Identitas RSA Terbongkar

INGO SCHUBERT
Selamat datang kembali di RSA Identity Unmasked. Hari ini kita akan membahas salah satu sektor keamanan identitas yang paling berisiko tinggi dan menarik, yaitu layanan kesehatan. Hari ini saya bergabung lagi dengan Paul dan John, dan mari kita lihat tantangan, kasus penggunaan, dan praktik terbaiknya. Mari kita mulai. Jadi, mengapa layanan kesehatan merupakan lingkungan yang unik untuk keamanan identitas?

JON NICHOLAS
Aku akan mulai jika kau mau, Paul. Kau mau?

PAUL MULVIHILL
Dengan segala cara!

JON NICHOLAS
Saya rasa satu hal yang selalu kita bicarakan tentang layanan kesehatan dan ini adalah salah satu topik pertama yang muncul adalah tumpukan teknis yang mereka miliki dan yang terpenting, infrastruktur lama. Salah satu area terbesar yang harus diamankan dari sudut pandang identitas karena mereka mungkin tidak memiliki penghubung ke layanan MFA modern. Jadi, teknologi lama yang sudah ada merupakan tantangan besar bagi perusahaan seperti layanan kesehatan, NHS merupakan contoh utama di Inggris.

PAUL MULVIHILL
Sering kali, kita semua tahu NHS, namun sering kali terdiri dari banyak organisasi kecil di bawah payung yang sama, yang tidak berarti ada satu wadah besar untuk mendukung infrastruktur TI, bisa jadi setiap kepercayaan kecil memiliki tanggung jawabnya masing-masing, sehingga mereka tidak bisa mendapatkan yang terbaru dan terhebat, karena tidak memiliki anggaran untuk itu. Jika itu adalah satu hal yang besar, mungkin saja, namun sayangnya dunia tidak bekerja seperti itu. Jadi, ada tantangan bagaimana masing-masing dari mereka memastikan bahwa mereka mendapatkan yang terbaru dan terhebat ketika mereka tidak bisa karena mereka memiliki sistem lama, mereka harus berurusan dengan migrasi atau pemeliharaan, hanya menambah tantangan tambahan tentang bagaimana Anda bisa mendapatkan sistem modern.

INGO SCHUBERT
Benar. Dan saya pikir, tentu saja, hal ini berbeda di Jerman, misalnya. Tidak jauh berbeda, menurut saya, dalam konteks ini, bukan? Anda tahu, organisasi yang berbeda, banyak aplikasi lama. Jadi saya pikir, agar adil, Anda mungkin menemukan hal tersebut di seluruh Eropa atau bahkan di seluruh dunia di banyak tempat, bukan?

PAUL MULVIHILL
Dan kita berbicara tentang sistem lama, jika Anda memiliki sesuatu yang berfungsi dan tingkat kesalahannya, jadi jika Anda berurusan dengan kesehatan seseorang, Anda memiliki sistem yang menguji sesuatu, sistem itu berfungsi. Anda tidak akan memutuskan untuk mengubahnya hanya karena sistem tersebut sudah berumur dua tahun. Anda akan menempatkan dana tersebut pada sesuatu yang merupakan area baru. Jadi, ya, itu mungkin warisan, bukan berarti sudah tua, kuno, dan ketinggalan zaman. Itu hanya berarti, Anda tahu, itu berfungsi. Ada hal yang lebih penting untuk dilihat.

INGO SCHUBERT
Jangan menyentuh sistem yang sedang berjalan. Jadi, apa yang membuat akses, kontrol, dan autentikasi menjadi begitu menantang dalam lingkungan ini?

PAUL MULVIHILL
Saya mungkin akan mengatakan bahwa ini adalah semacam campuran dari beberapa perwalian. Bagaimana Anda, jika Anda semua beroperasi secara independen, tetapi Anda memiliki tenaga kerja yang mungkin berpindah-pindah antar perwalian karena mereka mencakup wilayah yang lebih luas, bagaimana Anda menyiapkan sistem yang mudah digunakan yang akan, misalnya, saya bekerja di satu tempat pada suatu hari, di tempat lain di hari lain, itu adalah perwalian yang berbeda, yang lain lagi, yang lain lagi. Apakah ada sistem pusat yang mengelola semuanya? Mungkin tidak. Apakah saya akan kembali ke suatu tempat atau saya akan melakukannya satu hari dalam satu tahun di tempat lain? Jumlah sistem yang Anda coba kelola dan coba amankan dari sudut pandang identitas akan semakin bertambah secara eksponensial dari kerumitannya. Saya mengelola 50 situs, apakah itu 50 sistem? Apakah 5, apakah satu? Buatlah skala untuk seluruh negara dan Anda hanya menambahkan lapisan kompleksitas untuk berbagai alasan.

JON NICHOLAS
Ya, dan saya pikir itu adalah jumlah pengguna. Akun pengguna itulah yang terkadang sangat sulit untuk ditangkal karena Anda memiliki dokter yang ada di sana melakukan layanan medis garis depan yang mungkin, tentu saja, sangat ahli dalam apa yang mereka lakukan, tetapi mereka bukan ahli keamanan siber. Anda memiliki seluruh tim yang mendukung NHS, misalnya, melakukan semua logistik dan perencanaan serta sisi admin. Sekarang, beberapa di antaranya mungkin dapat menggunakan, Anda tahu, mengautentikasi, seperti autentikator seluler, tetapi yang lain mungkin di bangsal atau, Anda tahu, di lingkungan yang lebih aman, tetapi kami tahu Anda tidak dapat menggunakan itu. Anda harus memiliki sesuatu yang lain, Anda tahu, token fisik untuk
melakukan autentikasi Anda. Jadi, Anda tidak hanya memiliki tenaga kerja raksasa, tetapi juga memiliki beberapa kasus penggunaan dalam hal bagaimana mereka dapat mengautentikasi. Dan kemudian, Anda tahu, Anda menyebutkan seluler, tetapi beberapa orang mungkin bahkan tidak memiliki ponsel yang ingin mereka gunakan. Jadi langsung saja, Anda memiliki tiga, empat, lima kasus penggunaan yang berbeda hanya untuk memasukkan lima orang ke dalam satu sistem.

INGO SCHUBERT
Jadi dokter, staf sementara, giliran kerja bergilir, itu sangat menyulitkan. Jadi apa yang baru saja Anda katakan. Jadi dari perspektif manajemen identitas saya, saya dapat melihat mengapa hal ini memiliki sedikit tantangan dibandingkan dengan tenaga kerja perusahaan yang lebih terorganisir, Anda tahu, di mana Anda bekerja dari jam sembilan sampai jam lima. Ya, Anda mungkin memiliki zona waktu yang berbeda, ya, tapi pada dasarnya ini meningkatkannya hingga 11 jam, pada dasarnya.

PAUL MULVIHILL
Ya, Anda dapat memiliki satu perusahaan besar yang memiliki, katakanlah, 50 departemen yang berbeda atau 100 departemen yang berbeda, sedangkan ketika Anda melihat sektor perawatan kesehatan, Anda mungkin memiliki satu badan besar yaitu sektor perawatan, tetapi bisa jadi ada 50 atau 100 perusahaan terpisah di dalamnya yang semuanya memiliki spesialisasi masing-masing dan mereka harus otonom dalam cara mereka bekerja namun tetap bekerja dengan entitas lain dalam ruang yang sama. Dan jika Anda memiliki masalah dengan salah satu dari mereka, apa dampaknya?

INGO SCHUBERT
Jadi dalam hal, tentu saja, Anda tahu, kami punya acara TV yang dramatis seperti Anda tahu semuanya harus berjalan cepat ya tapi itu satu hal ya kami tidak memperlambat segalanya, saya pikir itu adalah bagian dari tantangan di sini tetapi tidak hanya seperti ini, hei, Anda tahu seseorang terburu-buru masuk ke ruangan dan segala sesuatunya harus bergerak cepat, itu juga karena Anda memiliki tenaga kerja yang terbatas, mereka harus sangat efisien yang juga berarti bahwa ya kami, Anda tahu keamanan tidak dapat memperlambat segalanya karena itu, jadi apa yang akan menjadi tantangan dan seperti, Anda tahu, cara-cara untuk mencapainya?

JON NICHOLAS
Hanya saja pada tantangan yang sangat besar itu, Anda tidak ingin, jika kita membicarakannya dari sudut pandang tata kelola, dari sudut pandang hak yang paling sedikit, Anda ingin pergi, benar, kita membutuhkan semua orang hanya dengan hak istimewa untuk melakukan peran mereka, misalnya. Namun, tantangannya adalah, Anda tahu, Anda ingin melakukan perubahan ini, dan Anda secara tidak sengaja mengambil beberapa izin dari mereka, mungkin. Dan sekarang mereka tidak dapat mengoperasikan mesin atau peralatan penting di bangsal yang akan membantu menyelamatkan nyawa seseorang. Jadi keakuratan pengambilan keputusan untuk menerapkan solusi IGA, misalnya, harus benar-benar tepat. Jadi kemampuan untuk membuat perubahan pada saat itu mungkin harus melalui berbagai lapisan pengambilan keputusan, sehingga menjadi lambat. Karena hal terakhir yang ingin kita lakukan adalah pergi, kan, mari kita terapkan alur kerja ini dan sekarang seseorang tidak bisa menyelamatkan nyawa untuk pergi ke contoh paling ekstrem atau memberikan sesuatu dari apotek.

INGO SCHUBERT
Namun pada saat yang sama dengan, terutama tata kelola identitas, tentu saja, ada, Anda tahu, perbaikan cepat dalam kasus ini, yang tentu saja tidak, hanya memberikan lebih banyak hak akses kepada semua orang, pada dasarnya, lebih banyak hak yang biasanya mereka lakukan. Apakah itu pendekatan yang valid? Apakah itu merupakan kompromi yang baik? Tidak, itu sungguh-sungguh, saya kira, bukan?

PAUL MULVIHILL
Ya, karena jika satu orang diretas, satu akun dibobol, dan mereka memiliki terlalu banyak izin, apa yang terjadi? Anda bisa masuk dan petugas kebersihan yang diberi segalanya karena mereka adalah anggota staf di rumah sakit bisa masuk ke sistem apotek dan mendapatkan akses ke obat-obatan atau perubahan catatan pasien. Benar. Namun, seperti yang dikatakan Jon, ada begitu banyak potensi konsekuensi dari membuat perubahan dalam menegakkan kebijakan atau menegakkan jalur izin yang paling sedikit, sehingga hampir seperti melumpuhkan risiko. Saya bisa saja menerapkan kebijakan yang menghapus izin untuk X, Y, dan Z. Jika Anda belum benar-benar yakin, apakah Anda sudah melakukan analisis, benar, ini memengaruhi 50 orang, apakah 50 orang tersebut mengakses sumber daya ini? Jika salah satu dari mereka sudah, Anda harus terus melakukan peninjauan ulang. Apakah satu orang tersebut perlu diberikan izin khusus? Jika tidak ada, dan Anda telah memantaunya cukup lama, oke, maka ya, Anda dapat menerapkannya, ya, kami akan menghapusnya. Namun ada semacam ketakutan jika saya mengambil sesuatu dan kemudian terjadi skenario yang tidak pernah bisa Anda rencanakan dalam perawatan kesehatan. Anda bisa mencoba dan menebak-nebak, tetapi Anda tidak akan pernah bisa merencanakan keadaan darurat yang membutuhkan sesuatu. Saya telah menghapus izin ini. Sekarang, satu skenario telah muncul di mana perawat ini atau dokter ini atau seseorang perlu melakukan sesuatu dan tiba-tiba mereka tidak bisa.

INGO SCHUBERT
Tidak hanya mengoperasikan mesin saja. Bisa juga seperti mengakses data di suatu tempat, bukan? Kami memiliki catatan kesehatan, misalnya. Jadi saya mengerti di mana di perusahaan biasa, ini mungkin, mungkin buruk jika seseorang memiliki hak yang terlalu sedikit. Mereka tidak bisa melakukan pekerjaan mereka, tapi, Anda tahu, mereka mengajukan permohonan, dan disetujui. Anda tahu, ini seperti, ya, ini buruk. Mungkin terlambat beberapa jam, mungkin keesokan harinya, tetapi, Anda tahu, ini bukan masalah besar, sedangkan di lingkungan perawatan kesehatan, ini sebenarnya secara harfiah bisa berarti masalah besar. Dan, Anda tahu, mungkin tidak akan selesai pada saat itu juga, tetapi, Anda tahu, ini sebenarnya bisa berarti bahwa seseorang tidak mendapatkan perawatan yang mereka butuhkan ketika mereka membutuhkannya.
PAUL MULVIHILL
Jika itu adalah perusahaan dan seseorang mendapatkan akses ke data, mungkin seseorang memesan sesuatu dengan kartu kredit yang kemudian Anda bisa mendapatkan pengembalian penuh dengan kartu kredit untuk memperbaikinya atau pesanan dibatalkan. Maksud saya, beberapa di antaranya cukup parah, tidak terlalu parah, tetapi jika dalam bidang kesehatan, seseorang mengubah catatan medis Anda. Seseorang membagikan detail yang seharusnya tidak dibagikan. Ada lebih banyak konsekuensi yang bisa terjadi. Atau informasi yang bocor yang benar-benar dapat memberikan efek jangka panjang pada Anda. Seperti yang Anda katakan, bisa jadi beberapa obat yang Anda andalkan dihentikan. Apakah Anda sudah mendekati akhir masa berlaku obat tersebut dan sebenarnya, mereka menghapus rinciannya ketika Anda harus melalui semua verifikasi ulang tentang apa yang sebenarnya, ya, saya membutuhkannya, memperlambatnya lebih jauh, menundanya, yang memiliki lebih banyak efek lanjutan. Itu karena salah satu sektor di mana, apa yang mungkin terlihat sebagai perubahan kecil di perusahaan dan sektor swasta dalam perawatan kesehatan, masalah dan konsekuensinya bisa mencapai 10, 20, 30 kali lipat.

