Identitas RSA Terbongkar

INGO SCHUBERT: Selamat datang di RSA Identity Unmasked. Hari ini, kita akan membahas topik yang sering diabaikan, yaitu keamanan meja bantuan. Hari ini, saya bergabung dengan John dan Paul, dan kami akan membahas kasus-kasus nyata, risiko, dan kontrol yang membantu mengurangi risiko tersebut.

Mengapa meja bantuan menjadi target? Mulailah dengan yang satu ini.

JON NICHOLAS: Ya, saya dengan senang hati akan terjun langsung. Saya rasa ketika Anda melihat peran help desk pada awalnya, hal yang paling utama adalah mereka ingin membantu orang. Jadi siapa pun yang menelepon ke meja bantuan akan memanfaatkan sifat baik admin meja bantuan untuk mengatakan, hei, bisakah Anda membantu saya dengan sesuatu? Jadi tidak masalah jika Anda seorang karyawan perusahaan, saya benar-benar membutuhkan bantuan. Namun ketika Anda adalah pelaku ancaman yang menelepon, mereka bisa berdoa dan mengatakan, benar, orang ini bersedia membantu saya. Dan hal ini akan menjadi lebih buruk jika proses di dalam organisasi tersebut juga buruk, karena admin Help Desk tidak lagi dibatasi oleh proses yang mengatakan, saya hanya bisa melakukan X, Y, Z. Mereka bisa saja melampaui batas-batas tersebut dan mengatakan, saya akan mencoba membantu Anda melakukan ABC juga. Itu adalah risiko nyata bagi help desk di sana, bahwa mereka bisa dieksploitasi ketika tidak ada proses yang kuat.

PAUL MULVIHILL: Apa yang juga Anda tambahkan dengan itu adalah beberapa meja bantuan, ada beberapa KPI mereka, saya harus menutup, ada yang menelepon, saya harus menutup tiket, saya harus menyelesaikannya. Dan ini semua adalah hal-hal yang jika Anda tidak bisa menyelesaikannya, saya akan memainkannya. Anda ingin menutup tiket, saya telah menelepon, Anda telah membuatnya, saya akan melakukan apa yang saya bisa untuk membuat Anda memberikan informasi yang saya inginkan dan melewati proses yang mungkin atau mungkin tidak ada.

INGO SHUBERT: Ya, saya rasa jika Anda pernah bekerja di meja bantuan - saya pernah bekerja sebentar, maksud saya seperti statistik, berapa banyak tiket yang terbuka, Anda tahu rata-rata waktu penutupan tiket dan semua ini dan terkadang ada di monitor besar, jadi saya rasa itu menciptakan lingkungan dengan tingkat stres yang tinggi yang sangat cocok untuk serangan rekayasa sosial. Oke ya ya. Apakah itu benar-benar berubah baru-baru ini seperti apa yang berubah sehingga ini sekarang seperti rute serangan utama?

PAUL MULVIHILL: Ini mungkin merupakan serangan untuk sebuah rute untuk sementara waktu, tetapi kami jelas lebih sering masuk ke dalam berita akhir-akhir ini. Kami memiliki koperasi Mark Spencer, JLR, Jaguar, Land Rover dalam 12 bulan terakhir. Mereka semua terkena dampaknya sebagian karena meja bantuan menjadi sasaran. Seseorang berhasil meyakinkan seseorang untuk memberikan kredensial akun, masuk, dan kemudian melakukan banyak hal yang tidak baik.

JON NICHOLAS: Ya dan saya bertanya-tanya peran apa yang dimiliki oleh outsourcing IT di sini karena Anda tidak lagi hanya mengenal karyawan Anda dari organisasi A yang mengandalkan pihak ketiga dan kami selalu berbicara tentang pihak ketiga terhadap risiko sebelumnya dalam industri ini, jadi seberapa besar pengaruhnya terhadap hal tersebut, dan kemudian hal tersebut digabungkan dengan pergantian staf di help desk yang mungkin masa kerja teknisi help desk mungkin cukup singkat, sehingga mereka harus mengetahui proses Anda, mengetahui tanggung jawabnya, dan bagaimana hal tersebut dapat berdampak pada bisnis yang dilayaninya. Mungkin ada keterbatasan pengetahuan di sisi itu juga.

INGO SHUBERT: Oke. Ya. Dan tentu saja jika mereka tidak mengetahui budaya perusahaan, ya, mereka akan kesulitan.

PAUL MULVIHILL: Nah, jika Anda memiliki seperti yang Anda katakan meja bantuan outsourcing, Anda mungkin tahu prosedurnya, tetapi Anda tidak tahu orang-orangnya. Benar. Jadi apa yang bisa Anda lakukan untuk mengatakan, oke, saya menelepon Anda? Kita belum pernah bertemu sebelumnya. Kita belum pernah ke kantor sebelumnya.

INGO SHUBERT: Bagaimana itu, seperti, serangan yang sebenarnya, bagaimana hal itu bisa terjadi? Maksud saya, seperti apa serangan yang biasa terjadi dalam kasus ini? Apa yang ingin dicapai oleh si penyerang? Dan bagaimana ia melakukannya?

PAUL MULVIHILL: Menurut saya, bisa jadi, dari sekadar mencoba mengatur ulang akun hingga mendapatkan bantuan untuk masuk ke jaringan VPN. Maksud saya, kita hidup di dunia di mana ada banyak media sosial yang membahas tentang apa yang orang lakukan. Saya punya teman yang pada dasarnya mempublikasikan kehidupan mereka di media sosial untuk berbagai alasan. Beberapa alasannya masuk akal, beberapa tidak. Jadi, jika Anda ingin mencari tahu tentang seseorang, Anda mungkin bisa mulai melacak sumber-sumber dan mengumpulkan banyak informasi. Jadi, Anda menelepon ke meja bantuan dan Anda mungkin sudah mengetahui di mana seseorang dilahirkan atau nama hewan peliharaannya, semua ini, itu, dan yang lainnya, sehingga Anda bisa langsung pergi, ya, saya perlu mengatur ulang kata sandi. Apa langkah hari ini untuk mengetahui, apa langkah hari ini agar Anda tahu siapa saya, siapa yang saya katakan? Mungkin pertanyaan keamanan.

INGO SCHUBERT: Benar. Jadi pada dasarnya ini adalah kombinasi dari beberapa hal, yang mungkin saja merupakan pengetahuan yang dimiliki penyerang, baik dari jejaring sosial. Saya tahu ini bisa jadi seperti serangan yang berbeda mungkin atau data yang mereka beli dan broker data, ilegal atau tidak. Dan kemudian dengan dikombinasikan dengan, Anda tahu, lingkungan bertekanan tinggi yang kita bicarakan di awal, ya, itu tampaknya menjadi target yang sangat bagus dan menarik bagi para penyerang, bukan?

JON NICHOLAS: Ya, selain itu juga, kami banyak berbicara tentang meneliti individu yang mungkin ingin mereka tiru, namun saya pikir dengan, Anda tahu, alat yang tersedia saat ini untuk kita semua, kita bisa pergi dan berkata, hei, apa yang digunakan oleh perusahaan X dalam infrastruktur TI mereka? Seperti apa susunan teknologi mereka? Jadi, saat Anda melakukan percakapan dengan bagian bantuan, Anda bisa lebih kredibel. Ini bukan tentang bisakah saya mendapatkan akses ke VPN. Ini seperti, oh, VPN Palo Alto tidak berfungsi untuk saya. Dapatkah Anda membantu saya dengan itu? Jadi secara instan, mereka akan langsung pergi, ini lebih familiar.

INGO SHUBERT: Saya ingin mengatakan, dalam kasus ini, kedengarannya seperti, Anda tahu, Anda sebagai penyerang, terdengar lebih akrab, yang berarti Anda adalah salah satu dari kami, ya, jadi saya lebih mempercayai Anda dengan meja bantuan outsourcing, ya, Anda adalah salah satu dari mereka, karena pada akhirnya, Anda tahu, Anda bukan bagian dari perusahaan.

PAUL MULVIHILL: Saya menonton sebuah video, tentang salah satu konvensi belum lama ini, dan ada seseorang yang dibayar untuk meretas perusahaan melalui meja bantuan. dan video tersebut menunjukkan bahwa ia mendapatkan akses ke sistem meja bantuan dalam waktu sekitar 30 detik, karena pada dasarnya ia menelepon, ia berhasil memalsukan nomor telepon agar terlihat seperti berasal dari perusahaan tersebut, sehingga seketika itu juga orang-orang di meja bantuan akan berpikir, "Oh, ini orang dalam." Dan kemudian mereka meyakinkan mereka, dengan mengajukan pertanyaan - berpura-pura menjadi pengguna atau memiliki informasi tentang apa itu sistem VPN, apa itu VPN, untuk membuat mereka membantu mereka mengakses sebuah situs web, yang sebenarnya kemudian memberi mereka akses pintu belakang ke dalam komputer tempat orang tersebut berada.

