Positive Technologies, «Российский квантовый центр» и другие игроки отрасли назвали пять главных киберугроз квантовых технологий

Исследование представили в рамках киберфестиваля Positive Hack Days 2, который проходит 23–26 мая в «Лужниках»

По прогнозам аналитического агентства Gartner, к 2025 году около 40% крупных компаний будут поддерживать квантовые технологии и проводить на их основе пилотные проекты. Сейчас инвестиции в технологии, по данным отчета McKinsey & Company за 2023 год, достигли нового максимума — 2,35 миллиарда долларов. При этом квантовый мир привлекает не только корпорации, но и злоумышленников, которые ищут новые способы организации кибератак. Специалисты Positive Technologies в партнерстве с «КуБорд» (ООО «ОКТ»), QApp (ООО «КуАпп») и «Российским квантовым центром» (ООО «МЦКТ») представили исследование «Безопасность квантовых технологий в сфере IT», где назвали главные киберугрозы квантового мира. Кража информации, уязвимости ПО и атаки на квантовый интернет угрожают технологиям в первую очередь.

Согласно исследованию, можно выделить пять главных угроз квантовых технологий (первые четыре относят к угрозам для квантовых компьютеров, последнюю — к угрозам для квантовых коммуникаций):

1. Угрозы на физическом уровне, связанные с нестабильностью и чувствительностью кубитов (квантовых битов). По оценкам экспертов, злоумышленники могут провести атаку типа «отказ в обслуживании» (DoS), например нагревая квантовый компьютер и создавая помехи для искажения данных. На данный момент проведение атак возможно в связи с тем, что оборудование отличается высокой чувствительностью к внешней среде и вмешательство злоумышленника может стать причиной его некорректного функционирования.

2. Кража конфиденциальной информации. Эксперты прогнозируют, что украденные результаты квантовых вычислений будут высоко цениться у злоумышленников, поскольку сами системы и вычисления, созданные на их основе, стоят очень дорого.

3. Уязвимости в программном обеспечении, предназначенном для квантовых вычислений, также будут представлять серьезную угрозу. Так, в решениях, используемых для реализации квантовых схем, они уже зафиксированы. Например, в cuQuantum, продукте NVIDIA, были обнаружены две уязвимости высокого уровня опасности — CVE-2018-20225 и CVE-2023-36632, а в библиотеке Quantum Development Kit для Visual Studio Code — CVE-2021-27082, также имеющая высокий уровень опасности. В будущем эксплуатация уязвимостей квантового ПО может привести к утечке конфиденциальной информации, захвату аппаратных ресурсов и выводу оборудования из строя.

4. Угроза облачным вычислениям. Развитие облачного формата ресурсов квантовых технологий, вероятно, побудит злоумышленников активно искать уязвимости в решениях вендоров, а также проводить атаки на IT-компании, поставляющие облачные продукты. К типичным киберугрозам этой сферы относятся некорректная конфигурация облачных сервисов и уязвимости в них, небезопасное хранение и обработка данных со стороны поставщика услуг, а также атаки типа «отказ в обслуживании». Перечисленное представляет опасность и для инфраструктур QCaaS (quantum computing as a service). 

5. Атаки на квантовый интернет. Цели атак в условиях квантового интернета схожи с атаками на классические сети — это кража информации, нарушение целостности или доступности квантовых узлов или квантовых сетей, а также захват квантового соединения или вычислительных ресурсов.

Не менее важными эксперты назвали угрозы, связанные и с постквантовой криптографией. Как отмечается в исследовании, тактика «сохрани сейчас — расшифруй потом» (store now, decrypt later) позволит злоумышленникам в будущем расшифровывать данные, используя для этого более мощный квантовый компьютер. Поэтому многие конфиденциальные данные уже сейчас находятся под угрозой. Для защиты некоторые компании, в том числе российские, начинают внедрять метод постквантового шифрования. 

В России квантовые технологии активно развиваются последние несколько лет. Сейчас основным драйвером их развития являются дорожные карты направлений «Квантовые вычисления» и «Квантовые коммуникации», которые курируют «Росатом» и РЖД соответственно.

Также квантовые технологии стали одной из сквозных тем в национальном проекте «Экономика данных». Исследовательские центры, государственные корпорации, прогрессивный бизнес, университеты выступают агрегаторами и инициаторами многих проектов, связанных с изучением квантовых технологий в России.

При этом комплексной защиты квантовых технологий от киберугроз на рынке информационной безопасности пока нет. Это связано с вариативностью развития самих квантовых технологий.

Вендоры, в том числе Positive Technologies, одним из перспективных направлений защиты считают открытие новых программ багбаунти для поиска уязвимостей в квантовых системах. Также важный шаг для будущего кибербезопасности — концепция квантового распределения ключей, над которой ведут работу многие научные центры и которая обещает создание более защищенных каналов связи.