JON NICHOLAS
Ya, dan pada angka-angka semacam itu, ketika Anda melihat, Anda tahu, pelanggaran data dalam skenario semacam ini, seperti rekam medis sangat berharga ketika diperdagangkan di web gelap, lebih dari rincian kartu kredit, misalnya, dan salah satu area yang dapat digunakan adalah seperti penipuan asuransi, yang dapat membawa uang yang sangat besar, Anda tahu, uang, Anda tahu, kompensasi, saya kira, jika seseorang mengajukan permintaan itu, mereka tahu riwayat medis Anda, maka mereka dapat melakukan asuransi itu ke depan atas nama Anda, dan, Anda tahu, itu sangat menggiurkan. Jadi di sinilah, Anda tahu, para penyerang ingin masuk. Mereka, mudah-mudahan, katanya, tidak ingin, Anda tahu, mempertaruhkan nyawa siapa pun, tetapi imbalan finansial dengan memiliki catatan medis ini dan kemudian mengambilnya untuk mendapatkan keuntungan finansial adalah apa yang akan mereka incar.

INGO SCHUBERT
Maksud saya, informasi itu akan sempurna dari penyerang untuk melakukan serangan spearfishing pada seseorang. Jika Anda sudah mengetahui detail medis, ya, itu hanya meningkatkan tingkat kepercayaan, yang membuat Anda lebih curiga terhadap jenis serangan seperti itu, bukan? Atau hanya, Anda tahu, entahlah, pemerasan atau semacamnya. Ya, ada banyak hal yang bisa Anda lakukan dengan catatan-catatan itu, bukan? Jadi, ya, saya bisa melihatnya. Jadi, kembali ke hal yang praktis, Anda tahu, apa yang sebenarnya terjadi di, misalnya, rumah sakit? Apa alur kerja otentikasi yang biasa dilakukan seseorang?

JON NICHOLAS
Saya tidak tahu apakah mereka akan menjadi tipikal.

INGO SCHUBERT
Baiklah, oke.

JON NICHOLAS
Kita telah berbicara tentang sistem, tetapi apa yang harus mereka lakukan? Mungkin pertanyaannya, tetapi Anda tahu, harus selalu ada, harus selalu ada langkah MFA dengan, Anda tahu, proses tambahan di bagian belakang, dapatkah Anda memanfaatkan akses bersyarat ketika kita berbicara dari sudut pandang IAM, dapatkah Anda memanfaatkan - saya akan mengatakan dapat memanfaatkan AI untuk memahami apakah pengguna tersebut adalah pengguna yang tepat pada waktu yang tepat dan melakukannya secara dinamis daripada memiliki admin yang mencoba menyusun kebijakan akses bersyarat berdasarkan basis pengguna yang sangat luas dan tumpukan teknologi yang sangat luas, jadi ya, gunakan alat untuk keuntungan Anda dan selalu minta siapa pun untuk meningkatkannya saat mereka benar-benar berada dalam catatan kritis.

INGO SCHUBERT
Jadi satu hal yang saya perhatikan dalam industri ini, menurut saya yang paling dekat dengan saya mungkin adalah manufaktur di lantai produksi adalah perangkat bersama. Sepertinya saya tidak akan mengatakannya sebagai norma, tetapi seperti jumlah perangkat yang digunakan bersama yang sangat tinggi. Bagaimana cara kita mengatasinya?

PAUL MULVIHILL
Ya, Anda memiliki tenaga kerja yang bekerja katakanlah dengan shift 8 jam, Anda tidak akan memiliki setiap hari seseorang yang berperan memiliki perangkat sendiri, jadi Anda akan memiliki satu perangkat yang digunakan bersama oleh setidaknya 3 orang dan dalam beberapa kasus digunakan bersama oleh 5, 6, atau 7 orang karena bisa saja perangkat tersebut digunakan di stasiun perawat, hal semacam itu. Cara terbaik untuk melindunginya? Maksud saya, Anda akan memasukkan semacam kredensial pada nama pengguna dan kata sandi. Maksud saya, saya sudah pernah masuk dan melihat orang-orang dengan token OTP kecil, token perangkat keras, karena mereka sulit dibunuh. Mereka cukup tangguh. Tapi apakah itu cukup? Karena itu adalah kata sandi yang hanya berlaku sekali. Anda harus memiliki seseorang yang bisa masuk ke komputer, masuk, dan menggunakannya. Tapi mereka sudah dicoba dan diuji. Orang-orang tahu cara menggunakannya dan Anda memiliki banyak orang di industri ini yang dapat berjalan di lantai dengan salah satu dari kami yang berbicara tentang tubuh dan bagaimana area tubuh mereka bekerja, berikan mereka kunci FIDO dan minta mereka untuk membiasakan diri menggunakan itu atau ponsel dengan dorongan untuk menyetujui biometrik, ini hanyalah area yang sama sekali berbeda untuk mereka pikirkan, ini adalah bagian dari zona nyaman dan pengetahuan teknis Anda ada di sini. Namun, kami mencoba untuk mengatakan, ya, untuk menggunakan hal tersebut. Anda harus menambahkan semua elemen lain ke dalamnya.
 
INGO SCHUBERT
Ditambah lagi, menurut saya, hal ini tidak jauh berbeda dengan beberapa area lain di industri lain di mana, misalnya, ponsel, tidak bisa dibawa ke mana-mana. Ada beberapa tempat yang sama sekali tidak mengizinkan Anda membawa ponsel pintar atau perangkat pintar, titik, baik karena alasan privasi, karena saya memiliki kamera atau, entahlah, seperti, Anda tidak diizinkan memiliki koneksi Wi-Fi di suatu tempat karena mengganggu mesin lain. Jadi, ya, Anda perlu opsi, ya. Ditambah lagi, seperti, Anda tahu, generator OTP, Anda bisa mencelupkannya ke dalam disinfektan, jika Anda mau.

PAUL MULVIHILL
Ya, maksud saya, saya mengobrol dengan seorang pelanggan beberapa hari yang lalu, dan mereka punya semacam itu, yah, ini bukan medis, tapi ini adalah skenario di mana tidak ada ponsel. Lingkungan fisiknya dikunci dari segi keamanan. Jadi ya, mereka memiliki token perangkat keras dengan kode sandi sekali pakai atau mereka akan melihat seperti kunci Fido. Maksud saya, beberapa yang baru seperti RSA iShield adalah mereka memiliki seluruh FIDO nirsentuh dan elemen-elemen seperti itu di dalamnya. Jadi, di masa lalu bisa berupa kata sandi nama pengguna dan kemudian kode sandi sekali pakai atau menggunakannya dalam kode sandi. Anda bisa masuk ke dunia nyata, oke, pergi ke komputer, gunakan nama, ketuk, masukkan pin, dan Anda masuk.

INGO SCHUBERT
Itu saja.

PAUL MULVIHILL
Ini adalah proses kami yang semakin cepat. Dan ada area lain yang juga mengalami kemajuan, di mana hal ini mungkin akan menjadi lebih sederhana di masa mendatang. Maksud saya, beberapa elemen dari FIDO dan Passkey, mereka dapat menyimpan, semacam, mereka mulai mempelajari sedikit tentang siapa mereka, sehingga Anda dapat mengasosiasikannya dengan seseorang. Jadi pada akhirnya, Anda tinggal datang dengan kunci FIDO, lalu memasukkannya ke dalam mesin.

INGO SCHUBERT
Tentu saja, jika Anda memiliki ketukan NFC ini, maka masalah kegunaan akan berkurang. Anda tidak perlu membaca sesuatu dan mengetuk sesuatu lagi di mana bisa saja terjadi kesalahan karena Anda salah membaca angka yang benar atau Anda memiliki angka yang benar dan mengetuknya dengan salah. Jadi itu menghilangkan hal itu.

PAUL MULVIHILL
Dan jika Anda memiliki seseorang yang memiliki gangguan penglihatan, membacanya dari layar kecil yang berputar, mungkin tidak mudah. Jadi sekali lagi, ini adalah NFC.
INGO SCHUBERT
Aku mengerti.

PAUL MULVIHILL
Siapa pun di sektor apa pun dapat mengambil manfaat dari elemen tersebut.

JON NICHOLAS
Mungkin salah satu sektor yang paling penting untuk menyeimbangkan keamanan dan kenyamanan karena kami tidak ingin memperlambat aliran otentikasi dan aliran akses bagi orang-orang yang mungkin terburu-buru untuk melakukan sesuatu yang sangat penting, sehingga keamanan dan kenyamanan pada saat yang sama akan menjadi sangat penting.

INGO SCHUBERT
Jadi, memiliki beberapa metode autentikasi menjadi penting, tidak hanya untuk satu pengguna, mungkin ada pengguna yang memiliki beberapa metode, tetapi karena mereka semua memiliki jenis peran yang berbeda di luar sana, seperti yang Anda pahami, ya? Jadi, tidak ada satu jenis yang cocok untuk semua.

PAUL MULVIHILL
Ya.

JON NICHOLAS
Tentu saja tidak. Tentu saja dalam organisasi sebesar itu.

PAUL MULVIHILL
Seperti yang Anda sebutkan tentang peran yang berbeda, Anda kembali ke sisi tata kelola untuk memastikan bahwa setiap orang melakukan peran mereka, Anda telah memetakan dengan benar apa yang dapat mereka lakukan. Seorang perawat dan rumah sakit akan memiliki satu set hal yang harus dapat mereka lakukan, seorang dokter, seorang porter atau seseorang di bagian resepsionis. Dan saya bahkan mungkin tidak bisa membuat daftar sejumlah peran yang berbeda yang ada di sana dan mereka semua memiliki persyaratan yang berbeda dan hak akses yang berbeda. Jadi, Anda harus memastikan bahwa Anda dapat memetakannya dan pergi, oke, oke, orang ini memiliki peran tersebut dan memastikan bahwa proses tata kelola yang ada dan sistem siklus hidup yang ada berjalan dengan baik, oke, inilah peran Anda, inilah yang dapat Anda miliki, lalu memetakannya kembali ke metode yang sesuai sehingga Anda dapat melakukan pekerjaan Anda tanpa menghabiskan waktu 20 menit sehari untuk meningkatkan MFA, Anda mungkin ingin sekali atau dua kali sehari dan kemudian mungkin memanfaatkan beberapa sisi AI dan beberapa analitik perilaku untuk melakukannya, saya masuk, Saya menggunakan komputer yang selalu saya gunakan, saya mengakses sumber daya yang selalu saya akses, lakukan sekali, dan saya masuk, lanjutkan.

INGO SCHUBERT
Jadi, tetap di sisi tata kelola, sisi tata kelola identitas, bagaimana, mengapa kemudian, seperti, bergabung dengan tuas, mengapa itu sangat penting dalam lingkungan perawatan kesehatan?

JON NICHOLAS
Saya rasa ketika Anda melihat, sekali lagi, saya sering menyebutkan skalanya, namun Anda lihat, dan Paul telah menyebutkannya, orang-orang mungkin berpindah antar trust, namun di dalam sebuah trust, Anda juga berpindah peran, mungkin secara teratur. Jadi skala proses JML mereka, maksud saya, puluhan, ratusan ribu perubahan per hari. Jadi, menjadi yang teratas dari sudut pandang otomatis akan sangat penting. Dan tidak hanya mengotomatiskannya, tapi juga memiliki timeline yang tepat, Anda tahu, Anda akan berganti peran dalam waktu tiga hari, bukan? Itu ada di dalam sistem. Dalam tiga hari Anda berubah dari peran A ke peran B, dilakukan secara otomatis di bagian belakang. Dan Anda tahu peran yang akan Anda jalani, atau sistem tahu peran yang akan Anda jalani dan tahu izin yang Anda perlukan, bukan lagi kasus saya harus berbicara dengan manajer Anda dan berkata ‘hei Ingo akan bergabung dengan tim Anda minggu depan, apa yang seharusnya bisa dia lakukan’, melainkan Ingo sudah bergabung dengan tim dan bisa melakukan semua yang harus dia lakukan sejak hari pertama.

