بودكاست أمن الهوية لقادة الأمن السيبراني والممارسين في مجال الأمن السيبراني
أصبحت الهوية الآن هي الخط الأمامي للأمن السيبراني - وتحتاج المؤسسات إلى البقاء في صدارة التهديدات وضغوط الامتثال وتحديات المصادقة. برنامج RSA Identity Unmasked هو برنامج فيديو صوتي شهري يستضيفه خبراء RSA وقادة الصناعة، ويغطي القضايا الحقيقية التي تشكل أمن الهوية اليوم.
سجِّل الآن باستخدام “اشترك الآن” نموذج ليتم إعلامك عند توفر حلقات جديدة والحصول على رؤى قابلة للتنفيذ حول مواضيع تشمل المصادقة الحديثة، وحوكمة الهوية، والثقة المعدومة، والوصول القائم على المخاطر، والتحقق من مكتب المساعدة، وقضايا الصناعة، واتجاهات التكنولوجيا، والمواضيع الساخنة الخاصة بالقطاع, وأكثر من ذلك.
الحلقة 3: أمن الهوية في الرعاية الصحية
في هذه الحلقة، نشهد في هذه الحلقة عودة إنغو شوبرت وجون نيكولاس وبول مولفيهيل حيث نتعمق في أحد أكثر القطاعات حساسية عندما يتعلق الأمر بأمن الهوية - الرعاية الصحية. انضم إلينا حيث يتحدث ضيوفنا عن تعقيدات الوصول والأجهزة المشتركة وإدارة دورة الحياة وتحديات المصادقة عبر البيئات السريرية وكيفية معالجتها بشكل مباشر.
نسخة الفيديو
إنجو شوبيرت
مرحباً بكم مرة أخرى في برنامج RSA Identity Unmasked. نتحدث اليوم عن واحد من أكثر القطاعات خطورة وإثارة للاهتمام في مجال أمن الهوية، وهو قطاع الرعاية الصحية. ينضم إليّ اليوم مرة أخرى بول وجون، ودعونا نلقي نظرة على التحديات وحالات الاستخدام وأفضل الممارسات. لنبدأ. لماذا تعتبر الرعاية الصحية بيئة فريدة من نوعها لأمن الهوية؟
جون نيشولاس
سأبدأ إذا أردت يا بول. هل تريد ذلك؟
بول مولفيهيل
على الرحب والسعة!
جون نيشولاس
أعتقد أن الشيء الوحيد الذي نتحدث عنه دائمًا في مجال الرعاية الصحية وهو أحد الموضوعات الأولى التي يتم طرحها هو المكدس التقني الذي لديهم والأهم من ذلك، البنية التحتية القديمة. وهي واحدة من أكبر المجالات التي يجب تأمينها من وجهة نظر الهوية لأنها قد لا تكون لديها روابط لخدمات المصادقة المصغرة الحديثة. لذا فإن التكنولوجيا القديمة المملوكة تمثل تحديًا كبيرًا في شخص مثل الرعاية الصحية، وكانت هيئة الخدمات الصحية الوطنية مثالًا رئيسيًا للغاية في المملكة المتحدة.
بول مولفيهيل
في كثير من الأحيان، هناك مثل، جميعنا يعرف هيئة الخدمات الصحية الوطنية، ولكنها غالبًا ما تتكون من الكثير من المؤسسات الصغيرة تحت نفس المظلة، وهذا لا يعني أن هناك وعاء واحد ضخم لدعم البنية التحتية لتكنولوجيا المعلومات، فقد يكون لكل مؤسسة صغيرة مسؤولياتها الخاصة، وبالتالي لا يمكنها الحصول على الأحدث والأفضل، لأنها لا تملك الميزانية اللازمة لذلك. إذا كان هناك شيء واحد كبير، ربما، لكن العالم لا يعمل بهذه الطريقة، للأسف، إلى حد ما. لذلك هناك تحديات تتمثل في كيفية تأكد كل واحد منهم من حصولهم على الأحدث والأفضل عندما لا يستطيعون ذلك لأن لديهم أنظمة قديمة، وعليهم التعامل مع الترحيل أو الصيانة، مما يضيف تحديات إضافية تتمثل في كيفية الوصول إلى نظام حديث
إنجو شوبيرت
صحيح. وأعتقد، حسنًا، بالطبع، الأمر مختلف في ألمانيا، على سبيل المثال. أعتقد أن الأمر ليس مختلفًا في هذا السياق، أليس كذلك؟ كما تعلم، منظمات مختلفة، والكثير من التطبيقات القديمة. لذلك أعتقد أن هذا، لكي أكون منصفًا، ربما تجد ذلك في جميع أنحاء أوروبا أو ربما حتى حول العالم في العديد من الأماكن، أليس كذلك؟
بول مولفيهيل
ونحن نتحدث عن النظام القديم، إذا كان لديك نظام يعمل ومعدلات الخطأ فيه، فإذا كنت تتعامل مع صحة شخص ما، ولديك نظام يختبر شيئًا ما، فإنه يعمل. لن تقرر فقط تغييره لأنه قد يكون عمره عامين. أنت ستضع هذا التمويل لشيء جديد. لذا، نعم، قد يكون إرثًا، لا يعني أنه قديم وعتيق وعفا عليه الزمن. إنه يعني فقط أنه يعمل. هناك أشياء أكثر أهمية للنظر إليها.
إنجو شوبيرت
لا تلمس نظاماً قيد التشغيل. إذن، ما الذي يجعل الوصول والتحكم والمصادقة تحدياً كبيراً في هذه البيئة؟
بول مولفيهيل
سأقول على الأرجح أنه نوع من المزيج مرة أخرى من الصناديق الاستئمانية المتعددة. كيف يمكنك، إذا كنت تعمل بشكل مستقل، ولكن لديك قوة عاملة قد تتنقل بين الصناديق الاستئمانية لأنها تغطي منطقة أوسع، كيف يمكنك إعداد نظام سهل الاستخدام، على سبيل المثال، أنا أعمل في مكان ما في يوم ما، وفي مكان آخر في يوم آخر، وفي مكان آخر في صندوق استئماني مختلف، وفي مكان آخر في صندوق استئماني آخر. هل هناك نظام مركزي يدير كل ذلك؟ ربما لا. هل سأعود إلى مكان ما أم سأعمل في يوم واحد في السنة في مكان آخر في مكان آخر؟ إن هذا النوع من الأنظمة التي تحاول إدارتها ومحاولة تأمينها من وجهة نظر الهوية يزيد من تعقيدها أضعافاً مضاعفة. أنا عبر 50 موقعًا، هل هذا 50 نظامًا؟ أم 5، أم واحد؟ قم بتوسيع نطاق ذلك عبر البلد بأكمله وأنت تضيف طبقات من التعقيد لأسباب مختلفة.
جون نيشولاس
نعم، وأعتقد أن السبب هو عدد المستخدمين. إنه حساب المستخدم الذي يصعب في بعض الأحيان مواجهته نوعًا ما لأن لديك أطباء يقومون بالخدمات الطبية في الخطوط الأمامية والذين قد يكونون بالطبع جيدين جدًا في ما يفعلونه، لكنهم ليسوا خبراء في الأمن السيبراني. لديك فريق كامل يدعم هيئة الخدمات الصحية الوطنية، على سبيل المثال، يقوم بكل الخدمات اللوجستية والتخطيط والجانب الإداري. الآن، قد يكون بعض هؤلاء قادرين على استخدام، كما تعلم، المصادقة على، مثل المصادقة على الهاتف المحمول، لكن البعض الآخر ربما في الجناح أو، كما تعلم، في بيئات أكثر أمانًا، لكننا نعلم أنه لا يمكنك استخدام ذلك. يجب أن يكون لديك شيء آخر، كما تعلم، رمز مادي لـ
القيام بالمصادقة. لذلك ليس لديك قوة عاملة ضخمة فحسب، بل لديك حالات استخدام متعددة من حيث كيفية المصادقة. وبعد ذلك، كما تعلم، ذكرت الهاتف المحمول، ولكن قد لا يكون لدى بعض الأشخاص هاتف محمول يريدون استخدامه. لذلك على الفور، لديك ثلاث أو أربع أو خمس حالات استخدام مختلفة لمجرد إدخال خمسة أشخاص في نظام واحد.
إنجو شوبيرت
لذا فإن الأطباء، والموظفين المؤقتين، والموظفين المؤقتين، والمناوبات الدورية التي تعقد الأمور بشكل كبير. إذن ما قلته للتو. لذلك هذا من وجهة نظر إدارة الهوية الخاصة بي، يمكنني أن أرى لماذا يمثل هذا تحديًا إلى حد ما مقارنةً بالقوى العاملة المنظمة إلى حد ما، كما تعلم، القوى العاملة في المؤسسة، نعم، حيث تعمل من التاسعة إلى الخامسة. نعم، قد يكون لديك مناطق زمنية مختلفة، نعم، ولكن هذا في الأساس يرفعها إلى 11، بشكل أساسي.
بول مولفيهيل
نعم، يمكن أن يكون لديك تلك الشركة الواحدة الكبيرة التي لديها، على سبيل المثال، 50 قسمًا مختلفًا أو 100 قسم مختلف، بينما عندما تنظر إلى قطاع الرعاية الصحية، قد يكون لديك هيئة واحدة كبيرة هي قطاع الرعاية، ولكن يمكن أن تكون 50 أو 100 شركة منفصلة داخلها وكل منها له تخصصه ويجب أن تكون مستقلة في طريقة عملها ولكن لا تزال تعمل مع كيانات أخرى داخل نفس المجال. وإذا واجهت أي مشاكل مع إحداها، فما هي الآثار المترتبة على ذلك؟
إنجو شوبيرت
لذا من حيث، بالطبع، كما تعلمون, لدينا هذا البرنامج التلفزيوني الدرامي مثل أنت تعرف كل شيء يجب أن يسير بسرعة نعم ولكن هذا شيء واحد نعم نحن لا نبطئ الأمور أعتقد أن هذا جزء من التحدي هنا ولكن هذا ليس فقط مثل هذا أنت تعرف شخص ما يندفع إلى غرفة الطوارئ وتحتاج الأمور إلى التحرك بسرعة لأن لديك أيضًا لأن لديك كما تعلم قوة عاملة محدودة يجب أن تكون فعالة للغاية مما يعني أيضًا أننا نعم أنت تعرف أن الأمن لا يمكنه إبطاء الأمور بسبب ذلك فما هي التحديات ومثل، كما تعلم، طرق تحقيق ذلك؟
جون نيشولاس
فقط على تلك التحديات الضخمة، أنت لا تريد، إذا تحدثنا عن ذلك من وجهة نظر الحوكمة، من وجهة نظر أقل الامتيازات، فأنت تريد أن تذهب، صحيح، نحن بحاجة إلى كل شخص على الامتيازات فقط للقيام بدوره، على سبيل المثال. ولكن التحدي بعد ذلك هو، كما تعلم، أن تذهب، حسناً، دعنا نجري هذا التغيير، وأنت تأخذ بعض الصلاحيات منهم عن طريق الخطأ ربما. والآن لا يستطيعون تشغيل تلك الآلات أو المعدات الهامة في الجناح الذي سيساعد في إنقاذ حياة شخص ما. لذلك يجب أن تكون دقة اتخاذ القرار لفرض حل IGA، على سبيل المثال، من الحديد الصلب تمامًا. لذا فإن القدرة على إجراء التغيير في تلك المرحلة ربما تمر عبر طبقات وطبقات من عملية اتخاذ القرار، لذا يصبح الأمر بطيئًا. لأن آخر شيء نريد أن نفعله هو أن نذهب إلى تنفيذ سير العمل هذا والآن لا يستطيع شخص ما إنقاذ حياة شخص ما للذهاب إلى المثال الأكثر تطرفًا أو إعطاء شيء من الصيدلية.
إنجو شوبيرت
ولكن في الوقت نفسه مع، وخاصةً مع حوكمة الهوية، بالطبع، هناك بالطبع، كما تعلمون، الحل السريع في هذه الحالة، وهو بالطبع ليس كذلك، مجرد إعطاء الجميع المزيد من حقوق الوصول، بشكل أساسي، المزيد من الاستحقاقات التي عادةً ما يقومون بها. هل هذا نهج صحيح؟ هل هذا حل وسط جيد؟ لا، إنه كذلك بشكل رسمي، على ما أعتقد، أليس كذلك؟
بول مولفيهيل
أجل، لأنه إذا تم اختراق شخص واحد أو اختراق حساب واحد وحصلوا على إذن كبير جداً، ماذا يحدث؟ يمكن أن يدخل البواب الذي حصل على كل شيء لأنه عضو من موظفي المستشفى ويمكنه الدخول إلى نظام الصيدلية والوصول إلى نظام الصيدلية والوصول إلى الدواء أو تغيير سجلات المريض يمكن أن يكون لديهم مضاعفات غير معروفة في المستقبل بالنسبة لهم. صحيح. ولكن بعد ذلك لديك، كما كان جون يقول، هناك الكثير من التداعيات المحتملة لإجراء تغيير في تطبيق سياسة ما أو تطبيق أقل مسار من الأذونات، بحيث يكون الأمر أشبه بشلل للمخاطر. يمكنني تنفيذ هذه السياسة التي تزيل الأذونات لـ X و Y و Z. إذا لم تكن متأكدًا تمامًا، هل قمت بتحليل، حسنًا، هذا يؤثر على 50 شخصًا، هل قام هؤلاء الأشخاص الخمسون بالوصول إلى هذا المورد؟ إذا قام أحدهم بذلك، فأنت بحاجة إلى الاستمرار في إجراء المزيد من المراجعة. هل يحتاج هذا الشخص الواحد إلى الحصول على أذونات خاصة؟ إذا لم يقم أي منهم بذلك، وقمت بمراقبته لفترة كافية، حسناً، نعم، يمكنك فرضه، حسناً، سنقوم بإلغاء ذلك. ولكن هناك هذا النوع من الخوف من أنني إذا قمت بإخراج شيء ما ومن ثم هذا السيناريو الوحيد الذي لا يمكنك التخطيط له مع الرعاية الصحية. يمكنك محاولة تخمين الكثير، لكن لا يمكنك أبدًا التخطيط لحدوث حالة طارئة تحتاج فيها إلى شيء ما. لقد أزلت هذا الإذن. الآن هذا السيناريو الوحيد الذي ظهر الآن حيث احتاجت هذه الممرضة أو هذا الطبيب أو شخص ما أن يكون قادرًا على القيام بشيء ما وفجأة لا يستطيعون.
إنجو شوبيرت
لا يقتصر الأمر على تشغيل الآلات فقط. يمكن أن يكون أيضًا مثل الوصول إلى البيانات في مكان ما، أليس كذلك؟ نحن السجلات الصحية، على سبيل المثال. لذا أفهم النقطة التي يكون فيها الأمر في مؤسسة عادية، قد يكون هذا، قد يكون الأمر سيئًا إذا كان لدى شخص ما استحقاقات قليلة جدًا. لا يستطيعون القيام بعملهم، ولكن، كما تعلم، يقدمون طلبًا، وتتم الموافقة عليه. كما تعلم، إنه مثل، نعم، إنه سيء. قد يتأخر الأمر بضع ساعات، ربما في اليوم التالي، لكن، كما تعلم، ليس في العالم، بينما في بيئة الرعاية الصحية، قد يعني هذا في الواقع مشكلة كبيرة. و، كما تعلم، قد لا يتم ذلك في الدقيقة، ولكن، كما تعلم، قد يعني هذا في الواقع أن شخصًا ما لا يحصل على الرعاية التي يحتاجها عندما يحتاج إليها.
بول مولفيهيل
إذا كان الأمر يتعلق بشركة ما وتمكن شخص ما من الوصول إلى البيانات، فربما يطلب شخص ما شيئًا ما على بطاقة ائتمان، ثم يمكنك بعد ذلك أن تستعيدها بالكامل مع بطاقات الائتمان لإصلاحها أو يتم إلغاء طلب ما. أعني أن بعض هذه التأثيرات جميلة وليست شديدة، ولكن إذا كان الأمر في مجال الرعاية الصحية، شخص ما يغير سجلاتك الطبية. شخص ما يشارك تفاصيل لا ينبغي مشاركتها. هناك الكثير من التداعيات المترتبة على ما يمكن أن يحدث. أو أن يتم تسريب معلومات قد يكون لها تأثيرات طويلة المدى عليك. كما قلت، يمكن أن يتم إيقاف بعض الأدوية التي تعتمد عليها. هل أنت قريب من نهاية الوصفة الطبية الخاصة بك مع هذا الدواء، وفي الواقع، يقومون بإزالة التفاصيل عندما تضطر إلى المرور بكل عمليات إعادة التحقق من ماهية الدواء الذي تحتاجه بالفعل، نعم، أنا بحاجة إليه، مما يؤدي إلى إبطائه أكثر، وتأخيره، مما يؤدي إلى المزيد من الآثار غير المباشرة. ذلك لأن أحد تلك القطاعات التي قد يبدو فيها ما قد يبدو تغييرًا بسيطًا في المؤسسات والقطاع الخاص في مجال الرعاية الصحية، فإن المشاكل والتداعيات قد تتضاعف 10 أو 20 أو 30 مرة.
جون نيشولاس
نعم، وفيما يتعلق بهذه الأنواع من الأرقام، عندما تنظر إلى، كما تعلم، إلى اختراق البيانات في هذا النوع من السيناريوهات، مثل السجلات الطبية تكون ذات قيمة كبيرة عند تداولها على شبكة الإنترنت المظلمة، أكثر من تفاصيل بطاقة الائتمان، على سبيل المثال، وأحد المجالات التي يمكن استخدامها فيها هو الاحتيال في التأمين، والذي يمكن أن يحمل، كما تعلم، تعويضات مالية ضخمة، كما تعلم، تعويضات مالية، أفترض، إذا كان شخص ما يضع هذا الطلب، ويعرف تاريخك الطبي، فيمكنه القيام بذلك التأمين إلى الأمام نيابة عنك، وكما تعلم، هذا مربح بشكل لا يصدق. لذلك هذا هو المكان، كما تعلم، الذي يريد المهاجمون أن يدخلوا فيه. إنهم، كما يقول، لا يريدون، كما تعلم، المخاطرة بحياة أي شخص، ولكن المكافأة المالية للحصول على هذه السجلات الطبية ومن ثم أخذها لتحقيق مكاسب مالية هو ما سيسعون إليه.
إنجو شوبيرت
أعني أن تلك المعلومات ستكون مثالية من مهاجم ليقوم بهجوم على شخص ما مثل هجوم بالرمح. إذا كنت تعرف بالفعل التفاصيل الطبية بالفعل، نعم، هذا فقط يرفع مستوى الثقة، مما يجعلك أكثر ريبة تجاه تلك الأنواع من الهجمات، أليس كذلك؟ أو فقط، كما تعلم، لا أعرف، الابتزاز أو ما شابه ذلك. نعم، هناك الكثير من الأشياء التي يمكنك فعلها بتلك السجلات، صحيح؟ لذا، نعم، أستطيع أن أرى ذلك. إذن، بالعودة إلى، كما تعلم، ما الذي يحدث في الواقع، على سبيل المثال، في المستشفى؟ ما هو سير عمل المصادقة النموذجي الذي يحتاج شخص ما إلى المرور به؟
جون نيشولاس
لا أعرف ما إذا كانت ستكون نموذجية.
إنجو شوبيرت
حسناً، لا بأس.
جون نيشولاس
تحدثنا عن الأنظمة، ولكن ماذا يجب أن يفعلوا؟ ربما يكون السؤال، ولكن كما تعلم، يجب أن يكون هناك دائمًا، يجب أن يكون هناك دائمًا خطوة MFA مع، كما تعلم, عملية إضافية في النهاية الخلفية، كما تعلم، هل يمكنك الاستفادة من الوصول المشروط عندما نتحدث من وجهة نظر IAM، هل يمكنك الاستفادة من وجهة نظر IAM، سأقول أنه يمكنك الاستفادة من الذكاء الاصطناعي لفهم ما إذا كان هذا المستخدم هو المستخدم المناسب في الوقت المناسب، وأن يتم ذلك ديناميكيًا بدلاً من أن يحاول المسؤولون تجميع سياسات الوصول المشروط بناءً على قاعدة مستخدمين واسعة ومجموعة تقنية واسعة، لذا نعم استخدم الأدوات لصالحك واجعل أي شخص يقوم دائمًا بالتقدم عندما يكونون بالفعل في السجلات الهامة.
إنجو شوبيرت
لذا فإن الشيء الوحيد الذي لاحظته في هذه الصناعة، أعتقد أن أقرب ما أراه ربما في التصنيع على أرضية التصنيع هو الأجهزة المشتركة. يبدو أن هذا لا أقول أنه القاعدة، ولكن يبدو أن هذا هو المعيار السائد، ولكن يبدو أن هناك كمية كبيرة بشكل غير متناسب من الأجهزة المشتركة. كيف نتعامل مع ذلك؟
بول مولفيهيل
حسناً، نعم، لديك قوة عاملة في نوبات عمل لنفترض أنها 8 ساعات، لن يكون لديك في كل يوم لن يكون لديك شخص في دور ما لديه جهاز خاص به، لذلك سيكون لديك جهاز مشترك بين 3 أشخاص على الأقل وفي حالات محتملة يتشاركه 5، 6، 7 أشخاص لأنه قد يكون محطة في محطة التمريض، هذا النوع من الأشياء. ما هي أفضل طريقة لحمايته؟ أعني أنك ستضع نوعًا ما من بيانات الاعتماد في اسم المستخدم وكلمة المرور. أعني، لقد كنت في ورؤية الناس مع رموز OTP الصغيرة، رموز الأجهزة، لأنه من الصعب قتلها. إنها مرنة للغاية. لكن هل هذا كافٍ؟ لأنها كلمة مرور لمرة واحدة فقط. يجب أن يكون لديك شخص ما للوصول إلى جهاز كمبيوتر وتسجيل الدخول واستخدامه. لكنها مجربة ومختبرة. يعرف الناس كيفية استخدامها ولديك الكثير من الأشخاص في هذه الصناعة الذين يمكنهم المشي على الأرض مع أي منا يتحدثون عن الجسم وكيف تعمل منطقتهم من الجسم أعطهم مفتاح FIDO واطلب منهم التعود على استخدام ذلك أو الهاتف المحمول مع الدفع للموافقة على القياسات الحيوية إنه مجرد مجال مختلف تمامًا بالنسبة لهم للتفكير في ذلك إنه نوع من هذا النوع من هذا الجزء من منطقة راحتك ومعرفتك التقنية هنا. ولكن بعد ذلك نحاول أن نقول، حسناً، لاستخدام ذلك عليك أن تضيف إليه كل هذه العناصر الأخرى.
إنجو شوبيرت
بالإضافة إلى ذلك، أعتقد أن الأمر، مرة أخرى، لا يختلف كثيرًا عن بعض المجالات الأخرى في صناعات أخرى حيث، على سبيل المثال، لا يمكنك اصطحاب الهاتف المحمول في كل مكان. هناك أماكن لا يُسمح لك فيها باصطحاب الهواتف الذكية أو الأجهزة الذكية على الإطلاق، تمامًا، إما لأسباب تتعلق بالخصوصية، أو لأن لدي كاميرات أو، لا أعرف، مثل، كما تعلم، لا يُسمح لك بالاتصال بشبكة واي فاي في مكان ما لأنه يزعج آلات أخرى. لذا، نعم، أنت بحاجة إلى خيارات، نعم. بالإضافة إلى ذلك، مثل، كما تعلم، مولد OTP، يمكنك غمسه في المطهر، إذا أردت.
بول مولفيهيل
نعم. أعني، كنت أتحدث مع أحد العملاء قبل أيام، وكان لديهم هذا النوع بالضبط، حسناً، إنه ليس طبياً، لكنه سيناريو لا توجد فيه هواتف محمولة. البيئة المادية مغلقة من الناحية الأمنية. لذا نعم، لديهم إما الرمز المميز للأجهزة مع رموز المرور لمرة واحدة أو سينظرون إلى مفاتيح فيدو. أعني أن بعض المفاتيح الجديدة مثل RSA iShield هي أنها تحتوي على FIDO بدون تلامس وعناصر مثل ذلك. لذلك في حين أنه في الماضي يمكن أن يكون اسم المستخدم كلمة مرور ثم رمز مرور لمرة واحدة أو استخدامها في رمز المرور. يمكنك الدخول إلى عالم، حسناً، اذهب إلى جهاز كمبيوتر، واستخدم الاسم، وانقر عليه، ثم ضع الرقم السري، وستدخل.
إنجو شوبيرت
هذا كل شيء.
بول مولفيهيل
إنه تسريع عملياتنا. وهناك مجالات أخرى تتقدم أيضاً، حيث قد تصبح أبسط في المستقبل. أعني أن بعض عناصر FIDO ومفاتيح المرور يمكن أن تحتفظ، نوعاً ما، ببعض عناصر FIDO، بحيث يمكنك ربطها بشخص ما. لذا في نهاية المطاف، في نهاية المطاف، ما عليك سوى السير بمفتاح FIDO، ووضعه على الجهاز.
إنجو شوبيرت
وبالطبع، إذا كان لديك هذا النقر بتقنية NFC، فإن ذلك سيقلل من مشاكل سهولة الاستخدام. لن تضطر إلى قراءة شيء ما والنقر على شيء ما مرة أخرى حيث يمكن أن يحدث خطأ في قراءة الأرقام الصحيحة أو أن يكون لديك الأرقام الصحيحة وتنقر عليها بشكل خاطئ. لذلك تمت إزالة هذه الأشياء.
بول مولفيهيل
وإذا كان لديك شخص يعاني من ضعف في الرؤية، فقد لا يكون من السهل قراءة ذلك من شاشة صغيرة تدور، فقد لا يكون الأمر سهلاً. لذا مرة أخرى، إنها تقنية NFC.
إنجو شوبيرت
أرى ذلك.
بول مولفيهيل
يمكن لأي شخص في أي قطاع الاستفادة من هذا العنصر منه.
جون نيشولاس
ربما يكون أحد أكثر القطاعات أهمية لتحقيق التوازن بين الأمان والراحة على الأرجح لأننا لا نريد إبطاء تدفق المصادقة وتدفق الوصول للأشخاص ربما عندما يكونون في عجلة من أمرهم للقيام بشيء مهم للغاية، لذا فإن الأمان والراحة في نفس الوقت سيكون أمراً بالغ الأهمية.
إنجو شوبيرت
لذا فإن وجود طرق مصادقة متعددة أمر مهم إذن، ليس فقط لمستخدم واحد، فقد يكون هناك مستخدمون لديهم طرق متعددة، ولكن لأن جميع أنواع الأدوار مختلفة، كما هو مفهوم، نعم؟ لذلك لا يوجد نوع واحد يناسب الجميع.
بول مولفيهيل
نعم.
جون نيشولاس
بالتأكيد لا. بالتأكيد في منظمة بهذا الحجم.
بول مولفيهيل
كما ذكرت عن الأدوار المختلفة، فإنك تعود إلى جانب الحوكمة لتتأكد من أن كل شخص يقوم بدوره، فقد قمت بتعيين ما يمكنه القيام به بشكل صحيح. الممرضة والمستشفى سيكون لديها مجموعة واحدة من الأشياء التي يجب أن تكون قادرة على القيام بها، والطبيب، وحمال آخر أو شخص ما في الاستقبال. وربما لا يمكنني حتى سرد عدد من الأدوار المختلفة هناك وكلها لها متطلبات مختلفة وحقوق وصول مختلفة. لذلك عليك أن تتأكد من أنه يمكنك تعيين ذلك والذهاب، حسناً، حسناً، هذا الشخص هو هذا الدور وتأكد من أن عملية الحوكمة في مكانها وأنظمة دورة الحياة في مكانها الصحيح، حسناً، هذا هو دورك وهذا ما يمكنك الحصول عليه ثم قم بتعيين ذلك مرة أخرى إلى طريقة مناسبة حتى تتمكن من القيام بعملك دون قضاء 20 دقيقة في اليوم في القيام بتصعيد MFA الذي تريده ربما مرة أو مرتين في اليوم ثم ربما الاستفادة من بعض جوانب الذكاء الاصطناعي للأشياء وبعض التحليلات السلوكية للذهاب إلى اليمين لقد جئت, أنا على الكمبيوتر الذي أعمل عليه دائمًا، وأقوم بالوصول إلى المورد الذي أصل إليه دائمًا، أفعل ذلك مرة واحدة، وأدخل، وأكمل.