INGO SCHUBERT: Jadi, ini pada dasarnya mengandalkan bukti untuk otentikasi. Ini lebih seperti, Anda tahu, perasaan yang menyenangkan dan hangat dan tidak jelas yang dihasilkan oleh penyerang. Apakah itu, maksud saya, apa yang seharusnya dilakukan? Maksud saya, seperti, Anda tahu, apa yang bisa mereka bantu untuk melakukan hal ini secara berbeda? Maksud saya, ini tidak terdengar seperti masalah yang benar-benar baru, bukan? Maksud saya, meja bantuan ini sudah ada sejak puluhan tahun yang lalu, bukan?

PAUL MULVIHILL: Ya, maksud saya, saya rasa kita sudah sampai pada titik di mana, maksud saya, dalam hal keamanan TI, kita adalah bagian yang paling lemah dari keseluruhan persamaan. Jika Anda mengandalkan sesuatu yang kami ketahui, Anda mungkin bisa mengetahuinya. Anda harus turun ke dunia nyata untuk melakukan sesuatu di mana melakukan autentikasi dengan seseorang dengan sesuatu yang mereka miliki, yang tidak bisa mereka dapatkan dari sumber lain atau tidak bisa mereka pelajari? Jadi, Anda seperti melakukan semacam langkah MFA, sesuatu di sepanjang garis semacam itu, katakanlah, benar, oke, Anda memiliki sistem, Anda meminta bantuan, buktikanlah. Tapi bukan dengan mengajukan pertanyaan, karena itu bisa saja terjadi.

INGO SCHUBERT: Yah, saya akan mengatakan, yang paling populer adalah pertanyaan keamanan seperti, ya, nama nenek yang membuat nama dan semua ini. Berapa banyak dari mereka yang selalu sama?

Tepat sekali. Kita punya 10 pertanyaan yang sama, pilihlah tiga di antaranya. Ini seperti, yah, Anda tahu? Saya mungkin bisa menemukan daftar itu dan mencari tahu apa jawabannya untuk semua orang.

INGO SCHUBERT: Benar. Jadi kembali ke tema menyeluruh, seperti pada umumnya dalam keamanan identitas, ya, Anda membutuhkan bukti dan bukti yang kuat. Saya rasa Anda telah menyebutkan MFA. Di sinilah MFA kemudian masuk.

PAUL MULVIHILL: Ya. Maksud saya, jika Anda berada di sebuah perusahaan dan memiliki MFA, gunakanlah untuk keuntungan Anda. Jika John memiliki MFA yang sudah disiapkan dan dia menelepon meja bantuan, gunakan itu untuk membuktikan bahwa Anda memang seperti yang Anda katakan. Tentu saja tidak semua MFA dibuat sama, tetapi lebih baik daripada tidak sama sekali, saya mencari tahu tentang John dan mencari tahu di mana dia dilahirkan atau anak perempuan, anak perempuan dari ibu, ini, itu, dan yang lainnya, dan saya menjawab pertanyaannya. Jika itu adalah langkah Anda memiliki pengaturan MFA, buktikanlah.

INGO SCHUBERT: Jadi, bagaimana cara kerjanya sekarang? Jadi dengan RSA ID Plus dalam kasus ini, karena, maksud saya, apa yang perlu dilakukan oleh meja bantuan? Apa yang perlu dilakukan oleh pengguna akhir untuk melakukan hal tersebut? Karena seperti yang dikatakan, Anda melakukan MFA, itu seperti, ya, itu satu hal. Tapi bagaimana cara kerjanya selangkah demi selangkah. Seperti bagaimana, apa yang perlu dilakukan oleh pengguna?

PAUL MULVIHILL: Dengan jenis hal ID Plus, Anda memiliki sedikit dua sisi dalam hal ini, panggilan terjadi antara dua orang. Petugas meja bantuan menemukan pengguna di dalam sistem dan kemudian mereka memicu sesi verifikasi. Pengguna akhir yang menelepon mengetahui URL-nya, atau telah diajarkan ke URL yang harus mereka tuju dan kemudian di titik akhir, mereka akan melakukan MFA. Perusahaan akan memutuskan apakah itu FIDA, apakah itu didorong untuk menyetujui, biometrik, apa pun metode yang mereka pilih dapat diterima. Dan ketika mereka berhasil melakukannya, mereka akan mendapatkan kode verifikasi. Berikan kembali ke petugas meja bantuan. Tapi itu, itu murni nomor verifikasi identitas. Itu bukan nomor otentikasi. Mereka tidak bisa melihat apa pun dengan itu.

INGO SCHUBERT: Benar. Jadi mereka tidak perlu memberikan OTP mereka saat ini atau semacamnya.

PAUL MULVIHILL: Mereka melakukan OTP jika mereka melakukan OTP. Mereka melakukan push approved, biometrik Fido. Mereka melakukan semua itu tanpa membagikan info apa pun pada saat itu. Dapatkan hasilnya. Berikan hasilnya kepada petugas meja bantuan, yang sekali lagi hanya untuk memverifikasi. Ini bukan otentikasi apa pun. Dan kemudian
orang help desk pergi, benar, beri saya nomor ini, satu, dua, tiga, empat, lima, masukkan, sistemnya berjalan, ya, saya mengharapkan bahwa ini adalah yang mereka katakan.

INGO SCHUBERT: Selamat datang di RSA Identity Unmasked, Vodcast di mana kami menguraikan kekuatan yang membentuk masa depan keamanan identitas. Saya pembawa acara Anda, Ingo Schubert, dan hari ini kita akan membahas topik yang sedang hangat diperbincangkan di industri ini, yaitu komputasi kuantum. Hari ini saya ditemani oleh David Lello dari Burning Tree. Mari langsung saja kita bahas. Saat ini, komputasi kuantum, hype, ancaman, peluang, atau ketiganya. Kami akan mengulas kembali perdebatan yang dimulai di Bletchley Park pada bulan September tahun lalu bersama David Lilo dari Burning Tree dan saya sendiri, Ingo Schubert. Jadi mari kita langsung membahasnya. David, selamat datang di episode ini.

DAVID LELLO: Terima kasih

INGO SCHUBERT: Saya rasa dari manfaat yang diberikan kepada para hadirin, dapatkah Anda menjelaskan dalam beberapa kata apa itu komputasi kuantum sehingga kami berada di tingkat ahli setelah Anda selesai

DAVID LELLO: Baiklah, saya akan mulai dengan cara dasar untuk melihat komputer kuantum karena saya pikir jika kita mulai masuk ke dalam fisika teoritis, saya pikir kita mungkin akan kehilangan beberapa orang.

INGO SCHUBERT: Ya

DAVID LELLO: Jadi, dengan komputer kuantum, komputer kuantum bekerja dengan cara yang berbeda dengan komputer tradisional. Anda memberi tahu komputer untuk melakukan sesuatu. Dengan komputer kuantum, komputer melakukannya dengan cara yang berbeda. Yang digunakannya adalah mekanika kuantum, dan oleh karena itu, dalam dunia mekanika kuantum yang multidimensi, komputer ini melihat data dan melihat data. Ia tidak membaca data dengan cara yang sama, dan sebagai hasilnya, ia dapat membuat hipotesis dan melihat berbagai konstruksi secara bersamaan. Ini seperti ketika Anda membaca buku, komputer tradisional akan membacanya dari awal hingga akhir, sedangkan komputer kuantum akan membaca buku dan melihat datanya. Dan karena itu, komputer kuantum mampu memproses informasi jauh lebih cepat. Dan ketika memecahkan masalah, ini seperti menyelesaikan semua masalah pada saat yang sama daripada melihat masalah dengan mencoba menyelesaikannya secara berurutan.

INGO SCHUBERT: Ya, jadi algoritmanya sangat berbeda, tentu saja. Ya, saya rasa itu mungkin alasan mengapa banyak orang, dan saya juga termasuk di dalamnya, tentu saja, kesulitan dengan bagaimana Anda memprogramnya. Saya pikir dari latar belakang IT tradisional, saya pikir apa yang terkadang membantu saya memahami, seperti, Anda tahu, ini benar-benar binatang yang berbeda, adalah bahwa, Anda tahu, komputer tradisional, seperti setiap bit, ya. Jika Anda memiliki N bit, Anda bisa menyimpan N jumlah data. Itu nol, satu, ya? Dengan kuantum, ini adalah dua pangkat N, ya, yang berarti, langsung, seperti, jika instan lama Anda bekerja, itu seperti, ya, itu jauh lebih banyak, ya, dalam jumlah qubit yang sama dalam kasus ini, bukan? Jadi, oleh karena itu, penyimpanan dan pemrosesan hanya berada di tingkat yang berbeda, bukan? Jadi saya pikir kita tinggalkan saja di situ karena kalau tidak, kita akan berada di sini berhari-hari, bukan? Hanya menjelaskan dasar-dasarnya.