INGO SCHUBERT
Dan itu juga berarti bahwa peran A tidak lagi bersama saya, maka jika saya berganti kepercayaan tentu saja ya?

JON NICHOLAS
Ya, ya.

INGO SCHUBERT
Jadi, akumulasi hak atau waktu ini, yang saya pikir kita semua pernah melihatnya dalam karier kita pada satu titik waktu adalah

JON NICHOLAS
Tunjukkan identitas Anda jika Anda mau.

INGO SCHUBERT
Ya, ya.

PAUL MULVIHILL
Sebagai tambahan dari apa yang dikatakan Jon, jika Anda berpindah-pindah situs dan kepercayaan serta peran yang berbeda, akun yang dibuat untuk Anda di situs A, jika Anda tidak kembali selama tiga, empat, lima minggu atau bahkan selama dua atau tiga hari, dengan sisi siklus hidup dan elemen pengungkitnya, Anda bisa langsung menonaktifkan akun tersebut. Jadi, Anda tidak memiliki skenario akun yatim piatu di mana akun ini ada, akun ini memiliki tingkat izin. Akun ini hanya didiamkan saja dan tidak digunakan, yang berarti akun ini adalah vektor serangan lain. Sehingga seseorang tidak dapat masuk dan kemudian masuk ke dalam ranah melakukan serangan seperti ransomware pada trust dan semua hal semacam itu. Anda hanya perlu menguncinya karena Anda tidak berada di sini lagi. Jika Anda kembali dalam dua hari, dalam dua hari sistem akan menyalakannya kembali.

INGO SCHUBERT
Benar.

PAUL MULVIHILL
Sampai saat itu, ini bukanlah sebuah pilihan. Ini dimatikan. Tidak dapat digunakan.

INGO SCHUBERT
Dan visibilitas yang menyertainya, maksud saya, tentu saja sistem akan mengetahui, Anda tahu, peran mana yang Anda miliki, peran mana yang akan Anda miliki, peran yang telah Anda miliki. Saya rasa, dan koreksi saya jika saya salah, namun jika Anda diaudit, informasi dan visibilitas tersebut akan sangat berguna.

PAUL MULVIHILL
Anda akan memiliki riwayat lengkap tentang siapa yang dapat melakukan apa pada saat itu. Jadi, jika terjadi sesuatu dari perspektif audit, apakah Anda mematuhi kriteria audit ini? Ya, inilah buktinya. Jika Anda memiliki semacam platform tata kelola pusat, semuanya ada di sana. Jadi Anda bisa tahu, kan, bahwa kami baik-baik saja, tidak ada masalah. Dan jika terjadi sesuatu yang tidak diinginkan, semoga saja jarang terjadi, Anda bisa menggunakan kumpulan data yang sama untuk mengatakan, siapa yang memiliki akses ke hal ini pada saat itu? Tergantung pada pencatatan tambahan apa yang bisa Anda tarik ke dalam ekosistem dan Anda kemudian bisa mengatakan, ya, akun-akun ini mungkin melakukan sesuatu, tetapi Anda bisa mengatakan, ya, siapa yang memiliki akses ke sana? Siapa yang bisa melakukan sesuatu.

INGO SCHUBERT
Jadi hal ini membantu dalam investigasi. Jika sesuatu terjadi, maksud saya, sebagai insinyur keamanan yang baik, Anda selalu berasumsi bahwa sesuatu akan terjadi, pada akhirnya Anda akan dibobol. Hal ini juga membantu Anda, selama proses pembersihan, untuk melihat apa yang terjadi, siapa saja yang terkena dampaknya.

PAUL MULVIHILL
Anda selalu berasumsi bahwa sesuatu, Anda selalu berasumsi bahwa ada kemungkinan untuk dibobol. Jadi, Anda melakukan sebanyak mungkin langkah dan pemeriksaan serta keseimbangan untuk meminimalkan dampaknya, kecuali jika Anda akan mengambil komputer itu, mencabutnya, kalau-kalau komputer itu di semen dan menjatuhkannya ke parit Areana atau semacamnya, hal itu tidak akan terjadi. Jadi, Anda harus memastikan bahwa jika atau ketika sesuatu terjadi, dampaknya akan sekecil mungkin terhadap keadaan.

JON NICHOLAS
Ya, saya rasa untuk menambahkan hal tersebut, Anda melihat data yang Anda dapatkan dari pendekatan tata kelola, ini bukan hanya tentang dapatkah kita memberikan informasi kepada auditor. Saya rasa Anda juga melihat, apakah kita bisa memahami apa yang kita miliki saat ini. Jadi kematangan proses, saya banyak berbicara tentang proses dalam sesi ini, tetapi Anda tahu, Anda pergi, Anda melihat tim, Anda melihat hak-hak peran mereka. Anda lihat, tunggu dulu, tidak ada seorang pun dalam tim tersebut yang menggunakan hak ini selama enam bulan, setahun, atau berapa pun jangka waktu yang Anda tentukan, dan sistem akan mengatakan bahwa hak tersebut belum digunakan. Mari kita lihat untuk menghapus hak tersebut, karena hak tersebut sudah berakhir, mungkin ada alasan yang sangat bagus mengapa mereka tidak menggunakannya lagi. Mungkin ada sistem paralel yang mereka gunakan untuk melakukan bagian dari beban kerja tersebut. Jadi, Anda bisa mendapatkannya di sistem yang baru, dan mengambilnya dari sistem yang lama. Namun Anda membutuhkannya, Anda tahu, kecerdasan otomatis untuk benar-benar membantu Anda menemukan informasi tersebut, karena jika tidak, Anda akan melakukan audit manual secara penuh dan saya tidak tahu apa yang Anda gunakan di sistem tersebut selama enam bulan terakhir, namun sistem akan tahu bagaimana Anda menggunakannya. Jadi gunakan intelijen tersebut untuk mengatakan, benar, mari kita buat keputusan yang tepat untuk bekerja menuju zero trust atau paling tidak privilege.

INGO SCHUBERT
Ya, di sinilah keistimewaan muncul.

PAUL MULVIHILL
Kemudian Anda mendapatkan sisi lain dari, seperti yang Anda katakan, Anda dapat mulai melihat di mana hak istimewa izin khusus ini tidak mereka gunakan. Sebenarnya, 80 orang dari tim % telah melakukan hal ini, tetapi ini bukan bagian dari peran resmi mereka. Apakah kita perlu menambahkannya sehingga kita bisa memastikan bahwa seluruh tim bisa melakukannya karena mereka harus bisa melakukannya daripada 8 dari 10 orang yang mengatakan, ya, bisakah saya mendapatkan akses ke sistem B, tolong, karena saya membutuhkannya untuk melakukan X.

INGO SCHUBERT
Mengelola dengan pengecualian, pada dasarnya, ya. Membersihkannya, ya.

PAUL MULVIHILL
Mari kita mulai, yah, sebenarnya, Anda tahu, 80 % di antaranya menggunakannya. Mari kita jadikan ini sebagai bagian resmi dari peran mereka sehingga kita bisa mematuhi audit dan kepatuhan dan semacamnya, benar, ya, tim ini membutuhkan ini. Ini adalah bagian dari peran mereka. Ada orang lain yang bergabung, ada orang lain yang keluar, kita matikan akses tersebut karena itu adalah bagian dari peran yang mereka miliki, atau kita berikan kepada orang baru yang melakukan hal yang sama, hanya untuk menjaga agar semua tetap sejalan dan visibilitas bahwa inilah yang dapat dilakukan oleh orang-orang ini.

INGO SCHUBERT
Jadi, apa yang akan Anda sampaikan kepada CIO, CIO layanan kesehatan, dari mana mereka harus memulai? Karena, Anda tahu, ada begitu banyak hal yang bisa mereka mulai, namun seperti daftar prioritas kecil, mungkin, apa yang akan Anda katakan kepada mereka?

JON NICHOLAS
Saya rasa saya akan mendorong mereka, dan mereka sudah melihat hal ini, tetapi alasan sebenarnya adalah memiliki fokus yang nyata pada perlawanan terhadap phishing. Saya rasa dari situlah saya akan mulai, karena banyak layanan kesehatan mengandalkan email sebagai metode komunikasi utama mereka. Dan kita tahu bahwa itu adalah vektor serangan yang sangat rentan untuk memancing. Dan tidak hanya itu, tetapi mereka yang menggunakan sistem tersebut bekerja di lingkungan dengan tekanan tinggi. Anda tahu, mereka masuk, perlu melakukan sesuatu dengan cepat, email masuk, mereka baru saja berhasil menekannya di waktu yang tepat, ya, menjalankannya dengan panik. Tidak panik, tetapi hanya dalam alur normal dan secara tidak sengaja, Anda tahu, melepaskan kredensial dan data mereka ke situs phishing tersebut. Jadi, dengan mengambil otentikasi resistensi phishing ke dalam hal itu, kami hanya akan membahas yang Anda ketahui dari awal, terutama karena ini adalah jenis komunikasi email yang sangat terfokus pada sektor yang tentu saja akan saya bahas.
 
PAUL MULVIHILL
Saya mungkin setuju jika Anda memulai dengan bagian resistensi phishing semacam itu, hal berikutnya adalah visibilitas tentang apa yang dapat dilakukan tenaga kerja Anda, jadi mungkin agak sedikit di belakang tetapi secara paralel, mari kita amankan pintu depan, pastikan bahwa resistensi phishing mendekati dan yang sedang berjalan, tetapi kemudian dapatkan semacam alat visibilitas tata kelola yang berjalan untuk mengatakan, oke, siapa saja yang ada, akun apa saja yang ada, apa yang dapat mereka lakukan, jangan lakukan perubahan, tetapi secara harfiah kumpulkan saja semua informasi itu untuk mulai melihat seberapa besar situasi yang kita miliki dengan akun dan izin. Apa yang digunakan, apa yang tidak, siapa yang bisa melakukan apa, siapa yang tidak bisa melakukan apa. Karena setelah Anda mendapatkan datanya, Anda bisa mulai mengatakan, ini adalah perubahan yang bisa saya lakukan yang tidak memiliki efek karena tidak ada yang menggunakannya. Namun, perubahan apa yang harus saya lakukan untuk memberdayakan tim agar dapat melakukan pekerjaan mereka dengan lebih efisien di masa mendatang.

INGO SCHUBERT
Baiklah, terima kasih teman-teman. Ada beberapa wawasan yang sangat bagus tentang keamanan identitas dalam sistem perawatan kesehatan. Jika Anda menikmati diskusi seperti ini, pastikan Anda berlangganan untuk mendapatkan pemberitahuan ketika kami merilis episode baru. Ini adalah RSA Identity Unmasked. Sampai jumpa bulan depan.

INGO SCHUBERT: Selamat datang di RSA Identity Unmasked. Hari ini, kita akan membahas topik yang sering diabaikan, yaitu keamanan meja bantuan. Hari ini, saya bergabung dengan John dan Paul, dan kami akan membahas kasus-kasus nyata, risiko, dan kontrol yang membantu mengurangi risiko tersebut.

Mengapa meja bantuan menjadi target? Mulailah dengan yang satu ini.

JON NICHOLAS: Ya, saya dengan senang hati akan terjun langsung. Saya rasa ketika Anda melihat peran help desk pada awalnya, hal yang paling utama adalah mereka ingin membantu orang. Jadi siapa pun yang menelepon ke meja bantuan akan memanfaatkan sifat baik admin meja bantuan untuk mengatakan, hei, bisakah Anda membantu saya dengan sesuatu? Jadi tidak masalah jika Anda seorang karyawan perusahaan, saya benar-benar membutuhkan bantuan. Namun ketika Anda adalah pelaku ancaman yang menelepon, mereka bisa berdoa dan mengatakan, benar, orang ini bersedia membantu saya. Dan hal ini akan menjadi lebih buruk jika proses di dalam organisasi tersebut juga buruk, karena admin Help Desk tidak lagi dibatasi oleh proses yang mengatakan, saya hanya bisa melakukan X, Y, Z. Mereka bisa saja melampaui batas-batas tersebut dan mengatakan, saya akan mencoba membantu Anda melakukan ABC juga. Itu adalah risiko nyata bagi help desk di sana, bahwa mereka bisa dieksploitasi ketika tidak ada proses yang kuat.

PAUL MULVIHILL: Apa yang juga Anda tambahkan dengan itu adalah beberapa meja bantuan, ada beberapa KPI mereka, saya harus menutup, ada yang menelepon, saya harus menutup tiket, saya harus menyelesaikannya. Dan ini semua adalah hal-hal yang jika Anda tidak bisa menyelesaikannya, saya akan memainkannya. Anda ingin menutup tiket, saya telah menelepon, Anda telah membuatnya, saya akan melakukan apa yang saya bisa untuk membuat Anda memberikan informasi yang saya inginkan dan melewati proses yang mungkin atau mungkin tidak ada.