إنجو شوبيرت
إذن، بالبقاء على جانب الحوكمة، جانب حوكمة الهوية، كيف، لماذا، لماذا إذن، مثل، الانضمام -أ- تحريك رافعة، لماذا هذا مهم جدًا في بيئة الرعاية الصحية؟
جون نيشولاس
أعتقد أنك عندما تنظر إلى، مرة أخرى، ذكرت المقياس كثيراً، ولكنك ترى، وقد ذكر بول ذلك، أن الناس قد يتنقلون بين الصناديق الاستئمانية، ولكن داخل الصندوق الاستئماني أيضاً، فقد تنتقل بين الأدوار، ربما بانتظام. لذا فإن حجم عملية JML الخاصة بهم، أعني، عشرات أو مئات الآلاف من التغييرات في اليوم الواحد. لذلك سيكون من الأهمية بمكان أن تكون على رأس ذلك من وجهة نظر آلية. وليس فقط أن يكون ذلك آلياً، ولكن أيضاً أن يكون لديك الجدول الزمني الصحيح، كما تعلم، ستقوم بتغيير الدور في غضون ثلاثة أيام، أليس كذلك؟ هذا في النظام. ثلاثة أيام وقت التغيير من الدور (أ) إلى الدور (ب)، ويتم ذلك تلقائياً في النهاية الخلفية. وأنت تعرف الدور الذي ستنتقل إليه، أو أن النظام يعرف الدور الذي ستنتقل إليه ويعرف الأذونات التي تحتاجها، وليس الأمر أن أتحدث إلى مديرك وأقول ‘مرحباً إنغو سينضم إلى فريقك الأسبوع المقبل، ما الذي يجب أن يكون قادراً على فعله’ يجب أن تكون الحالة أن إنغو قد انضم إلى الفريق ويمكنه القيام بكل ما يحتاج إلى القيام به منذ اليوم الأول.
إنجو شوبيرت
وهذا يعني أيضًا أن الدور (أ) لم يعد معي بعد ذلك إذا قمت بتغيير الأمانات بالطبع نعم؟
جون نيشولاس
أجل، أجل.
إنجو شوبيرت
لذا فإن هذا التراكم في الحقوق أو الوقت، والذي أعتقد أننا جميعًا شهدناه في حياتنا المهنية في وقت من الأوقات
جون نيشولاس
امتداد الهوية إذا أردت.
إنجو شوبيرت
أجل، أجل.
بول مولفيهيل
للإضافة إلى ما قاله جون، إذا كنت تتنقل بين مواقع مختلفة وصناديق ائتمان مختلفة وأدوار مختلفة، فإن الحساب الذي تم إنشاؤه لك للموقع أ، إذا لم تعد لمدة ثلاثة أو أربعة أو خمسة أسابيع أو حتى لمدة يومين أو ثلاثة أيام، مع جانب دورة الحياة ونوع من عنصر الرافعات الخاص به، يمكنك تعطيل هذا الحساب على الفور. لذلك لم يكن لديك سيناريو الحساب اليتيم حيث يوجد هذا الحساب، ولديه مستوى من الأذونات. إنه فقط موجود ولا يتم استخدامه، مما يعني أنه ناقل هجوم آخر. حتى لا يتمكن شخص ما من الدخول ومن ثم الدخول في مجالات القيام بهجمات مثل هجمات الفدية على الصناديق الائتمانية وكل هذا النوع من الأشياء. أنت فقط، تقوم بإغلاق ذلك لأنك لست هنا مرة أخرى. إذا عدت بعد يومين، في غضون يومين سيعيد النظام تشغيله مرة أخرى.
إنجو شوبيرت
صحيح.
بول مولفيهيل
حتى تلك النقطة، ليس خياراً متاحاً. إنه مغلق. لا يمكن استخدامه.
إنجو شوبيرت
والرؤية التي تأتي مع ذلك، أعني، من الواضح أن النظام يعرف بعد ذلك، كما تعلم، الأدوار التي لديك، والأدوار التي ستحصل عليها، والأدوار التي حصلت عليها. أعتقد أن ذلك، وصحح لي إذا كنت مخطئًا، ولكن كما تعلم، إذا تم التدقيق في حساباتك، يبدو أن هذه المعلومات والرؤية مفيدة للغاية.
بول مولفيهيل
سيكون لديك تاريخ كامل لمن يمكنه القيام بماذا في أي مرحلة. فإذا حدث أي شيء من منظور التدقيق، هل تلتزم بمعايير التدقيق هذه؟ نعم، هذا هو الدليل. إذا كان لديك نوع واحد من منصة الحوكمة المركزية، فكل شيء موجود. لذا يمكنك أن تعرف نوعًا ما، حسنًا، نعم، نحن بخير، لا توجد مشكلة. وفي حال، حسناً، في حالة حدوث شيء ما نادر الحدوث، يمكنك بعد ذلك استخدام نفس مجموعة البيانات لتقول، حسناً، من كان لديه حق الوصول إلى هذه الأشياء في تلك المرحلة؟ اعتمادًا على التسجيل الإضافي الذي يمكنك سحبه إلى النظام البيئي ويمكنك بعد ذلك أن تقول، حسنًا، حسنًا، ربما تكون هذه الحسابات قد فعلت شيئًا ما، ولكن يمكنك أن تقول، حسنًا، حسنًا، من كان لديه حق الوصول إليها؟ من كان بإمكانه فعل شيء ما.
إنجو شوبيرت
وهذا يساعد في التحقيقات. إذا حدثت أشياء، أعني، كمهندس أمن جيد، أنت تفترض دائمًا أن الأمور ستحدث، ستخترق في النهاية. هذا يساعدك أيضًا، كما تعلم، أثناء عملية التنظيف، لمعرفة ما يحدث، ومن الذي تأثر.
بول مولفيهيل
أنت تفترض دائمًا أن شيئًا ما، تفترض دائمًا أنه من الممكن اختراقه. لذا فأنت تضع أكبر قدر ممكن من الخطوات والضوابط والتوازنات لتقليل تأثيره، إلا إذا كنت ستأخذ هذا الكمبيوتر وتفصله عن القابس الكهربائي في حالة وضعه في الأسمنت وإسقاطه في خندق أريانا أو شيء من هذا القبيل، فلن يحدث ذلك. لذا عليك أن تضع أكبر قدر ممكن من الاحتياطات بحيث إذا حدث شيء ما أو عندما يحدث شيء ما، يكون أقل تأثير ممكن على سير الأمور.
جون نيشولاس
نعم، أعتقد أنه لإضافة إلى ذلك، فإنك تنظر إلى البيانات التي تحصل عليها من نهج الحوكمة نوعًا ما، فالأمر لا يتعلق فقط بإمكانية تقديم المعلومات لمراجعي الحسابات. أعتقد أنك تنظر أيضًا إلى، هل يمكننا فهم ما لدينا حاليًا. لذا فإن نضج العملية، أتحدث كثيرًا عن العملية في هذه الجلسات، ولكن كما تعلم، أنت تنظر إلى فريق، وتنظر إلى استحقاقات أدوارهم. تقول، انتظر، لم يستخدم أحد في هذا الفريق هذا الاستحقاق لمدة ستة أشهر أو سنة، أيًا كان الإطار الزمني الذي تحدده، ويجب أن يقول النظام أنه لم يتم استخدامه. دعونا ننظر في إزالة هذا الاستحقاق، لأن هذا استحقاق زائد هناك قد يكون هناك سبب وجيه جداً لعدم استخدامهم له بعد الآن. ربما هناك نظام موازٍ يستخدمونه للقيام بهذا الجزء من عبء العمل. إذاً لديك ذلك في النظام الجديد، خذ ذلك من النظام القديم. لكنك تحتاج إلى ذلك، كما تعلم، الذكاء الآلي لمساعدتك حقًا في الكشف عن تلك المعلومات، لأنه بخلاف ذلك أنت تقوم بمراجعات يدوية كاملة ولا أعرف ما استخدمته على النظام خلال الأشهر الستة الماضية، لكن النظام سيعرف كيف استخدمته. لذا استخدم هذا الذكاء لتقول، حسناً، دعنا نتخذ قرارات مستنيرة بشأن العمل نحو انعدام الثقة أو الامتيازات الأقل.
إنجو شوبيرت
نعم، هذا هو المكان الذي يتبادر إلى الذهن الامتيازات.
بول مولفيهيل
ثم تحصل على الجانب الآخر من، كما قلت، يمكنك أن تبدأ في رؤية أين امتياز الإذن الخاص الذي لم يكونوا يستخدمونه. حسنًا، في الواقع، كان 80 % من الفريق يقومون بذلك، لكنه ليس جزءًا من دورهم الرسمي. هل نحن بحاجة إلى إضافة ذلك حتى نتمكن بعد ذلك من التأكد من أن الفريق بأكمله يمكنه القيام بذلك لأنهم بحاجة إلى أن يكونوا قادرين على القيام بذلك بدلاً من 8 من أصل 10، بشكل فردي يقول، نعم، هل يمكنني الوصول إلى النظام B، من فضلك، لأنني أحتاجه للقيام بـ X.
إنجو شوبيرت
الإدارة بالاستثناء، بشكل أساسي، نعم. تنظيفها، نعم.
بول مولفيهيل
دعنا نذهب، حسناً، في الواقع، أنت تعرف ماذا، 80 % منهم يستخدمونه. دعونا نجعلها جزءًا رسميًا من الدور حتى نتمكن بعد ذلك من الالتزام بتلك المراجعات والامتثال وهذا النوع من الذهاب، صحيح، نعم، يحتاج هذا الفريق إلى هذا. إنه جزء من دورهم المنجز. إذا انضم شخص آخر، أو غادر شخص آخر، فإننا نوقف هذا الوصول لأنه جزء من الدور الذي حصلوا عليه، أو نعطيه للشخص الجديد الذي يقوم به أيضًا، فقط للحفاظ على كل شيء متوافقًا ورؤية هذا ما يمكن أن يفعله هؤلاء الأشخاص.
إنجو شوبيرت
إذن ما الذي ستقوله لمدير تكنولوجيا المعلومات، مدير تكنولوجيا المعلومات في مجال الرعاية الصحية، من أين يجب أن يبدأ؟ لأنه، كما تعلم، هناك الكثير من الأشياء التي يمكن أن يبدأوا بها، ولكن مثل قائمة أولويات صغيرة ربما، ماذا ستقول لهم؟
جون نيشولاس
أعتقد أنني سأشجعهم، وهم يبحثون في هذا الأمر بالفعل، ولكن السبب الحقيقي وراء ذلك هو التركيز الحقيقي على مقاومة التصيد الاحتيالي. وأعتقد أن هذا هو المكان الذي سأبدأ منه، لأن الكثير من الرعاية الصحية تعتمد على البريد الإلكتروني كوسيلة اتصال أساسية. ونحن نعلم أن هذا هو ناقل هجوم حقيقي عرضة للهجوم من أجل التصيد. وليس ذلك فحسب، بل إن أولئك الذين يستهلكون تلك الأنظمة يعملون في بيئات عالية الضغط. كما تعلمون، إنهم يسجلون الدخول، ويحتاجون إلى القيام بشيء ما بسرعة، وتصلهم رسائل البريد الإلكتروني، وقد تمكنوا للتو من الوصول إليها في الوقت المناسب، نعم، يمرون بها في حالة من الذعر. ليس في حالة من الذعر، ولكن فقط في تدفق عادي وعن غير قصد، كما تعلم، يطلقون بيانات اعتمادهم وبياناتهم إلى موقع التصيد الاحتيالي. لذا، مع الأخذ في الاعتبار مصادقة مقاومة التصيد الاحتيالي في ذلك، سنقوم فقط أولئك الذين تعرفهم منذ البداية لأن هذا النوع من الاتصالات عبر البريد الإلكتروني يركز بشكل كبير على هذا النوع من قطاع الاتصالات عبر البريد الإلكتروني الذي هو بالتأكيد المكان الذي سأنظر إليه.
بول مولفيهيل
ربما أوافق على الأرجح أنك تبدأ بهذا النوع من جزء مقاومة التصيد الاحتيالي من الشيء، الشيء التالي سيكون نوعًا من الرؤية لما يمكن أن تفعله القوى العاملة لديك، لذلك ربما يكون نوعًا ما متأخرًا قليلاً ولكن بالتوازي مع نوع من تأمين الباب الأمامي من الشيء تأكد من أن نهج مقاومة التصيد الاحتيالي وهذا في اللعب، ولكن بعد ذلك احصل على نوع من نوع من أداة رؤية الحوكمة التي تعمل لتقول، حسنًا، من الموجود، ما هي الحسابات الموجودة، ما الذي يمكنهم فعله، لا تقم بإجراء أي تغييرات، ولكن حرفيًا فقط اجمع كل هذه المعلومات معًا للبدء في رؤية مقدار الموقف الذي لدينا مع الحسابات والأذونات. ما هو مستخدم، وما هو غير مستخدم، ومن يستطيع فعل ماذا، ومن لا يستطيع فعل ماذا. لأنه بعد ذلك بمجرد حصولك على البيانات، يمكنك البدء في القول، حسناً، هذه هي التغييرات التي يمكنني النظر في إجرائها والتي ليس لها أي تأثير في البداية لأنه لا أحد يستخدمها. ولكن بعد ذلك أيضًا، ما هي التغييرات التي أحتاج إلى إجرائها لتمكين الفريق من القيام بعمله بكفاءة أكبر للمضي قدمًا.
إنجو شوبيرت
شكراً يا رفاق. كانت هناك بعض الأفكار الجيدة حقًا حول أمن الهوية في أنظمة الرعاية الصحية. إذا كنت تستمتع بهذه الأنواع من المناقشات، فتأكد من الاشتراك للحصول على إشعار عندما نصدر حلقة جديدة. كان هذا برنامج RSA Identity Unmasked. نراكم الشهر القادم.
مرحباً بكم مرة أخرى في برنامج RSA Identity Unmasked. نتحدث اليوم عن واحد من أكثر القطاعات خطورة وإثارة للاهتمام في مجال أمن الهوية، وهو قطاع الرعاية الصحية. ينضم إليّ اليوم مرة أخرى بول وجون، ودعونا نلقي نظرة على التحديات وحالات الاستخدام وأفضل الممارسات. لنبدأ. لماذا تعتبر الرعاية الصحية بيئة فريدة من نوعها لأمن الهوية؟
جون نيشولاس
سأبدأ إذا أردت يا بول. هل تريد ذلك؟
بول مولفيهيل
على الرحب والسعة!
جون نيشولاس
أعتقد أن الشيء الوحيد الذي نتحدث عنه دائمًا في مجال الرعاية الصحية وهو أحد الموضوعات الأولى التي يتم طرحها هو المكدس التقني الذي لديهم والأهم من ذلك، البنية التحتية القديمة. وهي واحدة من أكبر المجالات التي يجب تأمينها من وجهة نظر الهوية لأنها قد لا تكون لديها روابط لخدمات المصادقة المصغرة الحديثة. لذا فإن التكنولوجيا القديمة المملوكة تمثل تحديًا كبيرًا في شخص مثل الرعاية الصحية، وكانت هيئة الخدمات الصحية الوطنية مثالًا رئيسيًا للغاية في المملكة المتحدة.
بول مولفيهيل
في كثير من الأحيان، هناك مثل، جميعنا يعرف هيئة الخدمات الصحية الوطنية، ولكنها غالبًا ما تتكون من الكثير من المؤسسات الصغيرة تحت نفس المظلة، وهذا لا يعني أن هناك وعاء واحد ضخم لدعم البنية التحتية لتكنولوجيا المعلومات، فقد يكون لكل مؤسسة صغيرة مسؤولياتها الخاصة، وبالتالي لا يمكنها الحصول على الأحدث والأفضل، لأنها لا تملك الميزانية اللازمة لذلك. إذا كان هناك شيء واحد كبير، ربما، لكن العالم لا يعمل بهذه الطريقة، للأسف، إلى حد ما. لذلك هناك تحديات تتمثل في كيفية تأكد كل واحد منهم من حصولهم على الأحدث والأفضل عندما لا يستطيعون ذلك لأن لديهم أنظمة قديمة، وعليهم التعامل مع الترحيل أو الصيانة، مما يضيف تحديات إضافية تتمثل في كيفية الوصول إلى نظام حديث
إنجو شوبيرت
صحيح. وأعتقد، حسنًا، بالطبع، الأمر مختلف في ألمانيا، على سبيل المثال. أعتقد أن الأمر ليس مختلفًا في هذا السياق، أليس كذلك؟ كما تعلم، منظمات مختلفة، والكثير من التطبيقات القديمة. لذلك أعتقد أن هذا، لكي أكون منصفًا، ربما تجد ذلك في جميع أنحاء أوروبا أو ربما حتى حول العالم في العديد من الأماكن، أليس كذلك؟
بول مولفيهيل
ونحن نتحدث عن النظام القديم، إذا كان لديك نظام يعمل ومعدلات الخطأ فيه، فإذا كنت تتعامل مع صحة شخص ما، ولديك نظام يختبر شيئًا ما، فإنه يعمل. لن تقرر فقط تغييره لأنه قد يكون عمره عامين. أنت ستضع هذا التمويل لشيء جديد. لذا، نعم، قد يكون إرثًا، لا يعني أنه قديم وعتيق وعفا عليه الزمن. إنه يعني فقط أنه يعمل. هناك أشياء أكثر أهمية للنظر إليها.
إنجو شوبيرت
لا تلمس نظاماً قيد التشغيل. إذن، ما الذي يجعل الوصول والتحكم والمصادقة تحدياً كبيراً في هذه البيئة؟
بول مولفيهيل
سأقول على الأرجح أنه نوع من المزيج مرة أخرى من الصناديق الاستئمانية المتعددة. كيف يمكنك، إذا كنت تعمل بشكل مستقل، ولكن لديك قوة عاملة قد تتنقل بين الصناديق الاستئمانية لأنها تغطي منطقة أوسع، كيف يمكنك إعداد نظام سهل الاستخدام، على سبيل المثال، أنا أعمل في مكان ما في يوم ما، وفي مكان آخر في يوم آخر، وفي مكان آخر في صندوق استئماني مختلف، وفي مكان آخر في صندوق استئماني آخر. هل هناك نظام مركزي يدير كل ذلك؟ ربما لا. هل سأعود إلى مكان ما أم سأعمل في يوم واحد في السنة في مكان آخر في مكان آخر؟ إن هذا النوع من الأنظمة التي تحاول إدارتها ومحاولة تأمينها من وجهة نظر الهوية يزيد من تعقيدها أضعافاً مضاعفة. أنا عبر 50 موقعًا، هل هذا 50 نظامًا؟ أم 5، أم واحد؟ قم بتوسيع نطاق ذلك عبر البلد بأكمله وأنت تضيف طبقات من التعقيد لأسباب مختلفة.
جون نيشولاس
نعم، وأعتقد أن السبب هو عدد المستخدمين. إنه حساب المستخدم الذي يصعب في بعض الأحيان مواجهته نوعًا ما لأن لديك أطباء يقومون بالخدمات الطبية في الخطوط الأمامية والذين قد يكونون بالطبع جيدين جدًا في ما يفعلونه، لكنهم ليسوا خبراء في الأمن السيبراني. لديك فريق كامل يدعم هيئة الخدمات الصحية الوطنية، على سبيل المثال، يقوم بكل الخدمات اللوجستية والتخطيط والجانب الإداري. الآن، قد يكون بعض هؤلاء قادرين على استخدام، كما تعلم، المصادقة على، مثل المصادقة على الهاتف المحمول، لكن البعض الآخر ربما في الجناح أو، كما تعلم، في بيئات أكثر أمانًا، لكننا نعلم أنه لا يمكنك استخدام ذلك. يجب أن يكون لديك شيء آخر، كما تعلم، رمز مادي لـ
القيام بالمصادقة. لذلك ليس لديك قوة عاملة ضخمة فحسب، بل لديك حالات استخدام متعددة من حيث كيفية المصادقة. وبعد ذلك، كما تعلم، ذكرت الهاتف المحمول، ولكن قد لا يكون لدى بعض الأشخاص هاتف محمول يريدون استخدامه. لذلك على الفور، لديك ثلاث أو أربع أو خمس حالات استخدام مختلفة لمجرد إدخال خمسة أشخاص في نظام واحد.
إنجو شوبيرت
لذا فإن الأطباء، والموظفين المؤقتين، والموظفين المؤقتين، والمناوبات الدورية التي تعقد الأمور بشكل كبير. إذن ما قلته للتو. لذلك هذا من وجهة نظر إدارة الهوية الخاصة بي، يمكنني أن أرى لماذا يمثل هذا تحديًا إلى حد ما مقارنةً بالقوى العاملة المنظمة إلى حد ما، كما تعلم، القوى العاملة في المؤسسة، نعم، حيث تعمل من التاسعة إلى الخامسة. نعم، قد يكون لديك مناطق زمنية مختلفة، نعم، ولكن هذا في الأساس يرفعها إلى 11، بشكل أساسي.
بول مولفيهيل
نعم، يمكن أن يكون لديك تلك الشركة الواحدة الكبيرة التي لديها، على سبيل المثال، 50 قسمًا مختلفًا أو 100 قسم مختلف، بينما عندما تنظر إلى قطاع الرعاية الصحية، قد يكون لديك هيئة واحدة كبيرة هي قطاع الرعاية، ولكن يمكن أن تكون 50 أو 100 شركة منفصلة داخلها وكل منها له تخصصه ويجب أن تكون مستقلة في طريقة عملها ولكن لا تزال تعمل مع كيانات أخرى داخل نفس المجال. وإذا واجهت أي مشاكل مع إحداها، فما هي الآثار المترتبة على ذلك؟
إنجو شوبيرت
لذا من حيث، بالطبع، كما تعلمون, لدينا هذا البرنامج التلفزيوني الدرامي مثل أنت تعرف كل شيء يجب أن يسير بسرعة نعم ولكن هذا شيء واحد نعم نحن لا نبطئ الأمور أعتقد أن هذا جزء من التحدي هنا ولكن هذا ليس فقط مثل هذا أنت تعرف شخص ما يندفع إلى غرفة الطوارئ وتحتاج الأمور إلى التحرك بسرعة لأن لديك أيضًا لأن لديك كما تعلم قوة عاملة محدودة يجب أن تكون فعالة للغاية مما يعني أيضًا أننا نعم أنت تعرف أن الأمن لا يمكنه إبطاء الأمور بسبب ذلك فما هي التحديات ومثل، كما تعلم، طرق تحقيق ذلك؟
جون نيشولاس
فقط على تلك التحديات الضخمة، أنت لا تريد، إذا تحدثنا عن ذلك من وجهة نظر الحوكمة، من وجهة نظر أقل الامتيازات، فأنت تريد أن تذهب، صحيح، نحن بحاجة إلى كل شخص على الامتيازات فقط للقيام بدوره، على سبيل المثال. ولكن التحدي بعد ذلك هو، كما تعلم، أن تذهب، حسناً، دعنا نجري هذا التغيير، وأنت تأخذ بعض الصلاحيات منهم عن طريق الخطأ ربما. والآن لا يستطيعون تشغيل تلك الآلات أو المعدات الهامة في الجناح الذي سيساعد في إنقاذ حياة شخص ما. لذلك يجب أن تكون دقة اتخاذ القرار لفرض حل IGA، على سبيل المثال، من الحديد الصلب تمامًا. لذا فإن القدرة على إجراء التغيير في تلك المرحلة ربما تمر عبر طبقات وطبقات من عملية اتخاذ القرار، لذا يصبح الأمر بطيئًا. لأن آخر شيء نريد أن نفعله هو أن نذهب إلى تنفيذ سير العمل هذا والآن لا يستطيع شخص ما إنقاذ حياة شخص ما للذهاب إلى المثال الأكثر تطرفًا أو إعطاء شيء من الصيدلية.
إنجو شوبيرت
ولكن في الوقت نفسه مع، وخاصةً مع حوكمة الهوية، بالطبع، هناك بالطبع، كما تعلمون، الحل السريع في هذه الحالة، وهو بالطبع ليس كذلك، مجرد إعطاء الجميع المزيد من حقوق الوصول، بشكل أساسي، المزيد من الاستحقاقات التي عادةً ما يقومون بها. هل هذا نهج صحيح؟ هل هذا حل وسط جيد؟ لا، إنه كذلك بشكل رسمي، على ما أعتقد، أليس كذلك؟
بول مولفيهيل
أجل، لأنه إذا تم اختراق شخص واحد أو اختراق حساب واحد وحصلوا على إذن كبير جداً، ماذا يحدث؟ يمكن أن يدخل البواب الذي حصل على كل شيء لأنه عضو من موظفي المستشفى ويمكنه الدخول إلى نظام الصيدلية والوصول إلى نظام الصيدلية والوصول إلى الدواء أو تغيير سجلات المريض يمكن أن يكون لديهم مضاعفات غير معروفة في المستقبل بالنسبة لهم. صحيح. ولكن بعد ذلك لديك، كما كان جون يقول، هناك الكثير من التداعيات المحتملة لإجراء تغيير في تطبيق سياسة ما أو تطبيق أقل مسار من الأذونات، بحيث يكون الأمر أشبه بشلل للمخاطر. يمكنني تنفيذ هذه السياسة التي تزيل الأذونات لـ X و Y و Z. إذا لم تكن متأكدًا تمامًا، هل قمت بتحليل، حسنًا، هذا يؤثر على 50 شخصًا، هل قام هؤلاء الأشخاص الخمسون بالوصول إلى هذا المورد؟ إذا قام أحدهم بذلك، فأنت بحاجة إلى الاستمرار في إجراء المزيد من المراجعة. هل يحتاج هذا الشخص الواحد إلى الحصول على أذونات خاصة؟ إذا لم يقم أي منهم بذلك، وقمت بمراقبته لفترة كافية، حسناً، نعم، يمكنك فرضه، حسناً، سنقوم بإلغاء ذلك. ولكن هناك هذا النوع من الخوف من أنني إذا قمت بإخراج شيء ما ومن ثم هذا السيناريو الوحيد الذي لا يمكنك التخطيط له مع الرعاية الصحية. يمكنك محاولة تخمين الكثير، لكن لا يمكنك أبدًا التخطيط لحدوث حالة طارئة تحتاج فيها إلى شيء ما. لقد أزلت هذا الإذن. الآن هذا السيناريو الوحيد الذي ظهر الآن حيث احتاجت هذه الممرضة أو هذا الطبيب أو شخص ما أن يكون قادرًا على القيام بشيء ما وفجأة لا يستطيعون.
إنجو شوبيرت
لا يقتصر الأمر على تشغيل الآلات فقط. يمكن أن يكون أيضًا مثل الوصول إلى البيانات في مكان ما، أليس كذلك؟ نحن السجلات الصحية، على سبيل المثال. لذا أفهم النقطة التي يكون فيها الأمر في مؤسسة عادية، قد يكون هذا، قد يكون الأمر سيئًا إذا كان لدى شخص ما استحقاقات قليلة جدًا. لا يستطيعون القيام بعملهم، ولكن، كما تعلم، يقدمون طلبًا، وتتم الموافقة عليه. كما تعلم، إنه مثل، نعم، إنه سيء. قد يتأخر الأمر بضع ساعات، ربما في اليوم التالي، لكن، كما تعلم، ليس في العالم، بينما في بيئة الرعاية الصحية، قد يعني هذا في الواقع مشكلة كبيرة. و، كما تعلم، قد لا يتم ذلك في الدقيقة، ولكن، كما تعلم، قد يعني هذا في الواقع أن شخصًا ما لا يحصل على الرعاية التي يحتاجها عندما يحتاج إليها.
بول مولفيهيل
إذا كان الأمر يتعلق بشركة ما وتمكن شخص ما من الوصول إلى البيانات، فربما يطلب شخص ما شيئًا ما على بطاقة ائتمان، ثم يمكنك بعد ذلك أن تستعيدها بالكامل مع بطاقات الائتمان لإصلاحها أو يتم إلغاء طلب ما. أعني أن بعض هذه التأثيرات جميلة وليست شديدة، ولكن إذا كان الأمر في مجال الرعاية الصحية، شخص ما يغير سجلاتك الطبية. شخص ما يشارك تفاصيل لا ينبغي مشاركتها. هناك الكثير من التداعيات المترتبة على ما يمكن أن يحدث. أو أن يتم تسريب معلومات قد يكون لها تأثيرات طويلة المدى عليك. كما قلت، يمكن أن يتم إيقاف بعض الأدوية التي تعتمد عليها. هل أنت قريب من نهاية الوصفة الطبية الخاصة بك مع هذا الدواء، وفي الواقع، يقومون بإزالة التفاصيل عندما تضطر إلى المرور بكل عمليات إعادة التحقق من ماهية الدواء الذي تحتاجه بالفعل، نعم، أنا بحاجة إليه، مما يؤدي إلى إبطائه أكثر، وتأخيره، مما يؤدي إلى المزيد من الآثار غير المباشرة. ذلك لأن أحد تلك القطاعات التي قد يبدو فيها ما قد يبدو تغييرًا بسيطًا في المؤسسات والقطاع الخاص في مجال الرعاية الصحية، فإن المشاكل والتداعيات قد تتضاعف 10 أو 20 أو 30 مرة.