Jadi, topik berikutnya yang ingin saya jelajahi adalah bagaimana keadaan komputasi kuantum saat ini? Di manakah posisi kita saat ini? Karena saya pikir ini mungkin, dan jika orang-orang yang menonton mungkin pernah menyaksikan kami di Bletchley Park, kami memiliki beberapa pendapat yang berbeda tentang di mana kami berada, di mana kami akan berada. Jadi, mari kita mulai dengan Anda. Bagaimana keadaan komputasi kuantum saat ini?

DAVID LELLO: Menurut saya, komputasi kuantum masih dalam tahap awal. Jadi ada sejumlah komputer kuantum di luar sana, dan Anda sebenarnya bisa menyewa waktu pada komputer kuantum sehingga Anda bisa melihat data. Namun, menurut saya, dengan cara komputer kuantum dikembangkan, saya pikir ada sejumlah masalah. Beberapa komputer kuantum membutuhkan banyak kontrol dalam hal seperti suhu. Jadi komputer kuantum beroperasi pada suhu nol mutlak, jadi minus 270 derajat Celcius, yang sangat dingin. Anda membutuhkan fasilitas besar dan peralatan besar serta energi yang besar untuk itu. Jika tidak, Anda akan kehilangan kohesi dan kehilangan stabilitas platform.

Komputer kuantum awal hanya terbakar sepanjang waktu karena masalah itu. Dan itu adalah masalah yang perlu dipecahkan dan diatasi. Masalah lainnya adalah karena komputer kuantum melihat data pada waktu yang sama, maka komputer kuantum menciptakan banyak kebisingan. Jika Anda harus mengambil sesuatu seperti Alkitab dan membaca Alkitab secara instan, daripada membacanya dari awal hingga akhir, itu akan menciptakan narasi dalam pikiran Anda yang tidak dapat dipahami. Dan mencoba untuk dapat mencerna dan memahami serta menyaring apa pesannya menjadi sangat sulit.

Jadi, noise dalam sistem telah menciptakan banyak sekali masalah. Kami telah melihat beberapa keberhasilan yang baik dari Oxford, di mana mereka telah mengurangi tingkat kesalahan dan kebisingan dalam sistem secara signifikan. Tetapi mungkin masalah yang paling signifikan saat ini adalah jumlah hasta yang dapat terjerat sekaligus karena Anda mulai kehilangan kohesi hasta-hasta tersebut ketika Anda mulai melebihi sekitar 100 hasta. Jadi, jumlah qubit yang sebenarnya dapat dijerat sekaligus untuk dapat memproses informasi menjadi terbatas. Dan itu berarti daya pemrosesan dan kemampuan mesin terbatas.

Jadi, ini belum bisa disebut sebagai komputasi kuantum yang relevan secara kriptografis, yang merupakan masalah besar, tetapi sudah pada tahap di mana hal itu terbukti. Ia bekerja. Ia melakukan apa yang dikatakan oleh para ilmuwan. Ini hanya tentang membawanya ke tingkat berikutnya dan berinvestasi lebih jauh. Setiap beberapa bulan, kemajuan lebih lanjut terjadi atau diinvestasikan secara besar-besaran, dan kita mulai melihat kemajuan.

INGO SCHUBERT: Ya, jadi, dan itu benar. Dan saya pikir jika Anda membandingkan komputer kuantum, jika Anda hanya melihat gambar-gambarnya, bukan? Dari, Anda tahu, lima tahun yang lalu dibandingkan dengan hari ini, saya masih akan menyebutnya sebagian eksperimen fisik, tapi ini jauh lebih banyak eksperimen fisik seperti lima tahun yang lalu, bukan? Jika Anda hanya melihat pengaturan fisik dari benda-benda itu, bukan?

Namun, meskipun benar bahwa, Anda tahu, menjadi seperti, ya, Anda melemparkan masalah dengan mereka dan mereka dapat menyelesaikannya jauh lebih cepat daripada komputer tradisional. Dan bagian dari itu adalah apa yang Anda katakan adalah kohesi. Ya, kohesi dasar adalah, Anda tahu, jika Anda bisa menjaga sistem tetap stabil untuk jangka waktu tertentu. Dan itu biasanya diukur secara maksimal dalam hitungan detik, ya, atau dalam milidetik, tergantung pada chip mana dalam semua ini. Dan itu adalah jumlah yang cukup banyak untuk menjadi berguna dalam banyak kasus. Sekarang, ada beberapa kasus penggunaan yang masuk akal. Anggap saja seperti co-prosesor kuantum. Tetapi masalah yang saya hadapi adalah seperti pada banyak kasus penggunaan, patut dipertanyakan apakah Anda dapat menyelesaikan masalah tersebut juga dengan beberapa GPU Nvidia, bukan?

Jadi, salah satu hal yang saya lihat masih terus dilakukan, ada banyak hype di bidang komputasi kuantum ini juga. Saya rasa hal ini sedikit tumpang tindih dengan hype AI juga. Anda juga bisa berdebat, Anda tahu, jika itu hype, itu nyata. Namun intinya adalah ada banyak hype, banyak uang yang beredar. Saya rasa sebagian dari uang itu sekarang sedang mencari strategi keluar. Dan komputasi kuantum tampaknya menarik, bukan? Jadi mereka memompa banyak hal di sana dan ada perusahaan di luar sana yang pada dasarnya melihat hal ini dinilai terlalu tinggi dan juga terlalu tinggi dalam hal apa yang mereka janjikan tentang apa yang mereka lakukan dan dan ini sebenarnya melintasi spektrum di sini, benar. Di Bletchley Park saya memiliki chip google willow sebagai contoh di mana google benar-benar memiliki siaran pers tentang chip baru ini di mana mereka memiliki koreksi kesalahan yang hebat dan klaim yang diambil oleh pers populer adalah chip ini dapat melakukan dalam lima menit apa yang bisa dilakukan oleh komputer tradisional dalam 10 hingga pangkat 35 tahun ya yang luar biasa karena alam semesta hanya berusia 10 pangkat 25 tahun, dan kemudian jika Anda membacanya seperti ya tidak, tidak bisa melakukannya dengan benar, itu seperti jika benda ini bisa berjalan selama lima menit dan seperti itu seperti jutaan juta kali mereka tidak mampu melakukannya, maka akan seperti itu. Dan jika Anda melihat beberapa siaran pers lain dari berbagai perusahaan, baik besar maupun kecil, ada sedikit kecenderungan untuk melebih-lebihkan apa yang mereka capai.

Dan saya pikir, sayangnya, hal ini menenggelamkan beberapa kemajuan nyata yang sebenarnya telah dicapai oleh komputasi kuantum selama beberapa tahun ini, bukan? Dan saya pikir, dan inilah yang akan kita bahas, hal ini membuat ancaman komputasi kuantum ini tampak jauh lebih nyata dalam hal bahwa hal ini akan segera terjadi dibandingkan dengan yang sebenarnya. Namun sebelum kita membahas tentang, Anda tahu, mengapa dunia akan berakhir, jika komputasi kuantum tiba-tiba muncul, apa manfaat komputer kuantum yang ada di benak Anda? Jadi apa yang akan terjadi, Jadi apa yang bisa dilakukannya jauh lebih baik daripada yang lain?

DAVID LELLO: Saya akan menanggapi hal tersebut dengan menanggapi apa yang Anda katakan tentang komputer kuantum dalam hal posisi komputer kuantum saat ini. Dan saya pikir meskipun saya setuju bahwa ada masalah dalam hal komputer kuantum, saya pikir kita sudah lebih dekat untuk benar-benar mencapai stabilitas dalam komputer kuantum daripada apa yang disarankan. Saya pikir jika saya melihat ke belakang, saya pikir salah satu cara terbaik untuk melihat masa depan adalah dengan melihat sejarah. Dan ketika saya masih muda dan bekerja di sebuah bank, ada sebuah mainframe dan itu adalah mainframe IBM jadul. Mainframe tersebut menempati sebuah ruangan. Itu adalah ruangan yang besar. Itu bukan ruangan yang kecil. Itu adalah ruangan yang cukup besar. Dan itu memenuhi ruangan. Ada katup pada mainframe ini. Ada tiga tangki pendingin air. Ada kolam renang di bawah tanah di ruang bawah tanah bank ini. Hal ini sangat besar. Dan hanya beberapa tahun sebelumnya, mereka telah mengganti sistem kartu punch dari mainframe itu.