INGO SHUBERT: Ya, saya rasa jika Anda pernah bekerja di meja bantuan - saya pernah bekerja sebentar, maksud saya seperti statistik, berapa banyak tiket yang terbuka, Anda tahu rata-rata waktu penutupan tiket dan semua ini dan terkadang ada di monitor besar, jadi saya rasa itu menciptakan lingkungan dengan tingkat stres yang tinggi yang sangat cocok untuk serangan rekayasa sosial. Oke ya ya. Apakah itu benar-benar berubah baru-baru ini seperti apa yang berubah sehingga ini sekarang seperti rute serangan utama?

PAUL MULVIHILL: Ini mungkin merupakan serangan untuk sebuah rute untuk sementara waktu, tetapi kami jelas lebih sering masuk ke dalam berita akhir-akhir ini. Kami memiliki koperasi Mark Spencer, JLR, Jaguar, Land Rover dalam 12 bulan terakhir. Mereka semua terkena dampaknya sebagian karena meja bantuan menjadi sasaran. Seseorang berhasil meyakinkan seseorang untuk memberikan kredensial akun, masuk, dan kemudian melakukan banyak hal yang tidak baik.

JON NICHOLAS: Ya dan saya bertanya-tanya peran apa yang dimiliki oleh outsourcing IT di sini karena Anda tidak lagi hanya mengenal karyawan Anda dari organisasi A yang mengandalkan pihak ketiga dan kami selalu berbicara tentang pihak ketiga terhadap risiko sebelumnya dalam industri ini, jadi seberapa besar pengaruhnya terhadap hal tersebut, dan kemudian hal tersebut digabungkan dengan pergantian staf di help desk yang mungkin masa kerja teknisi help desk mungkin cukup singkat, sehingga mereka harus mengetahui proses Anda, mengetahui tanggung jawabnya, dan bagaimana hal tersebut dapat berdampak pada bisnis yang dilayaninya. Mungkin ada keterbatasan pengetahuan di sisi itu juga.

INGO SHUBERT: Oke. Ya. Dan tentu saja jika mereka tidak mengetahui budaya perusahaan, ya, mereka akan kesulitan.

PAUL MULVIHILL: Nah, jika Anda memiliki seperti yang Anda katakan meja bantuan outsourcing, Anda mungkin tahu prosedurnya, tetapi Anda tidak tahu orang-orangnya. Benar. Jadi apa yang bisa Anda lakukan untuk mengatakan, oke, saya menelepon Anda? Kita belum pernah bertemu sebelumnya. Kita belum pernah ke kantor sebelumnya.

INGO SHUBERT: Bagaimana itu, seperti, serangan yang sebenarnya, bagaimana hal itu bisa terjadi? Maksud saya, seperti apa serangan yang biasa terjadi dalam kasus ini? Apa yang ingin dicapai oleh si penyerang? Dan bagaimana ia melakukannya?

PAUL MULVIHILL: Menurut saya, bisa jadi, dari sekadar mencoba mengatur ulang akun hingga mendapatkan bantuan untuk masuk ke jaringan VPN. Maksud saya, kita hidup di dunia di mana ada banyak media sosial yang membahas tentang apa yang orang lakukan. Saya punya teman yang pada dasarnya mempublikasikan kehidupan mereka di media sosial untuk berbagai alasan. Beberapa alasannya masuk akal, beberapa tidak. Jadi, jika Anda ingin mencari tahu tentang seseorang, Anda mungkin bisa mulai melacak sumber-sumber dan mengumpulkan banyak informasi. Jadi, Anda menelepon ke meja bantuan dan Anda mungkin sudah mengetahui di mana seseorang dilahirkan atau nama hewan peliharaannya, semua ini, itu, dan yang lainnya, sehingga Anda bisa langsung pergi, ya, saya perlu mengatur ulang kata sandi. Apa langkah hari ini untuk mengetahui, apa langkah hari ini agar Anda tahu siapa saya, siapa yang saya katakan? Mungkin pertanyaan keamanan.

INGO SCHUBERT: Benar. Jadi pada dasarnya ini adalah kombinasi dari beberapa hal, yang mungkin saja merupakan pengetahuan yang dimiliki penyerang, baik dari jejaring sosial. Saya tahu ini bisa jadi seperti serangan yang berbeda mungkin atau data yang mereka beli dan broker data, ilegal atau tidak. Dan kemudian dengan dikombinasikan dengan, Anda tahu, lingkungan bertekanan tinggi yang kita bicarakan di awal, ya, itu tampaknya menjadi target yang sangat bagus dan menarik bagi para penyerang, bukan?

JON NICHOLAS: Ya, selain itu juga, kami banyak berbicara tentang meneliti individu yang mungkin ingin mereka tiru, namun saya pikir dengan, Anda tahu, alat yang tersedia saat ini untuk kita semua, kita bisa pergi dan berkata, hei, apa yang digunakan oleh perusahaan X dalam infrastruktur TI mereka? Seperti apa susunan teknologi mereka? Jadi, saat Anda melakukan percakapan dengan bagian bantuan, Anda bisa lebih kredibel. Ini bukan tentang bisakah saya mendapatkan akses ke VPN. Ini seperti, oh, VPN Palo Alto tidak berfungsi untuk saya. Dapatkah Anda membantu saya dengan itu? Jadi secara instan, mereka akan langsung pergi, ini lebih familiar.

INGO SHUBERT: Saya ingin mengatakan, dalam kasus ini, kedengarannya seperti, Anda tahu, Anda sebagai penyerang, terdengar lebih akrab, yang berarti Anda adalah salah satu dari kami, ya, jadi saya lebih mempercayai Anda dengan meja bantuan outsourcing, ya, Anda adalah salah satu dari mereka, karena pada akhirnya, Anda tahu, Anda bukan bagian dari perusahaan.

PAUL MULVIHILL: Saya menonton sebuah video, tentang salah satu konvensi belum lama ini, dan ada seseorang yang dibayar untuk meretas perusahaan melalui meja bantuan. dan video tersebut menunjukkan bahwa ia mendapatkan akses ke sistem meja bantuan dalam waktu sekitar 30 detik, karena pada dasarnya ia menelepon, ia berhasil memalsukan nomor telepon agar terlihat seperti berasal dari perusahaan tersebut, sehingga seketika itu juga orang-orang di meja bantuan akan berpikir, "Oh, ini orang dalam." Dan kemudian mereka meyakinkan mereka, dengan mengajukan pertanyaan - berpura-pura menjadi pengguna atau memiliki informasi tentang apa itu sistem VPN, apa itu VPN, untuk membuat mereka membantu mereka mengakses sebuah situs web, yang sebenarnya kemudian memberi mereka akses pintu belakang ke dalam komputer tempat orang tersebut berada.

INGO SCHUBERT: Jadi, ini pada dasarnya mengandalkan bukti untuk otentikasi. Ini lebih seperti, Anda tahu, perasaan yang menyenangkan dan hangat dan tidak jelas yang dihasilkan oleh penyerang. Apakah itu, maksud saya, apa yang seharusnya dilakukan? Maksud saya, seperti, Anda tahu, apa yang bisa mereka bantu untuk melakukan hal ini secara berbeda? Maksud saya, ini tidak terdengar seperti masalah yang benar-benar baru, bukan? Maksud saya, meja bantuan ini sudah ada sejak puluhan tahun yang lalu, bukan?

PAUL MULVIHILL: Ya, maksud saya, saya rasa kita sudah sampai pada titik di mana, maksud saya, dalam hal keamanan TI, kita adalah bagian yang paling lemah dari keseluruhan persamaan. Jika Anda mengandalkan sesuatu yang kami ketahui, Anda mungkin bisa mengetahuinya. Anda harus turun ke dunia nyata untuk melakukan sesuatu di mana melakukan autentikasi dengan seseorang dengan sesuatu yang mereka miliki, yang tidak bisa mereka dapatkan dari sumber lain atau tidak bisa mereka pelajari? Jadi, Anda seperti melakukan semacam langkah MFA, sesuatu di sepanjang garis semacam itu, katakanlah, benar, oke, Anda memiliki sistem, Anda meminta bantuan, buktikanlah. Tapi bukan dengan mengajukan pertanyaan, karena itu bisa saja terjadi.

INGO SCHUBERT: Yah, saya akan mengatakan, yang paling populer adalah pertanyaan keamanan seperti, ya, nama nenek yang membuat nama dan semua ini. Berapa banyak dari mereka yang selalu sama?

Tepat sekali. Kita punya 10 pertanyaan yang sama, pilihlah tiga di antaranya. Ini seperti, yah, Anda tahu? Saya mungkin bisa menemukan daftar itu dan mencari tahu apa jawabannya untuk semua orang.

INGO SCHUBERT: Benar. Jadi kembali ke tema menyeluruh, seperti pada umumnya dalam keamanan identitas, ya, Anda membutuhkan bukti dan bukti yang kuat. Saya rasa Anda telah menyebutkan MFA. Di sinilah MFA kemudian masuk.

PAUL MULVIHILL: Ya. Maksud saya, jika Anda berada di sebuah perusahaan dan memiliki MFA, gunakanlah untuk keuntungan Anda. Jika John memiliki MFA yang sudah disiapkan dan dia menelepon meja bantuan, gunakan itu untuk membuktikan bahwa Anda memang seperti yang Anda katakan. Tentu saja tidak semua MFA dibuat sama, tetapi lebih baik daripada tidak sama sekali, saya mencari tahu tentang John dan mencari tahu di mana dia dilahirkan atau anak perempuan, anak perempuan dari ibu, ini, itu, dan yang lainnya, dan saya menjawab pertanyaannya. Jika itu adalah langkah Anda memiliki pengaturan MFA, buktikanlah.

INGO SCHUBERT: Jadi, bagaimana cara kerjanya sekarang? Jadi dengan RSA ID Plus dalam kasus ini, karena, maksud saya, apa yang perlu dilakukan oleh meja bantuan? Apa yang perlu dilakukan oleh pengguna akhir untuk melakukan hal tersebut? Karena seperti yang dikatakan, Anda melakukan MFA, itu seperti, ya, itu satu hal. Tapi bagaimana cara kerjanya selangkah demi selangkah. Seperti bagaimana, apa yang perlu dilakukan oleh pengguna?

PAUL MULVIHILL: Dengan jenis hal ID Plus, Anda memiliki sedikit dua sisi dalam hal ini, panggilan terjadi antara dua orang. Petugas meja bantuan menemukan pengguna di dalam sistem dan kemudian mereka memicu sesi verifikasi. Pengguna akhir yang menelepon mengetahui URL-nya, atau telah diajarkan ke URL yang harus mereka tuju dan kemudian di titik akhir, mereka akan melakukan MFA. Perusahaan akan memutuskan apakah itu FIDA, apakah itu didorong untuk menyetujui, biometrik, apa pun metode yang mereka pilih dapat diterima. Dan ketika mereka berhasil melakukannya, mereka akan mendapatkan kode verifikasi. Berikan kembali ke petugas meja bantuan. Tapi itu, itu murni nomor verifikasi identitas. Itu bukan nomor otentikasi. Mereka tidak bisa melihat apa pun dengan itu.

INGO SCHUBERT: Benar. Jadi mereka tidak perlu memberikan OTP mereka saat ini atau semacamnya.

PAUL MULVIHILL: Mereka melakukan OTP jika mereka melakukan OTP. Mereka melakukan push approved, biometrik Fido. Mereka melakukan semua itu tanpa membagikan info apa pun pada saat itu. Dapatkan hasilnya. Berikan hasilnya kepada petugas meja bantuan, yang sekali lagi hanya untuk memverifikasi. Ini bukan otentikasi apa pun. Dan kemudian
orang help desk pergi, benar, beri saya nomor ini, satu, dua, tiga, empat, lima, masukkan, sistemnya berjalan, ya, saya mengharapkan bahwa ini adalah yang mereka katakan.

INGO SCHUBERT: Selamat datang di RSA Identity Unmasked, Vodcast di mana kami menguraikan kekuatan yang membentuk masa depan keamanan identitas. Saya pembawa acara Anda, Ingo Schubert, dan hari ini kita akan membahas topik yang sedang hangat diperbincangkan di industri ini, yaitu komputasi kuantum. Hari ini saya ditemani oleh David Lello dari Burning Tree. Mari langsung saja kita bahas. Saat ini, komputasi kuantum, hype, ancaman, peluang, atau ketiganya. Kami akan mengulas kembali perdebatan yang dimulai di Bletchley Park pada bulan September tahun lalu bersama David Lilo dari Burning Tree dan saya sendiri, Ingo Schubert. Jadi mari kita langsung membahasnya. David, selamat datang di episode ini.

DAVID LELLO: Terima kasih

INGO SCHUBERT: Saya rasa dari manfaat yang diberikan kepada para hadirin, dapatkah Anda menjelaskan dalam beberapa kata apa itu komputasi kuantum sehingga kami berada di tingkat ahli setelah Anda selesai

DAVID LELLO: Baiklah, saya akan mulai dengan cara dasar untuk melihat komputer kuantum karena saya pikir jika kita mulai masuk ke dalam fisika teoritis, saya pikir kita mungkin akan kehilangan beberapa orang.

