Cinematisk serverrum i baggrunden med blå/violette LED, forgrundsbord med lædermappe, kontrakter, USB, lås og holografisk kvantgrafik samt tidslinje 2025–2028.

Er din SMV klar på kvanteangreb? 1-dags risikovurdering, konkret 2025–2028 roadmap og budget

Hvorfor kvantecomputing betyder noget for din virksomhed nu. Kvanteangreb kan være "harvest-now-decrypt-later" hvor angribere gemmer krypteret trafik i...

Hvorfor kvantecomputing betyder noget for din virksomhed nu

Kvanteangreb kan være "harvest-now-decrypt-later" hvor angribere gemmer krypteret trafik i dag for at dekryptere senere, eller et umiddelbart brud hvor nye kvantealgoritmer angriber nuværende nøgler direkte. Begge scenarier truer konfidensialitet og integritet.

SMV’er har typisk mest at miste i form af kundedata, intellektuel ejendom og leverandørkontrakter samt tabt omdømme og kontraktmæssige bøder. Artiklen hjælper dig med at beslutte en prioriteret 2025–2028 plan: hvor hurtigt du skal handle, hvilke systemer der kræver pilotering, og et realistisk budget.

Tre-trins risikovurdering du kan gennemføre på én dag

Formålet er praktisk: på én dag identificerer du omfanget af kvantetruslen og prioriterer næste skridt.

Trin A — Kortlæg aktiver

  • List systemer med asymmetrisk kryptering: TLS/HTTPS, VPN, digitale signaturer, e-mail-kryptering og arkiver med lang levetid.
  • Noteér hvor nøgler opbevares (HSM, cloud, lokale servere).

Trin B — Vurder eksponering

  • Bestem datatypernes følsomhed: persondata, IP, kontrakter.
  • Vurder hvor længe data skal forblive hemmelige: 5, 10 eller 15 år og derover.

Trin C — Sårbarhed og konsekvens

  • Brug en sandsynlighed gange konsekvens matrix: Har leverandører PQC-plan? Kører I cloud-tjenester med kundens nøgler? Er tredjeparter kritiske?
  • Spørgsmål: Kan kompromitteret data udnyttes økonomisk i fremtiden? Hvad koster reetablering?

Output: Klassificer risici som kritisk, moderat eller lav og følg disse anbefalinger: kritisk = pilot og budget i Q3 2025; moderat = planlæg pilot 2025–2026; lav = overvåg og genvurder årligt.

Sådan vælger du kvante-resistente algoritmer i praksis

Standardiseringslandskabet ledes af NIST-valgte algoritmer og hybride løsninger, hvor klassisk og post-quantum kombineres for kompatibilitet. Kompatibilitet er vigtig for interoperabilitet med leverandører og eksterne systemer.

  • Hybrid TLS: Implementér klassisk + PQC for internettrafik for gradvis overgang.
  • Post-quantum signaturer: Brug til software- og firmwareudrulning for at sikre integritet fremover.
  • Krypteringsnøgler til arkiver: Udarbejd en plan for re-kryptering af tidligere arkiver med PQC-tilpassede nøgler.

Implementations-overvejelser: test i staging for performance overhead, valider interoperabilitet, vurder nøglelængder og opgrader HSM/TPM hvis nødvendigt.

Trinvis migrationsroadmap 2025–2028

Fire faser med konkrete milepæle:

  • Forbered (2025 H1): komplet asset-inventar, leverandørdialog og budgetallokering.
  • Pilot & test (2025–2026): pilot med 1–2 kritiske systemer, kompatibilitetstests og performancemålinger.
  • Gradvis udrulning (2026–2027): rullende opgraderinger i produktion, onboarding af leverandører og initial re-kryptering af ældste arkiver.
  • Fuldførelse & vedligehold (2027–2028): fuld produktion, fuld re-kryptering, løbende nøglerotation og compliance-checks.

Risikostyring: hav fallback-planer, definer rollback-punkter, afhold driftstests og dokumentér compliance for audits.

Realistisk budgetskabelon og estimater for en typisk dansk SMV

Omkostningskategorier: konsulentvurdering, softwarelicenser og opgraderinger, hardware som HSM/TPM, test- og udviklingstid samt træning og ekstra drift.

Rækkevidde af omkostninger: lille SMV cirka DKK 50.000–200.000; mellem SMV cirka DKK 200.000–1.000.000. Større poster er konsulenthonorar, HSM-opgraderinger og omkostninger ved re-kryptering af store arkiver.

Minimer omkostninger ved at prioritere kritiske aktiver, anvende hybride løsninger, forhandle leverandøransvar og søge offentlig støtte eller samarbejde i branchefællesskaber.

Hvad du skal gøre i morgen — 7-punkts handlings-tjekliste

  • Tag backup af krypterede arkiver og dokumentér nøgler.
  • Kortlæg hvor kryptering anvendes i dine systemer.
  • Spørg leverandører om deres PQC-plan og tidslinje.
  • Planlæg en pilot for ét kritisk system.
  • Afsæt en budgetpost til 2025 for assessment og pilot.
  • Uddan nøglepersoner i ansvar og proces.
  • Opsæt overvågning og revisionsspor for krypteringsbrug.

Afsluttende opfordring: fastlæg en beslutningsdato, for eksempel Q3 2025, baseret på din risikoklasse og begynd implementering i overensstemmelse hermed.