Terwijl veel organisaties inmiddels bekend zijn met de quantumdreiging ‘Harvest Now, Decrypt Later’ — waarbij aanvallers vandaag versleutelde data buitmaken om deze in de toekomst met quantumcomputers te ontcijferen — komt een nieuwe bedreiging in snel tempo op: ‘Trust Now, Forge Later’ (TNFL). Deze minder bekende, maar potentieel veel ingrijpendere dreiging kan de beveiliging van industriële systemen en kritieke infrastructuur rechtstreeks ondermijnen.
TNFL draait niet om het kraken van data, maar om het vervalsen van digitale handtekeningen. Veel operationele technologie (OT) en industriële apparatuur vertrouwen blind op deze handtekeningen om te bepalen of software-updates, commando’s of communicatie van legitieme bronnen afkomstig zijn. Zodra quantumcomputers krachtig genoeg zijn om gangbare cryptografie te breken, wordt het mogelijk om op grote schaal digitale handtekeningen te vervalsen en gemanipuleerde firmware-updates als ‘authentiek’ te presenteren.
De gevolgen van zo’n scenario reiken verder dan IT-systemen: manipulatie van industriële processen kan leiden tot fysieke schade, productiestops of verstoringen in vitale infrastructuren zoals energie, water en transport.
Nederland loopt voorop, maar OT blijft achter
Volgens Floris Dankaart-Chang, Lead Product Manager bij Fox-IT, is de urgentie in de OT-sector nog onvoldoende doorgedrongen:
“Hoewel de OT-sector traditioneel sterk gericht is op veiligheid en continuïteit, zien we dat veel OT-organisaties nog beperkt aandacht besteden aan quantumrisico’s. Nederland doet het in mondiaal perspectief juist opvallend goed – met een sterke quantumstrategie en een groeiend ecosysteem – maar zelfs hier is de adoptie in OT-omgevingen nog onvoldoende om toekomstige risico’s volledig af te dekken.”
Voorbeelden van organisaties die al wél stappen zetten, zoals het Havenbedrijf Rotterdam, zijn volgens Dankaart-Chang nog uitzonderingen. Veel industriële systemen vertrouwen momenteel nog op RSA- of elliptische-curve-cryptografie — technieken die kwetsbaar worden zodra quantumcomputers hun doorbraak maken. Omdat OT-apparatuur vaak decennialang meegaat, zullen systemen die vandaag worden geïnstalleerd zeer waarschijnlijk nog in gebruik zijn wanneer Q-Day aanbreekt: het moment waarop quantumcomputers krachtig genoeg worden om de huidige cryptografie te breken.
Voorbereiden kost tijd — en die tijd is nu
Het migreren naar post-quantum-cryptografie in industriële omgevingen is complex. Hardwarebeperkingen, vendor lock-in, certificeringsvereisten en beperkte onderhoudsvensters zorgen ervoor dat aanpassingen traag plaatsvinden. Daarom is volgens Fox-IT nú het moment om te beginnen met voorbereiden.
Dankaart-Chang adviseert OT-organisaties om direct te starten met:
- Inventarisatie van huidige cryptografie in apparatuur, protocollen en communicatieketens
- Het opstellen van migratiestrategieën richting post-quantum-cryptografie (PQC)
- Onderzoek naar alternatieven, zoals Quantum Key Distribution (QKD)
- Netwerksegmentatie en aanvullende beveiligingslagen om risico’s te beperken
“Hoewel Q-Day nog jaren weg lijkt, is de migratie naar post-quantum-cryptografie in OT complex. Organisaties die nu niet beginnen, lopen straks het risico dat essentiële systemen onvoldoende beschermd zijn.”
Van digitale naar fysieke dreiging
Met de komst van TNFL verschuift de impact van cyberrisico’s definitief naar de fysieke wereld. Quantumcomputers brengen niet alleen de beveiliging van data in gevaar, maar ook de integriteit van de systemen die onze samenleving draaiende houden. De boodschap van Fox-IT is duidelijk: wie pas handelt als Q-Day er is, is te laat.