INGO SCHUBERT: Ya

DAVID LELLO: Jadi, dengan komputer kuantum, komputer kuantum bekerja dengan cara yang berbeda dengan komputer tradisional. Anda memberi tahu komputer untuk melakukan sesuatu. Dengan komputer kuantum, komputer melakukannya dengan cara yang berbeda. Yang digunakannya adalah mekanika kuantum, dan oleh karena itu, dalam dunia mekanika kuantum yang multidimensi, komputer ini melihat data dan melihat data. Ia tidak membaca data dengan cara yang sama, dan sebagai hasilnya, ia dapat membuat hipotesis dan melihat berbagai konstruksi secara bersamaan. Ini seperti ketika Anda membaca buku, komputer tradisional akan membacanya dari awal hingga akhir, sedangkan komputer kuantum akan membaca buku dan melihat datanya. Dan karena itu, komputer kuantum mampu memproses informasi jauh lebih cepat. Dan ketika memecahkan masalah, ini seperti menyelesaikan semua masalah pada saat yang sama daripada melihat masalah dengan mencoba menyelesaikannya secara berurutan.

INGO SCHUBERT: Ya, jadi algoritmanya sangat berbeda, tentu saja. Ya, saya rasa itu mungkin alasan mengapa banyak orang, dan saya juga termasuk di dalamnya, tentu saja, kesulitan dengan bagaimana Anda memprogramnya. Saya pikir dari latar belakang IT tradisional, saya pikir apa yang terkadang membantu saya memahami, seperti, Anda tahu, ini benar-benar binatang yang berbeda, adalah bahwa, Anda tahu, komputer tradisional, seperti setiap bit, ya. Jika Anda memiliki N bit, Anda bisa menyimpan N jumlah data. Itu nol, satu, ya? Dengan kuantum, ini adalah dua pangkat N, ya, yang berarti, langsung, seperti, jika instan lama Anda bekerja, itu seperti, ya, itu jauh lebih banyak, ya, dalam jumlah qubit yang sama dalam kasus ini, bukan? Jadi, oleh karena itu, penyimpanan dan pemrosesan hanya berada di tingkat yang berbeda, bukan? Jadi saya pikir kita tinggalkan saja di situ karena kalau tidak, kita akan berada di sini berhari-hari, bukan? Hanya menjelaskan dasar-dasarnya.

Jadi, topik berikutnya yang ingin saya jelajahi adalah bagaimana keadaan komputasi kuantum saat ini? Di manakah posisi kita saat ini? Karena saya pikir ini mungkin, dan jika orang-orang yang menonton mungkin pernah menyaksikan kami di Bletchley Park, kami memiliki beberapa pendapat yang berbeda tentang di mana kami berada, di mana kami akan berada. Jadi, mari kita mulai dengan Anda. Bagaimana keadaan komputasi kuantum saat ini?

DAVID LELLO: Menurut saya, komputasi kuantum masih dalam tahap awal. Jadi ada sejumlah komputer kuantum di luar sana, dan Anda sebenarnya bisa menyewa waktu pada komputer kuantum sehingga Anda bisa melihat data. Namun, menurut saya, dengan cara komputer kuantum dikembangkan, saya pikir ada sejumlah masalah. Beberapa komputer kuantum membutuhkan banyak kontrol dalam hal seperti suhu. Jadi komputer kuantum beroperasi pada suhu nol mutlak, jadi minus 270 derajat Celcius, yang sangat dingin. Anda membutuhkan fasilitas besar dan peralatan besar serta energi yang besar untuk itu. Jika tidak, Anda akan kehilangan kohesi dan kehilangan stabilitas platform.

Komputer kuantum awal hanya terbakar sepanjang waktu karena masalah itu. Dan itu adalah masalah yang perlu dipecahkan dan diatasi. Masalah lainnya adalah karena komputer kuantum melihat data pada waktu yang sama, maka komputer kuantum menciptakan banyak kebisingan. Jika Anda harus mengambil sesuatu seperti Alkitab dan membaca Alkitab secara instan, daripada membacanya dari awal hingga akhir, itu akan menciptakan narasi dalam pikiran Anda yang tidak dapat dipahami. Dan mencoba untuk dapat mencerna dan memahami serta menyaring apa pesannya menjadi sangat sulit.

Jadi, noise dalam sistem telah menciptakan banyak sekali masalah. Kami telah melihat beberapa keberhasilan yang baik dari Oxford, di mana mereka telah mengurangi tingkat kesalahan dan kebisingan dalam sistem secara signifikan. Tetapi mungkin masalah yang paling signifikan saat ini adalah jumlah hasta yang dapat terjerat sekaligus karena Anda mulai kehilangan kohesi hasta-hasta tersebut ketika Anda mulai melebihi sekitar 100 hasta. Jadi, jumlah qubit yang sebenarnya dapat dijerat sekaligus untuk dapat memproses informasi menjadi terbatas. Dan itu berarti daya pemrosesan dan kemampuan mesin terbatas.

Jadi, ini belum bisa disebut sebagai komputasi kuantum yang relevan secara kriptografis, yang merupakan masalah besar, tetapi sudah pada tahap di mana hal itu terbukti. Ia bekerja. Ia melakukan apa yang dikatakan oleh para ilmuwan. Ini hanya tentang membawanya ke tingkat berikutnya dan berinvestasi lebih jauh. Setiap beberapa bulan, kemajuan lebih lanjut terjadi atau diinvestasikan secara besar-besaran, dan kita mulai melihat kemajuan.

INGO SCHUBERT: Ya, jadi, dan itu benar. Dan saya pikir jika Anda membandingkan komputer kuantum, jika Anda hanya melihat gambar-gambarnya, bukan? Dari, Anda tahu, lima tahun yang lalu dibandingkan dengan hari ini, saya masih akan menyebutnya sebagian eksperimen fisik, tapi ini jauh lebih banyak eksperimen fisik seperti lima tahun yang lalu, bukan? Jika Anda hanya melihat pengaturan fisik dari benda-benda itu, bukan?

Namun, meskipun benar bahwa, Anda tahu, menjadi seperti, ya, Anda melemparkan masalah dengan mereka dan mereka dapat menyelesaikannya jauh lebih cepat daripada komputer tradisional. Dan bagian dari itu adalah apa yang Anda katakan adalah kohesi. Ya, kohesi dasar adalah, Anda tahu, jika Anda bisa menjaga sistem tetap stabil untuk jangka waktu tertentu. Dan itu biasanya diukur secara maksimal dalam hitungan detik, ya, atau dalam milidetik, tergantung pada chip mana dalam semua ini. Dan itu adalah jumlah yang cukup banyak untuk menjadi berguna dalam banyak kasus. Sekarang, ada beberapa kasus penggunaan yang masuk akal. Anggap saja seperti co-prosesor kuantum. Tetapi masalah yang saya hadapi adalah seperti pada banyak kasus penggunaan, patut dipertanyakan apakah Anda dapat menyelesaikan masalah tersebut juga dengan beberapa GPU Nvidia, bukan?

Jadi, salah satu hal yang saya lihat masih terus dilakukan, ada banyak hype di bidang komputasi kuantum ini juga. Saya rasa hal ini sedikit tumpang tindih dengan hype AI juga. Anda juga bisa berdebat, Anda tahu, jika itu hype, itu nyata. Namun intinya adalah ada banyak hype, banyak uang yang beredar. Saya rasa sebagian dari uang itu sekarang sedang mencari strategi keluar. Dan komputasi kuantum tampaknya menarik, bukan? Jadi mereka memompa banyak hal di sana dan ada perusahaan di luar sana yang pada dasarnya melihat hal ini dinilai terlalu tinggi dan juga terlalu tinggi dalam hal apa yang mereka janjikan tentang apa yang mereka lakukan dan dan ini sebenarnya melintasi spektrum di sini, benar. Di Bletchley Park saya memiliki chip google willow sebagai contoh di mana google benar-benar memiliki siaran pers tentang chip baru ini di mana mereka memiliki koreksi kesalahan yang hebat dan klaim yang diambil oleh pers populer adalah chip ini dapat melakukan dalam lima menit apa yang bisa dilakukan oleh komputer tradisional dalam 10 hingga pangkat 35 tahun ya yang luar biasa karena alam semesta hanya berusia 10 pangkat 25 tahun, dan kemudian jika Anda membacanya seperti ya tidak, tidak bisa melakukannya dengan benar, itu seperti jika benda ini bisa berjalan selama lima menit dan seperti itu seperti jutaan juta kali mereka tidak mampu melakukannya, maka akan seperti itu. Dan jika Anda melihat beberapa siaran pers lain dari berbagai perusahaan, baik besar maupun kecil, ada sedikit kecenderungan untuk melebih-lebihkan apa yang mereka capai.

Dan saya pikir, sayangnya, hal ini menenggelamkan beberapa kemajuan nyata yang sebenarnya telah dicapai oleh komputasi kuantum selama beberapa tahun ini, bukan? Dan saya pikir, dan inilah yang akan kita bahas, hal ini membuat ancaman komputasi kuantum ini tampak jauh lebih nyata dalam hal bahwa hal ini akan segera terjadi dibandingkan dengan yang sebenarnya. Namun sebelum kita membahas tentang, Anda tahu, mengapa dunia akan berakhir, jika komputasi kuantum tiba-tiba muncul, apa manfaat komputer kuantum yang ada di benak Anda? Jadi apa yang akan terjadi, Jadi apa yang bisa dilakukannya jauh lebih baik daripada yang lain?

DAVID LELLO: Saya akan menanggapi hal tersebut dengan menanggapi apa yang Anda katakan tentang komputer kuantum dalam hal posisi komputer kuantum saat ini. Dan saya pikir meskipun saya setuju bahwa ada masalah dalam hal komputer kuantum, saya pikir kita sudah lebih dekat untuk benar-benar mencapai stabilitas dalam komputer kuantum daripada apa yang disarankan. Saya pikir jika saya melihat ke belakang, saya pikir salah satu cara terbaik untuk melihat masa depan adalah dengan melihat sejarah. Dan ketika saya masih muda dan bekerja di sebuah bank, ada sebuah mainframe dan itu adalah mainframe IBM jadul. Mainframe tersebut menempati sebuah ruangan. Itu adalah ruangan yang besar. Itu bukan ruangan yang kecil. Itu adalah ruangan yang cukup besar. Dan itu memenuhi ruangan. Ada katup pada mainframe ini. Ada tiga tangki pendingin air. Ada kolam renang di bawah tanah di ruang bawah tanah bank ini. Hal ini sangat besar. Dan hanya beberapa tahun sebelumnya, mereka telah mengganti sistem kartu punch dari mainframe itu.

Ketika mereka mengeluarkan mainframe lama, yang membutuhkan forklift dan beberapa alat berat untuk mengeluarkannya, mereka sebenarnya harus memotong beberapa pintu karena mereka tidak bisa memasukkan mainframe tersebut ke dalam ruangan lagi. Dan mereka menggantinya dengan rak dan komputer mainframe yang jauh lebih besar daripada yang sebelumnya. Kita telah melihat percepatan besar dalam kemajuan komputer selama bertahun-tahun. Dan jika kita kembali ke 30 tahun yang lalu, Anda tahu, jika Anda kembali ke 40 tahun yang lalu, sungguh luar biasa jumlah perubahan yang kita lihat terjadi.

INGO SCHUBERT: Ya.

DAVID LELLO: Dan apa yang telah kita lihat dengan komputer kuantum sekarang, ya, ada indikator awal dan ilmu pengetahuan, hampir terasa seperti mainframe tua di ruang bawah tanah dengan tiga tangki karena Anda membutuhkan sistem pendingin, Anda membutuhkan peralatan besar, Anda membutuhkan semua hal yang menyertainya. Ada sejumlah besar uang yang masuk ke dalamnya. Ada banyak investasi yang masuk ke dalamnya. Dan masalah-masalah ini akan terpecahkan. Dan mereka mungkin akan terpecahkan lebih cepat dari yang kita duga. Dan kemajuan yang telah kita lihat dari bulan ke bulan saat ini menunjukkan bahwa kita semakin dekat dengan kohesi. Jadi saya pikir itu mungkin sedikit lebih dekat.

Dan jika hal itu terjadi, saya pikir sangat menarik karena apa yang dapat dilakukan oleh komputer kuantum karena komputer kuantum dapat memproses data jauh lebih cepat dan tidak secepat yang diklaim oleh beberapa orang, namun karena komputer kuantum dapat memproses data tersebut jauh lebih cepat, itu berarti komputer kuantum dapat melihat dan memecahkan masalah yang tidak dapat dipecahkan sebelumnya.