Ketika mereka mengeluarkan mainframe lama, yang membutuhkan forklift dan beberapa alat berat untuk mengeluarkannya, mereka sebenarnya harus memotong beberapa pintu karena mereka tidak bisa memasukkan mainframe tersebut ke dalam ruangan lagi. Dan mereka menggantinya dengan rak dan komputer mainframe yang jauh lebih besar daripada yang sebelumnya. Kita telah melihat percepatan besar dalam kemajuan komputer selama bertahun-tahun. Dan jika kita kembali ke 30 tahun yang lalu, Anda tahu, jika Anda kembali ke 40 tahun yang lalu, sungguh luar biasa jumlah perubahan yang kita lihat terjadi.

INGO SCHUBERT: Ya.

DAVID LELLO: Dan apa yang telah kita lihat dengan komputer kuantum sekarang, ya, ada indikator awal dan ilmu pengetahuan, hampir terasa seperti mainframe tua di ruang bawah tanah dengan tiga tangki karena Anda membutuhkan sistem pendingin, Anda membutuhkan peralatan besar, Anda membutuhkan semua hal yang menyertainya. Ada sejumlah besar uang yang masuk ke dalamnya. Ada banyak investasi yang masuk ke dalamnya. Dan masalah-masalah ini akan terpecahkan. Dan mereka mungkin akan terpecahkan lebih cepat dari yang kita duga. Dan kemajuan yang telah kita lihat dari bulan ke bulan saat ini menunjukkan bahwa kita semakin dekat dengan kohesi. Jadi saya pikir itu mungkin sedikit lebih dekat.

Dan jika hal itu terjadi, saya pikir sangat menarik karena apa yang dapat dilakukan oleh komputer kuantum karena komputer kuantum dapat memproses data jauh lebih cepat dan tidak secepat yang diklaim oleh beberapa orang, namun karena komputer kuantum dapat memproses data tersebut jauh lebih cepat, itu berarti komputer kuantum dapat melihat dan memecahkan masalah yang tidak dapat dipecahkan sebelumnya.

Jadi, Anda tahu dalam fisika teoretis Anda konsep kucing Schrodinger, dan apakah kucing itu mati atau hidup? Apakah itu membusuk? Apakah itu, apa itu? Bagaimana keadaan kucing itu? Nah, komputer kuantum akan dapat benar-benar melihat dan melihat kucing itu dalam setiap kemungkinan dan oleh karena itu dapat memecahkan masalah besar yang belum dapat kita selesaikan.

INGO SCHUBERT: Ya, dan saya pikir dalam hal seperti kedokteran, Anda tahu, pelipatan protein atau yang lainnya, komputer kuantum akan benar-benar memiliki keunggulan dibanding komputer tradisional, pasti, bukan? Dan ada hal-hal lain di mana, Anda tahu, hanya segala sesuatu dengan jumlah data yang sangat besar yang perlu diproses, Anda tahu, ramalan cuaca akan menjadi satu hal, seperti, Anda tahu, apa pun, data geologi, ada cukup banyak kasus penggunaan yang akan mendapat manfaat dari komputasi.

Sekarang, kembali ke seperti ini lebih cepat poin Anda segera setelah Anda mungkin berpikir itu seperti saya tidak berpikir begitu karena itu bukan garis lurus di mana ia pergi ini terjadi di masa lalu dengan transistor bahwa itu terjadi lagi sehingga mungkin itu mungkin tidak itu seperti lotre hanya karena Anda menang terakhir kali tidak berarti Anda tidak menang di waktu berikutnya itu dimulai dari nol setiap kali dan terutama dengan kohesi, jika Anda berbicara tentang, oke, beberapa ratus qubit, mungkin beberapa ribu, untuk menjadi komputer kuantum universal yang, misalnya, dapat menjalankan Algoritma Shor, yang akan menjadi ancaman bagi kriptografi. Anda berbicara tentang beberapa ratus ribu qubit, bukan? Dan dalam perjalanannya, kita mungkin akan menabrak tembok di suatu tempat, bukan? Tidak ada jaminan bahwa kita akan memecahkan masalah tersebut. Mungkin saja, dan sebenarnya, ya, tentu saja, mungkin saja, tetapi tidak ada jaminan. Dan pada saat yang sama, komputer kuantum harus bertahan secara komersial di lingkungan di mana kita telah melihat peningkatan daya komputasi yang sangat besar di seluruh dunia, pada dasarnya berkat GPU, bukan? Terima kasih kepada AI. Sebelumnya, Bitcoin adalah kegilaan yang menggila, sekarang AI. Sehingga tanpa adanya kemajuan seperti kemajuan fundamental dalam desain chip. Maksud saya, ya, ukurannya menjadi lebih kecil dengan adanya hal ini. Kami secara besar-besaran meningkatkan daya komputasi, sehingga pada dasarnya faktor pembatasnya sekarang adalah daya, bukan? Jadi daya listrik.

Dan dalam lingkungan tersebut, komputer kuantum harus bisa bertahan. Sekarang, Anda dapat membuat argumen bahwa, hei, terutama bagi mereka, Anda tahu, memecahkan kunci, Anda tahu, beberapa pemerintah akan melakukannya, tidak apa-apa. Ya, jadi tidak apa-apa. Mereka punya cukup uang. Mereka tidak terlalu peduli dengan hal itu. Yah, mungkin mereka harus peduli. Itu pajak kita, tapi anggap saja mereka tak peduli.

Ada beberapa kasus penggunaan komputasi kuantum praktis di sepanjang jalan menuju komputer kuantum universal yang berfungsi penuh. Saya pikir itu tidak perlu dipersoalkan lagi. Saya tidak mengatakan bahwa itu tidak terjadi. Dan ada beberapa kasus penggunaan yang bagus untuk itu. Seperti yang saya katakan, seperti, Anda tahu, pelipatan protein, misalnya, dalam penelitian farmasi, bukan?

Tapi mari kita bicara tentang ancamannya, bukan? Dan saya tidak berbicara tentang konsumsi daya, semua itu karena kita sudah mengalaminya saat ini dengan unit tradisional, bukan? Maksud saya, ancaman khususnya terhadap keamanan TI dan kemudian keamanan, bukan? Karena ada beberapa, Anda tahu, saya telah menyebutkan algoritme Shor, jadi mungkin kita harus, Anda tahu, menjelaskan secara singkat, Anda tahu, apa ini dan bagaimana pengaruhnya terhadap keamanan.

DAVID LELLO: Ya, jadi dengan komputer kuantum karena ia dapat memproses informasi dan data tersebut dengan jauh lebih cepat, ia dapat menggunakan algoritme Shaw untuk merekayasa balik kunci kriptografi dan oleh karena itu, jika kita memiliki kriptografi, komputer kuantum yang relevan, maka ia dapat memecahkan kunci tersebut dalam hitungan detik, menit.

INGO SCHUBERT: Ya.

DAVID LELLO: Dan oleh karena itu, sebagian besar data yang kita konsumsi, gunakan, akses akan rentan terhadap serangan.

INGO SCHUBERT: Ya. Jadi argumen Schor, seperti yang saya sebutkan sebelumnya, Anda tahu, saat ini Anda tidak memiliki komputer kuantum yang dapat menjalankannya karena Anda membutuhkan ratusan ribu qubit dalam kohesi dan berjalan selama beberapa waktu. Jadi ya, ini adalah beberapa detik, tapi bahkan beberapa detik saja sudah menjadi masalah bagi komputer kuantum saat ini. Jadi pada dasarnya, algoritma RSA akan merusak atau membatalkan algoritma RSA, ya, jadi kunci publik privat, menggunakan RSA, tetapi juga menggunakan Diffie-Hellman dan menggunakan kurva elips, ECC. Jadi pada dasarnya semua yang populer dan telah digunakan selama beberapa dekade terakhir pada dasarnya akan rusak, bukan? Mereka akan rusak dengan komputer kuantum. Tentu saja, komputer tradisional masih akan tetap berjuang seperti biasanya, jadi tidak ada ancaman di sana.

Dan ya, jadi jika ini rusak, maksud saya, algoritme tersebut digunakan di mana-mana, ya? Jadi, ini adalah, Anda tahu, TLS tradisional Anda, komunikasi server web, dari klien ke server web, VPN, tanda tangan email, enkripsi file yang dikirim dan semua ini, Anda tahu, semuanya sering didasarkan pada RSA, ECC, dan atau Diffie-Hellman, bukan? Jadi, maksud saya, itu akan menjadi, Anda bisa menyebutnya sebagai bencana.