جون نيشولاس
نعم، وفيما يتعلق بهذه الأنواع من الأرقام، عندما تنظر إلى، كما تعلم، إلى اختراق البيانات في هذا النوع من السيناريوهات، مثل السجلات الطبية تكون ذات قيمة كبيرة عند تداولها على شبكة الإنترنت المظلمة، أكثر من تفاصيل بطاقة الائتمان، على سبيل المثال، وأحد المجالات التي يمكن استخدامها فيها هو الاحتيال في التأمين، والذي يمكن أن يحمل، كما تعلم، تعويضات مالية ضخمة، كما تعلم، تعويضات مالية، أفترض، إذا كان شخص ما يضع هذا الطلب، ويعرف تاريخك الطبي، فيمكنه القيام بذلك التأمين إلى الأمام نيابة عنك، وكما تعلم، هذا مربح بشكل لا يصدق. لذلك هذا هو المكان، كما تعلم، الذي يريد المهاجمون أن يدخلوا فيه. إنهم، كما يقول، لا يريدون، كما تعلم، المخاطرة بحياة أي شخص، ولكن المكافأة المالية للحصول على هذه السجلات الطبية ومن ثم أخذها لتحقيق مكاسب مالية هو ما سيسعون إليه.
إنجو شوبيرت
أعني أن تلك المعلومات ستكون مثالية من مهاجم ليقوم بهجوم على شخص ما مثل هجوم بالرمح. إذا كنت تعرف بالفعل التفاصيل الطبية بالفعل، نعم، هذا فقط يرفع مستوى الثقة، مما يجعلك أكثر ريبة تجاه تلك الأنواع من الهجمات، أليس كذلك؟ أو فقط، كما تعلم، لا أعرف، الابتزاز أو ما شابه ذلك. نعم، هناك الكثير من الأشياء التي يمكنك فعلها بتلك السجلات، صحيح؟ لذا، نعم، أستطيع أن أرى ذلك. إذن، بالعودة إلى، كما تعلم، ما الذي يحدث في الواقع، على سبيل المثال، في المستشفى؟ ما هو سير عمل المصادقة النموذجي الذي يحتاج شخص ما إلى المرور به؟
جون نيشولاس
لا أعرف ما إذا كانت ستكون نموذجية.
إنجو شوبيرت
حسناً، لا بأس.
جون نيشولاس
تحدثنا عن الأنظمة، ولكن ماذا يجب أن يفعلوا؟ ربما يكون السؤال، ولكن كما تعلم، يجب أن يكون هناك دائمًا، يجب أن يكون هناك دائمًا خطوة MFA مع، كما تعلم, عملية إضافية في النهاية الخلفية، كما تعلم، هل يمكنك الاستفادة من الوصول المشروط عندما نتحدث من وجهة نظر IAM، هل يمكنك الاستفادة من وجهة نظر IAM، سأقول أنه يمكنك الاستفادة من الذكاء الاصطناعي لفهم ما إذا كان هذا المستخدم هو المستخدم المناسب في الوقت المناسب، وأن يتم ذلك ديناميكيًا بدلاً من أن يحاول المسؤولون تجميع سياسات الوصول المشروط بناءً على قاعدة مستخدمين واسعة ومجموعة تقنية واسعة، لذا نعم استخدم الأدوات لصالحك واجعل أي شخص يقوم دائمًا بالتقدم عندما يكونون بالفعل في السجلات الهامة.
إنجو شوبيرت
لذا فإن الشيء الوحيد الذي لاحظته في هذه الصناعة، أعتقد أن أقرب ما أراه ربما في التصنيع على أرضية التصنيع هو الأجهزة المشتركة. يبدو أن هذا لا أقول أنه القاعدة، ولكن يبدو أن هذا هو المعيار السائد، ولكن يبدو أن هناك كمية كبيرة بشكل غير متناسب من الأجهزة المشتركة. كيف نتعامل مع ذلك؟
بول مولفيهيل
حسناً، نعم، لديك قوة عاملة في نوبات عمل لنفترض أنها 8 ساعات، لن يكون لديك في كل يوم لن يكون لديك شخص في دور ما لديه جهاز خاص به، لذلك سيكون لديك جهاز مشترك بين 3 أشخاص على الأقل وفي حالات محتملة يتشاركه 5، 6، 7 أشخاص لأنه قد يكون محطة في محطة التمريض، هذا النوع من الأشياء. ما هي أفضل طريقة لحمايته؟ أعني أنك ستضع نوعًا ما من بيانات الاعتماد في اسم المستخدم وكلمة المرور. أعني، لقد كنت في ورؤية الناس مع رموز OTP الصغيرة، رموز الأجهزة، لأنه من الصعب قتلها. إنها مرنة للغاية. لكن هل هذا كافٍ؟ لأنها كلمة مرور لمرة واحدة فقط. يجب أن يكون لديك شخص ما للوصول إلى جهاز كمبيوتر وتسجيل الدخول واستخدامه. لكنها مجربة ومختبرة. يعرف الناس كيفية استخدامها ولديك الكثير من الأشخاص في هذه الصناعة الذين يمكنهم المشي على الأرض مع أي منا يتحدثون عن الجسم وكيف تعمل منطقتهم من الجسم أعطهم مفتاح FIDO واطلب منهم التعود على استخدام ذلك أو الهاتف المحمول مع الدفع للموافقة على القياسات الحيوية إنه مجرد مجال مختلف تمامًا بالنسبة لهم للتفكير في ذلك إنه نوع من هذا النوع من هذا الجزء من منطقة راحتك ومعرفتك التقنية هنا. ولكن بعد ذلك نحاول أن نقول، حسناً، لاستخدام ذلك عليك أن تضيف إليه كل هذه العناصر الأخرى.
إنجو شوبيرت
بالإضافة إلى ذلك، أعتقد أن الأمر، مرة أخرى، لا يختلف كثيرًا عن بعض المجالات الأخرى في صناعات أخرى حيث، على سبيل المثال، لا يمكنك اصطحاب الهاتف المحمول في كل مكان. هناك أماكن لا يُسمح لك فيها باصطحاب الهواتف الذكية أو الأجهزة الذكية على الإطلاق، تمامًا، إما لأسباب تتعلق بالخصوصية، أو لأن لدي كاميرات أو، لا أعرف، مثل، كما تعلم، لا يُسمح لك بالاتصال بشبكة واي فاي في مكان ما لأنه يزعج آلات أخرى. لذا، نعم، أنت بحاجة إلى خيارات، نعم. بالإضافة إلى ذلك، مثل، كما تعلم، مولد OTP، يمكنك غمسه في المطهر، إذا أردت.
بول مولفيهيل
نعم. أعني، كنت أتحدث مع أحد العملاء قبل أيام، وكان لديهم هذا النوع بالضبط، حسناً، إنه ليس طبياً، لكنه سيناريو لا توجد فيه هواتف محمولة. البيئة المادية مغلقة من الناحية الأمنية. لذا نعم، لديهم إما الرمز المميز للأجهزة مع رموز المرور لمرة واحدة أو سينظرون إلى مفاتيح فيدو. أعني أن بعض المفاتيح الجديدة مثل RSA iShield هي أنها تحتوي على FIDO بدون تلامس وعناصر مثل ذلك. لذلك في حين أنه في الماضي يمكن أن يكون اسم المستخدم كلمة مرور ثم رمز مرور لمرة واحدة أو استخدامها في رمز المرور. يمكنك الدخول إلى عالم، حسناً، اذهب إلى جهاز كمبيوتر، واستخدم الاسم، وانقر عليه، ثم ضع الرقم السري، وستدخل.
إنجو شوبيرت
هذا كل شيء.
بول مولفيهيل
إنه تسريع عملياتنا. وهناك مجالات أخرى تتقدم أيضاً، حيث قد تصبح أبسط في المستقبل. أعني أن بعض عناصر FIDO ومفاتيح المرور يمكن أن تحتفظ، نوعاً ما، ببعض عناصر FIDO، بحيث يمكنك ربطها بشخص ما. لذا في نهاية المطاف، في نهاية المطاف، ما عليك سوى السير بمفتاح FIDO، ووضعه على الجهاز.
إنجو شوبيرت
وبالطبع، إذا كان لديك هذا النقر بتقنية NFC، فإن ذلك سيقلل من مشاكل سهولة الاستخدام. لن تضطر إلى قراءة شيء ما والنقر على شيء ما مرة أخرى حيث يمكن أن يحدث خطأ في قراءة الأرقام الصحيحة أو أن يكون لديك الأرقام الصحيحة وتنقر عليها بشكل خاطئ. لذلك تمت إزالة هذه الأشياء.
بول مولفيهيل
وإذا كان لديك شخص يعاني من ضعف في الرؤية، فقد لا يكون من السهل قراءة ذلك من شاشة صغيرة تدور، فقد لا يكون الأمر سهلاً. لذا مرة أخرى، إنها تقنية NFC.
إنجو شوبيرت
أرى ذلك.
بول مولفيهيل
يمكن لأي شخص في أي قطاع الاستفادة من هذا العنصر منه.
جون نيشولاس
ربما يكون أحد أكثر القطاعات أهمية لتحقيق التوازن بين الأمان والراحة على الأرجح لأننا لا نريد إبطاء تدفق المصادقة وتدفق الوصول للأشخاص ربما عندما يكونون في عجلة من أمرهم للقيام بشيء مهم للغاية، لذا فإن الأمان والراحة في نفس الوقت سيكون أمراً بالغ الأهمية.
إنجو شوبيرت
لذا فإن وجود طرق مصادقة متعددة أمر مهم إذن، ليس فقط لمستخدم واحد، فقد يكون هناك مستخدمون لديهم طرق متعددة، ولكن لأن جميع أنواع الأدوار مختلفة، كما هو مفهوم، نعم؟ لذلك لا يوجد نوع واحد يناسب الجميع.
بول مولفيهيل
نعم.
جون نيشولاس
بالتأكيد لا. بالتأكيد في منظمة بهذا الحجم.
بول مولفيهيل
كما ذكرت عن الأدوار المختلفة، فإنك تعود إلى جانب الحوكمة لتتأكد من أن كل شخص يقوم بدوره، فقد قمت بتعيين ما يمكنه القيام به بشكل صحيح. الممرضة والمستشفى سيكون لديها مجموعة واحدة من الأشياء التي يجب أن تكون قادرة على القيام بها، والطبيب، وحمال آخر أو شخص ما في الاستقبال. وربما لا يمكنني حتى سرد عدد من الأدوار المختلفة هناك وكلها لها متطلبات مختلفة وحقوق وصول مختلفة. لذلك عليك أن تتأكد من أنه يمكنك تعيين ذلك والذهاب، حسناً، حسناً، هذا الشخص هو هذا الدور وتأكد من أن عملية الحوكمة في مكانها وأنظمة دورة الحياة في مكانها الصحيح، حسناً، هذا هو دورك وهذا ما يمكنك الحصول عليه ثم قم بتعيين ذلك مرة أخرى إلى طريقة مناسبة حتى تتمكن من القيام بعملك دون قضاء 20 دقيقة في اليوم في القيام بتصعيد MFA الذي تريده ربما مرة أو مرتين في اليوم ثم ربما الاستفادة من بعض جوانب الذكاء الاصطناعي للأشياء وبعض التحليلات السلوكية للذهاب إلى اليمين لقد جئت, أنا على الكمبيوتر الذي أعمل عليه دائمًا، وأقوم بالوصول إلى المورد الذي أصل إليه دائمًا، أفعل ذلك مرة واحدة، وأدخل، وأكمل.
إنجو شوبيرت
إذن، بالبقاء على جانب الحوكمة، جانب حوكمة الهوية، كيف، لماذا، لماذا إذن، مثل، الانضمام -أ- تحريك رافعة، لماذا هذا مهم جدًا في بيئة الرعاية الصحية؟
جون نيشولاس
أعتقد أنك عندما تنظر إلى، مرة أخرى، ذكرت المقياس كثيراً، ولكنك ترى، وقد ذكر بول ذلك، أن الناس قد يتنقلون بين الصناديق الاستئمانية، ولكن داخل الصندوق الاستئماني أيضاً، فقد تنتقل بين الأدوار، ربما بانتظام. لذا فإن حجم عملية JML الخاصة بهم، أعني، عشرات أو مئات الآلاف من التغييرات في اليوم الواحد. لذلك سيكون من الأهمية بمكان أن تكون على رأس ذلك من وجهة نظر آلية. وليس فقط أن يكون ذلك آلياً، ولكن أيضاً أن يكون لديك الجدول الزمني الصحيح، كما تعلم، ستقوم بتغيير الدور في غضون ثلاثة أيام، أليس كذلك؟ هذا في النظام. ثلاثة أيام وقت التغيير من الدور (أ) إلى الدور (ب)، ويتم ذلك تلقائياً في النهاية الخلفية. وأنت تعرف الدور الذي ستنتقل إليه، أو أن النظام يعرف الدور الذي ستنتقل إليه ويعرف الأذونات التي تحتاجها، وليس الأمر أن أتحدث إلى مديرك وأقول ‘مرحباً إنغو سينضم إلى فريقك الأسبوع المقبل، ما الذي يجب أن يكون قادراً على فعله’ يجب أن تكون الحالة أن إنغو قد انضم إلى الفريق ويمكنه القيام بكل ما يحتاج إلى القيام به منذ اليوم الأول.
إنجو شوبيرت
وهذا يعني أيضًا أن الدور (أ) لم يعد معي بعد ذلك إذا قمت بتغيير الأمانات بالطبع نعم؟
جون نيشولاس
أجل، أجل.
إنجو شوبيرت
لذا فإن هذا التراكم في الحقوق أو الوقت، والذي أعتقد أننا جميعًا شهدناه في حياتنا المهنية في وقت من الأوقات
جون نيشولاس
امتداد الهوية إذا أردت.
إنجو شوبيرت
أجل، أجل.
بول مولفيهيل
للإضافة إلى ما قاله جون، إذا كنت تتنقل بين مواقع مختلفة وصناديق ائتمان مختلفة وأدوار مختلفة، فإن الحساب الذي تم إنشاؤه لك للموقع أ، إذا لم تعد لمدة ثلاثة أو أربعة أو خمسة أسابيع أو حتى لمدة يومين أو ثلاثة أيام، مع جانب دورة الحياة ونوع من عنصر الرافعات الخاص به، يمكنك تعطيل هذا الحساب على الفور. لذلك لم يكن لديك سيناريو الحساب اليتيم حيث يوجد هذا الحساب، ولديه مستوى من الأذونات. إنه فقط موجود ولا يتم استخدامه، مما يعني أنه ناقل هجوم آخر. حتى لا يتمكن شخص ما من الدخول ومن ثم الدخول في مجالات القيام بهجمات مثل هجمات الفدية على الصناديق الائتمانية وكل هذا النوع من الأشياء. أنت فقط، تقوم بإغلاق ذلك لأنك لست هنا مرة أخرى. إذا عدت بعد يومين، في غضون يومين سيعيد النظام تشغيله مرة أخرى.
إنجو شوبيرت
صحيح.
بول مولفيهيل
حتى تلك النقطة، ليس خياراً متاحاً. إنه مغلق. لا يمكن استخدامه.
إنجو شوبيرت
والرؤية التي تأتي مع ذلك، أعني، من الواضح أن النظام يعرف بعد ذلك، كما تعلم، الأدوار التي لديك، والأدوار التي ستحصل عليها، والأدوار التي حصلت عليها. أعتقد أن ذلك، وصحح لي إذا كنت مخطئًا، ولكن كما تعلم، إذا تم التدقيق في حساباتك، يبدو أن هذه المعلومات والرؤية مفيدة للغاية.
بول مولفيهيل
سيكون لديك تاريخ كامل لمن يمكنه القيام بماذا في أي مرحلة. فإذا حدث أي شيء من منظور التدقيق، هل تلتزم بمعايير التدقيق هذه؟ نعم، هذا هو الدليل. إذا كان لديك نوع واحد من منصة الحوكمة المركزية، فكل شيء موجود. لذا يمكنك أن تعرف نوعًا ما، حسنًا، نعم، نحن بخير، لا توجد مشكلة. وفي حال، حسناً، في حالة حدوث شيء ما نادر الحدوث، يمكنك بعد ذلك استخدام نفس مجموعة البيانات لتقول، حسناً، من كان لديه حق الوصول إلى هذه الأشياء في تلك المرحلة؟ اعتمادًا على التسجيل الإضافي الذي يمكنك سحبه إلى النظام البيئي ويمكنك بعد ذلك أن تقول، حسنًا، حسنًا، ربما تكون هذه الحسابات قد فعلت شيئًا ما، ولكن يمكنك أن تقول، حسنًا، حسنًا، من كان لديه حق الوصول إليها؟ من كان بإمكانه فعل شيء ما.
إنجو شوبيرت
وهذا يساعد في التحقيقات. إذا حدثت أشياء، أعني، كمهندس أمن جيد، أنت تفترض دائمًا أن الأمور ستحدث، ستخترق في النهاية. هذا يساعدك أيضًا، كما تعلم، أثناء عملية التنظيف، لمعرفة ما يحدث، ومن الذي تأثر.
بول مولفيهيل
أنت تفترض دائمًا أن شيئًا ما، تفترض دائمًا أنه من الممكن اختراقه. لذا فأنت تضع أكبر قدر ممكن من الخطوات والضوابط والتوازنات لتقليل تأثيره، إلا إذا كنت ستأخذ هذا الكمبيوتر وتفصله عن القابس الكهربائي في حالة وضعه في الأسمنت وإسقاطه في خندق أريانا أو شيء من هذا القبيل، فلن يحدث ذلك. لذا عليك أن تضع أكبر قدر ممكن من الاحتياطات بحيث إذا حدث شيء ما أو عندما يحدث شيء ما، يكون أقل تأثير ممكن على سير الأمور.
جون نيشولاس
نعم، أعتقد أنه لإضافة إلى ذلك، فإنك تنظر إلى البيانات التي تحصل عليها من نهج الحوكمة نوعًا ما، فالأمر لا يتعلق فقط بإمكانية تقديم المعلومات لمراجعي الحسابات. أعتقد أنك تنظر أيضًا إلى، هل يمكننا فهم ما لدينا حاليًا. لذا فإن نضج العملية، أتحدث كثيرًا عن العملية في هذه الجلسات، ولكن كما تعلم، أنت تنظر إلى فريق، وتنظر إلى استحقاقات أدوارهم. تقول، انتظر، لم يستخدم أحد في هذا الفريق هذا الاستحقاق لمدة ستة أشهر أو سنة، أيًا كان الإطار الزمني الذي تحدده، ويجب أن يقول النظام أنه لم يتم استخدامه. دعونا ننظر في إزالة هذا الاستحقاق، لأن هذا استحقاق زائد هناك قد يكون هناك سبب وجيه جداً لعدم استخدامهم له بعد الآن. ربما هناك نظام موازٍ يستخدمونه للقيام بهذا الجزء من عبء العمل. إذاً لديك ذلك في النظام الجديد، خذ ذلك من النظام القديم. لكنك تحتاج إلى ذلك، كما تعلم، الذكاء الآلي لمساعدتك حقًا في الكشف عن تلك المعلومات، لأنه بخلاف ذلك أنت تقوم بمراجعات يدوية كاملة ولا أعرف ما استخدمته على النظام خلال الأشهر الستة الماضية، لكن النظام سيعرف كيف استخدمته. لذا استخدم هذا الذكاء لتقول، حسناً، دعنا نتخذ قرارات مستنيرة بشأن العمل نحو انعدام الثقة أو الامتيازات الأقل.
إنجو شوبيرت
نعم، هذا هو المكان الذي يتبادر إلى الذهن الامتيازات.
بول مولفيهيل
ثم تحصل على الجانب الآخر من، كما قلت، يمكنك أن تبدأ في رؤية أين امتياز الإذن الخاص الذي لم يكونوا يستخدمونه. حسنًا، في الواقع، كان 80 % من الفريق يقومون بذلك، لكنه ليس جزءًا من دورهم الرسمي. هل نحن بحاجة إلى إضافة ذلك حتى نتمكن بعد ذلك من التأكد من أن الفريق بأكمله يمكنه القيام بذلك لأنهم بحاجة إلى أن يكونوا قادرين على القيام بذلك بدلاً من 8 من أصل 10، بشكل فردي يقول، نعم، هل يمكنني الوصول إلى النظام B، من فضلك، لأنني أحتاجه للقيام بـ X.
إنجو شوبيرت
الإدارة بالاستثناء، بشكل أساسي، نعم. تنظيفها، نعم.
بول مولفيهيل
دعنا نذهب، حسناً، في الواقع، أنت تعرف ماذا، 80 % منهم يستخدمونه. دعونا نجعلها جزءًا رسميًا من الدور حتى نتمكن بعد ذلك من الالتزام بتلك المراجعات والامتثال وهذا النوع من الذهاب، صحيح، نعم، يحتاج هذا الفريق إلى هذا. إنه جزء من دورهم المنجز. إذا انضم شخص آخر، أو غادر شخص آخر، فإننا نوقف هذا الوصول لأنه جزء من الدور الذي حصلوا عليه، أو نعطيه للشخص الجديد الذي يقوم به أيضًا، فقط للحفاظ على كل شيء متوافقًا ورؤية هذا ما يمكن أن يفعله هؤلاء الأشخاص.
إنجو شوبيرت
إذن ما الذي ستقوله لمدير تكنولوجيا المعلومات، مدير تكنولوجيا المعلومات في مجال الرعاية الصحية، من أين يجب أن يبدأ؟ لأنه، كما تعلم، هناك الكثير من الأشياء التي يمكن أن يبدأوا بها، ولكن مثل قائمة أولويات صغيرة ربما، ماذا ستقول لهم؟
جون نيشولاس
أعتقد أنني سأشجعهم، وهم يبحثون في هذا الأمر بالفعل، ولكن السبب الحقيقي وراء ذلك هو التركيز الحقيقي على مقاومة التصيد الاحتيالي. وأعتقد أن هذا هو المكان الذي سأبدأ منه، لأن الكثير من الرعاية الصحية تعتمد على البريد الإلكتروني كوسيلة اتصال أساسية. ونحن نعلم أن هذا هو ناقل هجوم حقيقي عرضة للهجوم من أجل التصيد. وليس ذلك فحسب، بل إن أولئك الذين يستهلكون تلك الأنظمة يعملون في بيئات عالية الضغط. كما تعلمون، إنهم يسجلون الدخول، ويحتاجون إلى القيام بشيء ما بسرعة، وتصلهم رسائل البريد الإلكتروني، وقد تمكنوا للتو من الوصول إليها في الوقت المناسب، نعم، يمرون بها في حالة من الذعر. ليس في حالة من الذعر، ولكن فقط في تدفق عادي وعن غير قصد، كما تعلم، يطلقون بيانات اعتمادهم وبياناتهم إلى موقع التصيد الاحتيالي. لذا، مع الأخذ في الاعتبار مصادقة مقاومة التصيد الاحتيالي في ذلك، سنقوم فقط أولئك الذين تعرفهم منذ البداية لأن هذا النوع من الاتصالات عبر البريد الإلكتروني يركز بشكل كبير على هذا النوع من قطاع الاتصالات عبر البريد الإلكتروني الذي هو بالتأكيد المكان الذي سأنظر إليه.
بول مولفيهيل
ربما أوافق على الأرجح أنك تبدأ بهذا النوع من جزء مقاومة التصيد الاحتيالي من الشيء، الشيء التالي سيكون نوعًا من الرؤية لما يمكن أن تفعله القوى العاملة لديك، لذلك ربما يكون نوعًا ما متأخرًا قليلاً ولكن بالتوازي مع نوع من تأمين الباب الأمامي من الشيء تأكد من أن نهج مقاومة التصيد الاحتيالي وهذا في اللعب، ولكن بعد ذلك احصل على نوع من نوع من أداة رؤية الحوكمة التي تعمل لتقول، حسنًا، من الموجود، ما هي الحسابات الموجودة، ما الذي يمكنهم فعله، لا تقم بإجراء أي تغييرات، ولكن حرفيًا فقط اجمع كل هذه المعلومات معًا للبدء في رؤية مقدار الموقف الذي لدينا مع الحسابات والأذونات. ما هو مستخدم، وما هو غير مستخدم، ومن يستطيع فعل ماذا، ومن لا يستطيع فعل ماذا. لأنه بعد ذلك بمجرد حصولك على البيانات، يمكنك البدء في القول، حسناً، هذه هي التغييرات التي يمكنني النظر في إجرائها والتي ليس لها أي تأثير في البداية لأنه لا أحد يستخدمها. ولكن بعد ذلك أيضًا، ما هي التغييرات التي أحتاج إلى إجرائها لتمكين الفريق من القيام بعمله بكفاءة أكبر للمضي قدمًا.
إنجو شوبيرت
شكراً يا رفاق. كانت هناك بعض الأفكار الجيدة حقًا حول أمن الهوية في أنظمة الرعاية الصحية. إذا كنت تستمتع بهذه الأنواع من المناقشات، فتأكد من الاشتراك للحصول على إشعار عندما نصدر حلقة جديدة. كان هذا برنامج RSA Identity Unmasked. نراكم الشهر القادم.
الحلقة 2 - مخاطر هجوم مكتب المساعدة على مكتب المساعدة
انضم إلى كل من إنجو شوبرت وجون نيكولاس وبول مولفيهيل من RSA وهم يناقشون أحد نواقل الهجوم البارزة - هجمات مكتب المساعدة. يشرح المتحدثون بالتفصيل كيف هاجم مجرمو الإنترنت شركات ماركس وسبنسر وجاكوار وكوب وغيرها، ويوضحون سبب عدم قدرة حلول المصادقة السابقة على منع هذه الهجمات، ويستعرضون الحلول التي يمكن أن تساعد في هجمات مكتب المساعدة قبل أن تبدأ.
شاهد الآن لتتعلم:
- لماذا تُعد مكاتب المساعدة أهدافًا رئيسية للهجمات الإلكترونية؟
- كيف يمكن أن تساعد المصادقة المصادقة المصغرة في منع هجمات مكتب المساعدة - وأين تقصر في ذلك
- كيف تؤدي شبكات التواصل الاجتماعي إلى هجمات الهندسة الاجتماعية
نسخة الفيديو
إنجو شوبيرت: مرحباً بكم في برنامج RSA Identity Unmasked. نتحدث اليوم عن موضوع غالبًا ما يتم تجاهله، وهو أمن مكتب المساعدة. ينضم إليّ اليوم جون وبول، ونتحدث عن الحالات الحقيقية والمخاطر والضوابط التي تساعد على التخفيف من تلك المخاطر.
لماذا أصبح مكتب المساعدة مستهدفاً؟ ابدأ بهذا.
جون نيشولاس: نعم، يسعدني أن أشارك في ذلك. أعتقد أنه عندما ترى دور مكتب المساعدة في البداية، فإن الشيء الأولي هو أنهم يريدون مساعدة الناس. لذا فإن أي شخص يتصل بمكتب المساعدة سيلعب على تلك الطبيعة الطيبة لمسؤول مكتب المساعدة ليقول، مرحبًا، هل يمكنك مساعدتي في شيء ما؟ لذلك لا بأس عندما تكون موظفًا في شركة، فأنا أحتاج حقًا إلى المساعدة. لكن عندما تكون أنت ممثل التهديد الذي يتصل بك، فيمكنهم أن يدعوا ذلك ويقولوا: حسناً، هذا الشخص مستعد لمساعدتي. وهذا أمر مبالغ فيه حقًا إذا كانت هناك عملية ضعيفة داخل تلك المؤسسة أيضًا، لأن مسؤول مكتب المساعدة لم يعد مقيدًا بالعملية ليقول، يمكنني فقط القيام بـ X، Y، Z. قد يتجاوز تلك الحدود ليقول، سأحاول مساعدتك في القيام بـ ABC أيضًا. هذا خطر حقيقي على مكتب المساعدة هناك، حيث يتم استغلالهم عندما لا تكون هناك عملية قوية.
بول مولفيهيل: ما أضفته أيضًا مع ذلك هو أن بعض مكاتب المساعدة، هناك إلى حد ما أن مؤشرات الأداء الرئيسية الخاصة بهم هي: يجب أن أغلق، أن يتصل أحدهم، يجب أن أغلق التذكرة، يجب أن أحصل على حل. وهذه كلها أشياء إذا لم تكن على ما يرام، سألعب عليها. أنت تريد أن تغلق التذكرة، لقد اتصلت هاتفياً، لقد قمت بإنشاء واحدة، سأفعل ما بوسعي لأحصل على المعلومات التي أريدها وأتجاوز العمليات التي قد تكون أو لا تكون موجودة.