Jadi, Anda tahu dalam fisika teoretis Anda konsep kucing Schrodinger, dan apakah kucing itu mati atau hidup? Apakah itu membusuk? Apakah itu, apa itu? Bagaimana keadaan kucing itu? Nah, komputer kuantum akan dapat benar-benar melihat dan melihat kucing itu dalam setiap kemungkinan dan oleh karena itu dapat memecahkan masalah besar yang belum dapat kita selesaikan.

INGO SCHUBERT: Ya, dan saya pikir dalam hal seperti kedokteran, Anda tahu, pelipatan protein atau yang lainnya, komputer kuantum akan benar-benar memiliki keunggulan dibanding komputer tradisional, pasti, bukan? Dan ada hal-hal lain di mana, Anda tahu, hanya segala sesuatu dengan jumlah data yang sangat besar yang perlu diproses, Anda tahu, ramalan cuaca akan menjadi satu hal, seperti, Anda tahu, apa pun, data geologi, ada cukup banyak kasus penggunaan yang akan mendapat manfaat dari komputasi.

Sekarang, kembali ke seperti ini lebih cepat poin Anda segera setelah Anda mungkin berpikir itu seperti saya tidak berpikir begitu karena itu bukan garis lurus di mana ia pergi ini terjadi di masa lalu dengan transistor bahwa itu terjadi lagi sehingga mungkin itu mungkin tidak itu seperti lotre hanya karena Anda menang terakhir kali tidak berarti Anda tidak menang di waktu berikutnya itu dimulai dari nol setiap kali dan terutama dengan kohesi, jika Anda berbicara tentang, oke, beberapa ratus qubit, mungkin beberapa ribu, untuk menjadi komputer kuantum universal yang, misalnya, dapat menjalankan Algoritma Shor, yang akan menjadi ancaman bagi kriptografi. Anda berbicara tentang beberapa ratus ribu qubit, bukan? Dan dalam perjalanannya, kita mungkin akan menabrak tembok di suatu tempat, bukan? Tidak ada jaminan bahwa kita akan memecahkan masalah tersebut. Mungkin saja, dan sebenarnya, ya, tentu saja, mungkin saja, tetapi tidak ada jaminan. Dan pada saat yang sama, komputer kuantum harus bertahan secara komersial di lingkungan di mana kita telah melihat peningkatan daya komputasi yang sangat besar di seluruh dunia, pada dasarnya berkat GPU, bukan? Terima kasih kepada AI. Sebelumnya, Bitcoin adalah kegilaan yang menggila, sekarang AI. Sehingga tanpa adanya kemajuan seperti kemajuan fundamental dalam desain chip. Maksud saya, ya, ukurannya menjadi lebih kecil dengan adanya hal ini. Kami secara besar-besaran meningkatkan daya komputasi, sehingga pada dasarnya faktor pembatasnya sekarang adalah daya, bukan? Jadi daya listrik.

Dan dalam lingkungan tersebut, komputer kuantum harus bisa bertahan. Sekarang, Anda dapat membuat argumen bahwa, hei, terutama bagi mereka, Anda tahu, memecahkan kunci, Anda tahu, beberapa pemerintah akan melakukannya, tidak apa-apa. Ya, jadi tidak apa-apa. Mereka punya cukup uang. Mereka tidak terlalu peduli dengan hal itu. Yah, mungkin mereka harus peduli. Itu pajak kita, tapi anggap saja mereka tak peduli.

Ada beberapa kasus penggunaan komputasi kuantum praktis di sepanjang jalan menuju komputer kuantum universal yang berfungsi penuh. Saya pikir itu tidak perlu dipersoalkan lagi. Saya tidak mengatakan bahwa itu tidak terjadi. Dan ada beberapa kasus penggunaan yang bagus untuk itu. Seperti yang saya katakan, seperti, Anda tahu, pelipatan protein, misalnya, dalam penelitian farmasi, bukan?

Tapi mari kita bicara tentang ancamannya, bukan? Dan saya tidak berbicara tentang konsumsi daya, semua itu karena kita sudah mengalaminya saat ini dengan unit tradisional, bukan? Maksud saya, ancaman khususnya terhadap keamanan TI dan kemudian keamanan, bukan? Karena ada beberapa, Anda tahu, saya telah menyebutkan algoritme Shor, jadi mungkin kita harus, Anda tahu, menjelaskan secara singkat, Anda tahu, apa ini dan bagaimana pengaruhnya terhadap keamanan.

DAVID LELLO: Ya, jadi dengan komputer kuantum karena ia dapat memproses informasi dan data tersebut dengan jauh lebih cepat, ia dapat menggunakan algoritme Shaw untuk merekayasa balik kunci kriptografi dan oleh karena itu, jika kita memiliki kriptografi, komputer kuantum yang relevan, maka ia dapat memecahkan kunci tersebut dalam hitungan detik, menit.

INGO SCHUBERT: Ya.

DAVID LELLO: Dan oleh karena itu, sebagian besar data yang kita konsumsi, gunakan, akses akan rentan terhadap serangan.

INGO SCHUBERT: Ya. Jadi argumen Schor, seperti yang saya sebutkan sebelumnya, Anda tahu, saat ini Anda tidak memiliki komputer kuantum yang dapat menjalankannya karena Anda membutuhkan ratusan ribu qubit dalam kohesi dan berjalan selama beberapa waktu. Jadi ya, ini adalah beberapa detik, tapi bahkan beberapa detik saja sudah menjadi masalah bagi komputer kuantum saat ini. Jadi pada dasarnya, algoritma RSA akan merusak atau membatalkan algoritma RSA, ya, jadi kunci publik privat, menggunakan RSA, tetapi juga menggunakan Diffie-Hellman dan menggunakan kurva elips, ECC. Jadi pada dasarnya semua yang populer dan telah digunakan selama beberapa dekade terakhir pada dasarnya akan rusak, bukan? Mereka akan rusak dengan komputer kuantum. Tentu saja, komputer tradisional masih akan tetap berjuang seperti biasanya, jadi tidak ada ancaman di sana.

Dan ya, jadi jika ini rusak, maksud saya, algoritme tersebut digunakan di mana-mana, ya? Jadi, ini adalah, Anda tahu, TLS tradisional Anda, komunikasi server web, dari klien ke server web, VPN, tanda tangan email, enkripsi file yang dikirim dan semua ini, Anda tahu, semuanya sering didasarkan pada RSA, ECC, dan atau Diffie-Hellman, bukan? Jadi, maksud saya, itu akan menjadi, Anda bisa menyebutnya sebagai bencana.

DAVID LELLO: Tentu saja, tentu saja. Ini akan menjadi bencana besar. Saya rasa, semakin saya mencari tahu dan semakin banyak kasus penggunaan yang saya temukan, semakin banyak sistem yang akan gagal. Ini adalah masalah global. Seperti otentikasi dan autentikasi ke dalam sistem keuangan. Bahkan hal-hal seperti Bitcoin pun menjadi terganggu. Jadi mereka menggunakan enkripsi kurva elips dan itu akan dikompromikan. Anda kemudian akan mengalami gangguan total pada sistem keuangan sebagai konsekuensi dari gangguan tersebut.

Jadi, ya, hal ini bisa menjadi bencana besar. Saya pikir kita bisa melihat dalam kasus penggunaan umum yang umum terjadi, tetapi juga dalam isu-isu yang lebih kecil dan tidak terlalu umum, yang menurut saya tidak selalu dipikirkan orang, jadi ketika kita mulai berbicara tentang IOT dan OT, kita mulai memikirkan tentang perangkat medis dan peralatan medis, kemampuannya untuk berkompromi dengan hal tersebut. Anda tahu, Anda bisa mengambil contoh seseorang yang memakai pompa insulin.

Jika saya dapat membobol enkripsi pada pompa insulin itu, saya dapat membunuh seseorang.

INGO SCHUBERT: Ya.

DAVID LELLO: Itu, Anda tahu, tiba-tiba saja, kriminalitas di balik hal-hal ini bisa menjadi jauh lebih signifikan. Dan kita mulai melihat hal-hal seperti Minority Report dan Terminator sebagai contoh kasus yang terjadi.

INGO SCHUBERT: Sekarang Anda berbicara. Ini baru saja menjadi menarik, ya.

Oke. Tapi maksud saya, kembali lagi ke ketersediaan komputer kuantum, itu tidak akan terjadi dalam semalam karena tidak akan terjadi begitu saja dari satu hari ke hari berikutnya. Anggap saja seseorang, ya, akhirnya mendapatkan komputer kuantum dengan, Anda tahu, 200.000 hasta yang dapat menjalankan algoritma Shor, misalnya. Biasanya sekitar satu juta. Ada beberapa penelitian yang mengatakan bahwa Anda hanya membutuhkan sekitar 100 ribu qubit. Ini tidak seperti, Anda tahu, tiba-tiba semua orang memiliki komputer kuantum. Hanya beberapa pemerintah dan fasilitas penelitian yang memiliki akses ke komputasi kuantum. Tidak semua penjahat dunia maya memiliki akses ke sana.

Tapi ancamannya nyata. Saya rasa ini mirip dengan, Anda tahu, masalah tahun 2000. Jadi kami telah melihat hal itu akan terjadi untuk sementara waktu, namun kami melakukan berbagai hal untuk memitigasi hal itu dan ternyata tidak terlalu berpengaruh.

DAVID LELLO: Tapi hanya karena kami melakukan sesuatu.

INGO SCHUBERT: Tepat sekali. Hanya karena kami melakukan sesuatu, bukan? Jadi, jika kami tidak melakukan apa pun, itu mungkin akan menjadi masalah besar dan kami melakukan sesuatu dan ternyata baik-baik saja, bukan? Dan saya pikir hal ini mungkin akan serupa dengan kasus ini di sini karena ada hal-hal yang dapat dilakukan, yang membawa kita ke pekerjaan berikutnya.

Ya, jadi kita mungkin tidak setuju berapa lama waktu yang kita miliki, bukan? Jadi, seperti yang saya sebutkan tadi, ada laporan MITRE, sebuah lembaga penelitian yang didanai pemerintah di Amerika Serikat yang mengeluarkan laporan terbaru di awal tahun ini dan mereka menempatkan algoritme Shor ini di suatu tempat sekitar awal tahun 2040-an, mungkin sekitar tahun 2050-an, jadi bukan berarti mereka memiliki insentif untuk mendorongnya keluar, jadi ini adalah laporan yang solid, tetapi bahkan jika Anda mengatakan bahwa ini lebih cepat, sepertinya tidak mungkin terjadi sebelum tahun 2030-an. Menurut saya itu sangat tidak mungkin, kecuali jika ada keajaiban yang terjadi. Jadi apa yang bisa Anda lakukan hari ini untuk mempersiapkan diri menghadapi kiamat kuantum ini?

DAVID LELLO: Saya rasa ini pasti akan jauh lebih cepat dari tahun 2050. Saya pikir, Anda tahu, saya tidak suka mencoba memprediksi karena itu adalah hal yang mustahil. Anda tahu, ketika seseorang mencoba memprediksi masa depan, Anda pasti akan gagal karena kita tidak memiliki pikiran supranatural.

INGO SCHUBERT: Baiklah, mari kita bertemu di tahun 2055. Waktu yang sama, ya, jadi kita bisa membicarakan hal ini. Jika aku masih di dalam.

Tentu saja. Ayo kita lakukan ini. Waktu yang sama, tempat yang sama. Ayo kita lakukan. Baiklah, tetapi jika lebih cepat, saya pikir mari kita lihat bagaimana kita dapat merayakan peristiwa itu karena saya pikir dengan kemajuan teknologi, sebuah terobosan akan terjadi, dan itu terjadi pada suatu waktu. Mungkin terjadi minggu depan. Mungkin saja terjadi dalam waktu 10 tahun lagi. Kita tidak tahu. Tapi itu akan terjadi, saya yakin, karena ilmu pengetahuannya ada di sana. Ini kredibel. Ini nyata. Anda tahu, ladang bunga matahari mampu mempertahankan kohesi saat ini. Kestabilan itu ada pada suhu ruangan, di sebuah ladang, dengan semua hal yang terjadi di sekitarnya. Hewan yang berlarian di bawahnya, polusi dan yang lainnya. Ladang bunga matahari bisa memiliki kohesi.

INGO SCHUBERT: Benar.

DAVID LELLO: Mengapa banyak ilmuwan yang melakukannya?

INGO SHCUBERT: Ya, tapi mereka punya waktu beberapa juta tahun untuk berevolusi, bukan? Jadi itulah maksud saya. Saya setuju dengan hal itu, tapi mereka memiliki sedikit keunggulan, bukan?

DAVID LELLO: Kembali kepada Anda mengenai masalah ini, salah satu masalah yang kita hadapi, dan kita telah membahasnya sedikit di Bletchley Park, adalah apa yang kita miliki saat ini dalam hal praktik dan apa yang kita sebut sebagai praktik yang baik dalam mengelola kunci kriptografi, menurut saya banyak perusahaan yang gagal. Jadi, ketika berbicara tentang peristiwa, beberapa tahun yang lalu, kita memiliki kerentanan SSL, dan semua orang berlomba-lomba untuk mengganti kunci. Dan itu berarti organisasi menjadi jauh lebih gesit dalam hal bagaimana mereka merotasi kunci TLS mereka, dan itu luar biasa. Itu memecahkan sebagian besar masalah. Jika Anda memiliki kelincahan dalam kunci TLS Anda, maka itu berarti Anda dapat mengubahnya. Anda mungkin harus melakukan beberapa pengujian di sepanjang jalan untuk memastikan semuanya berfungsi.