DAVID LELLO: Tentu saja, tentu saja. Ini akan menjadi bencana besar. Saya rasa, semakin saya mencari tahu dan semakin banyak kasus penggunaan yang saya temukan, semakin banyak sistem yang akan gagal. Ini adalah masalah global. Seperti otentikasi dan autentikasi ke dalam sistem keuangan. Bahkan hal-hal seperti Bitcoin pun menjadi terganggu. Jadi mereka menggunakan enkripsi kurva elips dan itu akan dikompromikan. Anda kemudian akan mengalami gangguan total pada sistem keuangan sebagai konsekuensi dari gangguan tersebut.

Jadi, ya, hal ini bisa menjadi bencana besar. Saya pikir kita bisa melihat dalam kasus penggunaan umum yang umum terjadi, tetapi juga dalam isu-isu yang lebih kecil dan tidak terlalu umum, yang menurut saya tidak selalu dipikirkan orang, jadi ketika kita mulai berbicara tentang IOT dan OT, kita mulai memikirkan tentang perangkat medis dan peralatan medis, kemampuannya untuk berkompromi dengan hal tersebut. Anda tahu, Anda bisa mengambil contoh seseorang yang memakai pompa insulin.

Jika saya dapat membobol enkripsi pada pompa insulin itu, saya dapat membunuh seseorang.

INGO SCHUBERT: Ya.

DAVID LELLO: Itu, Anda tahu, tiba-tiba saja, kriminalitas di balik hal-hal ini bisa menjadi jauh lebih signifikan. Dan kita mulai melihat hal-hal seperti Minority Report dan Terminator sebagai contoh kasus yang terjadi.

INGO SCHUBERT: Sekarang Anda berbicara. Ini baru saja menjadi menarik, ya.

Oke. Tapi maksud saya, kembali lagi ke ketersediaan komputer kuantum, itu tidak akan terjadi dalam semalam karena tidak akan terjadi begitu saja dari satu hari ke hari berikutnya. Anggap saja seseorang, ya, akhirnya mendapatkan komputer kuantum dengan, Anda tahu, 200.000 hasta yang dapat menjalankan algoritma Shor, misalnya. Biasanya sekitar satu juta. Ada beberapa penelitian yang mengatakan bahwa Anda hanya membutuhkan sekitar 100 ribu qubit. Ini tidak seperti, Anda tahu, tiba-tiba semua orang memiliki komputer kuantum. Hanya beberapa pemerintah dan fasilitas penelitian yang memiliki akses ke komputasi kuantum. Tidak semua penjahat dunia maya memiliki akses ke sana.

Tapi ancamannya nyata. Saya rasa ini mirip dengan, Anda tahu, masalah tahun 2000. Jadi kami telah melihat hal itu akan terjadi untuk sementara waktu, namun kami melakukan berbagai hal untuk memitigasi hal itu dan ternyata tidak terlalu berpengaruh.

DAVID LELLO: Tapi hanya karena kami melakukan sesuatu.

INGO SCHUBERT: Tepat sekali. Hanya karena kami melakukan sesuatu, bukan? Jadi, jika kami tidak melakukan apa pun, itu mungkin akan menjadi masalah besar dan kami melakukan sesuatu dan ternyata baik-baik saja, bukan? Dan saya pikir hal ini mungkin akan serupa dengan kasus ini di sini karena ada hal-hal yang dapat dilakukan, yang membawa kita ke pekerjaan berikutnya.

Ya, jadi kita mungkin tidak setuju berapa lama waktu yang kita miliki, bukan? Jadi, seperti yang saya sebutkan tadi, ada laporan MITRE, sebuah lembaga penelitian yang didanai pemerintah di Amerika Serikat yang mengeluarkan laporan terbaru di awal tahun ini dan mereka menempatkan algoritme Shor ini di suatu tempat sekitar awal tahun 2040-an, mungkin sekitar tahun 2050-an, jadi bukan berarti mereka memiliki insentif untuk mendorongnya keluar, jadi ini adalah laporan yang solid, tetapi bahkan jika Anda mengatakan bahwa ini lebih cepat, sepertinya tidak mungkin terjadi sebelum tahun 2030-an. Menurut saya itu sangat tidak mungkin, kecuali jika ada keajaiban yang terjadi. Jadi apa yang bisa Anda lakukan hari ini untuk mempersiapkan diri menghadapi kiamat kuantum ini?

DAVID LELLO: Saya rasa ini pasti akan jauh lebih cepat dari tahun 2050. Saya pikir, Anda tahu, saya tidak suka mencoba memprediksi karena itu adalah hal yang mustahil. Anda tahu, ketika seseorang mencoba memprediksi masa depan, Anda pasti akan gagal karena kita tidak memiliki pikiran supranatural.

INGO SCHUBERT: Baiklah, mari kita bertemu di tahun 2055. Waktu yang sama, ya, jadi kita bisa membicarakan hal ini. Jika aku masih di dalam.

Tentu saja. Ayo kita lakukan ini. Waktu yang sama, tempat yang sama. Ayo kita lakukan. Baiklah, tetapi jika lebih cepat, saya pikir mari kita lihat bagaimana kita dapat merayakan peristiwa itu karena saya pikir dengan kemajuan teknologi, sebuah terobosan akan terjadi, dan itu terjadi pada suatu waktu. Mungkin terjadi minggu depan. Mungkin saja terjadi dalam waktu 10 tahun lagi. Kita tidak tahu. Tapi itu akan terjadi, saya yakin, karena ilmu pengetahuannya ada di sana. Ini kredibel. Ini nyata. Anda tahu, ladang bunga matahari mampu mempertahankan kohesi saat ini. Kestabilan itu ada pada suhu ruangan, di sebuah ladang, dengan semua hal yang terjadi di sekitarnya. Hewan yang berlarian di bawahnya, polusi dan yang lainnya. Ladang bunga matahari bisa memiliki kohesi.

INGO SCHUBERT: Benar.

DAVID LELLO: Mengapa banyak ilmuwan yang melakukannya?

INGO SHCUBERT: Ya, tapi mereka punya waktu beberapa juta tahun untuk berevolusi, bukan? Jadi itulah maksud saya. Saya setuju dengan hal itu, tapi mereka memiliki sedikit keunggulan, bukan?

DAVID LELLO: Kembali kepada Anda mengenai masalah ini, salah satu masalah yang kita hadapi, dan kita telah membahasnya sedikit di Bletchley Park, adalah apa yang kita miliki saat ini dalam hal praktik dan apa yang kita sebut sebagai praktik yang baik dalam mengelola kunci kriptografi, menurut saya banyak perusahaan yang gagal. Jadi, ketika berbicara tentang peristiwa, beberapa tahun yang lalu, kita memiliki kerentanan SSL, dan semua orang berlomba-lomba untuk mengganti kunci. Dan itu berarti organisasi menjadi jauh lebih gesit dalam hal bagaimana mereka merotasi kunci TLS mereka, dan itu luar biasa. Itu memecahkan sebagian besar masalah. Jika Anda memiliki kelincahan dalam kunci TLS Anda, maka itu berarti Anda dapat mengubahnya. Anda mungkin harus melakukan beberapa pengujian di sepanjang jalan untuk memastikan semuanya berfungsi.

Tetapi organisasi dapat mulai berpikir sekarang tentang otoritas sertifikat mereka dan bagaimana mereka mengeluarkan kunci mereka dan bagaimana mereka mengganti kunci mereka di tingkat TLS. Dan itu tidak masalah. Masalah yang kami temukan adalah ketika kami masuk ke dalam sebuah organisasi, 20 hingga 30, bahkan mungkin 40% kunci tidak dikelola dengan cara ini. Sering kali banyak perangkat keras yang memiliki kunci yang tertanam di dalamnya dalam sebuah infrastruktur perangkat keras dan beberapa perangkat keras ini dapat bertahan selama 20 tahun dan kemampuan untuk mengganti kunci di dalam perangkat keras tersebut berarti mengganti perangkat kerasnya.

Kami juga memiliki banyak praktik buruk dalam pengkodean terutama pada masa pembangunan monolitik di mana aplikasi memiliki kunci yang tertanam di dalam aplikasi itu sendiri. Dan ketika kita mulai berpikir tentang hal ini, hal ini tidak hanya terjadi begitu saja.

INGO SCHUBERT: Saya rasa itulah maksud saya. Itu adalah praktik yang buruk terlepas dari komputasi kuantum atau tidak.