إنجو شوبيرت: نعم، أعتقد أنك إذا كنت تعمل في مكتب المساعدة - لقد فعلت ذلك لفترة وجيزة أعني إحصائياتهم، كم عدد التذاكر المفتوحة، كما تعلم متوسط وقت إغلاق التذكرة وكل هذا وأحيانًا يكون في شاشة كبيرة، لذا أعتقد أن ذلك يخلق بيئة عالية الضغط وهو أمر مثالي كما تعلم لهجمات الهندسة الاجتماعية. حسنا نعم نعم. هل تغير هذا في الواقع مؤخرًا مثل ما الذي تغير مؤخرًا بحيث أصبح هذا الآن مثل طريق الهجوم الأول؟
بول مولفيهيل: من المحتمل أن يكون هذا الأمر قد تعرض لهجوم من أجل مسار ما منذ فترة، ولكن من الواضح أنه ظهر في الأخبار بشكل أكبر في الآونة الأخيرة. كان لدينا شركة مارك سبنسر التعاونية، و JLR، وجاكوار، ولاند روڤر في الأشهر الـ 12 الماضية. لقد تم استهدافهم جميعاً جزئياً بسبب استهداف مكاتب المساعدة. تمكن شخص ما من إقناع شخص ما بإعطائه بيانات اعتماد حساب، ودخل، ثم قام بعمل غير جيد ولكن إلى حد كبير.
جون نيشولاس: نعم وأتساءل ما هو الدور الذي تلعبه هنا أيضًا مثل الاستعانة بمصادر خارجية لتكنولوجيا المعلومات لأنه لم يعد هناك فقط موظفين من المؤسسة (أ) الذين يعتمدون على أطراف ثالثة ونحن نتحدث دائمًا عن الأطراف الثالثة للمخاطر السابقة في الصناعة، فما مدى تأثير ذلك في ذلك ثم يقترن ذلك ربما مع دوران الموظفين في مكتب المساعدة قد تكون فترة عمل مهندس مكتب المساعدة قصيرة جدًا، لذلك بالنسبة لهم ليكونوا على دراية بالعملية الخاصة بك، ومدركين لمسؤوليتهم وكيف يمكن أن يؤثر ذلك على الأعمال التي يخدمونها. ربما هناك نوع محدود من المعرفة في هذا الجانب أيضاً.
إنجو شوبيرت: حسناً، نعم. هذا وبالطبع إذا كانوا لا يعرفون ثقافة الشركة، نعم، فهم يتعاملون مع ذلك.
بول مولفيهيل: حسنًا، إذا كان لديك كما قلت مكتب مساعدة خارجي، فقد تعرف الإجراءات، لكنك لا تعرف الأشخاص. صحيح. إذن ما الذي يمكنك وضعه في مكان ما لتقول، حسناً، أنا أتصل بك؟ لم نلتق قط من قبل. لم نكن في مكتب من قبل.
إنجو شوبيرت: كيف يمكن أن يحدث ذلك، مثل، هجوم حقيقي، كيف يمكن أن يحدث ذلك؟ أعني، مثل، ما هو الهجوم النموذجي في هذه الحالة؟ ما الذي يحاول المهاجم تحقيقه؟ وكيف يفعل ذلك؟
بول مولفيهيل: يمكن أن يكون، على ما أعتقد، من مجرد محاولة إعادة ضبط الحساب إلى الحصول على مساعدة للوصول إلى شبكة VPN مثلاً. أعني، نحن نعيش في عالم يوجد فيه الكثير من وسائل التواصل الاجتماعي حول ما يفعله الناس. لدي أصدقاء ينشرون حياتهم عليها بشكل أساسي لأسباب مختلفة. بعضها منطقي وبعضها غير منطقي. لذلك إذا أردت أن تعرف عن شخص ما، ربما يمكنك البدء في تعقب المصادر وجمع الكثير من المعلومات. لذلك أنت تتصل بمكتب المساعدة وربما تكون قد توصلت إلى مكان ولادة شخص ما أو اسم حيوان أليف، كل هذا وذاك والآخر، بحيث يمكنك بعد ذلك أن تقول، حسنًا، حسنًا، أحتاج إلى إعادة تعيين كلمة المرور. ما هي الخطوات اليوم، ما هي الخطوات اليوم لتعرف، ما هي الخطوات اليوم لتعرف من أنا، من أقول؟ ربما أسئلة الأمان.
إنجو شوبيرت: صحيح. لذا فهي في الأساس مزيج من بعض، ربما بعض المعرفة المسبقة التي يمتلكها المهاجم، إما من الشبكات الاجتماعية. أعلم أنه يمكن أن يكون مثل هجوم مختلف ربما أو بيانات اشتروها ووسيط بيانات، غير قانوني أم لا. ثم مع الجمع بين، كما تعلمون، هذه البيئة عالية الضغط التي تحدثنا عنها في البداية، نعم، يبدو أن هذا يبدو هدفًا رائعًا ومثيرًا للمهاجمين، أليس كذلك؟
جون نيشولاس: نعم، علاوة على ذلك أيضًا، نتحدث كثيرًا عن البحث عن الشخص الذي قد يرغبون في تقليده، ولكن أعتقد أنه مع الأدوات الحالية المتاحة لنا جميعًا، يمكننا أن نذهب ونقول، مهلاً، ما الذي تستخدمه الشركة "س" في البنية التحتية لتكنولوجيا المعلومات الخاصة بها؟ كيف تبدو حزمة التكنولوجيا الخاصة بهم؟ لذلك عندما تجري محادثة مع مكتب المساعدة، يمكنك أن تكون أكثر مصداقية. لا يمكنني الوصول إلى الشبكة الافتراضية الخاصة. إنه مثل، أوه، شبكة بالو ألتو الافتراضية الخاصة لا تعمل معي. هل يمكنك مساعدتي في ذلك؟ لذا على الفور، سيذهبون على الفور، هذا مألوف أكثر.
إينجو شوبيرت: كنت سأقول، في هذه الحالة، يبدو الأمر كما لو كنت أنت كمهاجم، يبدو الأمر مألوفًا أكثر، مما يعني أنك واحد منا، نعم، لذلك يمكنني أن أثق بك أكثر مع مكتب مساعدة خارجي، نعم، أنت واحد منهم تقريبًا لأنك في النهاية، كما تعلم، لست جزءًا من الشركة.
بول مولفيهيل: لقد شاهدت مقطع فيديو، كان عن أحد المؤتمرات منذ فترة ليست بالبعيدة، وكان هناك شخص تم الدفع له لاختراق الشركات عبر مكتب المساعدة، وفي الفيديو تمكن من الوصول إلى أنظمة مكتب المساعدة في غضون 30 ثانية تقريبًا، لأنهم في الأساس اتصلوا هاتفيًا، وتمكنوا من تزييف رقم الهاتف ليبدو وكأنه من الشركة، لذا على الفور سيعتقد موظفو مكتب المساعدة "أوه إنهم من الداخل". ومن ثم أقنعوهم، وطرحوا عليهم أسئلة حول - التظاهر بأنهم المستخدم أو الحصول على معلومات عن أنظمة الشبكة الافتراضية الخاصة، وما هي تلك الأنظمة، ليجعلوهم يساعدونهم في الوصول إلى موقع إلكتروني، وهو ما أعطاهم في الواقع بعد ذلك إمكانية الوصول من باب خلفي إلى الكمبيوتر الذي كان الشخص يستخدمه.
إنجو شوبيرت: إذن هذا يعتمد بشكل أساسي على الأدلة للمصادقة. إنه أشبه ما يكون، كما تعلم، بشعور لطيف ودافئ وضبابي يولده المهاجم. هل هذا، أعني، ما الذي يجب فعله بدلاً من ذلك؟ أعني، مثل، كما تعلم، ما الذي يمكن أن يساعدهم في ذلك بشكل مختلف؟ أعني أنه لا يبدو أنها مشكلة جديدة، أليس كذلك؟ أعني، مكاتب المساعدة هذه موجودة منذ عقود، أليس كذلك؟
بول مولفيهيل: حسناً، نعم، أعني، أعتقد أننا وصلنا إلى نقطة حيث، أعني، عندما يتعلق الأمر بأمن تكنولوجيا المعلومات، نحن الجزء الأضعف في المعادلة بأكملها. إذا كنت تعتمد على شيء نعرفه نحن، فربما يمكنك اكتشافه. أنت بحاجة إلى نوع من النزول إلى عوالم القيام بشيء ما حيث القيام بمصادقة مع شخص ما بشيء ما لديه، لا يمكن استقاؤه من مصدر آخر أو لا يمكن معرفته؟ إذاً، أنت مثل القيام بنوع ما من خطوات المصادقة متعددة الأطراف، شيء من هذا القبيل، قل، حسناً، حسناً، لديك نظام، أنت تطلب المساعدة، أثبت ذلك. ولكن ليس عن طريق طرح سؤال عليك، لأن ذلك قد يكون.
إنجو شوبيرت: حسنًا، كنت سأقول أن أكثرها شيوعًا هي تلك الأسئلة الأمنية مثل، نعم، اسم الجدة قبل الزواج وكل هذا. كم منها متشابهة دائماً؟
بول مولفيهيل: بالضبط. لدينا نفس مجموعة الأسئلة العشرة، اختر ثلاثة منها. حسناً، أتعلم ماذا؟ يمكنني على الأرجح أن أجد تلك القائمة وأذهب وأعمل على إجابة الجميع.
إنجو شوبيرت: صحيح. إذن، بالعودة إلى الموضوع الشامل، كما هو الحال بشكل عام في أمن الهوية، نعم، أنت بحاجة إلى إثبات وإثبات قوي. أعتقد أنك ذكرت MFA. وهنا يأتي دور MFA.
بول مولفيهيل: نعم. أعني، إذا كنت في شركة ولديك برنامج MFA، فاستخدمه لصالحك. إذا كان جون قد قام بإعداد MFA وهو يتصل بمكتب المساعدة، فاستخدم ذلك لإثبات أنك أنت من تدعي أنك أنت. من الواضح أن هناك نوعًا ما ليس كل الـ MFAs متساوية، ولكن من الواضح أن هناك نوعًا ما ليس كل الـ MFAs متساوية، ولكن من الأفضل من لا شيء الاعتماد على مجرد الاعتماد على، أذهب للبحث عن جون وأكتشف أين ولد أو قبل الزواج، أو قبل الزواج، أو قبل زواج الأم، أو هذا، أو ذاك، أو الآخر، وأجيب على السؤال. إذا كان الأمر كذلك ثم خطوة لديك إعداد MFA، أثبت ذلك.
إنجو شوبيرت: إذن، ولكن كيف سيعمل ذلك الآن؟ إذن مع RSA ID Plus في هذه الحالة، لأنه، أعني، ما الذي سيحتاج مكتب المساعدة إلى القيام به؟ ما الذي سيحتاج المستخدم النهائي إلى القيام بذلك؟ لأنه مثل القول، أنت تقوم بعمل MFA، إنه مثل، نعم، هذا شيء واحد. ولكن مثل، كيف يعمل ذلك خطوة بخطوة. مثل كيف، ما الذي يحتاج المستخدم إلى القيام به؟
بول مولفيهيل: مع نوع من الأشياء ID Plus، لديك جانبان لهذا الأمر، حيث تحدث المكالمة بين شخصين. يجد شخص مكتب المساعدة المستخدم في النظام ثم يقوم بتشغيل جلسة التحقق. يعرف المستخدم النهائي الذي يقوم بالاتصال عنوان URL، أو تم تعليمه عنوان URL الذي يحتاج إلى الذهاب إليه ثم داخل نقطة النهاية، حسناً، قم بإجراء المصادقة. ستقرر الشركة ما إذا كان ذلك هو FIDA، أو ما إذا كان ذلك مدفوعًا للموافقة، أو القياسات الحيوية، أو أيًا كانت الطريقة التي يختارونها مقبولة. وعندما ينجحون في ذلك، يحصلون على رمز التحقق. يعيدون ذلك إلى موظف مكتب المساعدة. لكن ذلك، هذا مجرد رقم تحقق من الهوية. إنه ليس رقم مصادقة. لا يمكنهم البحث في أي شيء به.
إنجو شوبيرت: صحيح. لذلك ليس عليهم أن يتخلوا عن OTP الحالي أو شيء من هذا القبيل.
بول مولفيهيل: يقومون بإجراء OTP إذا كانوا يقومون بـ OTP. يقومون بالدفع المعتمد، والقياسات الحيوية لفيدو. يفعلون كل ذلك دون مشاركة أي معلومات في تلك المرحلة. يحصلون على النتيجة. إعطاء النتيجة إلى الشخص المسؤول عن مكتب المساعدة، وهو مرة أخرى للتحقق فقط. إنه ليس أي نوع من المصادقة. وبعد ذلك
يذهب موظف مكتب المساعدة، حسناً، أعطني هذا الرقم، واحد، اثنان، ثلاثة، أربعة، خمسة، ضعه، فيذهب النظام، نعم، كنت أتوقع أن هذا هو الذي يقولونه.
لماذا أصبح مكتب المساعدة مستهدفاً؟ ابدأ بهذا.
جون نيشولاس: نعم، يسعدني أن أشارك في ذلك. أعتقد أنه عندما ترى دور مكتب المساعدة في البداية، فإن الشيء الأولي هو أنهم يريدون مساعدة الناس. لذا فإن أي شخص يتصل بمكتب المساعدة سيلعب على تلك الطبيعة الطيبة لمسؤول مكتب المساعدة ليقول، مرحبًا، هل يمكنك مساعدتي في شيء ما؟ لذلك لا بأس عندما تكون موظفًا في شركة، فأنا أحتاج حقًا إلى المساعدة. لكن عندما تكون أنت ممثل التهديد الذي يتصل بك، فيمكنهم أن يدعوا ذلك ويقولوا: حسناً، هذا الشخص مستعد لمساعدتي. وهذا أمر مبالغ فيه حقًا إذا كانت هناك عملية ضعيفة داخل تلك المؤسسة أيضًا، لأن مسؤول مكتب المساعدة لم يعد مقيدًا بالعملية ليقول، يمكنني فقط القيام بـ X، Y، Z. قد يتجاوز تلك الحدود ليقول، سأحاول مساعدتك في القيام بـ ABC أيضًا. هذا خطر حقيقي على مكتب المساعدة هناك، حيث يتم استغلالهم عندما لا تكون هناك عملية قوية.
بول مولفيهيل: ما أضفته أيضًا مع ذلك هو أن بعض مكاتب المساعدة، هناك إلى حد ما أن مؤشرات الأداء الرئيسية الخاصة بهم هي: يجب أن أغلق، أن يتصل أحدهم، يجب أن أغلق التذكرة، يجب أن أحصل على حل. وهذه كلها أشياء إذا لم تكن على ما يرام، سألعب عليها. أنت تريد أن تغلق التذكرة، لقد اتصلت هاتفياً، لقد قمت بإنشاء واحدة، سأفعل ما بوسعي لأحصل على المعلومات التي أريدها وأتجاوز العمليات التي قد تكون أو لا تكون موجودة.
إنجو شوبيرت: نعم، أعتقد أنك إذا كنت تعمل في مكتب المساعدة - لقد فعلت ذلك لفترة وجيزة أعني إحصائياتهم، كم عدد التذاكر المفتوحة، كما تعلم متوسط وقت إغلاق التذكرة وكل هذا وأحيانًا يكون في شاشة كبيرة، لذا أعتقد أن ذلك يخلق بيئة عالية الضغط وهو أمر مثالي كما تعلم لهجمات الهندسة الاجتماعية. حسنا نعم نعم. هل تغير هذا في الواقع مؤخرًا مثل ما الذي تغير مؤخرًا بحيث أصبح هذا الآن مثل طريق الهجوم الأول؟
بول مولفيهيل: من المحتمل أن يكون هذا الأمر قد تعرض لهجوم من أجل مسار ما منذ فترة، ولكن من الواضح أنه ظهر في الأخبار بشكل أكبر في الآونة الأخيرة. كان لدينا شركة مارك سبنسر التعاونية، و JLR، وجاكوار، ولاند روڤر في الأشهر الـ 12 الماضية. لقد تم استهدافهم جميعاً جزئياً بسبب استهداف مكاتب المساعدة. تمكن شخص ما من إقناع شخص ما بإعطائه بيانات اعتماد حساب، ودخل، ثم قام بعمل غير جيد ولكن إلى حد كبير.
جون نيشولاس: نعم وأتساءل ما هو الدور الذي تلعبه هنا أيضًا مثل الاستعانة بمصادر خارجية لتكنولوجيا المعلومات لأنه لم يعد هناك فقط موظفين من المؤسسة (أ) الذين يعتمدون على أطراف ثالثة ونحن نتحدث دائمًا عن الأطراف الثالثة للمخاطر السابقة في الصناعة، فما مدى تأثير ذلك في ذلك ثم يقترن ذلك ربما مع دوران الموظفين في مكتب المساعدة قد تكون فترة عمل مهندس مكتب المساعدة قصيرة جدًا، لذلك بالنسبة لهم ليكونوا على دراية بالعملية الخاصة بك، ومدركين لمسؤوليتهم وكيف يمكن أن يؤثر ذلك على الأعمال التي يخدمونها. ربما هناك نوع محدود من المعرفة في هذا الجانب أيضاً.
إنجو شوبيرت: حسناً، نعم. هذا وبالطبع إذا كانوا لا يعرفون ثقافة الشركة، نعم، فهم يتعاملون مع ذلك.
بول مولفيهيل: حسنًا، إذا كان لديك كما قلت مكتب مساعدة خارجي، فقد تعرف الإجراءات، لكنك لا تعرف الأشخاص. صحيح. إذن ما الذي يمكنك وضعه في مكان ما لتقول، حسناً، أنا أتصل بك؟ لم نلتق قط من قبل. لم نكن في مكتب من قبل.
إنجو شوبيرت: كيف يمكن أن يحدث ذلك، مثل، هجوم حقيقي، كيف يمكن أن يحدث ذلك؟ أعني، مثل، ما هو الهجوم النموذجي في هذه الحالة؟ ما الذي يحاول المهاجم تحقيقه؟ وكيف يفعل ذلك؟
بول مولفيهيل: يمكن أن يكون، على ما أعتقد، من مجرد محاولة إعادة ضبط الحساب إلى الحصول على مساعدة للوصول إلى شبكة VPN مثلاً. أعني، نحن نعيش في عالم يوجد فيه الكثير من وسائل التواصل الاجتماعي حول ما يفعله الناس. لدي أصدقاء ينشرون حياتهم عليها بشكل أساسي لأسباب مختلفة. بعضها منطقي وبعضها غير منطقي. لذلك إذا أردت أن تعرف عن شخص ما، ربما يمكنك البدء في تعقب المصادر وجمع الكثير من المعلومات. لذلك أنت تتصل بمكتب المساعدة وربما تكون قد توصلت إلى مكان ولادة شخص ما أو اسم حيوان أليف، كل هذا وذاك والآخر، بحيث يمكنك بعد ذلك أن تقول، حسنًا، حسنًا، أحتاج إلى إعادة تعيين كلمة المرور. ما هي الخطوات اليوم، ما هي الخطوات اليوم لتعرف، ما هي الخطوات اليوم لتعرف من أنا، من أقول؟ ربما أسئلة الأمان.
إنجو شوبيرت: صحيح. لذا فهي في الأساس مزيج من بعض، ربما بعض المعرفة المسبقة التي يمتلكها المهاجم، إما من الشبكات الاجتماعية. أعلم أنه يمكن أن يكون مثل هجوم مختلف ربما أو بيانات اشتروها ووسيط بيانات، غير قانوني أم لا. ثم مع الجمع بين، كما تعلمون، هذه البيئة عالية الضغط التي تحدثنا عنها في البداية، نعم، يبدو أن هذا يبدو هدفًا رائعًا ومثيرًا للمهاجمين، أليس كذلك؟
جون نيشولاس: نعم، علاوة على ذلك أيضًا، نتحدث كثيرًا عن البحث عن الشخص الذي قد يرغبون في تقليده، ولكن أعتقد أنه مع الأدوات الحالية المتاحة لنا جميعًا، يمكننا أن نذهب ونقول، مهلاً، ما الذي تستخدمه الشركة "س" في البنية التحتية لتكنولوجيا المعلومات الخاصة بها؟ كيف تبدو حزمة التكنولوجيا الخاصة بهم؟ لذلك عندما تجري محادثة مع مكتب المساعدة، يمكنك أن تكون أكثر مصداقية. لا يمكنني الوصول إلى الشبكة الافتراضية الخاصة. إنه مثل، أوه، شبكة بالو ألتو الافتراضية الخاصة لا تعمل معي. هل يمكنك مساعدتي في ذلك؟ لذا على الفور، سيذهبون على الفور، هذا مألوف أكثر.
إينجو شوبيرت: كنت سأقول، في هذه الحالة، يبدو الأمر كما لو كنت أنت كمهاجم، يبدو الأمر مألوفًا أكثر، مما يعني أنك واحد منا، نعم، لذلك يمكنني أن أثق بك أكثر مع مكتب مساعدة خارجي، نعم، أنت واحد منهم تقريبًا لأنك في النهاية، كما تعلم، لست جزءًا من الشركة.
بول مولفيهيل: لقد شاهدت مقطع فيديو، كان عن أحد المؤتمرات منذ فترة ليست بالبعيدة، وكان هناك شخص تم الدفع له لاختراق الشركات عبر مكتب المساعدة، وفي الفيديو تمكن من الوصول إلى أنظمة مكتب المساعدة في غضون 30 ثانية تقريبًا، لأنهم في الأساس اتصلوا هاتفيًا، وتمكنوا من تزييف رقم الهاتف ليبدو وكأنه من الشركة، لذا على الفور سيعتقد موظفو مكتب المساعدة "أوه إنهم من الداخل". ومن ثم أقنعوهم، وطرحوا عليهم أسئلة حول - التظاهر بأنهم المستخدم أو الحصول على معلومات عن أنظمة الشبكة الافتراضية الخاصة، وما هي تلك الأنظمة، ليجعلوهم يساعدونهم في الوصول إلى موقع إلكتروني، وهو ما أعطاهم في الواقع بعد ذلك إمكانية الوصول من باب خلفي إلى الكمبيوتر الذي كان الشخص يستخدمه.
إنجو شوبيرت: إذن هذا يعتمد بشكل أساسي على الأدلة للمصادقة. إنه أشبه ما يكون، كما تعلم، بشعور لطيف ودافئ وضبابي يولده المهاجم. هل هذا، أعني، ما الذي يجب فعله بدلاً من ذلك؟ أعني، مثل، كما تعلم، ما الذي يمكن أن يساعدهم في ذلك بشكل مختلف؟ أعني أنه لا يبدو أنها مشكلة جديدة، أليس كذلك؟ أعني، مكاتب المساعدة هذه موجودة منذ عقود، أليس كذلك؟
بول مولفيهيل: حسناً، نعم، أعني، أعتقد أننا وصلنا إلى نقطة حيث، أعني، عندما يتعلق الأمر بأمن تكنولوجيا المعلومات، نحن الجزء الأضعف في المعادلة بأكملها. إذا كنت تعتمد على شيء نعرفه نحن، فربما يمكنك اكتشافه. أنت بحاجة إلى نوع من النزول إلى عوالم القيام بشيء ما حيث القيام بمصادقة مع شخص ما بشيء ما لديه، لا يمكن استقاؤه من مصدر آخر أو لا يمكن معرفته؟ إذاً، أنت مثل القيام بنوع ما من خطوات المصادقة متعددة الأطراف، شيء من هذا القبيل، قل، حسناً، حسناً، لديك نظام، أنت تطلب المساعدة، أثبت ذلك. ولكن ليس عن طريق طرح سؤال عليك، لأن ذلك قد يكون.
إنجو شوبيرت: حسنًا، كنت سأقول أن أكثرها شيوعًا هي تلك الأسئلة الأمنية مثل، نعم، اسم الجدة قبل الزواج وكل هذا. كم منها متشابهة دائماً؟
بول مولفيهيل: بالضبط. لدينا نفس مجموعة الأسئلة العشرة، اختر ثلاثة منها. حسناً، أتعلم ماذا؟ يمكنني على الأرجح أن أجد تلك القائمة وأذهب وأعمل على إجابة الجميع.
إنجو شوبيرت: صحيح. إذن، بالعودة إلى الموضوع الشامل، كما هو الحال بشكل عام في أمن الهوية، نعم، أنت بحاجة إلى إثبات وإثبات قوي. أعتقد أنك ذكرت MFA. وهنا يأتي دور MFA.
بول مولفيهيل: نعم. أعني، إذا كنت في شركة ولديك برنامج MFA، فاستخدمه لصالحك. إذا كان جون قد قام بإعداد MFA وهو يتصل بمكتب المساعدة، فاستخدم ذلك لإثبات أنك أنت من تدعي أنك أنت. من الواضح أن هناك نوعًا ما ليس كل الـ MFAs متساوية، ولكن من الواضح أن هناك نوعًا ما ليس كل الـ MFAs متساوية، ولكن من الأفضل من لا شيء الاعتماد على مجرد الاعتماد على، أذهب للبحث عن جون وأكتشف أين ولد أو قبل الزواج، أو قبل الزواج، أو قبل زواج الأم، أو هذا، أو ذاك، أو الآخر، وأجيب على السؤال. إذا كان الأمر كذلك ثم خطوة لديك إعداد MFA، أثبت ذلك.
إنجو شوبيرت: إذن، ولكن كيف سيعمل ذلك الآن؟ إذن مع RSA ID Plus في هذه الحالة، لأنه، أعني، ما الذي سيحتاج مكتب المساعدة إلى القيام به؟ ما الذي سيحتاج المستخدم النهائي إلى القيام بذلك؟ لأنه مثل القول، أنت تقوم بعمل MFA، إنه مثل، نعم، هذا شيء واحد. ولكن مثل، كيف يعمل ذلك خطوة بخطوة. مثل كيف، ما الذي يحتاج المستخدم إلى القيام به؟
بول مولفيهيل: مع نوع من الأشياء ID Plus، لديك جانبان لهذا الأمر، حيث تحدث المكالمة بين شخصين. يجد شخص مكتب المساعدة المستخدم في النظام ثم يقوم بتشغيل جلسة التحقق. يعرف المستخدم النهائي الذي يقوم بالاتصال عنوان URL، أو تم تعليمه عنوان URL الذي يحتاج إلى الذهاب إليه ثم داخل نقطة النهاية، حسناً، قم بإجراء المصادقة. ستقرر الشركة ما إذا كان ذلك هو FIDA، أو ما إذا كان ذلك مدفوعًا للموافقة، أو القياسات الحيوية، أو أيًا كانت الطريقة التي يختارونها مقبولة. وعندما ينجحون في ذلك، يحصلون على رمز التحقق. يعيدون ذلك إلى موظف مكتب المساعدة. لكن ذلك، هذا مجرد رقم تحقق من الهوية. إنه ليس رقم مصادقة. لا يمكنهم البحث في أي شيء به.
إنجو شوبيرت: صحيح. لذلك ليس عليهم أن يتخلوا عن OTP الحالي أو شيء من هذا القبيل.
بول مولفيهيل: يقومون بإجراء OTP إذا كانوا يقومون بـ OTP. يقومون بالدفع المعتمد، والقياسات الحيوية لفيدو. يفعلون كل ذلك دون مشاركة أي معلومات في تلك المرحلة. يحصلون على النتيجة. إعطاء النتيجة إلى الشخص المسؤول عن مكتب المساعدة، وهو مرة أخرى للتحقق فقط. إنه ليس أي نوع من المصادقة. وبعد ذلك
يذهب موظف مكتب المساعدة، حسناً، أعطني هذا الرقم، واحد، اثنان، ثلاثة، أربعة، خمسة، ضعه، فيذهب النظام، نعم، كنت أتوقع أن هذا هو الذي يقولونه.
الحلقة 1 - الحوسبة الكمية
انضم إلى إنجو شوبرت (RSA) وديفيد ليلو (Burning Tree) لمواصلة النقاش حول التشفير الكمومي والجداول الزمنية للمخاطر وكيف يمكن للمؤسسات الاستعداد لمرونة الهوية في مرحلة ما بعد الكوانتوم. في هذه الحلقة الأولى الموسّعة سنستمع إلى المحادثة الكاملة. تفضلوا بالجلوس وتناول الفشار! إنها مشاهدة جيدة!
نسخة الفيديو
إنغو شوبيرت: مرحباً بكم في برنامج RSA Identity Unmasked، وهو برنامج بودكاست حيث نناقش القوى التي تشكل مستقبل أمن الهوية. أنا مقدمكم، إنجو شوبرت، واليوم نتناول موضوعاً يثير الكثير من الجدل في هذا المجال، وهو الحوسبة الكمية. ينضم إليّ اليوم ديفيد ليلو من شركة Burning Tree. دعونا ندخل في الموضوع مباشرة. اليوم، الحوسبة الكمية، الضجيج، أو التهديد، أو الفرص، أو ثلاثتهم جميعاً. نحن في الواقع نعيد النظر في المناقشة التي بدأت في منتزه بلتشلي بارك في سبتمبر من العام الماضي مع ديفيد ليلو من Burning Tree وأنا، إنغو شوبرت. لذا دعونا ندخل مباشرة في الموضوع. ديفيد، مرحباً بك في هذه الحلقة.
