Rekenkamer: overheid veel te laks over quantumdreiging die alle versleuteling kraakt
Bijna drie kwart van de rijksorganisaties is nog altijd niet begonnen met maatregelen om zich te wapenen tegen de dreiging van quantumcomputers. Dat concludeert de Algemene Rekenkamer in het rapport "Focus op quantum bij de rijksoverheid" (pdf). Het onderzoek geeft een eerste beeld van wat het Rijk al doet, en vooral nog niet doet, om zich voor te bereiden op zowel de kansen als de risico’s van quantumtechnologie.
Quantumcomputers bestaan nu vooral nog in laboratoria, maar hun mogelijke impact is groot. Het belangrijkste risico is dat buitenlandse staten in de toekomst met zulke computers de huidige versleuteling kunnen kraken. Dan ligt toegang tot staatsgeheimen, persoonlijke gegevens van burgers en systemen achter vitale infrastructuur ineens binnen handbereik. Denk aan bediening van bruggen, waterkeringen, inlogs met DigiD en controles van paspoorten.
Als die beveiliging breekt, kan dat direct merkbaar worden in het dagelijks leven. Geheime of gevoelige informatie kan op straat komen te liggen, verkeer en openbaar vervoer kunnen vastlopen en toegangspoortjes kunnen uitvallen. Ook fraude met identiteiten, misbruik van uitkeringen of manipulatie van overheidsregistraties komt dan in beeld. De Rekenkamer spreekt daarom van een risico op "maatschappelijke ontwrichting". De enige uitweg is overstappen op post-quantumcryptografie: vormen van versleuteling die ook bestand zijn tegen aanvallen met een quantumcomputer.
Uit het onderzoek bij 63 rijksoverheidsorganisaties blijkt dat 71 procent nog geen serieuze stappen zet om die overstap mogelijk te maken. Veel organisaties werken wel aan algemene informatiebeveiliging, maar bijna geen enkele heeft maatregelen die specifiek gaan over quantum. Plannen voor de invoering van quantumveilige cryptografie ontbreken vaak. Ministeries spreken nog weinig met leveranciers over aanpassingen en hebben intern nog geen bestuurders aangewezen die verantwoordelijk zijn voor de overgang.
De rem zit volgens de Rekenkamer vooral op drie punten: gebrek aan kennis, te weinig mensen en een laag gevoel van urgentie. Veel organisaties weten niet goed wanneer ze echt in beweging moeten komen, omdat nog onduidelijk is wanneer er quantumcomputers zijn die de huidige beveiliging kunnen breken. Toch waarschuwt de AIVD dat "Q-Day" – de dag waarop dat wel kan – al rond 2030 kan vallen. Dat is binnen enkele jaren en veel systemen van het Rijk zijn niet zomaar om te bouwen.
Tegelijk ziet het kabinet quantumtechnologie als een grote kans voor vernieuwing en economische groei. Superkrachtige quantumcomputers kunnen in de toekomst mogelijk preciezer meten, veiliger communiceren en bepaalde ingewikkelde berekeningen veel sneller uit voeren dan nu. Via het Nationaal Groeifonds investeert Nederland tussen 2021 en 2028 615 miljoen euro in onderzoek en ontwikkeling. Daarmee is een sterk onderzoeksklimaat ontstaan en heeft Nederland internationaal een vooraanstaande positie opgebouwd.
Of die positie blijft, is onzeker. Veel projecten zitten nog in een opstartfase en het is lastig om onderzoek uit het lab om te zetten naar concrete producten en diensten op de markt. Andere landen steken intussen grote bedragen in quantumtechnologie, waardoor de concurrentie snel toeneemt. De kunst is om tijdig mee te schakelen van onderzoeksresultaten naar toepassingen die bedrijven en overheden daadwerkelijk gaan gebruiken.
Het ministerie van Economische Zaken werkt nu, samen met andere ministeries, aan een rijksbrede quantumstrategie. Die moet vastleggen welke doelen het Rijk heeft en welke stappen nodig zijn om de kansen te benutten en de risico’s te beperken. Hoe deze strategie er precies uit komt te zien en welk budget daarvoor beschikbaar komt, is nog niet duidelijk. Volgens de Algemene Rekenkamer tikt de klok intussen door en moet de overheid vooral veel sneller werk maken van quantumveilige beveiliging van haar systemen.
Geen versleuteling is veilig voor Quantumcomputers (Afbeelding: Grok AI / FOK.nl)