DAVID LELLO: Benar. Maka ketika kami mulai memikirkan ide Q-Day ini, yang pada tahun Y2K sangat mudah karena kami memiliki tanggal. Kami tidak memiliki tanggal untuk Q-Day.

INGO SCHUBERT: Poin yang sangat bagus.

DAVID LELLO: Namun ketika hal tersebut akhirnya tiba, dan mungkin tiba besok, atau mungkin tiba dalam waktu 10 tahun, atau jika Anda benar dalam waktu yang lebih lama dari itu, maka kita akan menghadapi situasi di mana sebagian besar organisasi dan kunci-kuncinya tidak dapat dengan mudah diganti, dan kita akan mengalami kepanikan. Kita akan mengalami masalah besar dan masif karena data menjadi terganggu.

Tetapi juga, masalah lain yang kita miliki adalah sesuatu yang sering ditanyakan kepada saya, yaitu ancaman ‘panen sekarang, dekripsi nanti’. Dan kita telah melihat data yang dicuri yang dienkripsi selama bertahun-tahun, maksud saya kembali ke negara ini dengan David Cameron, dia terkenal mengatakan bahwa semua data kita telah dicuri oleh Cina, tetapi tidak masalah. Itu terenkripsi. Jadi kembali ke beberapa tahun yang lalu, pernyataan semacam itu memang benar saat ini, mengingat teknologi yang kita miliki saat ini dengan komputer kuantum, hal itu menjadi masalah. Dan ya, tentu saja, usia data.

INGO SCHUBERT: Namun beberapa dari data tersebut masih tetap relevan. Tidak semuanya, tapi beberapa hal. Jadi saya pikir itu sama saja. Seperti, mereka tetap berada di luar sana yang seperti, ya, Anda tahu, jika itu akan, jika itu akan didekripsi seperti dalam lima tahun, seperti, siapa yang peduli, kan? Atau dalam 10 tahun, ya. Jadi, Anda bisa membuat argumen bahwa banyak data identitas untuk otentikasi, jika itu didekripsi dalam lima atau 10 tahun, seperti, Anda tidak terlalu peduli karena sudah ketinggalan zaman pada saat itu. Tetapi ada banyak data strategis di mana, ya, ini dapat membahayakan Anda selama beberapa dekade ke depan, bukan? Dan Anda bahkan tidak harus menjadi negara. Anda bisa saja hanya sebuah perusahaan biasa, perusahaan biasa.

Tepat sekali.

INGO SCHUBERT: Dan apa masalahnya?

DAVID LELLO: Maksud saya, Anda tahu, jumlah organisasi yang saya masuki yang memiliki sistem lama. Bahkan, saya pernah berada di sebuah organisasi yang belum lama ini memiliki sebuah aplikasi. Mereka memperlakukannya sebagai kotak hitam, dan mereka memperlakukannya sebagai kotak hitam karena kode sumbernya hilang. Orang yang menulisnya, sudah lama pergi, jangan disentuh. Jika terjatuh, jawabannya adalah nyalakan atau matikan, nyalakan lagi dan berdoa karena hanya itu yang bisa Anda lakukan. Tidak ada yang bisa Anda lakukan. Dan sistem ini mengendalikan semua akses di toko-tokonya, semua akses di toko-tokonya. Dan jika disusupi, jika dilumpuhkan, Anda melumpuhkan organisasinya.

INGO SCHUBERT: Satu titik kegagalan.

DAVID LELLO: Satu titik kegagalan. Jumlah organisasi yang memiliki satu titik kegagalan sangatlah luar biasa. Organisasi benar-benar harus mulai memikirkan bagaimana mereka memodernisasi infrastruktur manajemen identitas dan akses mereka? Saat kita mulai berpikir tentang manajemen identitas dan akses, manajemen identitas dan akses adalah jalan menuju segalanya. Kita telah melihat serangan ransomware terbaru yang terjadi di Jerman, juga di Inggris, Italia, dan tempat lainnya. Serangan ransomware ini menargetkan sistem kontrol akses. Mereka menargetkannya dalam otentikasi karena ini adalah target yang lunak dan mudah, apakah itu direktori aktif atau sistem seperti yang saya jelaskan, kemampuan untuk dapat benar-benar mengkompromikan akses, Anda menjatuhkan organisasi, Anda menghentikan komunikasi, Anda menghentikan kemampuan untuk dapat mengakses. Memodernisasi manajemen akses identitas dalam konteks ini akan menjadi salah satu prioritas besar.

INGO SCHUBERT: Ya, ya. Sulit untuk membantah hal itu karena, Anda tahu, karena hal itu masuk akal, tidak peduli bagaimana Anda melihatnya, bukan? Saya pikir ketika kita kembali ke manajemen kunci enkripsi kriptografi yang sederhana, banyak pelanggan yang tidak tahu apa yang mereka miliki, bukan? Mereka tidak memiliki pandangan yang baik tentang di mana mereka mengenkripsi, di mana kuncinya, di mana mereka menandatangani secara digital. Mereka tidak memiliki gambaran umum seperti ini. Saya rasa itu adalah bagian dari masalahnya, bukan? Karena Anda tidak dapat memperbaiki apa yang tidak Anda ketahui. Banyak pelanggan yang kesulitan dengan kebersihan dunia maya yang mendasar. Itulah yang saya lihat secara konstan, sayangnya, bukan? Baru saja pagi ini saya menelepon seorang pelanggan yang menjalankan perangkat lunak RSA yang sudah berumur 20 tahun, 20 tahun, bukan?

DAVID LELLO: Wow.

INGO SCHUBERT: Jadi, sebenarnya, mereka menelepon bagian dukungan kami tentang sesuatu, dan bagian dukungan tidak bisa menjawab, dan itu seperti, ya, tentu saja, Anda tahu, mungkin personil dukungan yang menjawab panggilan telepon itu mungkin masih di taman kanak-kanak saat perangkat lunak itu keluar, bukan? Jadi, poin saya adalah selama kita tidak melakukan kebersihan dan visibilitas dunia maya yang mendasar ini, pertama-tama, Anda tidak akan bisa mencapai kondisi siap kuantum, ya, di mana Anda siap untuk Q-day. Itu seperti tidak mungkin terjadi.

Selain itu, menurut saya, Anda tidak boleh khawatir tentang komputasi kuantum sampai Anda memperbaiki hal-hal tersebut, bukan? Karena jika Anda tidak tahu perangkat lunak apa yang Anda jalankan, jika Anda tidak memperbaruinya, tentu saja Anda akan bergantung pada vendor untuk memperbaikinya, seperti Anda menerapkan kriptografi pasca-kuantum, misalnya, bukan?

Namun jika perangkat lunaknya sudah keluar dengan versi baru, dengan semua komputasi kuantum yang bagus ini dan Anda tidak menginstalnya, maka perangkat lunak tersebut tidak akan ada, bukan? Dan setelah itu, bahkan jika Anda melakukan itu, jika kebijakan dan prosedur Anda di sekitar, misalnya, seperti manajemen data, jika tidak benar, apa yang kita bicarakan di sini? Jadi, jika penyerang hanya dapat menelepon meja bantuan Anda dan meminta untuk masuk, mereka tidak memerlukan komputer kuantum untuk melakukannya, bukan? Mereka tidak membutuhkannya hari ini. Mereka tidak membutuhkannya kemarin. Mereka tidak membutuhkannya besok. Mereka cukup menelepon meja bantuan Anda jika kebijakan Anda tidak tepat dan mendapatkan akses.

Jadi, ada banyak hal yang bisa salah, telah salah dan akan salah, yang tidak ada hubungannya dengan komputer kuantum. Dan ketakutan saya adalah bahwa orang-orang melihat benda kuantum ini, Q-Day ini, dan teralihkan perhatiannya oleh mainan yang bagus dan berkilau ini, bukan? Padahal mereka memiliki begitu banyak pekerjaan rumah yang harus dilakukan, yang mungkin sudah puluhan tahun tidak pernah mereka lakukan, bukan? Dan tentu saja, Anda bisa berargumen bahwa, hei, Anda tahu, Anda perlu melakukan hal itu, memiliki visibilitas, Anda tahu, menambal yang sudah ada, memperbaiki prosedur Anda. Jika memang dibutuhkan ancaman komputasi kuantum bagi pelanggan untuk melakukan hal tersebut, ya sudahlah, bukan? Saya bisa bahagia.

Namun sebagian dari diri saya berkata, nah, karena apa yang terjadi jika kita menemui hambatan dengan komputasi kuantum? Dan seperti, selama beberapa tahun, tidak ada keuntungan atau kemajuan yang nyata dan kemudian Anda berkata, ah, itu seperti tahun 2060-an, saya akan menjadi saya akan menjadi saya akan lama menghilang dari dunia kerja, jadi saya tidak perlu mengkhawatirkan hal tersebut, dan itu adalah pendekatan yang salah, karena Anda harus memperbaikinya, apa pun yang terjadi.