ديفيد ليلو: شكراً
إنجو شوبيرت: أعتقد أنه من باب الفائدة على الجمهور، هل يمكنك أن تصف لنا في بضع كلمات ما هي الحوسبة الكمية حتى نكون على مستوى الخبراء بعد أن انتهيت
ديفيد ليلو: حسنًا، سأبدأ بالطريقة الأساسية للنظر إلى الحاسوب الكمي لأنني أعتقد أننا إذا بدأنا في الدخول في الفيزياء النظرية أعتقد أننا قد نخسر بعض الأشخاص.
إنجو شوبيرت: نعم
ديفيد ليلو: إذن مع الحواسيب الكمية تعمل الحواسيب الكمية بطريقة مختلفة عن الحواسيب التقليدية. أنت تخبر الحاسوب أن يفعل. مع الحاسوب الكمي، يفعل ذلك بطريقة مختلفة. ما يستخدمه هو ميكانيكا الكم، وبالتالي، في عالم متعدد الأبعاد لميكانيكا الكم، ينظر إلى البيانات ويرى البيانات. إنه لا يقرأ البيانات بنفس الطريقة، ونتيجة لذلك، يمكنه الافتراض والنظر إلى تركيبات متعددة في نفس الوقت. إنه يشبه نوعًا ما عندما تقرأ كتابًا، سيقرأه الكمبيوتر التقليدي من البداية إلى النهاية مع الكمبيوتر الكمي، سيقرأ الكتاب وسيرى البيانات. وبسبب ذلك، فإن الحاسوب الكمي قادر على معالجة المعلومات بشكل أسرع بكثير. وعند حل المشاكل، فإن الأمر يشبه حل جميع المشاكل في نفس الوقت بدلاً من النظر إلى المشكلة في محاولة حلها على التوالي.
إنجو شوبيرت: نعم، لذا فإن الخوارزميات مختلفة تمامًا بالطبع. أجل، أعتقد أن هذا على الأرجح هو السبب في أن الكثيرين، وأنا أعد نفسي هناك أيضًا، كما تعلم، يعانون بالطبع، مثل، كيف تبرمج هذا الشيء بالفعل. أعتقد أنه من خلفية تقليدية في مجال تكنولوجيا المعلومات، أعتقد أن ما يساعدني أحياناً في فهم ذلك، كما تعلم، هذا وحش مختلف حقاً، هو أن، كما تعلم، الكمبيوتر التقليدي، مثل كل بت، نعم. إذا كان لديك N بت، يمكنك تخزين N من البيانات. إنها صفر، واحد، نعم؟ مع الكوانتوم يساوي اثنين إلى قوة N، نعم، وهو مثل، على الفور، مثل، إذا كانت لحظتك القديمة تعمل، نعم، هذا أكثر بكثير، نعم، في نفس كمية الكيوبتات في هذه الحالة، صحيح؟ إذاً، إذاً التخزين والمعالجة على مستوى مختلف، صحيح؟ إذاً أعتقد أنّنا سنتركها هنا لأنّنا سنبقى هنا لأيام، صحيح؟ فقط أشرح الأساسيات.
إذن، الموضوع التالي الذي أود استكشافه هو ما هو الوضع الحالي للحوسبة الكمية؟ أين نحن الآن؟ لأنني أعتقد أن هذا على الأرجح، وإذا كان الناس الذين يشاهدون ذلك ربما شاهدونا في حديقة بلتشلي، فلدينا بعض الآراء المختلفة حول أين نحن، وأين سنكون. لذا دعنا نبدأ معك. ما هو الوضع الحالي للحوسبة الكمية؟
دافيد ليلو: أعتقد أن الحوسبة الكمية لا تزال في مرحلة مبكرة. لذا هناك عدد من الحواسيب الكمومية، ويمكنك في الواقع توظيف الوقت على الحواسيب الكمية بحيث يمكنك النظر إلى البيانات. لكني أعتقد أنه مع الطريقة التي تم بها تطوير الحواسيب الكمومية، أعتقد أن هناك عددًا من المشكلات. تتطلب بعض الحواسيب الكمية الكثير من التحكم في أشياء مثل درجة الحرارة. فالحاسوب الكمي يعمل عند الصفر المطلق، أي عند درجة حرارة 270 درجة مئوية تحت الصفر، وهي درجة باردة جداً. تحتاج إلى مرافق كبيرة ومعدات كبيرة وطاقة كبيرة لذلك. وإلا فإنك تفقد التماسك وتفقد استقرار المنصة.
كانت الحواسيب الكمية المبكرة تحترق طوال الوقت بسبب هذه المشكلة. وهذه مشكلة يجب حلها ومعالجتها. المشكلة الأخرى هي أنه نظرًا لأن الكمبيوتر الكمي ينظر إلى البيانات في نفس الوقت، فإنه يخلق الكثير من التشويش. إذا كان عليك أن تأخذ شيئًا مثل الكتاب المقدس وتقرأ الكتاب المقدس على الفور، بدلًا من المرور عليه من البداية إلى النهاية، فسيخلق ذلك سردًا في عقلك سيكون غير مفهوم. وتصبح محاولة استيعاب وفهم واستخلاص ماهية الرسالة صعبة للغاية.
لذا، فقد تسبب التشويش في النظام في خلق قدر كبير من المشاكل. لقد شهدنا بعض النجاحات الجيدة القادمة من أوكسفورد، حيث قللوا من معدل الخطأ والضوضاء داخل النظام بشكل كبير جداً. ولكن ربما تكون المشكلة الأكثر أهمية في الوقت الحالي هي كمية الكيوبتات التي يمكن تشابكها في آن واحد لأنك تبدأ بفقدان تماسك تلك الكيوبتات عندما تبدأ بتجاوز حوالي 100 كيوبت أو نحو ذلك. لذا فإن كمية الكيوبتات التي يمكن تشابكها في وقت واحد لتتمكن من معالجة المعلومات محدودة. وهذا يعني أن قوة المعالجة وقدرة الآلة محدودة.
لذا، فهي ليست بعد ما يمكن أن نطلق عليه الحوسبة الكمية ذات الصلة بالتشفير، وهي مشكلة كبيرة، لكنها في مرحلة تم إثباتها. إنها تعمل. إنها تفعل ما يقوله العلماء أنها تفعله. الأمر يتعلق فقط بنقلها إلى المستوى التالي واستثمارها بشكل أكبر. كل بضعة أشهر، تحدث تطورات إضافية أو يتم الاستثمار فيها بشكل كبير، وقد بدأنا نشهد تقدمًا.
إنجو شوبيرت: نعم، وهذا صحيح. وأعتقد أنك إذا قارنت بين الحواسيب الكمية، إذا نظرت إلى صورها، صحيح؟ من مثل، كما تعلم، منذ خمس سنوات مضت مقارنة باليوم، ما زلت أسميها تجربة فيزيائية جزئيًا، لكنها كانت تجربة فيزيائية أكثر بكثير مثل قبل خمس سنوات، أليس كذلك؟ إذا نظرت فقط إلى الإعداد المادي لتلك الأشياء، أليس كذلك؟
ومع ذلك، في حين أنه من الصحيح، كما تعلم، أن تصبح مثل، نعم، يمكنك طرح مشكلة معهم ويمكنهم حلها بشكل أسرع بكثير من أجهزة الكمبيوتر التقليدية. وجزء من ذلك ما قلته هو التماسك. نعم، إنه التماسك الأساسي، كما تعلم، إذا كان بإمكانك فقط الحفاظ على استقرار النظام لفترة معينة من الوقت. وعادة ما يقاس ذلك بالحد الأقصى بالثواني، نعم، أو بالمللي ثانية، اعتماداً على الشريحة في كل هذا. وهذا مقدار جيد بعيداً عن كونه مفيداً في كثير من الحالات. الآن، هناك بعض حالات الاستخدام التي يكون فيها ذلك منطقياً. فكر في الأمر وكأنه معالج كمي مشترك. لكن المشكلة التي أواجهها مع ذلك هي أنه في العديد من حالات الاستخدام، من المشكوك فيه إذا كان بإمكانك حل المشكلة أيضاً باستخدام اثنين من وحدات معالجة الرسومات الخاصة بشركة Nvidia، أليس كذلك؟
لذا، أحد الأشياء التي أراها لا تزال تُنجز باستمرار، هناك الكثير من الضجيج في مجال الحوسبة الكمية أيضًا. أعتقد أنه يتداخل قليلاً مع ضجيج الذكاء الاصطناعي أيضاً. يمكنك أيضًا أن تجادل، كما تعلم، إذا كان هذا ضجيجًا، فهو حقيقي. ولكن النقطة المهمة هي أن هناك الكثير من الضجيج، والكثير من الأموال التي تطفو على السطح. أعتقد أن جزءًا من تلك الأموال الآن يبحث عن استراتيجية خروج. والحوسبة الكمية تبدو جذابة، أليس كذلك؟ لذلك هم يضخون الكثير من الأشياء هناك وهناك شركات هناك والتي تنظر بشكل أساسي إلى هذا الأمر بشكل مبالغ فيه ومبالغ فيه أيضًا من حيث ما يعدون به وما يفعلونه وهذا في الواقع ينطبق على جميع الأطياف هنا بشكل صحيح. في منتزه بلتشلي بارك كان لدي رقاقة جوجل الصفصاف كمثال حيث كان لدى جوجل في الواقع بيان صحفي حول هذه الرقاقة الجديدة حيث كان لديهم تصحيح أخطاء كبير في كل هذا والادعاء الذي التقطته الصحافة الشعبية أيضًا هو أن هذه الرقاقة يمكن أن تفعل في خمس دقائق ما يمكن أن يفعله الكمبيوتر التقليدي في 10 إلى قوة 35 عامًا نعم وهو أمر غير عادي لأن الكون عمره 10 إلى قوة 25 عامًا فقط ، لذا إذا قرأت ذلك ، نعم ، لا يمكن أن يفعل ذلك بشكل صحيح ، كان الأمر مثل إذا كان هذا الشيء يمكن أن يعمل لمدة خمس دقائق ومثل ذلك مثل ملايين المرات التي لا يستطيعون القيام بذلك, ثم سيكون الأمر كذلك. وإذا نظرت إلى بعض الإصدارات الصحفية الأخرى لشركات مختلفة، كبيرة وصغيرة، ستجد أن هناك اتجاهاً للمبالغة في المبالغة في تصوير ما يحققونه.
وأعتقد، لسوء الحظ، أن هذا للأسف يطغى على بعض التطورات الحقيقية التي حققتها الحوسبة الكمية بالفعل على مدى عامين، أليس كذلك؟ وأعتقد أن هذا، وهذا هو المكان الذي نصل إليه، يجعل هذا التهديد من الحوسبة الكمية يبدو أكثر واقعية من حيث أن هذا الأمر على وشك الحدوث أكثر مما هو عليه في الواقع. لكن قبل أن ندخل في مثل، كما تعلم، لماذا سينتهي العالم، إذا ظهرت الحوسبة الكمية فجأة، ما هي فوائد الحاسوب الكمي التي تفكر فيها؟ ماذا سيكون، ماذا يمكن أن يفعل أفضل بكثير من أي شيء آخر؟
ديفيد ليلو: سأقوم بالرد على ذلك في الرد أيضًا على ما قلته عن الحاسوب الكمي من حيث ما وصل إليه في الوقت الحالي. وأعتقد أنه على الرغم من موافقتي على أن هناك مشاكل فيما يتعلق بالكمبيوتر الكمي، إلا أنني أعتقد أننا أقرب بكثير إلى تحقيق الاستقرار الفعلي في الكمبيوتر الكمي مما هو مقترح. وأعتقد أنه إذا نظرت إلى الوراء، أعتقد أن إحدى أفضل الطرق للنظر إلى المستقبل في الواقع هي النظر إلى التاريخ. وعندما كنت شابًا صغيرًا أعمل في أحد البنوك، كان هناك حاسوب مركزي وكان حاسوبًا مركزيًا من طراز IBM قديمًا. وكان الحاسوب المركزي يشغل غرفة. كانت غرفة كبيرة. لم تكن غرفة صغيرة. كانت غرفة كبيرة جداً. وكان يملأ الغرفة. كانت هناك صمامات على هذا الحاسب المركزي. كان به ثلاثة خزانات تبريد مياه. كانت هناك أحواض سباحة تحت الأرض في قبو هذا البنك. كان هذا الشيء هائلاً. وقبل ذلك ببضع سنوات فقط، كانوا قد استبدلوا نظام البطاقات المثقبة من هذا الحاسب المركزي.
عندما أخرجوا ذلك الحاسب المركزي القديم، والذي احتاج إلى رافعات شوكية وبعض الآلات الثقيلة جدًا لإخراجه، اضطروا في الواقع إلى قطع بعض الأبواب لأنهم لم يتمكنوا فعليًا من وضع ذلك الحاسب المركزي في مكان آخر. واستبدلوه بحامل وحاسب مركزي أكبر أضعافًا مضاعفة مما كان موجودًا من قبل. لقد شهدنا تسارعاً هائلاً في تقدم أجهزة الكمبيوتر على مر السنين. وإذا عدنا إلى الوراء 30 سنة فقط، كما تعلم، إذا عدنا إلى 40 سنة، فإن حجم التغيير الذي نراه يحدث هائل.
إنجو شوبيرت: نعم.
DAVID LELLO: وما رأيناه مع الحواسيب الكمية الآن، نعم، هناك مؤشرات مبكرة وعلمية، يبدو الأمر تقريبًا مثل ذلك الحاسوب المركزي القديم في القبو مع الخزانات الثلاثة لأنك تحتاج إلى أنظمة التبريد، وتحتاج إلى المعدات الكبيرة، وتحتاج إلى كل الأشياء التي تتماشى معها. هناك مبلغ ضخم من المال يذهب إليها. هناك الكثير من الاستثمارات التي ستذهب إليها. وسيتم حل هذه المشاكل. وقد يتم حلها أسرع مما نعتقد. والتقدم الذي شهدناه من شهر لآخر في الوقت الحالي يشير إلى أننا نقترب أكثر فأكثر من التماسك. ولذا أعتقد أن الأمر قد يكون أقرب قليلاً.
وإذا حدث ذلك أعتقد أنه مثير حقًا لأن ما يمكن للكمبيوتر الكمي القيام به لأنه في الواقع يمكنه معالجة البيانات بشكل أسرع بكثير وليس بالسرعة التي يدعيها البعض ولكن لأنه يمكنه معالجة تلك البيانات بشكل أسرع بكثير فهذا يعني أنه يمكنه النظر في وحل المشاكل التي لم يكن من الممكن حلها من قبل.
إذن أنت تعرف في الفيزياء النظرية مفهوم قطة شرودنجر، وهل القطة ميتة أم حية؟ هل هي متحللة؟ هل هو، ما هو؟ ما هي حالة القطة؟ حسناً، سيكون الحاسوب الكمي قادراً على النظر ورؤية القطة في كل الاحتمالات وبالتالي سيكون قادراً على حل المشاكل الكبرى التي لم نتمكن من حلها.
إنجو شوبيرت: نعم، وأعتقد أنه فيما يتعلق بالطب، كما تعلم، طي البروتين أو ما شابه، فإن الحواسيب الكمية ستكون لها الأفضلية على الحواسيب التقليدية، بالتأكيد، أليس كذلك؟ وهناك أشياء أخرى حيث، كما تعلم، ببساطة كل شيء يحتوي على كم هائل من البيانات التي تحتاج إلى معالجة، كما تعلم، توقعات الطقس ستكون شيئًا واحدًا، مثل، كما تعلم، أي شيء، البيانات الجيولوجية، هناك الكثير من حالات الاستخدام التي ستستفيد من الحوسبة.
والآن، بالعودة إلى مثل هذا هو أقرب ما يكون إلى وجهة نظرك بمجرد أن تعتقد أنه مثل لا أعتقد ذلك لأنه ليس خطاً مستقيماً حيث يذهب هذا حدث في الماضي مع الترانزستورات أنه يحدث مرة أخرى لذلك قد لا يكون الأمر مثل اليانصيب فقط لأنك فزت في المرة السابقة لا يعني أنك لن تفوز في المرة القادمة فهو يبدأ من الصفر في كل مرة وخاصة مع التماسك, إذا كنت تتحدث عن، حسناً، بضع مئات من الكيوبتات، ربما بضعة آلاف، لتكون حاسوباً كمومياً عالمياً يمكنه تشغيل خوارزمية شور على سبيل المثال، وهو ما سيشكل تهديداً للتشفير. أنت تتحدث عن بضع مئات الآلاف من الكيوبتات، صحيح؟ وفي الطريق إلى ذلك، قد نصطدم بجدار في مكان ما، أليس كذلك؟ ليس هناك ما يضمن أننا سنحل تلك المشاكل. قد نفعل، وفي الواقع، نعم، بالتأكيد، يمكن أن يكون هناك ذلك، لكن لا يوجد ضمان. وفي الوقت نفسه، يجب على الحاسوب الكمي أن يصمد تجاريًا في بيئة شهدنا فيها زيادة هائلة في قوة الحوسبة في جميع أنحاء العالم، وذلك بفضل وحدات معالجة الرسومات بشكل أساسي، أليس كذلك؟ بفضل الذكاء الاصطناعي. حسنًا، قبل ذلك كان جنون البيتكوين بأكمله، أما الآن فهو الذكاء الاصطناعي. وذلك دون وجود تقدم مثل التقدم الأساسي في تصميم الرقاقات. أعني، نعم، لقد أصبحوا أصغر في ظل هذا. لقد زدنا من قوة الحوسبة بشكل كبير، لدرجة أننا في الأساس العامل المحدد الآن هو الطاقة، أليس كذلك؟ إذاً الطاقة الكهربائية.
وفي تلك البيئة، يجب على الكمبيوتر الكمي البقاء على قيد الحياة. الآن، يمكنك تقديم حجة مفادها أنه، مهلا، خاصة بالنسبة لأولئك، كما تعلم، تكسير المفاتيح، كما تعلم، بعض الحكومات ستفعل ذلك، لا بأس. نعم، لا بأس بذلك. لديهم ما يكفي من المال. إنهم لا يهتمون حقاً بذلك. حسناً، ربما يجب أن يهتموا إنها ضرائبنا، ولكن دعنا نفترض أنهم لا يهتمون.
هناك حالات استخدام عملية للحوسبة الكمية على طول الطريق إلى حاسوب كمي عالمي يعمل بشكل كامل. أعتقد أن هذا أمر لا جدال فيه. أنا لا أقول أن هذا ليس هو الحال. وهناك حالات استخدام جيدة لذلك. كما قلت، مثل، كما تعلم، طي البروتين، على سبيل المثال، في الأبحاث الصيدلانية، أليس كذلك؟
لكن دعنا نتحدث عن التهديدات، صحيح؟ وأنا لا أتحدث عن مثل استهلاك الطاقة، كل ذلك لأن لدينا ذلك اليوم مع الوحدات التقليدية، أليس كذلك؟ أعني، التهديدات على وجه الخصوص لأمن تكنولوجيا المعلومات ومن ثم هو الأمن، صحيح؟ لأن هناك بعض، كما تعلم، لقد ذكرت خوارزمية شور، لذلك ربما يجب علينا، كما تعلم، أن نشرح بإيجاز، كما تعلم، ما هو هذا وكيف يؤثر على الأمن.
DAVID LELLO: نعم مع الحاسوب الكمي لأنه يستطيع معالجة تلك المعلومات والبيانات بشكل أسرع بكثير، فهو قادر على استخدام خوارزمية شو لعكس هندسة مفاتيح التشفير وبالتالي عندما يكون لدينا حاسوب كمي مشفر، سيكون قادرًا على كسر تلك المفاتيح في غضون ثوانٍ أو دقائق.
إنجو شوبيرت: نعم.
ديفيد ليلو: وبالتالي، فإن معظم البيانات التي نستهلكها ونستخدمها ونصل إليها ستكون عرضة للهجوم.
إنجو شوبيرت: نعم. وهكذا فإن حجة شور، كما ذكرت ذلك من قبل، كما تعلم، لا يوجد اليوم حاسوب كمي يمكنه تشغيل هذا لأنك تحتاج إلى مئات الآلاف من الكيوبتات في حالة تماسك وتشغيل لبعض الوقت. لذا، نعم، إنها بضع ثوانٍ، لكن حتى بضع ثوانٍ تعتبر مشكلة في الوقت الحاضر بالنسبة لبعض الحواسيب الكمية. لذلك فإنه في الواقع سيؤدي في الواقع إلى كسر أو إبطال خوارزمية RSA بشكل أساسي، نعم، لذا فإن المفتاح العام الخاص، باستخدام RSA، ولكن أيضًا باستخدام Diffie-Hellman واستخدام المنحنيات الإهليلجية، ECC. لذا فإن جميع الخوارزميات الشائعة والمستخدمة في العقدين الماضيين ستكون معطلة بشكل أساسي، أليس كذلك؟ سيتم كسرها مع الحاسوب الكمي. بالطبع، ستظل الحواسيب التقليدية تعاني كما هو الحال دائماً، لذلك لا يوجد تهديد هناك.
ونعم، إذا كان هذا معطلاً، أعني أن هذه الخوارزميات تستخدم في كل مكان، نعم؟ إذن، هذه، كما تعلم، خوارزميات TLS التقليدية الخاصة بك، اتصال خادم الويب، من عميل إلى خادم الويب، الشبكات الافتراضية الخاصة، توقيعات البريد الإلكتروني، تشفير الملفات التي يتم إرسالها وكل هذا، كما تعلم، كلها تعتمد غالبًا على RSA، ECC، و أو Diffie-Hellman، أليس كذلك؟ لذا، أعني أن هذا سيكون، يمكنك أن تسميه في الواقع كارثيًا.
ديفيد ليلو: سيكون كذلك، بالتأكيد. سيكون الأمر كارثياً تماماً. أعتقد أنه، كلما نظرت في الأمر أكثر وكلما زاد عدد حالات الاستخدام، كلما تعطلت الأنظمة. إنها مشكلة عالمية. مثل المصادقة والمصادقة في النظام المالي. حتى أشياء مثل البيتكوين تصبح مخترقة. لذا فهم يستخدمون تشفير المنحنى الإهليلجي وسيتم اختراقه. سيكون لديك بعد ذلك انهيار كامل للنظام المالي كنتيجة لاختراق ذلك.
لذا، نعم، يمكن أن يكون الأمر كارثياً تماماً. أعتقد أنه يمكننا أن نرى في حالات الاستخدام الواسعة النموذجية مشكلات كبيرة ولكن أيضًا في المشكلات الأصغر والأقل عمومية، والتي أعتقد أن الناس لا يفكرون فيها دائمًا، لذلك عندما نبدأ في الحديث عن إنترنت الأشياء وإنترنت الأشياء ونبدأ في التفكير في الأجهزة الطبية والمعدات الطبية القدرة على أن تكون قادرة على اختراق ذلك. كما تعلم، تأخذ شخصًا يرتدي مضخة الأنسولين.
إذا تمكنت من اختراق تشفير مضخة الأنسولين تلك، يمكنني قتل شخص ما.
إنجو شوبيرت: نعم.
دايفيد ليلو: هذا، كما تعلم، فجأة، يمكن أن يصبح الإجرام وراء هذه الأشياء أكثر أهمية بشكل كبير. ونبدأ في رؤية أشياء مثل فيلم Minority Report و Terminator من نوع حالات استخدام الأشياء التي تحدث.
إنجو شوبيرت: الآن أنت تتحدث. لقد أصبح الأمر مثيراً للاهتمام الآن، نعم.
حسناً، لكن أعني، بالعودة إلى توافر الحواسيب الكمية، لن يحدث ذلك بين ليلة وضحاها لأنه لن يكون بين يوم وليلة. لنفترض أن شخصاً ما، أجل، حصل أخيراً على حاسوب كمي مع، كما تعلم، 200,000 مكعب حيث يمكنه تشغيل خوارزمية شور، على سبيل المثال. عادة ما يكون حوالي مليون. هناك بعض الأبحاث التي تقول أنك تحتاج فقط حوالي 100 ألف كيوبت. الأمر ليس مثل، كما تعلم، أن كل شخص لديه كمبيوتر كمي فجأة. إنها فقط بضع حكومات ومنشآت بحثية لديها إمكانية الوصول إلى الحوسبة الكمية. ليس الأمر كما لو أن كل مجرم إلكتروني لديه إمكانية الوصول إليها أيضاً.
لكن التهديد حقيقي. أعتقد أن الأمر مشابه لمشكلة عام 2000 بعض الشيء. لذا فقد توقعنا حدوث ذلك منذ فترة، ولكننا فعلنا أشياء للتخفيف من حدة ذلك واتضح أن الأمر لم يكن شيئًا يذكر.
ديفيد ليلو: ولكن فقط لأننا قمنا بشيء ما.
إنجو شوبيرت: بالضبط. فقط لأننا فعلنا شيئاً، أليس كذلك؟ إذاً، لو لم نكن لنفعل أي شيء، لربما كانت هذه مشكلة كبيرة وفعلنا شيئاً ما واتضح أن الأمر على ما يرام، أليس كذلك؟ وأعتقد أنه من المحتمل أن يكون الأمر مشابهًا لما حدث في هذه الحالة هنا لأن هناك أشياء يمكن القيام بها، وهو ما يقودنا إلى العمل التالي.
نعم، إذاً قد نختلف كم من الوقت سيكون لدينا، صحيح؟ إذاً، فقط من باب طرح هذا الأمر، كان هناك تقرير لـ MITRE، لذا كمؤسسة بحثية ممولة من الحكومة في الولايات المتحدة تقرير حديث في بداية العام وقد وضعوا خوارزمية شور هذه في مكان ما مثل أوائل عام 2040 ربما أكثر من 2050 تقريباً، لذا ليس لديهم حافزاً لدفعها بشكل صحيح لذا كان تقريراً قوياً هناك ولكن حتى لو قلت مثل هذا أقرب بكثير، فمن غير المرجح أن يكون قبل عام 2030. أعتقد أنه من المستبعد جداً، إلا إذا حدثت معجزة ما. فما الذي يمكنك فعله اليوم لتحضير نفسك لنهاية العالم الكمية هذه؟
ديفيد ليلو: أعتقد أنه سيكون بالتأكيد أسرع بكثير من عام 2050. أعتقد، كما تعلم، أكره محاولة التنبؤ لأنه أمر مستحيل. كما تعلم، عندما يحاول المرء التنبؤ بالمستقبل، يفشل حتماً لأنه ليس لدينا عقل خارق للطبيعة.
إنجو شوبيرت: حسناً، دعنا نلتقي 2055. في نفس الوقت، نعم، حتى نتمكن من التحدث عن هذا الأمر. إذا كنت لا أزال في الداخل.
ديفيد ليلو: بالتأكيد. لنفعل ذلك. في نفس الوقت ونفس المكان. لنفعل ذلك. حسناً، ولكن إذا كان ذلك في وقت أقرب، أعتقد أنه دعونا نرى كيف يمكننا الاحتفال بهذا الحدث لأنني أعتقد أنه مع أي تقدم في التكنولوجيا، يحدث اختراق، ويحدث في وقت ما. قد يحدث الأسبوع المقبل. وقد يحدث بعد 10 سنوات. نحن لا نعلم. لكنه سيحدث، وأنا متأكد من ذلك، لأن العلم موجود. إنه موثوق. إنه حقيقي. كما تعلم، حقل من عباد الشمس قادر على الحفاظ على تماسكه الآن. الثبات موجود في درجة حرارة الغرفة، في الحقل، مع كل الأشياء التي تحدث حوله. الحيوانات التي تجري في الأسفل والتلوث وكل شيء آخر. يمكن لحقل عباد الشمس أن يكون متماسكاً.
إنجو شوبيرت: هذا صحيح.
ديفيد ليلو: لماذا يفعل ذلك مجموعة من العلماء؟
إنجو شكوبيرت: نعم، لكن لديهم بضعة ملايين من السنين ليتطوروا، أليس كذلك؟ هذه هي وجهة نظري. أنا أتفق مع ذلك، لكن لديهم بداية متقدمة، أليس كذلك؟
DAVID LELLO: بالعودة إليك إلى المشكلة، أعتقد أن إحدى المشاكل التي نواجهها، وقد تطرقنا إليها قليلاً في حديقة بلتشلي بارك، هي أن ما لدينا في الوقت الحالي من حيث الممارسة وما يمكن أن نسميه ممارسة جيدة حول إدارة مفاتيح التشفير، أعتقد أن الكثير من الشركات قد فشلت. لذلك عندما يتعلق الأمر بالأحداث، فقبل بضع سنوات، كان لدينا ثغرة SSL، وسارع الجميع إلى البحث عن استبدال المفاتيح. وهذا يعني أن المؤسسات أصبحت أكثر مرونة من حيث كيفية تدوير مفاتيح TLS الخاصة بها، وهو أمر رائع. هذا حل جزء كبير من المشكلة. إذا كان لديك مرونة في مفاتيح TLS الخاصة بك، فهذا يعني أنه يمكنك تغييرها. قد تضطر إلى إجراء بعض الاختبارات على طول الطريق للتأكد من أن كل شيء يعمل.