Tetapi organisasi dapat mulai berpikir sekarang tentang otoritas sertifikat mereka dan bagaimana mereka mengeluarkan kunci mereka dan bagaimana mereka mengganti kunci mereka di tingkat TLS. Dan itu tidak masalah. Masalah yang kami temukan adalah ketika kami masuk ke dalam sebuah organisasi, 20 hingga 30, bahkan mungkin 40% kunci tidak dikelola dengan cara ini. Sering kali banyak perangkat keras yang memiliki kunci yang tertanam di dalamnya dalam sebuah infrastruktur perangkat keras dan beberapa perangkat keras ini dapat bertahan selama 20 tahun dan kemampuan untuk mengganti kunci di dalam perangkat keras tersebut berarti mengganti perangkat kerasnya.

Kami juga memiliki banyak praktik buruk dalam pengkodean terutama pada masa pembangunan monolitik di mana aplikasi memiliki kunci yang tertanam di dalam aplikasi itu sendiri. Dan ketika kita mulai berpikir tentang hal ini, hal ini tidak hanya terjadi begitu saja.

INGO SCHUBERT: Saya rasa itulah maksud saya. Itu adalah praktik yang buruk terlepas dari komputasi kuantum atau tidak.

DAVID LELLO: Benar. Maka ketika kami mulai memikirkan ide Q-Day ini, yang pada tahun Y2K sangat mudah karena kami memiliki tanggal. Kami tidak memiliki tanggal untuk Q-Day.

INGO SCHUBERT: Poin yang sangat bagus.

DAVID LELLO: Namun ketika hal tersebut akhirnya tiba, dan mungkin tiba besok, atau mungkin tiba dalam waktu 10 tahun, atau jika Anda benar dalam waktu yang lebih lama dari itu, maka kita akan menghadapi situasi di mana sebagian besar organisasi dan kunci-kuncinya tidak dapat dengan mudah diganti, dan kita akan mengalami kepanikan. Kita akan mengalami masalah besar dan masif karena data menjadi terganggu.

Tetapi juga, masalah lain yang kita miliki adalah sesuatu yang sering ditanyakan kepada saya, yaitu ancaman ‘panen sekarang, dekripsi nanti’. Dan kita telah melihat data yang dicuri yang dienkripsi selama bertahun-tahun, maksud saya kembali ke negara ini dengan David Cameron, dia terkenal mengatakan bahwa semua data kita telah dicuri oleh Cina, tetapi tidak masalah. Itu terenkripsi. Jadi kembali ke beberapa tahun yang lalu, pernyataan semacam itu memang benar saat ini, mengingat teknologi yang kita miliki saat ini dengan komputer kuantum, hal itu menjadi masalah. Dan ya, tentu saja, usia data.

INGO SCHUBERT: Namun beberapa dari data tersebut masih tetap relevan. Tidak semuanya, tapi beberapa hal. Jadi saya pikir itu sama saja. Seperti, mereka tetap berada di luar sana yang seperti, ya, Anda tahu, jika itu akan, jika itu akan didekripsi seperti dalam lima tahun, seperti, siapa yang peduli, kan? Atau dalam 10 tahun, ya. Jadi, Anda bisa membuat argumen bahwa banyak data identitas untuk otentikasi, jika itu didekripsi dalam lima atau 10 tahun, seperti, Anda tidak terlalu peduli karena sudah ketinggalan zaman pada saat itu. Tetapi ada banyak data strategis di mana, ya, ini dapat membahayakan Anda selama beberapa dekade ke depan, bukan? Dan Anda bahkan tidak harus menjadi negara. Anda bisa saja hanya sebuah perusahaan biasa, perusahaan biasa.

Tepat sekali.

INGO SCHUBERT: Dan apa masalahnya?

DAVID LELLO: Maksud saya, Anda tahu, jumlah organisasi yang saya masuki yang memiliki sistem lama. Bahkan, saya pernah berada di sebuah organisasi yang belum lama ini memiliki sebuah aplikasi. Mereka memperlakukannya sebagai kotak hitam, dan mereka memperlakukannya sebagai kotak hitam karena kode sumbernya hilang. Orang yang menulisnya, sudah lama pergi, jangan disentuh. Jika terjatuh, jawabannya adalah nyalakan atau matikan, nyalakan lagi dan berdoa karena hanya itu yang bisa Anda lakukan. Tidak ada yang bisa Anda lakukan. Dan sistem ini mengendalikan semua akses di toko-tokonya, semua akses di toko-tokonya. Dan jika disusupi, jika dilumpuhkan, Anda melumpuhkan organisasinya.

INGO SCHUBERT: Satu titik kegagalan.

DAVID LELLO: Satu titik kegagalan. Jumlah organisasi yang memiliki satu titik kegagalan sangatlah luar biasa. Organisasi benar-benar harus mulai memikirkan bagaimana mereka memodernisasi infrastruktur manajemen identitas dan akses mereka? Saat kita mulai berpikir tentang manajemen identitas dan akses, manajemen identitas dan akses adalah jalan menuju segalanya. Kita telah melihat serangan ransomware terbaru yang terjadi di Jerman, juga di Inggris, Italia, dan tempat lainnya. Serangan ransomware ini menargetkan sistem kontrol akses. Mereka menargetkannya dalam otentikasi karena ini adalah target yang lunak dan mudah, apakah itu direktori aktif atau sistem seperti yang saya jelaskan, kemampuan untuk dapat benar-benar mengkompromikan akses, Anda menjatuhkan organisasi, Anda menghentikan komunikasi, Anda menghentikan kemampuan untuk dapat mengakses. Memodernisasi manajemen akses identitas dalam konteks ini akan menjadi salah satu prioritas besar.

INGO SCHUBERT: Ya, ya. Sulit untuk membantah hal itu karena, Anda tahu, karena hal itu masuk akal, tidak peduli bagaimana Anda melihatnya, bukan? Saya pikir ketika kita kembali ke manajemen kunci enkripsi kriptografi yang sederhana, banyak pelanggan yang tidak tahu apa yang mereka miliki, bukan? Mereka tidak memiliki pandangan yang baik tentang di mana mereka mengenkripsi, di mana kuncinya, di mana mereka menandatangani secara digital. Mereka tidak memiliki gambaran umum seperti ini. Saya rasa itu adalah bagian dari masalahnya, bukan? Karena Anda tidak dapat memperbaiki apa yang tidak Anda ketahui. Banyak pelanggan yang kesulitan dengan kebersihan dunia maya yang mendasar. Itulah yang saya lihat secara konstan, sayangnya, bukan? Baru saja pagi ini saya menelepon seorang pelanggan yang menjalankan perangkat lunak RSA yang sudah berumur 20 tahun, 20 tahun, bukan?

DAVID LELLO: Wow.

INGO SCHUBERT: Jadi, sebenarnya, mereka menelepon bagian dukungan kami tentang sesuatu, dan bagian dukungan tidak bisa menjawab, dan itu seperti, ya, tentu saja, Anda tahu, mungkin personil dukungan yang menjawab panggilan telepon itu mungkin masih di taman kanak-kanak saat perangkat lunak itu keluar, bukan? Jadi, poin saya adalah selama kita tidak melakukan kebersihan dan visibilitas dunia maya yang mendasar ini, pertama-tama, Anda tidak akan bisa mencapai kondisi siap kuantum, ya, di mana Anda siap untuk Q-day. Itu seperti tidak mungkin terjadi.

Selain itu, menurut saya, Anda tidak boleh khawatir tentang komputasi kuantum sampai Anda memperbaiki hal-hal tersebut, bukan? Karena jika Anda tidak tahu perangkat lunak apa yang Anda jalankan, jika Anda tidak memperbaruinya, tentu saja Anda akan bergantung pada vendor untuk memperbaikinya, seperti Anda menerapkan kriptografi pasca-kuantum, misalnya, bukan?

Namun jika perangkat lunaknya sudah keluar dengan versi baru, dengan semua komputasi kuantum yang bagus ini dan Anda tidak menginstalnya, maka perangkat lunak tersebut tidak akan ada, bukan? Dan setelah itu, bahkan jika Anda melakukan itu, jika kebijakan dan prosedur Anda di sekitar, misalnya, seperti manajemen data, jika tidak benar, apa yang kita bicarakan di sini? Jadi, jika penyerang hanya dapat menelepon meja bantuan Anda dan meminta untuk masuk, mereka tidak memerlukan komputer kuantum untuk melakukannya, bukan? Mereka tidak membutuhkannya hari ini. Mereka tidak membutuhkannya kemarin. Mereka tidak membutuhkannya besok. Mereka cukup menelepon meja bantuan Anda jika kebijakan Anda tidak tepat dan mendapatkan akses.

Jadi, ada banyak hal yang bisa salah, telah salah dan akan salah, yang tidak ada hubungannya dengan komputer kuantum. Dan ketakutan saya adalah bahwa orang-orang melihat benda kuantum ini, Q-Day ini, dan teralihkan perhatiannya oleh mainan yang bagus dan berkilau ini, bukan? Padahal mereka memiliki begitu banyak pekerjaan rumah yang harus dilakukan, yang mungkin sudah puluhan tahun tidak pernah mereka lakukan, bukan? Dan tentu saja, Anda bisa berargumen bahwa, hei, Anda tahu, Anda perlu melakukan hal itu, memiliki visibilitas, Anda tahu, menambal yang sudah ada, memperbaiki prosedur Anda. Jika memang dibutuhkan ancaman komputasi kuantum bagi pelanggan untuk melakukan hal tersebut, ya sudahlah, bukan? Saya bisa bahagia.

Namun sebagian dari diri saya berkata, nah, karena apa yang terjadi jika kita menemui hambatan dengan komputasi kuantum? Dan seperti, selama beberapa tahun, tidak ada keuntungan atau kemajuan yang nyata dan kemudian Anda berkata, ah, itu seperti tahun 2060-an, saya akan menjadi saya akan menjadi saya akan lama menghilang dari dunia kerja, jadi saya tidak perlu mengkhawatirkan hal tersebut, dan itu adalah pendekatan yang salah, karena Anda harus memperbaikinya, apa pun yang terjadi.

Saya akan memberikan sedikit pengetahuan kepada Anda, ya, beberapa nama, ya, filsuf Jerman Emmanuel Kant, ya, sekarang jangan potong editornya, ya, itu k, itu k. Itu K-A-N-T, kan? Jadi saya panggil dia Emmanuel mulai sekarang, ya.

Filsuf Jerman, abad ke-18, dan banyak hal cerdas yang dia katakan. Namun salah satu hal yang saya yakini sebagai salah satu yang paling cerdas adalah Anda melakukan hal yang benar karena itu adalah hal yang benar untuk dilakukan, bukan? Bukan karena hal tersebut akan memberi Anda beberapa poin brownies dengan beberapa dewa atau semacamnya. Anda melakukannya karena itu adalah hal yang benar untuk dilakukan.

Dan memiliki gambaran yang baik tentang di mana Anda mengenkripsi, bagaimana Anda mengenkripsi tentang kebijakan, prosedur, dan penambalan dan semua ini, itu adalah hal yang tepat untuk dilakukan, terlepas dari apakah komputasi kuantum masih 10 tahun lagi, 20, 30 tahun lagi. Tidak masalah. Anda harus melakukannya. Sekarang, Anda seharusnya sudah melakukannya selama 20 tahun terakhir. Itulah intinya. Saya rasa di sinilah kita sepakat. Ya, tentu saja. Saya pikir motivasi di balik itu, saya pikir, adalah di mana kami tidak setuju karena kami memiliki pendapat yang berbeda tentang di mana komputasi kuantum dan di mana ia akan berada. Tapi tentu saja, jika ada pelanggan yang mengatakan bahwa saya harus siap dengan komputasi kuantum, upaya ini tidak akan sia-sia.

DAVID LELLO: Tidak, sama sekali tidak. Saya pikir juga, Ingo, salah satu hal yang merupakan kenyataan yang selalu menjadi tantangan bagi saya adalah karena kita menghabiskan banyak waktu dengan dewan perusahaan besar yang berbicara dengan direktur keuangan dan sejenisnya, dan perusahaan ada untuk tujuan memasok produk atau layanan dan jika berada di sektor swasta untuk menghasilkan keuntungan, kecuali jika itu adalah kegiatan amal, tetapi jangan khawatirkan hal tersebut, sehingga ide untuk benar-benar membelanjakan uang hanya karena itu adalah hal yang benar untuk dilakukan, di mana hal tersebut memberikan keuntungan yang negatif, akan menjadi sulit dan menantang bagi para ahli keuangan untuk benar-benar menyadarinya. Maka berinvestasi pada sesuatu karena itu adalah hal yang benar untuk dilakukan menjadi lebih merupakan diskusi filosofis. Menurut saya, ini bukanlah pendekatan yang tepat.