Saya akan memberikan sedikit pengetahuan kepada Anda, ya, beberapa nama, ya, filsuf Jerman Emmanuel Kant, ya, sekarang jangan potong editornya, ya, itu k, itu k. Itu K-A-N-T, kan? Jadi saya panggil dia Emmanuel mulai sekarang, ya.

Filsuf Jerman, abad ke-18, dan banyak hal cerdas yang dia katakan. Namun salah satu hal yang saya yakini sebagai salah satu yang paling cerdas adalah Anda melakukan hal yang benar karena itu adalah hal yang benar untuk dilakukan, bukan? Bukan karena hal tersebut akan memberi Anda beberapa poin brownies dengan beberapa dewa atau semacamnya. Anda melakukannya karena itu adalah hal yang benar untuk dilakukan.

Dan memiliki gambaran yang baik tentang di mana Anda mengenkripsi, bagaimana Anda mengenkripsi tentang kebijakan, prosedur, dan penambalan dan semua ini, itu adalah hal yang tepat untuk dilakukan, terlepas dari apakah komputasi kuantum masih 10 tahun lagi, 20, 30 tahun lagi. Tidak masalah. Anda harus melakukannya. Sekarang, Anda seharusnya sudah melakukannya selama 20 tahun terakhir. Itulah intinya. Saya rasa di sinilah kita sepakat. Ya, tentu saja. Saya pikir motivasi di balik itu, saya pikir, adalah di mana kami tidak setuju karena kami memiliki pendapat yang berbeda tentang di mana komputasi kuantum dan di mana ia akan berada. Tapi tentu saja, jika ada pelanggan yang mengatakan bahwa saya harus siap dengan komputasi kuantum, upaya ini tidak akan sia-sia.

DAVID LELLO: Tidak, sama sekali tidak. Saya pikir juga, Ingo, salah satu hal yang merupakan kenyataan yang selalu menjadi tantangan bagi saya adalah karena kita menghabiskan banyak waktu dengan dewan perusahaan besar yang berbicara dengan direktur keuangan dan sejenisnya, dan perusahaan ada untuk tujuan memasok produk atau layanan dan jika berada di sektor swasta untuk menghasilkan keuntungan, kecuali jika itu adalah kegiatan amal, tetapi jangan khawatirkan hal tersebut, sehingga ide untuk benar-benar membelanjakan uang hanya karena itu adalah hal yang benar untuk dilakukan, di mana hal tersebut memberikan keuntungan yang negatif, akan menjadi sulit dan menantang bagi para ahli keuangan untuk benar-benar menyadarinya. Maka berinvestasi pada sesuatu karena itu adalah hal yang benar untuk dilakukan menjadi lebih merupakan diskusi filosofis. Menurut saya, ini bukanlah pendekatan yang tepat.

INGO SCHUBERT: Ya, tentu saja.

DAVID LELLO: Meskipun saya setuju dengan Anda, tentu saja 100%, Anda tahu, dari sudut pandang keyakinan, dari apa yang saya yakini, saya selalu ingin melakukan hal yang benar. Namun kenyataannya adalah bahwa bisnis tidak ada untuk itu. Mereka tidak ada untuk melakukan hal yang benar. Terkadang mereka sedikit tidak bermoral.

Benarkah? Pertama kali aku mendengarnya. Biar aku catat itu.

DAVID LELLO: Jadi saya pikir apa yang Anda lakukan adalah kami melihatnya dengan cara yang berbeda dan saya pikir salah satu realitas yang kami lihat dan yang beresonansi dan dipahami orang adalah mengukur dan mengenali serta menyadari apa eksposur risiko saya yang terkait dengan lingkungan tertentu dan kami perlu mengaitkannya kembali dengan sesuatu yang nyata, kami harus selalu kembali pada bagaimana saya membangun kasus untuk perubahan di dunia ini, dan seperti apa perubahan itu? Anda tahu, salah satu tantangan yang kami hadapi, karena ketika kami mulai membantu organisasi untuk menjawab masalah ini, sebenarnya tidak ada kerangka kerja yang membahas tentang kesiapsiagaan kuantum. Tidak ada.

Jadi, kami pergi dan menulisnya. Kami menulis sebuah standar untuk mengatakan, inilah pendekatan untuk melihat kuantum. Kami mengambil berbagai standar yang berbeda dari NIST dan praktik yang baik, ISF, dan berbagai hal yang berbeda untuk dapat menghasilkan model dan kerangka kerja sehingga kami dapat mulai melihatnya. Namun, hal ini memungkinkan kami untuk mulai melihat dan mengatakan, baiklah, ketika Anda mengambil sistem seperti sistem identitas yang mengelola semua akses yang merupakan lingkungan kotak hitam, apa eksposur risiko saya jika memiliki mesin seperti itu? Dan saya akan menghilangkan kuantum sepenuhnya. Apa risiko saya? Apakah saya benar-benar memahami risiko saya? Jika itu terjadi, apa yang terjadi pada lingkungan saya? Dan jika saya dapat menghargai risiko itu, saya harus melakukan sesuatu untuk mengatasinya.

INGO SCHUBERT: Oh, dan ini, maksud saya, pada akhirnya, ini adalah manajemen risiko yang tepat, yang saya lihat tidak ada di banyak perusahaan atau organisasi pada umumnya, bukan? Dan itu sebenarnya perlu dilakukan dan seharusnya sudah dilakukan selama bertahun-tahun dan harus dilakukan hari ini, terlepas dari komputasi kuantum atau tidak. Jadi itulah maksud saya.

Tentu saja mereka tidak melakukannya karena itu adalah hal yang benar untuk dilakukan, bukan? Itu adalah argumen finansial yang sulit untuk dibuat. Saya sangat setuju dengan pendapat Anda. Tapi ada banyak ancaman lain yang menyebabkan mereka melakukan hal ini, bukan? Dan sekali lagi, jika Anda perlu menjual konsep untuk melihat semua ini dan mengetahuinya serta memiliki manajemen risiko yang tepat karena komputasi kuantum, menurut saya, ya, bukan? Saya rasa itu adalah cara yang tepat. Jika itu adalah pengungkit yang Anda butuhkan untuk mendapatkan tanda tangan, oh, ya, lakukanlah. Karena pada akhirnya, meskipun komputasi kuantum masih 30 tahun lagi, Anda masih bisa mendapatkan manfaatnya sekarang. Karena dengan memiliki kesiapan tersebut, Anda juga akan merasa aman hari ini. Anda tidak membuang-buang uang. Ya, jadi menurut saya, itulah hal yang tepat untuk dilakukan. Dan ada beberapa rekomendasi dan beberapa kerangka kerja dari Eropa juga, misalnya mereka benar-benar mengatakan bahwa pada tahun 2026 - yang sejujurnya Anda harus sudah melakukannya jika Anda ingin mematuhi DORA. Anda mungkin akan melihat hal yang sama lagi karena Anda tidak melihat beberapa orang melakukannya. Jadi, visibilitas dan manajemen risiko pada tahun 2026 dan kemudian beberapa kesiapan kuantum dalam beberapa bentuk pada tahun 2030 untuk risiko tinggi dan 2035 untuk risiko rendah dan menengah, bukan? Jadi sepertinya masih jauh, tetapi, Anda tahu, kami sudah, seperti, pada akhir tahun 2025, ketika kami merekam ini, rilisnya adalah 2026.

Jadi ini seperti, ya, ini seperti hanya tinggal beberapa tahun lagi. Dan jika Anda kembali ke awal pembicaraan kita, jika Anda melihat masalah Y2K, ya, jika Anda memulainya pada tahun 1999, Anda mungkin agak terlambat untuk ini, bukan? Jadi, Anda harus bersiap-siap sekarang, tentu saja, benar.

DAVID LELLO: Saya pikir, saya pikir salah satu hal yang Anda kemukakan di sana, yang menurut saya merupakan hal yang menarik dalam hal psikologi manusia, adalah peraturan, peraturan Eropa dan hal-hal seperti Dora. Peraturan hanya benar-benar diberlakukan karena perusahaan lalai dalam melakukan hal yang benar.

INGO SCHUBERT: Ya, tentu saja.

DAVID LELLO: Dan karena mereka tidak melakukan hal yang benar, anggota parlemen mengatakan bahwa kita akan memiliki masalah besar di negara ini kecuali kita melihatnya. Jadi, hukum mulai berlaku ketika Anda harus melakukan sesuatu. Jadi NCSC di Inggris telah memberikan panduan seputar kuantum. Dan kami memiliki DORA di Eropa. Dan sayangnya karena Brexit-

INGO SCHUBERT: Anda membawa tup, saya tidak.