ولكن يمكن للمؤسسات البدء في التفكير الآن في سلطة التصديق الخاصة بها وكيفية إصدار مفاتيحها وكيفية استبدال مفاتيحها على مستوى TLS. وهذا جيد. المشكلة التي نجدها عندما ندخل إلى مؤسسة ما هي أن 20 إلى 30، وربما حتى 401 تيرابايت 14 تيرابايت من المفاتيح لا تتم إدارتها بهذه الطريقة. في كثير من الأحيان، تحتوي الكثير من الأجهزة على مفاتيح مدمجة داخل قطعة من البنية التحتية للأجهزة وبعض هذه القطع من الأجهزة يمكن أن تعيش لمدة 20 عامًا والقدرة على تغيير المفاتيح داخل تلك الأجهزة يعني تغيير الأجهزة.
لدينا أيضًا الكثير من الممارسات السيئة في البرمجة خاصةً في أيام الإنشاءات المتجانسة حيث تحتوي التطبيقات على مفاتيح مدمجة داخل التطبيقات نفسها. وعندما نبدأ في التفكير في عدم حدوث ذلك.
إنجو شوبيرت: أعتقد أن هذه هي وجهة نظري. كانت تلك ممارسة سيئة بغض النظر عن الحوسبة الكمية أو لا.
ديفيد ليلو: إنه كذلك. ولذا عندما نبدأ التفكير في فكرة يوم كيو داي هذه، والتي كانت سهلة في عام 2000 لأنه كان لدينا موعد. ليس لدينا موعد مع يوم كيو -يوم.
إنجو شوبيرت: نقطة جيدة جداً.
ديفيد ليلو: ولكن عندما تصل في نهاية المطاف، وقد تصل غدًا، أو قد تصل بعد 10 سنوات، أو إذا كنت محقًا في وقت أطول من ذلك بكثير، سيكون لدينا وضع لا يمكن فيه استبدال جزء كبير من المنظمة ومفاتيحها بسهولة أو بسهولة، وسنواجه حالة من الذعر. سيكون لدينا مشكلة هائلة وهائلة، حيث ستصبح البيانات معرضة للخطر.
ولكن المشكلة الأخرى التي تواجهنا هي مشكلة أخرى وهي مشكلة يتم طرح أسئلة كثيرة حولها، وهي تهديد ‘الحصاد الآن وفك التشفير لاحقاً’. وقد شهدنا سرقة البيانات المشفرة لسنوات، أعني في هذا البلد مع ديفيد كاميرون، قال في تصريحه الشهير إن جميع بياناتنا قد سرقت من قبل الصين، ولكن لا يهم. إنها مشفرة. لذا، وبالعودة إلى الوراء بضع سنوات، فإن هذا النوع من الأقوال صحيح في الوقت الحالي، ولكن بالنظر إلى التقنيات التي لدينا في الوقت المناسب مع الكمبيوتر الكمي، يصبح ذلك مشكلة. ونعم، بالطبع، البيانات تتقادم.
إنجو شوبيرت: لكن بعض تلك البيانات ستظل ذات صلة. ليس كلها، ولكن بعضاً منها. لذلك أعتقد أن هذا هو نفسه. مثل، بقوا هناك مثل، نعم، كما تعلم، إذا تم فك تشفيرها بعد خمس سنوات مثلاً، من يهتم، أليس كذلك؟ أو بعد 10 سنوات، نعم. لذلك يمكنك تقديم حجة مفادها أن العديد من بيانات الهوية للمصادقة، إذا تم فك تشفيرها بعد خمس أو عشر سنوات، فلن تهتم كثيرًا لأنها ستكون قديمة في ذلك الوقت. ولكن هناك العديد من البيانات الاستراتيجية حيث، نعم، يمكن أن يضرك هذا لعقود من الزمن، أليس كذلك؟ وليس عليك حتى أن تكون دولة. يمكن أن تكون مجرد شركة عادية، مؤسسة عادية.
ديفيد ليلو: بالضبط.
إنجو شوبيرت: وما هي القضية؟
DAVID LELLO: أعني، كما تعلم، كمية المؤسسات التي أذهب إليها حيث توجد أنظمة قديمة. في الواقع، كنت في مؤسسة منذ وقت ليس ببعيد حيث كان هناك تطبيق. لقد تعاملوا معه كصندوق أسود، وتعاملوا معه كصندوق أسود لأن الشفرة المصدرية ضاعت. الشخص الذي كتبه، رحل منذ فترة طويلة، لا تلمسه. إذا سقط، فالحل هو تشغيله أو إيقاف تشغيله وتشغيله مرة أخرى والدعاء لأنه الشيء الوحيد الذي يمكنك فعله. لا يوجد شيء يمكنك فعله. وكان هذا النظام يتحكم في كل الوصول في مخازنه، كل الوصول في مخازنه. وإذا تم اختراقه، وإذا تم تعطيله، فإنك تقضي على المنظمة.
إنجو شوبيرت: نقطة فشل واحدة.
ديفيد ليلو: نقطة فشل واحدة. إن كمية المؤسسات التي نذهب إليها حيث توجد نقطة فشل واحدة غير عادية. تحتاج المؤسسات حقًا إلى البدء في التفكير في كيفية تحديث البنية التحتية لإدارة الهوية والوصول الخاصة بها. عندما نبدأ التفكير في إدارة الهوية والوصول، فإن إدارة الهوية والوصول هي الطريق إلى كل شيء. لقد رأينا مع هجمات الفدية الخبيثة الأخيرة التي حدثت في ألمانيا، وكذلك هنا في المملكة المتحدة وإيطاليا وأماكن أخرى. تستهدف هجمات الفدية هذه أنظمة التحكم في الوصول. إنهم يستهدفونها في المصادقة لأنها هدف سهل وسهل، سواء كان دليلاً نشطاً أو سواء كان نظاماً كما وصفت، القدرة على القدرة على اختراق الوصول فعلياً، أنت تسقط المؤسسة، وتوقف الاتصالات، وتوقف القدرة على الوصول. سيكون تحديث إدارة الوصول إلى الهوية في هذا السياق أحد الأولويات الكبيرة.
إنجو شوبيرت: نعم، نعم. من الصعب المجادلة ضد ذلك لأنه، كما تعلم، لأن ذلك منطقي، بغض النظر عن الطريقة التي تنظر بها إلى الأمر، أليس كذلك؟ أعتقد أنه عندما نعود إلى إدارة مفاتيح التشفير المجردة، فإن العديد من العملاء لا يعرفون ما لديهم، أليس كذلك؟ ليس لديهم رؤية جيدة لأماكن التشفير، وأين المفاتيح، وأين يوقعون رقميًا. ليس لديهم مثل هذه النظرة العامة. أعتقد أن هذا جزء من المشكلة، أليس كذلك؟ لأنه لا يمكنك إصلاح ما لا تعرف أنه موجود. العديد من العملاء يعانون ببساطة من النظافة الإلكترونية الأساسية. هذا ما أراه بشكل مستمر، للأسف، أليس كذلك؟ فقط هذا الصباح في مكالمة حول عميل يعمل على برنامج RSA قديم عمره 20 عاماً، صحيح؟
ديفيد ليلو: واو.
إنجو شوبيرت: لذا، في الواقع، لقد اتصلوا بالدعم لدينا بشأن شيء ما، ولم يتمكن الدعم من الإجابة، والأمر مثل، نعم، بالتأكيد، كما تعلم، ربما كان موظف الدعم الذي كان يرد على المكالمة الهاتفية ربما في روضة الأطفال عندما صدر هذا البرنامج، أليس كذلك؟ لذا، فإن وجهة نظري هي أنه طالما أننا لا نقوم بهذه النظافة والرؤية الإلكترونية الأساسية، أولاً وقبل كل شيء، لا يمكنك الوصول إلى حالة الاستعداد الكمي، نعم، حيث تكون جاهزًا ليوم الكيو. هذا مستحيل بأي حال من الأحوال.
إنه أيضًا، رأيي هو أنه لا يُسمح لك بالقلق بشأن الحوسبة الكمية حتى تقوم بإصلاح تلك الأشياء، أليس كذلك؟ لأنك إذا كنت لا تعرف ما هي البرمجيات التي تقوم بتشغيلها، إذا لم تقم بتحديثها، فبالطبع أنت تعتمد على البائعين الذين يقومون بإصلاح هذا الشيء، مثل تطبيق تشفير ما بعد الكم على سبيل المثال، أليس كذلك؟
ولكن إذا كان البرنامج قد صدر مع الإصدار الجديد، مع كل هذه الأشياء الجميلة المتعلقة بالحوسبة الكمية ولم تقم بتثبيته، فهذا يجعل البرنامج غير موجود، أليس كذلك؟ ووصولاً إلى ذلك، حتى لو فعلت ذلك، إذا كانت سياساتك وإجراءاتك حول، على سبيل المثال، مثل إدارة البيانات، إذا لم تكن صحيحة، فما الذي نتحدث عنه هنا؟ لذلك إذا كان بإمكان المهاجم أن يتصل بمكتب المساعدة الخاص بك ويطلب الدخول، فلن يحتاجوا إلى كمبيوتر كمي للقيام بذلك، أليس كذلك؟ لا يحتاجون إليه اليوم. لم يحتاجوا إليه بالأمس. لا يحتاجون إليه غداً. إنهم فقط يتصلون بمكتب المساعدة الخاص بك إذا لم تكن سياساتك صحيحة ويحصلون على حق الدخول.
لذا، هناك الكثير من الأشياء التي يمكن أن تسوء، وقد ساءت وستسوء، والتي لا علاقة لها بالحواسيب الكمية. وما أخشاه هو أن الناس ينظرون إلى هذا الشيء الكمي، يوم الكم، ويشتت انتباههم بهذه اللعبة الجميلة اللامعة، أليس كذلك؟ في حين أن لديهم الكثير من الواجبات المنزلية التي يتعين عليهم القيام بها، والتي لم يقوموا بها ربما لعقود، أليس كذلك؟ وبالطبع، يمكنك تقديم حجة مفادها أنه، كما تعلم، تحتاج إلى القيام بذلك، وأن يكون لديك رؤية، كما تعلم، وأن يكون لديك تصحيح في مكانه، وإصلاح إجراءاتك. إذا كان الأمر يحتاج إلى هذا التهديد من الحوسبة الكمية للعميل للقيام بذلك، فليكن، أليس كذلك؟ يمكنني أن أكون سعيدًا.
لكن جزء مني يقول، لا، لأنه ماذا سيحدث إذا وصلنا إلى طريق مسدود مع الحوسبة الكمية؟ ومثل، لبضع سنوات، لا توجد ميزة حقيقية أو تقدم حقيقي، ثم تذهب مثل آه هذا مثل أنت تعرف 2060s مثل سأكون سأكون سأكون سأكون سأكون سأكون قد ذهبت منذ فترة طويلة من القوى العاملة لذلك لا داعي للقلق بشأن ذلك وهذا هو النهج الخاطئ لأنه يجب عليك إصلاح ذلك مهما كان.
سأسقط بعض المعرفة عليك نعم بعض الأسماء نعم بعض الأسماء نعم الفيلسوف الألماني إيمانويل كانط نعم الآن لا تقطع هذا المحرر نعم هذا ك هذا ك هذا ك هذا ك - ا - ن - ت، صحيح؟ لذلك أنا أدعوه إيمانويل من الآن فصاعدا، نعم.
إذن فيلسوف ألماني، من القرن الثامن عشر، وقال الكثير من الأشياء الذكية. لكن من أذكى الأشياء التي أعتقد أنها من أذكى الأشياء هي أن تفعل الشيء الصحيح لأنه الشيء الصحيح الذي يجب فعله، أليس كذلك؟ ليس لأنه يكسبك بعض النقاط مع بعض الآلهة أو شيء من هذا القبيل. أنت تفعل ذلك لأنه الشيء الصحيح الذي يجب القيام به.
وأن يكون لديك نظرة عامة جيدة عن مكان التشفير وكيفية التشفير فيما يتعلق بالسياسات والإجراءات والترقيع وكل هذا، هذا هو الشيء الصحيح الذي يجب القيام به، بغض النظر عما إذا كانت الحوسبة الكمية على بعد 10 سنوات أو 20 أو 30 سنة. لا يهم. عليك أن تفعل ذلك. الآن، يجب أن تفعل ذلك منذ 20 عاماً. هذه نقطة أساسية. أعتقد أن هذا هو المكان الذي نتفق فيه. نعم، بالتأكيد. أعتقد أن الدافع وراء ذلك، على ما أعتقد، هو ما نختلف فيه لأن لدينا آراء مختلفة حول ما وصلت إليه الحوسبة الكمية وأين ستكون. ولكن بالتأكيد، إذا كان هناك عميل يقول إنني بحاجة إلى أن أكون جاهزًا للكمية، فلن يضيع الجهد المبذول.
ديفيد ليلو: لا، بالتأكيد لا. أعتقد أيضاً يا إنجو أن أحد الأشياء التي تواجهني دائماً في الواقع هو التحدي الذي أواجهه لأننا نقضي الكثير من الوقت مع مجالس إدارة الشركات الكبيرة في التحدث إلى المديرين الماليين وما شابه ذلك، والشركة موجودة لغرض توفير منتج أو خدمة وإذا كانت في القطاع الخاص لتحقيق الربح ما لم تكن بالطبع خيرية ولكن دعنا لا نقلق بشأن ذلك، لذا فإن فكرة إنفاق المال في الواقع لمجرد أنه الشيء الصحيح الذي يجب القيام به، حيث يعطيني عائداً سلبياً يصبح من الصعب والتحدي بالنسبة للأشخاص الماليين أن يدركوا ذلك بالفعل. وهكذا يصبح الاستثمار في شيء ما لأنه الشيء الصحيح الذي يجب القيام به أكثر من مجرد نقاش فلسفي. لا أعتقد أن هذا هو النهج الصحيح بالضرورة.
إنجو شوبيرت: حسنًا، نعم، بالتأكيد.
ديفيد ليلو: على الرغم من أنني أتفق معك، بالتأكيد 100%، كما تعلم، من منظور إيماني من، كما تعلم، ما أؤمن به، فأنا أرغب دائمًا في فعل الشيء الصحيح. لكن الحقيقة هي أن الشركات ليست موجودة من أجل ذلك. فهي ليست موجودة من أجل الشيء الصحيح. في بعض الأحيان تكون غير أخلاقية بعض الشيء.
إنغوشوبيرت: حقاً؟ أول مرة أسمع ذلك. دعني أسجل ملاحظة على ذلك.
ديفيد ليلو: لذا أعتقد أن ما نقوم به هو أننا ننظر إلى الأمر بطريقة مختلفة وأعتقد أن إحدى الحقائق التي نراها والتي لها صدى ويفهمها الناس هي قياس وإدراك وإدراك ما هو تعرضي للمخاطر المرتبطة ببيئة معينة ونحتاج إلى ربطها بشيء ملموس نحتاج إلى العودة دائمًا إلى كيفية بناء حالة للتغيير في هذا العالم نعم وكيف يبدو التغيير حتى؟ كما تعلمون، فإن أحد التحديات التي وضعناها لأنفسنا، لأننا عندما بدأنا في مساعدة المنظمات على حل هذه المشكلة، هو أنه لا يوجد في الواقع إطار عمل يتعامل مع الاستعداد الكمي. لا يوجد إطار عمل.
لذا، ذهبنا وكتبنا واحدة. كتبنا معيارًا لنقول، هذا نهج للنظر إلى الكم. أخذنا العديد من المعايير المختلفة من المعهد الوطني للمعايير والتكنولوجيا والابتكار والممارسات الجيدة، ومؤسسة ISF وأشياء مختلفة مختلفة لنتمكن من التوصل إلى نموذج وإطار عمل حتى نتمكن من البدء في النظر إليه. ولكن ما يفعله ذلك هو أنه يسمح لنا بالبدء في النظر والقول، حسنًا، عندما تأخذ نظامًا مثل نظام الهوية الذي يدير جميع عمليات الوصول التي تمثل بيئة الصندوق الأسود، ما هي المخاطر التي قد أتعرض لها من وجود جهاز مثل هذا؟ وسأستبعد الكم منه تماماً. ما هي مخاطرتي؟ هل أفهم حقاً ما هي مخاطرتي؟ إذا تعطل ذلك، ماذا سيحدث لبيئتي؟ وإذا كان بإمكاني تقدير تلك المخاطر، فيجب أن أفعل شيئًا حيال ذلك.
إنغو شوبيرت: أوه، وهذا، أعني، في النهاية، هذه هي الإدارة السليمة للمخاطر، والتي أرى أنها مفقودة في العديد من الشركات أو المنظمات بشكل عام، أليس كذلك؟ وهذا في الواقع يجب القيام به وكان ينبغي القيام به منذ سنوات وينبغي القيام به اليوم، بغض النظر عن الحوسبة الكمية أم لا. هذه هي وجهة نظري.
حسناً، بالطبع لا يفعلون ذلك لأنه الشيء الصحيح الذي يجب القيام به، أليس كذلك؟ هذه حجة مالية يصعب تقديمها. أنا أتفق معك تماماً في ذلك. ولكن هناك كل التهديدات الأخرى التي تجعلهم يفعلون ذلك، أليس كذلك؟ ومرة أخرى، إذا كنت بحاجة إلى بيع هذا المفهوم للنظر في كل هذا واكتشافه والحصول على إدارة المخاطر المناسبة بسبب الحوسبة الكمية، فذلك هو تخميني، أليس كذلك؟ أعتقد أن هذه هي الطريقة الصحيحة تماماً. إذا كانت هذه هي الرافعة التي تحتاجها للحصول على التوقيع، أوه، نعم، بالتأكيد افعل ذلك. لأنك في النهاية، حتى لو كانت الحوسبة الكمية لا تزال على بعد 30 عامًا، فإنك لا تزال تستفيد اليوم. لأن وجود هذا الاستعداد يساعدك على أن تكون آمنًا اليوم أيضًا. أنت لا تهدر المال. نعم، لذا أعتقد أن هذا هو الشيء الصحيح تماماً. وهناك بعض التوصيات وبعض أطر العمل من الأوروبيين أيضًا على سبيل المثال يقولون في الواقع أنه بحلول عام 2026 - وبصراحة يجب أن يكون لديك بالفعل إذا كنت تريد أن تكون متوافقًا مع DORA. ربما ترى ربما نفس الأشياء مرة أخرى لأنك لا ترى بعض الأشخاص يفعلون ذلك. إذًا الرؤية وإدارة المخاطر بحلول عام 2026 ثم بعض الاستعداد الكمي بشكل ما بحلول عام 2030 للمخاطر العالية و2035 للمخاطر المنخفضة والمتوسطة، أليس كذلك؟ لذا يبدو أن الأمر يبدو بعيدًا جدًا، ولكن، كما تعلم، نحن بالفعل، مثل، في نهاية عام 2025، عندما نسجل هذا، الإصدار هو 2026.
لذا، نعم، هذا مثل، نعم، هذا مثل بضع سنوات فقط. وإذا كنت تعود إلى بداية حديثنا، إذا نظرت إلى مشكلة عام 2000، نعم، إذا كنت قد بدأت في عام 1999، فأنت على الأرجح متأخر قليلاً عن هذا الأمر، أليس كذلك؟ لذا عليك أن تكون مستعداً الآن، بالتأكيد، صحيح.
ديفيد ليلو: أعتقد، أعتقد أن أحد الأشياء التي ذكرتها هناك، والتي أعتقد أنها نقطة رائعة من حيث علم النفس البشري، هي اللوائح، واللوائح الأوروبية وأشياء مثل دورا. لا تدخل اللوائح حيز التنفيذ إلا لأن الشركات تتهاون في فعل الشيء الصحيح.
إنجو شوبيرت: نعم، بالتأكيد.
دافيد ليلو: ولأنهم لا يفعلون الشيء الصحيح، يقول المشرعون إننا سنواجه مشكلة كبيرة في البلاد ما لم ننظر في الأمر. لذا يأتي دور القوانين عندما يتعين عليك القيام بشيء ما. لذلك وضع المجلس الوطني للأمن السيبراني في المملكة المتحدة إرشادات حول الكم. ولدينا DORA في أوروبا. وللأسف بسبب خروج بريطانيا من الاتحاد الأوروبي-
إينجو شوبيرت: لقد أحضرتَ لي ما لم أفعل.
ديفيد ليلو: لقد بدأنا للتو في النظر في مشروع قانون المرونة هنا. لذا فقد تم إصدار مشروع قانون المرونة للتعليقات العامة. لذا تم إصدار الإصدار الأول ويجري الآن التعليق عليه. ولذا سيكون لدينا قراءة في البرلمان في وقت ما قريبًا. نأمل أن نلحق ببقية العالم في هذه المسألة بالذات.
إنجو شوبيرت: حسنًا، باستثناء الولايات المتحدة. يبدو أن الولايات المتحدة مثل، كما تعلم، هذا المكان الجامح على الخريطة، نعم. نعم، إنها كذلك حقاً. نعم، إنه مثل، وأرى أن الحديث مع الزملاء في الولايات المتحدة أيضًا، نعم، إنه مثل، نعم، ليس لدينا ذلك حقًا، أليس كذلك؟ ولكن في كل مكان آخر في العالم، يبدو أن إدارة المخاطر تبدو أكثر نضجًا من حيث اللوائح والخسائر، نعم، وهو ما يبدو أنه.
ديفيد ليلو: يجب أن تحصل عليه.
إنجو شوبيرت: يجب أن تحصل عليها، أليس كذلك؟ وعندما تقرأها، وربما يكون لديك الكثير وربما أكثر مما لدي، فإن بعض هذه الأشياء مثل واضح تمامًا، وجود إدارة مخاطر مناسبة. إنه مثل، يجب أن تعرف، إذا تعطل هذا الشيء، فأنت تعرف العواقب، أليس كذلك؟ بالطبع يجب عليك ذلك لأن عملك يجني المال، وهناك شيء ما يمنعه من القيام بذلك. يجب أن تعرف السبب وكيفية إصلاح ذلك. ومع ذلك فهم لا يفعلون ذلك حتى يجبرهم القانون على ذلك وهو أمر محزن في بعض الأحيان بشكل ما صحيح
ديفيد ليلو: من المؤسف أن الطبيعة البشرية تلعب دورها. ولكنني أعاني من ذلك لأن هذه الأمور ليست صعبة كما تعلم، فالنظر إلى المخاطر وإدارة المخاطر ليس بالأمر الصعب.
إنجو شوبيرت: لا، ولكنها تستغرق وقتاً طويلاً.
ديفيد ليلو: ويستغرق الأمر بعض الوقت ولكن أعني أن هناك العديد من التقنيات المختلفة التي يمكن أن تساعد في تبسيط العملية. كما تعلم، أجهزة الكمبيوتر مصممة لأتمتة العملية. والسبب الرئيسي في وجود أجهزة الكمبيوتر هو أن لدينا عمليات يدوية تتطلب جيوشاً من الناس للقيام بشيء ما. مع أجهزة الكمبيوتر، يمكننا أتمتة كل تلك العمليات. ومع الأنظمة الحديثة، يمكننا أتمتة أكثر من ذلك. كما تعلم، يمكنك أن تأخذ أشياء مثل إدارة الثغرات الأمنية. إذا كان لديك بيئة حديثة ولديك مسح للثغرات الأمنية تم نشره، فلديك رؤية جيدة نسبيًا فيما يتعلق بمخاطر التكنولوجيا الخاصة بك.
إنجو شوبيرت: نعم. نفس الشيء بالنسبة لنا. حوكمة الهوية. في النهاية، إنه ليس علم الصواريخ. نعم، بالطبع. ستربط جميع الأنظمة المختلفة، وربما تنشئ بعض القواعد وكل هذا. ولكن بعد ذلك لديك تلك الرؤية ولديك وجهة نظر مثل، كما تعلم، من حيث الفصل بين الواجبات والامتثال ولديك ذلك. ونعم، إنه عمل. نعم، إنه استثمار من حيث المال والوقت بالطبع، لكنك تحصل على شيء من ذلك.
ديفيد ليلو: نعم.
إنجو شوبيرت: صحيح. والذي أعتقد أيضًا أن الناس لا يدركون أن إدارة المخاطر المحتملة تمنحك أيضًا شيئًا ما لأنك في الواقع تكتشف أشياء ربما لا يجب أن تستثمر كل تلك الأموال في هذا التأمين أو أنك تجعل هذا الشيء مرنًا لأنه ليس له تأثير كبير في حين أن الآخر يجب أن تستثمر أكثر لأنه إذا تعطلت تلك الأشياء السيئة. أعتقد أن هذا أيضًا وبالطبع أنت لا تدرك ذلك لأنك إذا لم تقم بإدارة المخاطر بشكل صحيح فلن يكون لديك تلك الرؤية، فكيف يجب عليك اتخاذ هذا القرار بشكل صحيح؟ لذا فإن الناس، بشكل أساسي، تضر المؤسسات نفسها بعدم القيام بذلك، أليس كذلك؟
ديفيد ليلو: وحوكمة الهوية تقطع شوطاً طويلاً فيما يتعلق بتمكين ذلك ومساعدته بالفعل. نعم. كما تعلم، عندما أتحدث إلى الكثير من المؤسسات حول الهوية، فإن الهوية ليست واحدة من تلك الأشياء الأمنية التي تقوم بها لأنها، كما تعلم، هي بوليصة تأمين. الهوية هي عامل تمكين. إنها عامل تمكين حقيقي للأعمال لمساعدة المؤسسات على أن تكون أكثر كفاءة وفعالية من حيث كيفية وصول الأشخاص. لكن الحصول على الوصول الصحيح في الوقت والمكان المناسبين وامتلاك نماذج الحوكمة التي تقود ذلك بالفعل هو ما يمثل أهمية بالغة. لذلك عندما نبدأ في النظر في ضوابط تكنولوجيا المعلومات والاتصالات والأنظمة المالية ونبدأ في النظر في كيفية إنشاء الوصول في استحقاقاتك وفصل الواجبات والتفويضات التي تتماشى معها. هذه الأمور ليست شيئًا جديدًا. فهي مكتوبة في قانون الشركات واللوائح المالية منذ عقود.
إنجو شوبيرت: بالتأكيد.
DAVID LELLO: والقدرة على التحكم في ذلك من خلال نظام جيد لحوكمة الهوية موجود الآن. ومع وجود حل حديث، يصبح الأمر سهلاً للغاية في الواقع. الأمر ليس بالصعوبة التي يعتقدها الناس.
إنجو شوبيرت: انظر إلينا. نتحدث عن حوكمة أمن الهوية وبدأنا بالكم. إنه مثل، دعنا فقط، نعم، ولكن هذه هي النقطة. أعتقد أن هذا شيء يشبه فتح الباب مع بعض المناقشات مع العملاء أو في المؤسسات بشكل عام حيث، نعم، لا بأس بذلك. التحدث عن التهديد الكمي، كما تعلم، ولكن في النهاية ينتهي بك الأمر في المناقشات، التي لا تتعلق بالكم حقًا ولكن بأشياء أخرى. هذا، نعم، يمكنك إصلاحه الآن، يجب عليك إصلاحه الآن، بغض النظر عما يحدث في المستقبل.
ديفيد ليلو: إنه مفهوم النظافة الأساسية.
إنجو شوبيرت: إنه مفهوم النظافة الأساسية بالضبط. إذاً هذه طريقة مثالية لإنهاء هذا الأمر. إذاً ديفيد، شكراً لك. لقد كان، يمكننا التحدث لساعات، حقاً، في كل مرة نلتقي فيها. لذا، شكراً جزيلاً. ولذا أعتقد أن التهديد الكمي قد يبدو بعيدًا.
قد يكون كذلك، وقد لا يكون كذلك. ولكن نأمل أن يكون قد وصل لمشاهدينا ومستمعينا خلال هذه المحادثة فكرة أنه بغض النظر عما إذا كان يجب عليك القيام بأشياء اليوم لتكون مستعدًا كميًا. هذا لا يضر على الإطلاق.
ما تستفيد منه يفيدك اليوم من التهديدات الموجودة اليوم، أليس كذلك؟ لست مضطرًا للانتظار بعد ذلك 20 عامًا لتحقيق الفوائد. أنت تدركها بالفعل اليوم.
وبهذا ينتهي نقاش اليوم حول الحوسبة الكمية وتأثيرها على أمن الهوية. المستقبل الكمي في الخيال العلمي وتحتاج المؤسسات إلى فهم أين تكمن المخاطر والفرص الحقيقية. إذا كنت تريد المزيد من المعلومات حول مرونة الهوية والتقنيات التي تهيئ المؤسسات لما هو قادم، تفضل بزيارة موقع RSA.com. إذا كنت ترغب في الوصول إلى المزيد من حلقات RSA Identity Unmasked عبر البريد الوارد، فلا تنسَ الاشتراك. شكراً لانضمامك إلينا وسنراك في المرة القادمة.
