NCSC projeta adoção da criptografia pós-quântica até 2035 contra riscos quânticos, com etapas em 2028 e 2031 para organizações britânicas.
O National Cyber Security Centre (NCSC) do Reino Unido divulgou orientações com prazos e ações para a transição à criptografia pós-quântica (PQC), visando neutralizar a ameaça de computadores quânticos capazes de quebrar a criptografia de chave pública (PKC) atual. Esse processo, que envolve sistemas de TI e tecnologia operacional (OT), exige anos de preparo. A agência fixou metas em 2028, 2031 e 2035, direcionadas sobretudo a grandes empresas, operadores de infraestrutura crítica e organizações com TI customizada, embora aplicáveis a todos.
A PKC atual depende de problemas matemáticos que futuros computadores quânticos resolverão facilmente, comprometendo redes globais. A PQC, baseada em problemas resistentes a esses ataques, é a solução principal. Um white paper do NCSC de novembro de 2023, atualizado em agosto de 2024 com os padrões NIST, recomenda iniciar os preparativos já, integrados a melhorias em cibersegurança.
O guia prioriza tomadores de decisão técnica e gestores de risco em estruturas como sistemas de controle industrial (ICS) e infraestruturas críticas nacionais (CNI). Para PMEs com TI padrão (navegadores, sistemas operacionais), a transição será simplificada via atualizações de fornecedores, mas sistemas personalizados exigem o cronograma rigoroso: metas definidas até 2028, ações prioritárias até 2031 e conclusão em 2035.
O planejamento inclui: estabelecer objetivos, como mitigar riscos quânticos; avaliar o ambiente tecnológico, mapeando serviços e dependências criptográficas; e escolher estratégias (substituição, replataformação ou aposentadoria). Até 2028, organizações devem finalizar a descoberta de ativos e traçar um plano inicial; até 2031, executar ações críticas e detalhar o roteiro; até 2035, completar a adoção, exceto em casos raros de tecnologias complexas.
Os padrões NIST de 2024 (ML-KEM, ML-DSA, SLH-DSA) impulsionam a PQC, com testes em andamento e módulos validados previstos para 2025, além de hardware em 2026-2027. Setores como finanças e telecom devem agir cedo, enquanto os com OT, como indústria, enfrentarão obstáculos com dispositivos legados. O NCSC sugere planos flexíveis e vê a transição como chance de fortalecer a segurança cibernética.
Texto traduzido e adaptado do NCSC e revisado pela nossa redação
