп’ютерів.

Під загрозою — інформація з довгим терміном життя: фінансова звітність, інтелектуальна власність і інфраструктура ідентифікації.

Гуччоне нагадав, що в серпні 2024 року NIST затвердив перші стандарти постквантової криптографії — FIPS 203, FIPS 204 і FIPS 205.

У березні 2025 року британський NCSC випустив дорожню карту міграції на постквантове шифрування. Документ пропонує:

• до 2028 року провести інвентаризацію криптозалежних систем;
• до 2031 року виконати пріоритетні міграції;
• до 2035 року завершити перехід.

У SMBtech цей графік називають сигналом, що відкладати підготовку більше не вийде.

Cloudflare після публікації стандартів NIST назвала їх важливою віхою для захисту сучасних комунікацій у світі квантових обчислень. OpenID Foundation також попереджала, що загроза зачіпає токени, сертифікати та TLS — базові елементи сучасної інфраструктури ідентифікації.

Практичні пропозиції щодо підвищення безпеки зводяться до:

• відмови від SMS-автентифікації;
• прискореного впровадження passkeys і MFA;
• інвентаризації криптографічних залежностей перед переходом на гібридні та постквантові схеми.

Нагадаємо, у травні глобальний директор з інновацій Cisco Гай Дідріх повідомив, що компанія підготує мережеву інфраструктуру перед квантовим стрибком.