ديفيد ليلو: شكراً
إنجو شوبيرت: أعتقد أنه من باب الفائدة على الجمهور، هل يمكنك أن تصف لنا في بضع كلمات ما هي الحوسبة الكمية حتى نكون على مستوى الخبراء بعد أن انتهيت
ديفيد ليلو: حسنًا، سأبدأ بالطريقة الأساسية للنظر إلى الحاسوب الكمي لأنني أعتقد أننا إذا بدأنا في الدخول في الفيزياء النظرية أعتقد أننا قد نخسر بعض الأشخاص.
إنجو شوبيرت: نعم
ديفيد ليلو: إذن مع الحواسيب الكمية تعمل الحواسيب الكمية بطريقة مختلفة عن الحواسيب التقليدية. أنت تخبر الحاسوب أن يفعل. مع الحاسوب الكمي، يفعل ذلك بطريقة مختلفة. ما يستخدمه هو ميكانيكا الكم، وبالتالي، في عالم متعدد الأبعاد لميكانيكا الكم، ينظر إلى البيانات ويرى البيانات. إنه لا يقرأ البيانات بنفس الطريقة، ونتيجة لذلك، يمكنه الافتراض والنظر إلى تركيبات متعددة في نفس الوقت. إنه يشبه نوعًا ما عندما تقرأ كتابًا، سيقرأه الكمبيوتر التقليدي من البداية إلى النهاية مع الكمبيوتر الكمي، سيقرأ الكتاب وسيرى البيانات. وبسبب ذلك، فإن الحاسوب الكمي قادر على معالجة المعلومات بشكل أسرع بكثير. وعند حل المشاكل، فإن الأمر يشبه حل جميع المشاكل في نفس الوقت بدلاً من النظر إلى المشكلة في محاولة حلها على التوالي.
إنجو شوبيرت: نعم، لذا فإن الخوارزميات مختلفة تمامًا بالطبع. أجل، أعتقد أن هذا على الأرجح هو السبب في أن الكثيرين، وأنا أعد نفسي هناك أيضًا، كما تعلم، يعانون بالطبع، مثل، كيف تبرمج هذا الشيء بالفعل. أعتقد أنه من خلفية تقليدية في مجال تكنولوجيا المعلومات، أعتقد أن ما يساعدني أحياناً في فهم ذلك، كما تعلم، هذا وحش مختلف حقاً، هو أن، كما تعلم، الكمبيوتر التقليدي، مثل كل بت، نعم. إذا كان لديك N بت، يمكنك تخزين N من البيانات. إنها صفر، واحد، نعم؟ مع الكوانتوم يساوي اثنين إلى قوة N، نعم، وهو مثل، على الفور، مثل، إذا كانت لحظتك القديمة تعمل، نعم، هذا أكثر بكثير، نعم، في نفس كمية الكيوبتات في هذه الحالة، صحيح؟ إذاً، إذاً التخزين والمعالجة على مستوى مختلف، صحيح؟ إذاً أعتقد أنّنا سنتركها هنا لأنّنا سنبقى هنا لأيام، صحيح؟ فقط أشرح الأساسيات.
إذن، الموضوع التالي الذي أود استكشافه هو ما هو الوضع الحالي للحوسبة الكمية؟ أين نحن الآن؟ لأنني أعتقد أن هذا على الأرجح، وإذا كان الناس الذين يشاهدون ذلك ربما شاهدونا في حديقة بلتشلي، فلدينا بعض الآراء المختلفة حول أين نحن، وأين سنكون. لذا دعنا نبدأ معك. ما هو الوضع الحالي للحوسبة الكمية؟
دافيد ليلو: أعتقد أن الحوسبة الكمية لا تزال في مرحلة مبكرة. لذا هناك عدد من الحواسيب الكمومية، ويمكنك في الواقع توظيف الوقت على الحواسيب الكمية بحيث يمكنك النظر إلى البيانات. لكني أعتقد أنه مع الطريقة التي تم بها تطوير الحواسيب الكمومية، أعتقد أن هناك عددًا من المشكلات. تتطلب بعض الحواسيب الكمية الكثير من التحكم في أشياء مثل درجة الحرارة. فالحاسوب الكمي يعمل عند الصفر المطلق، أي عند درجة حرارة 270 درجة مئوية تحت الصفر، وهي درجة باردة جداً. تحتاج إلى مرافق كبيرة ومعدات كبيرة وطاقة كبيرة لذلك. وإلا فإنك تفقد التماسك وتفقد استقرار المنصة.
كانت الحواسيب الكمية المبكرة تحترق طوال الوقت بسبب هذه المشكلة. وهذه مشكلة يجب حلها ومعالجتها. المشكلة الأخرى هي أنه نظرًا لأن الكمبيوتر الكمي ينظر إلى البيانات في نفس الوقت، فإنه يخلق الكثير من التشويش. إذا كان عليك أن تأخذ شيئًا مثل الكتاب المقدس وتقرأ الكتاب المقدس على الفور، بدلًا من المرور عليه من البداية إلى النهاية، فسيخلق ذلك سردًا في عقلك سيكون غير مفهوم. وتصبح محاولة استيعاب وفهم واستخلاص ماهية الرسالة صعبة للغاية.
لذا، فقد تسبب التشويش في النظام في خلق قدر كبير من المشاكل. لقد شهدنا بعض النجاحات الجيدة القادمة من أوكسفورد، حيث قللوا من معدل الخطأ والضوضاء داخل النظام بشكل كبير جداً. ولكن ربما تكون المشكلة الأكثر أهمية في الوقت الحالي هي كمية الكيوبتات التي يمكن تشابكها في آن واحد لأنك تبدأ بفقدان تماسك تلك الكيوبتات عندما تبدأ بتجاوز حوالي 100 كيوبت أو نحو ذلك. لذا فإن كمية الكيوبتات التي يمكن تشابكها في وقت واحد لتتمكن من معالجة المعلومات محدودة. وهذا يعني أن قوة المعالجة وقدرة الآلة محدودة.
لذا، فهي ليست بعد ما يمكن أن نطلق عليه الحوسبة الكمية ذات الصلة بالتشفير، وهي مشكلة كبيرة، لكنها في مرحلة تم إثباتها. إنها تعمل. إنها تفعل ما يقوله العلماء أنها تفعله. الأمر يتعلق فقط بنقلها إلى المستوى التالي واستثمارها بشكل أكبر. كل بضعة أشهر، تحدث تطورات إضافية أو يتم الاستثمار فيها بشكل كبير، وقد بدأنا نشهد تقدمًا.
إنجو شوبيرت: نعم، وهذا صحيح. وأعتقد أنك إذا قارنت بين الحواسيب الكمية، إذا نظرت إلى صورها، صحيح؟ من مثل، كما تعلم، منذ خمس سنوات مضت مقارنة باليوم، ما زلت أسميها تجربة فيزيائية جزئيًا، لكنها كانت تجربة فيزيائية أكثر بكثير مثل قبل خمس سنوات، أليس كذلك؟ إذا نظرت فقط إلى الإعداد المادي لتلك الأشياء، أليس كذلك؟
ومع ذلك، في حين أنه من الصحيح، كما تعلم، أن تصبح مثل، نعم، يمكنك طرح مشكلة معهم ويمكنهم حلها بشكل أسرع بكثير من أجهزة الكمبيوتر التقليدية. وجزء من ذلك ما قلته هو التماسك. نعم، إنه التماسك الأساسي، كما تعلم، إذا كان بإمكانك فقط الحفاظ على استقرار النظام لفترة معينة من الوقت. وعادة ما يقاس ذلك بالحد الأقصى بالثواني، نعم، أو بالمللي ثانية، اعتماداً على الشريحة في كل هذا. وهذا مقدار جيد بعيداً عن كونه مفيداً في كثير من الحالات. الآن، هناك بعض حالات الاستخدام التي يكون فيها ذلك منطقياً. فكر في الأمر وكأنه معالج كمي مشترك. لكن المشكلة التي أواجهها مع ذلك هي أنه في العديد من حالات الاستخدام، من المشكوك فيه إذا كان بإمكانك حل المشكلة أيضاً باستخدام اثنين من وحدات معالجة الرسومات الخاصة بشركة Nvidia، أليس كذلك؟
لذا، أحد الأشياء التي أراها لا تزال تُنجز باستمرار، هناك الكثير من الضجيج في مجال الحوسبة الكمية أيضًا. أعتقد أنه يتداخل قليلاً مع ضجيج الذكاء الاصطناعي أيضاً. يمكنك أيضًا أن تجادل، كما تعلم، إذا كان هذا ضجيجًا، فهو حقيقي. ولكن النقطة المهمة هي أن هناك الكثير من الضجيج، والكثير من الأموال التي تطفو على السطح. أعتقد أن جزءًا من تلك الأموال الآن يبحث عن استراتيجية خروج. والحوسبة الكمية تبدو جذابة، أليس كذلك؟ لذلك هم يضخون الكثير من الأشياء هناك وهناك شركات هناك والتي تنظر بشكل أساسي إلى هذا الأمر بشكل مبالغ فيه ومبالغ فيه أيضًا من حيث ما يعدون به وما يفعلونه وهذا في الواقع ينطبق على جميع الأطياف هنا بشكل صحيح. في منتزه بلتشلي بارك كان لدي رقاقة جوجل الصفصاف كمثال حيث كان لدى جوجل في الواقع بيان صحفي حول هذه الرقاقة الجديدة حيث كان لديهم تصحيح أخطاء كبير في كل هذا والادعاء الذي التقطته الصحافة الشعبية أيضًا هو أن هذه الرقاقة يمكن أن تفعل في خمس دقائق ما يمكن أن يفعله الكمبيوتر التقليدي في 10 إلى قوة 35 عامًا نعم وهو أمر غير عادي لأن الكون عمره 10 إلى قوة 25 عامًا فقط ، لذا إذا قرأت ذلك ، نعم ، لا يمكن أن يفعل ذلك بشكل صحيح ، كان الأمر مثل إذا كان هذا الشيء يمكن أن يعمل لمدة خمس دقائق ومثل ذلك مثل ملايين المرات التي لا يستطيعون القيام بذلك, ثم سيكون الأمر كذلك. وإذا نظرت إلى بعض الإصدارات الصحفية الأخرى لشركات مختلفة، كبيرة وصغيرة، ستجد أن هناك اتجاهاً للمبالغة في المبالغة في تصوير ما يحققونه.
وأعتقد، لسوء الحظ، أن هذا للأسف يطغى على بعض التطورات الحقيقية التي حققتها الحوسبة الكمية بالفعل على مدى عامين، أليس كذلك؟ وأعتقد أن هذا، وهذا هو المكان الذي نصل إليه، يجعل هذا التهديد من الحوسبة الكمية يبدو أكثر واقعية من حيث أن هذا الأمر على وشك الحدوث أكثر مما هو عليه في الواقع. لكن قبل أن ندخل في مثل، كما تعلم، لماذا سينتهي العالم، إذا ظهرت الحوسبة الكمية فجأة، ما هي فوائد الحاسوب الكمي التي تفكر فيها؟ ماذا سيكون، ماذا يمكن أن يفعل أفضل بكثير من أي شيء آخر؟
ديفيد ليلو: سأقوم بالرد على ذلك في الرد أيضًا على ما قلته عن الحاسوب الكمي من حيث ما وصل إليه في الوقت الحالي. وأعتقد أنه على الرغم من موافقتي على أن هناك مشاكل فيما يتعلق بالكمبيوتر الكمي، إلا أنني أعتقد أننا أقرب بكثير إلى تحقيق الاستقرار الفعلي في الكمبيوتر الكمي مما هو مقترح. وأعتقد أنه إذا نظرت إلى الوراء، أعتقد أن إحدى أفضل الطرق للنظر إلى المستقبل في الواقع هي النظر إلى التاريخ. وعندما كنت شابًا صغيرًا أعمل في أحد البنوك، كان هناك حاسوب مركزي وكان حاسوبًا مركزيًا من طراز IBM قديمًا. وكان الحاسوب المركزي يشغل غرفة. كانت غرفة كبيرة. لم تكن غرفة صغيرة. كانت غرفة كبيرة جداً. وكان يملأ الغرفة. كانت هناك صمامات على هذا الحاسب المركزي. كان به ثلاثة خزانات تبريد مياه. كانت هناك أحواض سباحة تحت الأرض في قبو هذا البنك. كان هذا الشيء هائلاً. وقبل ذلك ببضع سنوات فقط، كانوا قد استبدلوا نظام البطاقات المثقبة من هذا الحاسب المركزي.
عندما أخرجوا ذلك الحاسب المركزي القديم، والذي احتاج إلى رافعات شوكية وبعض الآلات الثقيلة جدًا لإخراجه، اضطروا في الواقع إلى قطع بعض الأبواب لأنهم لم يتمكنوا فعليًا من وضع ذلك الحاسب المركزي في مكان آخر. واستبدلوه بحامل وحاسب مركزي أكبر أضعافًا مضاعفة مما كان موجودًا من قبل. لقد شهدنا تسارعاً هائلاً في تقدم أجهزة الكمبيوتر على مر السنين. وإذا عدنا إلى الوراء 30 سنة فقط، كما تعلم، إذا عدنا إلى 40 سنة، فإن حجم التغيير الذي نراه يحدث هائل.
إنجو شوبيرت: نعم.
DAVID LELLO: وما رأيناه مع الحواسيب الكمية الآن، نعم، هناك مؤشرات مبكرة وعلمية، يبدو الأمر تقريبًا مثل ذلك الحاسوب المركزي القديم في القبو مع الخزانات الثلاثة لأنك تحتاج إلى أنظمة التبريد، وتحتاج إلى المعدات الكبيرة، وتحتاج إلى كل الأشياء التي تتماشى معها. هناك مبلغ ضخم من المال يذهب إليها. هناك الكثير من الاستثمارات التي ستذهب إليها. وسيتم حل هذه المشاكل. وقد يتم حلها أسرع مما نعتقد. والتقدم الذي شهدناه من شهر لآخر في الوقت الحالي يشير إلى أننا نقترب أكثر فأكثر من التماسك. ولذا أعتقد أن الأمر قد يكون أقرب قليلاً.
وإذا حدث ذلك أعتقد أنه مثير حقًا لأن ما يمكن للكمبيوتر الكمي القيام به لأنه في الواقع يمكنه معالجة البيانات بشكل أسرع بكثير وليس بالسرعة التي يدعيها البعض ولكن لأنه يمكنه معالجة تلك البيانات بشكل أسرع بكثير فهذا يعني أنه يمكنه النظر في وحل المشاكل التي لم يكن من الممكن حلها من قبل.
إذن أنت تعرف في الفيزياء النظرية مفهوم قطة شرودنجر، وهل القطة ميتة أم حية؟ هل هي متحللة؟ هل هو، ما هو؟ ما هي حالة القطة؟ حسناً، سيكون الحاسوب الكمي قادراً على النظر ورؤية القطة في كل الاحتمالات وبالتالي سيكون قادراً على حل المشاكل الكبرى التي لم نتمكن من حلها.
إنجو شوبيرت: نعم، وأعتقد أنه فيما يتعلق بالطب، كما تعلم، طي البروتين أو ما شابه، فإن الحواسيب الكمية ستكون لها الأفضلية على الحواسيب التقليدية، بالتأكيد، أليس كذلك؟ وهناك أشياء أخرى حيث، كما تعلم، ببساطة كل شيء يحتوي على كم هائل من البيانات التي تحتاج إلى معالجة، كما تعلم، توقعات الطقس ستكون شيئًا واحدًا، مثل، كما تعلم، أي شيء، البيانات الجيولوجية، هناك الكثير من حالات الاستخدام التي ستستفيد من الحوسبة.
والآن، بالعودة إلى مثل هذا هو أقرب ما يكون إلى وجهة نظرك بمجرد أن تعتقد أنه مثل لا أعتقد ذلك لأنه ليس خطاً مستقيماً حيث يذهب هذا حدث في الماضي مع الترانزستورات أنه يحدث مرة أخرى لذلك قد لا يكون الأمر مثل اليانصيب فقط لأنك فزت في المرة السابقة لا يعني أنك لن تفوز في المرة القادمة فهو يبدأ من الصفر في كل مرة وخاصة مع التماسك, إذا كنت تتحدث عن، حسناً، بضع مئات من الكيوبتات، ربما بضعة آلاف، لتكون حاسوباً كمومياً عالمياً يمكنه تشغيل خوارزمية شور على سبيل المثال، وهو ما سيشكل تهديداً للتشفير. أنت تتحدث عن بضع مئات الآلاف من الكيوبتات، صحيح؟ وفي الطريق إلى ذلك، قد نصطدم بجدار في مكان ما، أليس كذلك؟ ليس هناك ما يضمن أننا سنحل تلك المشاكل. قد نفعل، وفي الواقع، نعم، بالتأكيد، يمكن أن يكون هناك ذلك، لكن لا يوجد ضمان. وفي الوقت نفسه، يجب على الحاسوب الكمي أن يصمد تجاريًا في بيئة شهدنا فيها زيادة هائلة في قوة الحوسبة في جميع أنحاء العالم، وذلك بفضل وحدات معالجة الرسومات بشكل أساسي، أليس كذلك؟ بفضل الذكاء الاصطناعي. حسنًا، قبل ذلك كان جنون البيتكوين بأكمله، أما الآن فهو الذكاء الاصطناعي. وذلك دون وجود تقدم مثل التقدم الأساسي في تصميم الرقاقات. أعني، نعم، لقد أصبحوا أصغر في ظل هذا. لقد زدنا من قوة الحوسبة بشكل كبير، لدرجة أننا في الأساس العامل المحدد الآن هو الطاقة، أليس كذلك؟ إذاً الطاقة الكهربائية.
وفي تلك البيئة، يجب على الكمبيوتر الكمي البقاء على قيد الحياة. الآن، يمكنك تقديم حجة مفادها أنه، مهلا، خاصة بالنسبة لأولئك، كما تعلم، تكسير المفاتيح، كما تعلم، بعض الحكومات ستفعل ذلك، لا بأس. نعم، لا بأس بذلك. لديهم ما يكفي من المال. إنهم لا يهتمون حقاً بذلك. حسناً، ربما يجب أن يهتموا إنها ضرائبنا، ولكن دعنا نفترض أنهم لا يهتمون.
هناك حالات استخدام عملية للحوسبة الكمية على طول الطريق إلى حاسوب كمي عالمي يعمل بشكل كامل. أعتقد أن هذا أمر لا جدال فيه. أنا لا أقول أن هذا ليس هو الحال. وهناك حالات استخدام جيدة لذلك. كما قلت، مثل، كما تعلم، طي البروتين، على سبيل المثال، في الأبحاث الصيدلانية، أليس كذلك؟
لكن دعنا نتحدث عن التهديدات، صحيح؟ وأنا لا أتحدث عن مثل استهلاك الطاقة، كل ذلك لأن لدينا ذلك اليوم مع الوحدات التقليدية، أليس كذلك؟ أعني، التهديدات على وجه الخصوص لأمن تكنولوجيا المعلومات ومن ثم هو الأمن، صحيح؟ لأن هناك بعض، كما تعلم، لقد ذكرت خوارزمية شور، لذلك ربما يجب علينا، كما تعلم، أن نشرح بإيجاز، كما تعلم، ما هو هذا وكيف يؤثر على الأمن.
DAVID LELLO: نعم مع الحاسوب الكمي لأنه يستطيع معالجة تلك المعلومات والبيانات بشكل أسرع بكثير، فهو قادر على استخدام خوارزمية شو لعكس هندسة مفاتيح التشفير وبالتالي عندما يكون لدينا حاسوب كمي مشفر، سيكون قادرًا على كسر تلك المفاتيح في غضون ثوانٍ أو دقائق.
إنجو شوبيرت: نعم.
ديفيد ليلو: وبالتالي، فإن معظم البيانات التي نستهلكها ونستخدمها ونصل إليها ستكون عرضة للهجوم.
إنجو شوبيرت: نعم. وهكذا فإن حجة شور، كما ذكرت ذلك من قبل، كما تعلم، لا يوجد اليوم حاسوب كمي يمكنه تشغيل هذا لأنك تحتاج إلى مئات الآلاف من الكيوبتات في حالة تماسك وتشغيل لبعض الوقت. لذا، نعم، إنها بضع ثوانٍ، لكن حتى بضع ثوانٍ تعتبر مشكلة في الوقت الحاضر بالنسبة لبعض الحواسيب الكمية. لذلك فإنه في الواقع سيؤدي في الواقع إلى كسر أو إبطال خوارزمية RSA بشكل أساسي، نعم، لذا فإن المفتاح العام الخاص، باستخدام RSA، ولكن أيضًا باستخدام Diffie-Hellman واستخدام المنحنيات الإهليلجية، ECC. لذا فإن جميع الخوارزميات الشائعة والمستخدمة في العقدين الماضيين ستكون معطلة بشكل أساسي، أليس كذلك؟ سيتم كسرها مع الحاسوب الكمي. بالطبع، ستظل الحواسيب التقليدية تعاني كما هو الحال دائماً، لذلك لا يوجد تهديد هناك.
ونعم، إذا كان هذا معطلاً، أعني أن هذه الخوارزميات تستخدم في كل مكان، نعم؟ إذن، هذه، كما تعلم، خوارزميات TLS التقليدية الخاصة بك، اتصال خادم الويب، من عميل إلى خادم الويب، الشبكات الافتراضية الخاصة، توقيعات البريد الإلكتروني، تشفير الملفات التي يتم إرسالها وكل هذا، كما تعلم، كلها تعتمد غالبًا على RSA، ECC، و أو Diffie-Hellman، أليس كذلك؟ لذا، أعني أن هذا سيكون، يمكنك أن تسميه في الواقع كارثيًا.
ديفيد ليلو: سيكون كذلك، بالتأكيد. سيكون الأمر كارثياً تماماً. أعتقد أنه، كلما نظرت في الأمر أكثر وكلما زاد عدد حالات الاستخدام، كلما تعطلت الأنظمة. إنها مشكلة عالمية. مثل المصادقة والمصادقة في النظام المالي. حتى أشياء مثل البيتكوين تصبح مخترقة. لذا فهم يستخدمون تشفير المنحنى الإهليلجي وسيتم اختراقه. سيكون لديك بعد ذلك انهيار كامل للنظام المالي كنتيجة لاختراق ذلك.
لذا، نعم، يمكن أن يكون الأمر كارثياً تماماً. أعتقد أنه يمكننا أن نرى في حالات الاستخدام الواسعة النموذجية مشكلات كبيرة ولكن أيضًا في المشكلات الأصغر والأقل عمومية، والتي أعتقد أن الناس لا يفكرون فيها دائمًا، لذلك عندما نبدأ في الحديث عن إنترنت الأشياء وإنترنت الأشياء ونبدأ في التفكير في الأجهزة الطبية والمعدات الطبية القدرة على أن تكون قادرة على اختراق ذلك. كما تعلم، تأخذ شخصًا يرتدي مضخة الأنسولين.
إذا تمكنت من اختراق تشفير مضخة الأنسولين تلك، يمكنني قتل شخص ما.
إنجو شوبيرت: نعم.
دايفيد ليلو: هذا، كما تعلم، فجأة، يمكن أن يصبح الإجرام وراء هذه الأشياء أكثر أهمية بشكل كبير. ونبدأ في رؤية أشياء مثل فيلم Minority Report و Terminator من نوع حالات استخدام الأشياء التي تحدث.
إنجو شوبيرت: الآن أنت تتحدث. لقد أصبح الأمر مثيراً للاهتمام الآن، نعم.
حسناً، لكن أعني، بالعودة إلى توافر الحواسيب الكمية، لن يحدث ذلك بين ليلة وضحاها لأنه لن يكون بين يوم وليلة. لنفترض أن شخصاً ما، أجل، حصل أخيراً على حاسوب كمي مع، كما تعلم، 200,000 مكعب حيث يمكنه تشغيل خوارزمية شور، على سبيل المثال. عادة ما يكون حوالي مليون. هناك بعض الأبحاث التي تقول أنك تحتاج فقط حوالي 100 ألف كيوبت. الأمر ليس مثل، كما تعلم، أن كل شخص لديه كمبيوتر كمي فجأة. إنها فقط بضع حكومات ومنشآت بحثية لديها إمكانية الوصول إلى الحوسبة الكمية. ليس الأمر كما لو أن كل مجرم إلكتروني لديه إمكانية الوصول إليها أيضاً.
لكن التهديد حقيقي. أعتقد أن الأمر مشابه لمشكلة عام 2000 بعض الشيء. لذا فقد توقعنا حدوث ذلك منذ فترة، ولكننا فعلنا أشياء للتخفيف من حدة ذلك واتضح أن الأمر لم يكن شيئًا يذكر.
ديفيد ليلو: ولكن فقط لأننا قمنا بشيء ما.
إنجو شوبيرت: بالضبط. فقط لأننا فعلنا شيئاً، أليس كذلك؟ إذاً، لو لم نكن لنفعل أي شيء، لربما كانت هذه مشكلة كبيرة وفعلنا شيئاً ما واتضح أن الأمر على ما يرام، أليس كذلك؟ وأعتقد أنه من المحتمل أن يكون الأمر مشابهًا لما حدث في هذه الحالة هنا لأن هناك أشياء يمكن القيام بها، وهو ما يقودنا إلى العمل التالي.
نعم، إذاً قد نختلف كم من الوقت سيكون لدينا، صحيح؟ إذاً، فقط من باب طرح هذا الأمر، كان هناك تقرير لـ MITRE، لذا كمؤسسة بحثية ممولة من الحكومة في الولايات المتحدة تقرير حديث في بداية العام وقد وضعوا خوارزمية شور هذه في مكان ما مثل أوائل عام 2040 ربما أكثر من 2050 تقريباً، لذا ليس لديهم حافزاً لدفعها بشكل صحيح لذا كان تقريراً قوياً هناك ولكن حتى لو قلت مثل هذا أقرب بكثير، فمن غير المرجح أن يكون قبل عام 2030. أعتقد أنه من المستبعد جداً، إلا إذا حدثت معجزة ما. فما الذي يمكنك فعله اليوم لتحضير نفسك لنهاية العالم الكمية هذه؟
ديفيد ليلو: أعتقد أنه سيكون بالتأكيد أسرع بكثير من عام 2050. أعتقد، كما تعلم، أكره محاولة التنبؤ لأنه أمر مستحيل. كما تعلم، عندما يحاول المرء التنبؤ بالمستقبل، يفشل حتماً لأنه ليس لدينا عقل خارق للطبيعة.
إنجو شوبيرت: حسناً، دعنا نلتقي 2055. في نفس الوقت، نعم، حتى نتمكن من التحدث عن هذا الأمر. إذا كنت لا أزال في الداخل.
ديفيد ليلو: بالتأكيد. لنفعل ذلك. في نفس الوقت ونفس المكان. لنفعل ذلك. حسناً، ولكن إذا كان ذلك في وقت أقرب، أعتقد أنه دعونا نرى كيف يمكننا الاحتفال بهذا الحدث لأنني أعتقد أنه مع أي تقدم في التكنولوجيا، يحدث اختراق، ويحدث في وقت ما. قد يحدث الأسبوع المقبل. وقد يحدث بعد 10 سنوات. نحن لا نعلم. لكنه سيحدث، وأنا متأكد من ذلك، لأن العلم موجود. إنه موثوق. إنه حقيقي. كما تعلم، حقل من عباد الشمس قادر على الحفاظ على تماسكه الآن. الثبات موجود في درجة حرارة الغرفة، في الحقل، مع كل الأشياء التي تحدث حوله. الحيوانات التي تجري في الأسفل والتلوث وكل شيء آخر. يمكن لحقل عباد الشمس أن يكون متماسكاً.
إنجو شوبيرت: هذا صحيح.
ديفيد ليلو: لماذا يفعل ذلك مجموعة من العلماء؟
إنجو شكوبيرت: نعم، لكن لديهم بضعة ملايين من السنين ليتطوروا، أليس كذلك؟ هذه هي وجهة نظري. أنا أتفق مع ذلك، لكن لديهم بداية متقدمة، أليس كذلك؟
DAVID LELLO: بالعودة إليك إلى المشكلة، أعتقد أن إحدى المشاكل التي نواجهها، وقد تطرقنا إليها قليلاً في حديقة بلتشلي بارك، هي أن ما لدينا في الوقت الحالي من حيث الممارسة وما يمكن أن نسميه ممارسة جيدة حول إدارة مفاتيح التشفير، أعتقد أن الكثير من الشركات قد فشلت. لذلك عندما يتعلق الأمر بالأحداث، فقبل بضع سنوات، كان لدينا ثغرة SSL، وسارع الجميع إلى البحث عن استبدال المفاتيح. وهذا يعني أن المؤسسات أصبحت أكثر مرونة من حيث كيفية تدوير مفاتيح TLS الخاصة بها، وهو أمر رائع. هذا حل جزء كبير من المشكلة. إذا كان لديك مرونة في مفاتيح TLS الخاصة بك، فهذا يعني أنه يمكنك تغييرها. قد تضطر إلى إجراء بعض الاختبارات على طول الطريق للتأكد من أن كل شيء يعمل.