DAVID LELLO: Kita baru mulai melihat RUU Ketahanan di sini. Jadi RUU Ketahanan telah dirilis untuk dikomentari oleh publik. Jadi, edisi pertama telah dirilis dan komentar sedang berlangsung. Jadi kita akan mengadakan pembacaan di Parlemen dalam waktu dekat. Semoga kita dapat mengejar ketertinggalan kita dari negara-negara lain dalam hal ini.

INGO SCHUBERT: Ya, kecuali Amerika Serikat. AS tampaknya seperti, Anda tahu, tempat yang liar di peta, ya. Ya, memang benar. Ya, itu seperti, dan saya melihat hal itu ketika berbicara dengan rekan-rekan di AS, ya, itu seperti, ya, kita tidak benar-benar memiliki hal itu, bukan? Tetapi di tempat lain di dunia, tampaknya ketahanan, manajemen risiko tampaknya sedikit lebih matang dalam hal peraturan dan kerugian, ya, yang-

DAVID LELLO: Anda harus memilikinya.

INGO SCHUBERT: Anda harus memilikinya, bukan? Dan saat Anda membacanya, dan Anda mungkin memiliki sebanyak dan mungkin lebih banyak daripada saya, beberapa hal seperti itu sangat jelas, memiliki manajemen risiko yang tepat. Ini seperti, Anda harus tahu, jika hal tersebut gagal, Anda hanya perlu tahu konsekuensinya, bukan? Tentu saja Anda harus tahu karena bisnis Anda menghasilkan uang dan ada sesuatu yang mencegahnya untuk melakukan hal tersebut. Anda harus tahu mengapa dan bagaimana cara memperbaikinya. Namun mereka tidak melakukannya sampai mereka dipaksa oleh hukum, yang mana hal ini sangat menyedihkan, bukan?

DAVID LELLO: Sayangnya sifat manusia ikut bermain. Saya berjuang dengan hal ini karena ini bukanlah hal yang sulit, Anda tahu bahwa melihat risiko dan manajemen risiko tidaklah sulit.

INGO SCHUBERT: Tidak, tetapi membutuhkan waktu.

DAVID LELLO: Dan itu memang membutuhkan waktu, tetapi maksud saya ada begitu banyak teknologi di luar sana yang dapat membantu menyederhanakan prosesnya. Anda tahu, komputer dirancang untuk mengotomatiskan proses. Alasan utama mengapa kita memiliki komputer adalah karena kita memiliki proses manual yang membutuhkan banyak orang untuk melakukan sesuatu. Dengan komputer, kita dapat mengotomatiskan semua proses itu. Dan dengan sistem modern, kita bisa mengotomatisasi lebih banyak lagi. Anda tahu, Anda mengambil hal-hal seperti manajemen kerentanan. Jika Anda memiliki lingkungan yang dimodernisasi dan pemindaian kerentanan diluncurkan, Anda memiliki visibilitas yang relatif baik dalam hal risiko teknologi Anda.

Ya. Hal yang sama untuk kita. Tata kelola identitas. Pada akhirnya, ini bukan ilmu roket. Ya, tentu saja. Anda akan menghubungkan semua sistem yang berbeda, mungkin membuat beberapa aturan dan sebagainya. Namun kemudian Anda memiliki visibilitas tersebut dan Anda memiliki pandangan Anda seperti, Anda tahu, dalam hal pemisahan tugas, kepatuhan, dan Anda memiliki hal tersebut. Dan ya, ini adalah pekerjaan. Ya, ini adalah investasi dalam hal uang dan waktu, tentu saja, namun Anda mendapatkan sesuatu darinya.

Ya.

INGO SCHUBERT: Benar. Yang juga saya rasa tidak disadari oleh banyak orang adalah bahwa kemungkinan manajemen risiko juga memberi Anda sesuatu yang kembali karena Anda benar-benar menemukan hal-hal yang mungkin Anda tidak perlu menginvestasikan semua uang itu untuk mengamankan yang satu ini atau Anda membuat benda ini tahan banting karena dampaknya tidak terlalu besar, sementara yang satunya lagi, Anda seharusnya menginvestasikan lebih banyak lagi karena jika itu rusak, hal-hal buruk akan terjadi. Saya rasa itu juga dan tentu saja Anda tidak menyadarinya karena jika Anda tidak melakukan manajemen risiko yang tepat, Anda tidak memiliki visibilitas tersebut, jadi bagaimana Anda bisa mengambil keputusan dengan benar? Jadi pada dasarnya, organisasi merugikan diri mereka sendiri dengan tidak melakukan hal ini, bukan?

DAVID LELLO: Dan tata kelola identitas sangat membantu dalam hal memungkinkan hal tersebut dan membantu. Ya. Anda tahu, ketika saya berbicara dengan banyak organisasi tentang identitas, identitas bukanlah salah satu hal keamanan yang Anda lakukan karena, Anda tahu, itu adalah polis asuransi. Identitas adalah sebuah enabler. Ini adalah pendukung bisnis yang nyata untuk membantu organisasi menjadi lebih efisien dan lebih efektif dalam hal bagaimana orang memiliki akses. Namun, memiliki akses yang tepat pada waktu dan tempat yang tepat serta memiliki model tata kelola yang benar-benar mendorong hal tersebut adalah hal yang sangat penting. Jadi, ketika kita mulai melihat kontrol ITGC dan sistem keuangan Anda dan Anda mulai melihat bagaimana akses perlu dibuat dalam hak Anda, pemisahan tugas Anda, mandat yang menyertainya. Hal-hal ini bukanlah sesuatu yang baru. Hal-hal ini telah ditulis dalam Undang-Undang Perusahaan dan Peraturan Keuangan selama beberapa dekade.

INGO SHUBERT: Tentu saja.

DAVID LELLO: Dan kemampuan untuk dapat mengendalikannya dengan sistem tata kelola identitas yang baik sudah ada sekarang. Dan dengan solusi yang dimodernisasi, hal ini menjadi sangat mudah. Tidak sesulit yang dibayangkan orang.

INGO SCHUBERT: Lihatlah kami. Berbicara tentang tata kelola keamanan identitas dan kami memulainya dengan kuantum. Ini seperti, mari kita mulai saja, ya, tapi itulah intinya. Saya rasa ini adalah sesuatu yang juga menjadi pembuka pintu dengan beberapa diskusi di pelanggan atau di organisasi secara umum yang seperti, ya, tidak apa-apa. Bicara tentang ancaman kuantum dan, Anda tahu, tetapi pada akhirnya Anda berakhir pada diskusi, yang sebenarnya bukan tentang kuantum tetapi tentang hal-hal lain. Bahwa, ya, Anda bisa memperbaiki sekarang, Anda harus memperbaiki sekarang, terlepas dari apa yang terjadi di masa depan.

DAVID LELLO: Ini adalah konsep kebersihan dasar.

INGO SCHUBERT: Ini adalah konsep kebersihan dasar, tepatnya. Jadi itulah cara yang sempurna untuk menutup acara ini. Jadi David, terima kasih. Kita bisa berbicara berjam-jam, sungguh, setiap kali bertemu. Jadi, terima kasih banyak. Jadi saya pikir ancaman kuantum mungkin terasa jauh.

Bisa jadi iya, bisa jadi tidak. Tapi mudah-mudahan selama percakapan ini, pemirsa dan pendengar kami mendapatkan ide bahwa, Anda tahu, terlepas dari apakah Anda harus melakukan sesuatu hari ini untuk menjadi siap secara kuantum. Hal ini tidak ada salahnya sama sekali.

Apa yang Anda dapatkan darinya akan bermanfaat bagi Anda saat ini dari ancaman yang ada saat ini, bukan? Anda tidak perlu menunggu 20 tahun lagi untuk menyadari manfaatnya. Anda benar-benar menyadarinya hari ini.

Demikianlah akhir dari perdebatan hari ini mengenai komputasi kuantum dan dampaknya terhadap keamanan identitas. Masa depan kuantum dalam fiksi ilmiah dan organisasi perlu memahami di mana letak risiko dan peluang yang sebenarnya. Jika Anda ingin mendapatkan lebih banyak wawasan tentang ketahanan identitas dan teknologi yang mempersiapkan organisasi untuk menghadapi masa depan, kunjungi RSA.com. Jika Anda ingin mendapatkan akses kotak masuk ke episode RSA Identity Unmasked selanjutnya, jangan lupa untuk berlangganan. Terima kasih telah bergabung dengan kami dan sampai jumpa di lain waktu.