ولكن يمكن للمؤسسات البدء في التفكير الآن في سلطة التصديق الخاصة بها وكيفية إصدار مفاتيحها وكيفية استبدال مفاتيحها على مستوى TLS. وهذا جيد. المشكلة التي نجدها عندما ندخل إلى مؤسسة ما هي أن 20 إلى 30، وربما حتى 401 تيرابايت 14 تيرابايت من المفاتيح لا تتم إدارتها بهذه الطريقة. في كثير من الأحيان، تحتوي الكثير من الأجهزة على مفاتيح مدمجة داخل قطعة من البنية التحتية للأجهزة وبعض هذه القطع من الأجهزة يمكن أن تعيش لمدة 20 عامًا والقدرة على تغيير المفاتيح داخل تلك الأجهزة يعني تغيير الأجهزة.
لدينا أيضًا الكثير من الممارسات السيئة في البرمجة خاصةً في أيام الإنشاءات المتجانسة حيث تحتوي التطبيقات على مفاتيح مدمجة داخل التطبيقات نفسها. وعندما نبدأ في التفكير في عدم حدوث ذلك.
إنجو شوبيرت: أعتقد أن هذه هي وجهة نظري. كانت تلك ممارسة سيئة بغض النظر عن الحوسبة الكمية أو لا.
ديفيد ليلو: إنه كذلك. ولذا عندما نبدأ التفكير في فكرة يوم كيو داي هذه، والتي كانت سهلة في عام 2000 لأنه كان لدينا موعد. ليس لدينا موعد مع يوم كيو -يوم.
إنجو شوبيرت: نقطة جيدة جداً.
ديفيد ليلو: ولكن عندما تصل في نهاية المطاف، وقد تصل غدًا، أو قد تصل بعد 10 سنوات، أو إذا كنت محقًا في وقت أطول من ذلك بكثير، سيكون لدينا وضع لا يمكن فيه استبدال جزء كبير من المنظمة ومفاتيحها بسهولة أو بسهولة، وسنواجه حالة من الذعر. سيكون لدينا مشكلة هائلة وهائلة، حيث ستصبح البيانات معرضة للخطر.
ولكن المشكلة الأخرى التي تواجهنا هي مشكلة أخرى وهي مشكلة يتم طرح أسئلة كثيرة حولها، وهي تهديد ‘الحصاد الآن وفك التشفير لاحقاً’. وقد شهدنا سرقة البيانات المشفرة لسنوات، أعني في هذا البلد مع ديفيد كاميرون، قال في تصريحه الشهير إن جميع بياناتنا قد سرقت من قبل الصين، ولكن لا يهم. إنها مشفرة. لذا، وبالعودة إلى الوراء بضع سنوات، فإن هذا النوع من الأقوال صحيح في الوقت الحالي، ولكن بالنظر إلى التقنيات التي لدينا في الوقت المناسب مع الكمبيوتر الكمي، يصبح ذلك مشكلة. ونعم، بالطبع، البيانات تتقادم.
إنجو شوبيرت: لكن بعض تلك البيانات ستظل ذات صلة. ليس كلها، ولكن بعضاً منها. لذلك أعتقد أن هذا هو نفسه. مثل، بقوا هناك مثل، نعم، كما تعلم، إذا تم فك تشفيرها بعد خمس سنوات مثلاً، من يهتم، أليس كذلك؟ أو بعد 10 سنوات، نعم. لذلك يمكنك تقديم حجة مفادها أن العديد من بيانات الهوية للمصادقة، إذا تم فك تشفيرها بعد خمس أو عشر سنوات، فلن تهتم كثيرًا لأنها ستكون قديمة في ذلك الوقت. ولكن هناك العديد من البيانات الاستراتيجية حيث، نعم، يمكن أن يضرك هذا لعقود من الزمن، أليس كذلك؟ وليس عليك حتى أن تكون دولة. يمكن أن تكون مجرد شركة عادية، مؤسسة عادية.
ديفيد ليلو: بالضبط.
إنجو شوبيرت: وما هي القضية؟
DAVID LELLO: أعني، كما تعلم، كمية المؤسسات التي أذهب إليها حيث توجد أنظمة قديمة. في الواقع، كنت في مؤسسة منذ وقت ليس ببعيد حيث كان هناك تطبيق. لقد تعاملوا معه كصندوق أسود، وتعاملوا معه كصندوق أسود لأن الشفرة المصدرية ضاعت. الشخص الذي كتبه، رحل منذ فترة طويلة، لا تلمسه. إذا سقط، فالحل هو تشغيله أو إيقاف تشغيله وتشغيله مرة أخرى والدعاء لأنه الشيء الوحيد الذي يمكنك فعله. لا يوجد شيء يمكنك فعله. وكان هذا النظام يتحكم في كل الوصول في مخازنه، كل الوصول في مخازنه. وإذا تم اختراقه، وإذا تم تعطيله، فإنك تقضي على المنظمة.
إنجو شوبيرت: نقطة فشل واحدة.
ديفيد ليلو: نقطة فشل واحدة. إن كمية المؤسسات التي نذهب إليها حيث توجد نقطة فشل واحدة غير عادية. تحتاج المؤسسات حقًا إلى البدء في التفكير في كيفية تحديث البنية التحتية لإدارة الهوية والوصول الخاصة بها. عندما نبدأ التفكير في إدارة الهوية والوصول، فإن إدارة الهوية والوصول هي الطريق إلى كل شيء. لقد رأينا مع هجمات الفدية الخبيثة الأخيرة التي حدثت في ألمانيا، وكذلك هنا في المملكة المتحدة وإيطاليا وأماكن أخرى. تستهدف هجمات الفدية هذه أنظمة التحكم في الوصول. إنهم يستهدفونها في المصادقة لأنها هدف سهل وسهل، سواء كان دليلاً نشطاً أو سواء كان نظاماً كما وصفت، القدرة على القدرة على اختراق الوصول فعلياً، أنت تسقط المؤسسة، وتوقف الاتصالات، وتوقف القدرة على الوصول. سيكون تحديث إدارة الوصول إلى الهوية في هذا السياق أحد الأولويات الكبيرة.
إنجو شوبيرت: نعم، نعم. من الصعب المجادلة ضد ذلك لأنه، كما تعلم، لأن ذلك منطقي، بغض النظر عن الطريقة التي تنظر بها إلى الأمر، أليس كذلك؟ أعتقد أنه عندما نعود إلى إدارة مفاتيح التشفير المجردة، فإن العديد من العملاء لا يعرفون ما لديهم، أليس كذلك؟ ليس لديهم رؤية جيدة لأماكن التشفير، وأين المفاتيح، وأين يوقعون رقميًا. ليس لديهم مثل هذه النظرة العامة. أعتقد أن هذا جزء من المشكلة، أليس كذلك؟ لأنه لا يمكنك إصلاح ما لا تعرف أنه موجود. العديد من العملاء يعانون ببساطة من النظافة الإلكترونية الأساسية. هذا ما أراه بشكل مستمر، للأسف، أليس كذلك؟ فقط هذا الصباح في مكالمة حول عميل يعمل على برنامج RSA قديم عمره 20 عاماً، صحيح؟
ديفيد ليلو: واو.
إنجو شوبيرت: لذا، في الواقع، لقد اتصلوا بالدعم لدينا بشأن شيء ما، ولم يتمكن الدعم من الإجابة، والأمر مثل، نعم، بالتأكيد، كما تعلم، ربما كان موظف الدعم الذي كان يرد على المكالمة الهاتفية ربما في روضة الأطفال عندما صدر هذا البرنامج، أليس كذلك؟ لذا، فإن وجهة نظري هي أنه طالما أننا لا نقوم بهذه النظافة والرؤية الإلكترونية الأساسية، أولاً وقبل كل شيء، لا يمكنك الوصول إلى حالة الاستعداد الكمي، نعم، حيث تكون جاهزًا ليوم الكيو. هذا مستحيل بأي حال من الأحوال.
إنه أيضًا، رأيي هو أنه لا يُسمح لك بالقلق بشأن الحوسبة الكمية حتى تقوم بإصلاح تلك الأشياء، أليس كذلك؟ لأنك إذا كنت لا تعرف ما هي البرمجيات التي تقوم بتشغيلها، إذا لم تقم بتحديثها، فبالطبع أنت تعتمد على البائعين الذين يقومون بإصلاح هذا الشيء، مثل تطبيق تشفير ما بعد الكم على سبيل المثال، أليس كذلك؟
ولكن إذا كان البرنامج قد صدر مع الإصدار الجديد، مع كل هذه الأشياء الجميلة المتعلقة بالحوسبة الكمية ولم تقم بتثبيته، فهذا يجعل البرنامج غير موجود، أليس كذلك؟ ووصولاً إلى ذلك، حتى لو فعلت ذلك، إذا كانت سياساتك وإجراءاتك حول، على سبيل المثال، مثل إدارة البيانات، إذا لم تكن صحيحة، فما الذي نتحدث عنه هنا؟ لذلك إذا كان بإمكان المهاجم أن يتصل بمكتب المساعدة الخاص بك ويطلب الدخول، فلن يحتاجوا إلى كمبيوتر كمي للقيام بذلك، أليس كذلك؟ لا يحتاجون إليه اليوم. لم يحتاجوا إليه بالأمس. لا يحتاجون إليه غداً. إنهم فقط يتصلون بمكتب المساعدة الخاص بك إذا لم تكن سياساتك صحيحة ويحصلون على حق الدخول.
لذا، هناك الكثير من الأشياء التي يمكن أن تسوء، وقد ساءت وستسوء، والتي لا علاقة لها بالحواسيب الكمية. وما أخشاه هو أن الناس ينظرون إلى هذا الشيء الكمي، يوم الكم، ويشتت انتباههم بهذه اللعبة الجميلة اللامعة، أليس كذلك؟ في حين أن لديهم الكثير من الواجبات المنزلية التي يتعين عليهم القيام بها، والتي لم يقوموا بها ربما لعقود، أليس كذلك؟ وبالطبع، يمكنك تقديم حجة مفادها أنه، كما تعلم، تحتاج إلى القيام بذلك، وأن يكون لديك رؤية، كما تعلم، وأن يكون لديك تصحيح في مكانه، وإصلاح إجراءاتك. إذا كان الأمر يحتاج إلى هذا التهديد من الحوسبة الكمية للعميل للقيام بذلك، فليكن، أليس كذلك؟ يمكنني أن أكون سعيدًا.
لكن جزء مني يقول، لا، لأنه ماذا سيحدث إذا وصلنا إلى طريق مسدود مع الحوسبة الكمية؟ ومثل، لبضع سنوات، لا توجد ميزة حقيقية أو تقدم حقيقي، ثم تذهب مثل آه هذا مثل أنت تعرف 2060s مثل سأكون سأكون سأكون سأكون سأكون سأكون قد ذهبت منذ فترة طويلة من القوى العاملة لذلك لا داعي للقلق بشأن ذلك وهذا هو النهج الخاطئ لأنه يجب عليك إصلاح ذلك مهما كان.
سأسقط بعض المعرفة عليك نعم بعض الأسماء نعم بعض الأسماء نعم الفيلسوف الألماني إيمانويل كانط نعم الآن لا تقطع هذا المحرر نعم هذا ك هذا ك هذا ك هذا ك - ا - ن - ت، صحيح؟ لذلك أنا أدعوه إيمانويل من الآن فصاعدا، نعم.
إذن فيلسوف ألماني، من القرن الثامن عشر، وقال الكثير من الأشياء الذكية. لكن من أذكى الأشياء التي أعتقد أنها من أذكى الأشياء هي أن تفعل الشيء الصحيح لأنه الشيء الصحيح الذي يجب فعله، أليس كذلك؟ ليس لأنه يكسبك بعض النقاط مع بعض الآلهة أو شيء من هذا القبيل. أنت تفعل ذلك لأنه الشيء الصحيح الذي يجب القيام به.
وأن يكون لديك نظرة عامة جيدة عن مكان التشفير وكيفية التشفير فيما يتعلق بالسياسات والإجراءات والترقيع وكل هذا، هذا هو الشيء الصحيح الذي يجب القيام به، بغض النظر عما إذا كانت الحوسبة الكمية على بعد 10 سنوات أو 20 أو 30 سنة. لا يهم. عليك أن تفعل ذلك. الآن، يجب أن تفعل ذلك منذ 20 عاماً. هذه نقطة أساسية. أعتقد أن هذا هو المكان الذي نتفق فيه. نعم، بالتأكيد. أعتقد أن الدافع وراء ذلك، على ما أعتقد، هو ما نختلف فيه لأن لدينا آراء مختلفة حول ما وصلت إليه الحوسبة الكمية وأين ستكون. ولكن بالتأكيد، إذا كان هناك عميل يقول إنني بحاجة إلى أن أكون جاهزًا للكمية، فلن يضيع الجهد المبذول.
ديفيد ليلو: لا، بالتأكيد لا. أعتقد أيضاً يا إنجو أن أحد الأشياء التي تواجهني دائماً في الواقع هو التحدي الذي أواجهه لأننا نقضي الكثير من الوقت مع مجالس إدارة الشركات الكبيرة في التحدث إلى المديرين الماليين وما شابه ذلك، والشركة موجودة لغرض توفير منتج أو خدمة وإذا كانت في القطاع الخاص لتحقيق الربح ما لم تكن بالطبع خيرية ولكن دعنا لا نقلق بشأن ذلك، لذا فإن فكرة إنفاق المال في الواقع لمجرد أنه الشيء الصحيح الذي يجب القيام به، حيث يعطيني عائداً سلبياً يصبح من الصعب والتحدي بالنسبة للأشخاص الماليين أن يدركوا ذلك بالفعل. وهكذا يصبح الاستثمار في شيء ما لأنه الشيء الصحيح الذي يجب القيام به أكثر من مجرد نقاش فلسفي. لا أعتقد أن هذا هو النهج الصحيح بالضرورة.
إنجو شوبيرت: حسنًا، نعم، بالتأكيد.
ديفيد ليلو: على الرغم من أنني أتفق معك، بالتأكيد 100%، كما تعلم، من منظور إيماني من، كما تعلم، ما أؤمن به، فأنا أرغب دائمًا في فعل الشيء الصحيح. لكن الحقيقة هي أن الشركات ليست موجودة من أجل ذلك. فهي ليست موجودة من أجل الشيء الصحيح. في بعض الأحيان تكون غير أخلاقية بعض الشيء.
إنغوشوبيرت: حقاً؟ أول مرة أسمع ذلك. دعني أسجل ملاحظة على ذلك.
ديفيد ليلو: لذا أعتقد أن ما نقوم به هو أننا ننظر إلى الأمر بطريقة مختلفة وأعتقد أن إحدى الحقائق التي نراها والتي لها صدى ويفهمها الناس هي قياس وإدراك وإدراك ما هو تعرضي للمخاطر المرتبطة ببيئة معينة ونحتاج إلى ربطها بشيء ملموس نحتاج إلى العودة دائمًا إلى كيفية بناء حالة للتغيير في هذا العالم نعم وكيف يبدو التغيير حتى؟ كما تعلمون، فإن أحد التحديات التي وضعناها لأنفسنا، لأننا عندما بدأنا في مساعدة المنظمات على حل هذه المشكلة، هو أنه لا يوجد في الواقع إطار عمل يتعامل مع الاستعداد الكمي. لا يوجد إطار عمل.
لذا، ذهبنا وكتبنا واحدة. كتبنا معيارًا لنقول، هذا نهج للنظر إلى الكم. أخذنا العديد من المعايير المختلفة من المعهد الوطني للمعايير والتكنولوجيا والابتكار والممارسات الجيدة، ومؤسسة ISF وأشياء مختلفة مختلفة لنتمكن من التوصل إلى نموذج وإطار عمل حتى نتمكن من البدء في النظر إليه. ولكن ما يفعله ذلك هو أنه يسمح لنا بالبدء في النظر والقول، حسنًا، عندما تأخذ نظامًا مثل نظام الهوية الذي يدير جميع عمليات الوصول التي تمثل بيئة الصندوق الأسود، ما هي المخاطر التي قد أتعرض لها من وجود جهاز مثل هذا؟ وسأستبعد الكم منه تماماً. ما هي مخاطرتي؟ هل أفهم حقاً ما هي مخاطرتي؟ إذا تعطل ذلك، ماذا سيحدث لبيئتي؟ وإذا كان بإمكاني تقدير تلك المخاطر، فيجب أن أفعل شيئًا حيال ذلك.
إنغو شوبيرت: أوه، وهذا، أعني، في النهاية، هذه هي الإدارة السليمة للمخاطر، والتي أرى أنها مفقودة في العديد من الشركات أو المنظمات بشكل عام، أليس كذلك؟ وهذا في الواقع يجب القيام به وكان ينبغي القيام به منذ سنوات وينبغي القيام به اليوم، بغض النظر عن الحوسبة الكمية أم لا. هذه هي وجهة نظري.
حسناً، بالطبع لا يفعلون ذلك لأنه الشيء الصحيح الذي يجب القيام به، أليس كذلك؟ هذه حجة مالية يصعب تقديمها. أنا أتفق معك تماماً في ذلك. ولكن هناك كل التهديدات الأخرى التي تجعلهم يفعلون ذلك، أليس كذلك؟ ومرة أخرى، إذا كنت بحاجة إلى بيع هذا المفهوم للنظر في كل هذا واكتشافه والحصول على إدارة المخاطر المناسبة بسبب الحوسبة الكمية، فذلك هو تخميني، أليس كذلك؟ أعتقد أن هذه هي الطريقة الصحيحة تماماً. إذا كانت هذه هي الرافعة التي تحتاجها للحصول على التوقيع، أوه، نعم، بالتأكيد افعل ذلك. لأنك في النهاية، حتى لو كانت الحوسبة الكمية لا تزال على بعد 30 عامًا، فإنك لا تزال تستفيد اليوم. لأن وجود هذا الاستعداد يساعدك على أن تكون آمنًا اليوم أيضًا. أنت لا تهدر المال. نعم، لذا أعتقد أن هذا هو الشيء الصحيح تماماً. وهناك بعض التوصيات وبعض أطر العمل من الأوروبيين أيضًا على سبيل المثال يقولون في الواقع أنه بحلول عام 2026 - وبصراحة يجب أن يكون لديك بالفعل إذا كنت تريد أن تكون متوافقًا مع DORA. ربما ترى ربما نفس الأشياء مرة أخرى لأنك لا ترى بعض الأشخاص يفعلون ذلك. إذًا الرؤية وإدارة المخاطر بحلول عام 2026 ثم بعض الاستعداد الكمي بشكل ما بحلول عام 2030 للمخاطر العالية و2035 للمخاطر المنخفضة والمتوسطة، أليس كذلك؟ لذا يبدو أن الأمر يبدو بعيدًا جدًا، ولكن، كما تعلم، نحن بالفعل، مثل، في نهاية عام 2025، عندما نسجل هذا، الإصدار هو 2026.
لذا، نعم، هذا مثل، نعم، هذا مثل بضع سنوات فقط. وإذا كنت تعود إلى بداية حديثنا، إذا نظرت إلى مشكلة عام 2000، نعم، إذا كنت قد بدأت في عام 1999، فأنت على الأرجح متأخر قليلاً عن هذا الأمر، أليس كذلك؟ لذا عليك أن تكون مستعداً الآن، بالتأكيد، صحيح.
ديفيد ليلو: أعتقد، أعتقد أن أحد الأشياء التي ذكرتها هناك، والتي أعتقد أنها نقطة رائعة من حيث علم النفس البشري، هي اللوائح، واللوائح الأوروبية وأشياء مثل دورا. لا تدخل اللوائح حيز التنفيذ إلا لأن الشركات تتهاون في فعل الشيء الصحيح.
إنجو شوبيرت: نعم، بالتأكيد.
دافيد ليلو: ولأنهم لا يفعلون الشيء الصحيح، يقول المشرعون إننا سنواجه مشكلة كبيرة في البلاد ما لم ننظر في الأمر. لذا يأتي دور القوانين عندما يتعين عليك القيام بشيء ما. لذلك وضع المجلس الوطني للأمن السيبراني في المملكة المتحدة إرشادات حول الكم. ولدينا DORA في أوروبا. وللأسف بسبب خروج بريطانيا من الاتحاد الأوروبي-
إينجو شوبيرت: لقد أحضرتَ لي ما لم أفعل.
ديفيد ليلو: لقد بدأنا للتو في النظر في مشروع قانون المرونة هنا. لذا فقد تم إصدار مشروع قانون المرونة للتعليقات العامة. لذا تم إصدار الإصدار الأول ويجري الآن التعليق عليه. ولذا سيكون لدينا قراءة في البرلمان في وقت ما قريبًا. نأمل أن نلحق ببقية العالم في هذه المسألة بالذات.
إنجو شوبيرت: حسنًا، باستثناء الولايات المتحدة. يبدو أن الولايات المتحدة مثل، كما تعلم، هذا المكان الجامح على الخريطة، نعم. نعم، إنها كذلك حقاً. نعم، إنه مثل، وأرى أن الحديث مع الزملاء في الولايات المتحدة أيضًا، نعم، إنه مثل، نعم، ليس لدينا ذلك حقًا، أليس كذلك؟ ولكن في كل مكان آخر في العالم، يبدو أن إدارة المخاطر تبدو أكثر نضجًا من حيث اللوائح والخسائر، نعم، وهو ما يبدو أنه.
ديفيد ليلو: يجب أن تحصل عليه.
إنجو شوبيرت: يجب أن تحصل عليها، أليس كذلك؟ وعندما تقرأها، وربما يكون لديك الكثير وربما أكثر مما لدي، فإن بعض هذه الأشياء مثل واضح تمامًا، وجود إدارة مخاطر مناسبة. إنه مثل، يجب أن تعرف، إذا تعطل هذا الشيء، فأنت تعرف العواقب، أليس كذلك؟ بالطبع يجب عليك ذلك لأن عملك يجني المال، وهناك شيء ما يمنعه من القيام بذلك. يجب أن تعرف السبب وكيفية إصلاح ذلك. ومع ذلك فهم لا يفعلون ذلك حتى يجبرهم القانون على ذلك وهو أمر محزن في بعض الأحيان بشكل ما صحيح
ديفيد ليلو: من المؤسف أن الطبيعة البشرية تلعب دورها. ولكنني أعاني من ذلك لأن هذه الأمور ليست صعبة كما تعلم، فالنظر إلى المخاطر وإدارة المخاطر ليس بالأمر الصعب.
إنجو شوبيرت: لا، ولكنها تستغرق وقتاً طويلاً.
ديفيد ليلو: ويستغرق الأمر بعض الوقت ولكن أعني أن هناك العديد من التقنيات المختلفة التي يمكن أن تساعد في تبسيط العملية. كما تعلم، أجهزة الكمبيوتر مصممة لأتمتة العملية. والسبب الرئيسي في وجود أجهزة الكمبيوتر هو أن لدينا عمليات يدوية تتطلب جيوشاً من الناس للقيام بشيء ما. مع أجهزة الكمبيوتر، يمكننا أتمتة كل تلك العمليات. ومع الأنظمة الحديثة، يمكننا أتمتة أكثر من ذلك. كما تعلم، يمكنك أن تأخذ أشياء مثل إدارة الثغرات الأمنية. إذا كان لديك بيئة حديثة ولديك مسح للثغرات الأمنية تم نشره، فلديك رؤية جيدة نسبيًا فيما يتعلق بمخاطر التكنولوجيا الخاصة بك.
إنجو شوبيرت: نعم. نفس الشيء بالنسبة لنا. حوكمة الهوية. في النهاية، إنه ليس علم الصواريخ. نعم، بالطبع. ستربط جميع الأنظمة المختلفة، وربما تنشئ بعض القواعد وكل هذا. ولكن بعد ذلك لديك تلك الرؤية ولديك وجهة نظر مثل، كما تعلم، من حيث الفصل بين الواجبات والامتثال ولديك ذلك. ونعم، إنه عمل. نعم، إنه استثمار من حيث المال والوقت بالطبع، لكنك تحصل على شيء من ذلك.
ديفيد ليلو: نعم.
إنجو شوبيرت: صحيح. والذي أعتقد أيضًا أن الناس لا يدركون أن إدارة المخاطر المحتملة تمنحك أيضًا شيئًا ما لأنك في الواقع تكتشف أشياء ربما لا يجب أن تستثمر كل تلك الأموال في هذا التأمين أو أنك تجعل هذا الشيء مرنًا لأنه ليس له تأثير كبير في حين أن الآخر يجب أن تستثمر أكثر لأنه إذا تعطلت تلك الأشياء السيئة. أعتقد أن هذا أيضًا وبالطبع أنت لا تدرك ذلك لأنك إذا لم تقم بإدارة المخاطر بشكل صحيح فلن يكون لديك تلك الرؤية، فكيف يجب عليك اتخاذ هذا القرار بشكل صحيح؟ لذا فإن الناس، بشكل أساسي، تضر المؤسسات نفسها بعدم القيام بذلك، أليس كذلك؟
ديفيد ليلو: وحوكمة الهوية تقطع شوطاً طويلاً فيما يتعلق بتمكين ذلك ومساعدته بالفعل. نعم. كما تعلم، عندما أتحدث إلى الكثير من المؤسسات حول الهوية، فإن الهوية ليست واحدة من تلك الأشياء الأمنية التي تقوم بها لأنها، كما تعلم، هي بوليصة تأمين. الهوية هي عامل تمكين. إنها عامل تمكين حقيقي للأعمال لمساعدة المؤسسات على أن تكون أكثر كفاءة وفعالية من حيث كيفية وصول الأشخاص. لكن الحصول على الوصول الصحيح في الوقت والمكان المناسبين وامتلاك نماذج الحوكمة التي تقود ذلك بالفعل هو ما يمثل أهمية بالغة. لذلك عندما نبدأ في النظر في ضوابط تكنولوجيا المعلومات والاتصالات والأنظمة المالية ونبدأ في النظر في كيفية إنشاء الوصول في استحقاقاتك وفصل الواجبات والتفويضات التي تتماشى معها. هذه الأمور ليست شيئًا جديدًا. فهي مكتوبة في قانون الشركات واللوائح المالية منذ عقود.
إنجو شوبيرت: بالتأكيد.
DAVID LELLO: والقدرة على التحكم في ذلك من خلال نظام جيد لحوكمة الهوية موجود الآن. ومع وجود حل حديث، يصبح الأمر سهلاً للغاية في الواقع. الأمر ليس بالصعوبة التي يعتقدها الناس.
إنجو شوبيرت: انظر إلينا. نتحدث عن حوكمة أمن الهوية وبدأنا بالكم. إنه مثل، دعنا فقط، نعم، ولكن هذه هي النقطة. أعتقد أن هذا شيء يشبه فتح الباب مع بعض المناقشات مع العملاء أو في المؤسسات بشكل عام حيث، نعم، لا بأس بذلك. التحدث عن التهديد الكمي، كما تعلم، ولكن في النهاية ينتهي بك الأمر في المناقشات، التي لا تتعلق بالكم حقًا ولكن بأشياء أخرى. هذا، نعم، يمكنك إصلاحه الآن، يجب عليك إصلاحه الآن، بغض النظر عما يحدث في المستقبل.
ديفيد ليلو: إنه مفهوم النظافة الأساسية.
إنجو شوبيرت: إنه مفهوم النظافة الأساسية بالضبط. إذاً هذه طريقة مثالية لإنهاء هذا الأمر. إذاً ديفيد، شكراً لك. لقد كان، يمكننا التحدث لساعات، حقاً، في كل مرة نلتقي فيها. لذا، شكراً جزيلاً. ولذا أعتقد أن التهديد الكمي قد يبدو بعيدًا.
قد يكون كذلك، وقد لا يكون كذلك. ولكن نأمل أن يكون قد وصل لمشاهدينا ومستمعينا خلال هذه المحادثة فكرة أنه بغض النظر عما إذا كان يجب عليك القيام بأشياء اليوم لتكون مستعدًا كميًا. هذا لا يضر على الإطلاق.
ما تستفيد منه يفيدك اليوم من التهديدات الموجودة اليوم، أليس كذلك؟ لست مضطرًا للانتظار بعد ذلك 20 عامًا لتحقيق الفوائد. أنت تدركها بالفعل اليوم.
وبهذا ينتهي نقاش اليوم حول الحوسبة الكمية وتأثيرها على أمن الهوية. المستقبل الكمي في الخيال العلمي وتحتاج المؤسسات إلى فهم أين تكمن المخاطر والفرص الحقيقية. إذا كنت تريد المزيد من المعلومات حول مرونة الهوية والتقنيات التي تهيئ المؤسسات لما هو قادم، تفضل بزيارة موقع RSA.com. إذا كنت ترغب في الوصول إلى المزيد من حلقات RSA Identity Unmasked عبر البريد الوارد، فلا تنسَ الاشتراك. شكراً لانضمامك إلينا وسنراك في المرة القادمة.