INGO SCHUBERT: Ya, tentu saja.

DAVID LELLO: Meskipun saya setuju dengan Anda, tentu saja 100%, Anda tahu, dari sudut pandang keyakinan, dari apa yang saya yakini, saya selalu ingin melakukan hal yang benar. Namun kenyataannya adalah bahwa bisnis tidak ada untuk itu. Mereka tidak ada untuk melakukan hal yang benar. Terkadang mereka sedikit tidak bermoral.

Benarkah? Pertama kali aku mendengarnya. Biar aku catat itu.

DAVID LELLO: Jadi saya pikir apa yang Anda lakukan adalah kami melihatnya dengan cara yang berbeda dan saya pikir salah satu realitas yang kami lihat dan yang beresonansi dan dipahami orang adalah mengukur dan mengenali serta menyadari apa eksposur risiko saya yang terkait dengan lingkungan tertentu dan kami perlu mengaitkannya kembali dengan sesuatu yang nyata, kami harus selalu kembali pada bagaimana saya membangun kasus untuk perubahan di dunia ini, dan seperti apa perubahan itu? Anda tahu, salah satu tantangan yang kami hadapi, karena ketika kami mulai membantu organisasi untuk menjawab masalah ini, sebenarnya tidak ada kerangka kerja yang membahas tentang kesiapsiagaan kuantum. Tidak ada.

Jadi, kami pergi dan menulisnya. Kami menulis sebuah standar untuk mengatakan, inilah pendekatan untuk melihat kuantum. Kami mengambil berbagai standar yang berbeda dari NIST dan praktik yang baik, ISF, dan berbagai hal yang berbeda untuk dapat menghasilkan model dan kerangka kerja sehingga kami dapat mulai melihatnya. Namun, hal ini memungkinkan kami untuk mulai melihat dan mengatakan, baiklah, ketika Anda mengambil sistem seperti sistem identitas yang mengelola semua akses yang merupakan lingkungan kotak hitam, apa eksposur risiko saya jika memiliki mesin seperti itu? Dan saya akan menghilangkan kuantum sepenuhnya. Apa risiko saya? Apakah saya benar-benar memahami risiko saya? Jika itu terjadi, apa yang terjadi pada lingkungan saya? Dan jika saya dapat menghargai risiko itu, saya harus melakukan sesuatu untuk mengatasinya.

INGO SCHUBERT: Oh, dan ini, maksud saya, pada akhirnya, ini adalah manajemen risiko yang tepat, yang saya lihat tidak ada di banyak perusahaan atau organisasi pada umumnya, bukan? Dan itu sebenarnya perlu dilakukan dan seharusnya sudah dilakukan selama bertahun-tahun dan harus dilakukan hari ini, terlepas dari komputasi kuantum atau tidak. Jadi itulah maksud saya.

Tentu saja mereka tidak melakukannya karena itu adalah hal yang benar untuk dilakukan, bukan? Itu adalah argumen finansial yang sulit untuk dibuat. Saya sangat setuju dengan pendapat Anda. Tapi ada banyak ancaman lain yang menyebabkan mereka melakukan hal ini, bukan? Dan sekali lagi, jika Anda perlu menjual konsep untuk melihat semua ini dan mengetahuinya serta memiliki manajemen risiko yang tepat karena komputasi kuantum, menurut saya, ya, bukan? Saya rasa itu adalah cara yang tepat. Jika itu adalah pengungkit yang Anda butuhkan untuk mendapatkan tanda tangan, oh, ya, lakukanlah. Karena pada akhirnya, meskipun komputasi kuantum masih 30 tahun lagi, Anda masih bisa mendapatkan manfaatnya sekarang. Karena dengan memiliki kesiapan tersebut, Anda juga akan merasa aman hari ini. Anda tidak membuang-buang uang. Ya, jadi menurut saya, itulah hal yang tepat untuk dilakukan. Dan ada beberapa rekomendasi dan beberapa kerangka kerja dari Eropa juga, misalnya mereka benar-benar mengatakan bahwa pada tahun 2026 - yang sejujurnya Anda harus sudah melakukannya jika Anda ingin mematuhi DORA. Anda mungkin akan melihat hal yang sama lagi karena Anda tidak melihat beberapa orang melakukannya. Jadi, visibilitas dan manajemen risiko pada tahun 2026 dan kemudian beberapa kesiapan kuantum dalam beberapa bentuk pada tahun 2030 untuk risiko tinggi dan 2035 untuk risiko rendah dan menengah, bukan? Jadi sepertinya masih jauh, tetapi, Anda tahu, kami sudah, seperti, pada akhir tahun 2025, ketika kami merekam ini, rilisnya adalah 2026.

Jadi ini seperti, ya, ini seperti hanya tinggal beberapa tahun lagi. Dan jika Anda kembali ke awal pembicaraan kita, jika Anda melihat masalah Y2K, ya, jika Anda memulainya pada tahun 1999, Anda mungkin agak terlambat untuk ini, bukan? Jadi, Anda harus bersiap-siap sekarang, tentu saja, benar.

DAVID LELLO: Saya pikir, saya pikir salah satu hal yang Anda kemukakan di sana, yang menurut saya merupakan hal yang menarik dalam hal psikologi manusia, adalah peraturan, peraturan Eropa dan hal-hal seperti Dora. Peraturan hanya benar-benar diberlakukan karena perusahaan lalai dalam melakukan hal yang benar.

INGO SCHUBERT: Ya, tentu saja.

DAVID LELLO: Dan karena mereka tidak melakukan hal yang benar, anggota parlemen mengatakan bahwa kita akan memiliki masalah besar di negara ini kecuali kita melihatnya. Jadi, hukum mulai berlaku ketika Anda harus melakukan sesuatu. Jadi NCSC di Inggris telah memberikan panduan seputar kuantum. Dan kami memiliki DORA di Eropa. Dan sayangnya karena Brexit-

INGO SCHUBERT: Anda membawa tup, saya tidak.

DAVID LELLO: Kita baru mulai melihat RUU Ketahanan di sini. Jadi RUU Ketahanan telah dirilis untuk dikomentari oleh publik. Jadi, edisi pertama telah dirilis dan komentar sedang berlangsung. Jadi kita akan mengadakan pembacaan di Parlemen dalam waktu dekat. Semoga kita dapat mengejar ketertinggalan kita dari negara-negara lain dalam hal ini.

INGO SCHUBERT: Ya, kecuali Amerika Serikat. AS tampaknya seperti, Anda tahu, tempat yang liar di peta, ya. Ya, memang benar. Ya, itu seperti, dan saya melihat hal itu ketika berbicara dengan rekan-rekan di AS, ya, itu seperti, ya, kita tidak benar-benar memiliki hal itu, bukan? Tetapi di tempat lain di dunia, tampaknya ketahanan, manajemen risiko tampaknya sedikit lebih matang dalam hal peraturan dan kerugian, ya, yang-

DAVID LELLO: Anda harus memilikinya.

INGO SCHUBERT: Anda harus memilikinya, bukan? Dan saat Anda membacanya, dan Anda mungkin memiliki sebanyak dan mungkin lebih banyak daripada saya, beberapa hal seperti itu sangat jelas, memiliki manajemen risiko yang tepat. Ini seperti, Anda harus tahu, jika hal tersebut gagal, Anda hanya perlu tahu konsekuensinya, bukan? Tentu saja Anda harus tahu karena bisnis Anda menghasilkan uang dan ada sesuatu yang mencegahnya untuk melakukan hal tersebut. Anda harus tahu mengapa dan bagaimana cara memperbaikinya. Namun mereka tidak melakukannya sampai mereka dipaksa oleh hukum, yang mana hal ini sangat menyedihkan, bukan?

DAVID LELLO: Sayangnya sifat manusia ikut bermain. Saya berjuang dengan hal ini karena ini bukanlah hal yang sulit, Anda tahu bahwa melihat risiko dan manajemen risiko tidaklah sulit.

INGO SCHUBERT: Tidak, tetapi membutuhkan waktu.

DAVID LELLO: Dan itu memang membutuhkan waktu, tetapi maksud saya ada begitu banyak teknologi di luar sana yang dapat membantu menyederhanakan prosesnya. Anda tahu, komputer dirancang untuk mengotomatiskan proses. Alasan utama mengapa kita memiliki komputer adalah karena kita memiliki proses manual yang membutuhkan banyak orang untuk melakukan sesuatu. Dengan komputer, kita dapat mengotomatiskan semua proses itu. Dan dengan sistem modern, kita bisa mengotomatisasi lebih banyak lagi. Anda tahu, Anda mengambil hal-hal seperti manajemen kerentanan. Jika Anda memiliki lingkungan yang dimodernisasi dan pemindaian kerentanan diluncurkan, Anda memiliki visibilitas yang relatif baik dalam hal risiko teknologi Anda.

Ya. Hal yang sama untuk kita. Tata kelola identitas. Pada akhirnya, ini bukan ilmu roket. Ya, tentu saja. Anda akan menghubungkan semua sistem yang berbeda, mungkin membuat beberapa aturan dan sebagainya. Namun kemudian Anda memiliki visibilitas tersebut dan Anda memiliki pandangan Anda seperti, Anda tahu, dalam hal pemisahan tugas, kepatuhan, dan Anda memiliki hal tersebut. Dan ya, ini adalah pekerjaan. Ya, ini adalah investasi dalam hal uang dan waktu, tentu saja, namun Anda mendapatkan sesuatu darinya.

Ya.

INGO SCHUBERT: Benar. Yang juga saya rasa tidak disadari oleh banyak orang adalah bahwa kemungkinan manajemen risiko juga memberi Anda sesuatu yang kembali karena Anda benar-benar menemukan hal-hal yang mungkin Anda tidak perlu menginvestasikan semua uang itu untuk mengamankan yang satu ini atau Anda membuat benda ini tahan banting karena dampaknya tidak terlalu besar, sementara yang satunya lagi, Anda seharusnya menginvestasikan lebih banyak lagi karena jika itu rusak, hal-hal buruk akan terjadi. Saya rasa itu juga dan tentu saja Anda tidak menyadarinya karena jika Anda tidak melakukan manajemen risiko yang tepat, Anda tidak memiliki visibilitas tersebut, jadi bagaimana Anda bisa mengambil keputusan dengan benar? Jadi pada dasarnya, organisasi merugikan diri mereka sendiri dengan tidak melakukan hal ini, bukan?

DAVID LELLO: Dan tata kelola identitas sangat membantu dalam hal memungkinkan hal tersebut dan membantu. Ya. Anda tahu, ketika saya berbicara dengan banyak organisasi tentang identitas, identitas bukanlah salah satu hal keamanan yang Anda lakukan karena, Anda tahu, itu adalah polis asuransi. Identitas adalah sebuah enabler. Ini adalah pendukung bisnis yang nyata untuk membantu organisasi menjadi lebih efisien dan lebih efektif dalam hal bagaimana orang memiliki akses. Namun, memiliki akses yang tepat pada waktu dan tempat yang tepat serta memiliki model tata kelola yang benar-benar mendorong hal tersebut adalah hal yang sangat penting. Jadi, ketika kita mulai melihat kontrol ITGC dan sistem keuangan Anda dan Anda mulai melihat bagaimana akses perlu dibuat dalam hak Anda, pemisahan tugas Anda, mandat yang menyertainya. Hal-hal ini bukanlah sesuatu yang baru. Hal-hal ini telah ditulis dalam Undang-Undang Perusahaan dan Peraturan Keuangan selama beberapa dekade.

INGO SHUBERT: Tentu saja.

DAVID LELLO: Dan kemampuan untuk dapat mengendalikannya dengan sistem tata kelola identitas yang baik sudah ada sekarang. Dan dengan solusi yang dimodernisasi, hal ini menjadi sangat mudah. Tidak sesulit yang dibayangkan orang.

INGO SCHUBERT: Lihatlah kami. Berbicara tentang tata kelola keamanan identitas dan kami memulainya dengan kuantum. Ini seperti, mari kita mulai saja, ya, tapi itulah intinya. Saya rasa ini adalah sesuatu yang juga menjadi pembuka pintu dengan beberapa diskusi di pelanggan atau di organisasi secara umum yang seperti, ya, tidak apa-apa. Bicara tentang ancaman kuantum dan, Anda tahu, tetapi pada akhirnya Anda berakhir pada diskusi, yang sebenarnya bukan tentang kuantum tetapi tentang hal-hal lain. Bahwa, ya, Anda bisa memperbaiki sekarang, Anda harus memperbaiki sekarang, terlepas dari apa yang terjadi di masa depan.

DAVID LELLO: Ini adalah konsep kebersihan dasar.

INGO SCHUBERT: Ini adalah konsep kebersihan dasar, tepatnya. Jadi itulah cara yang sempurna untuk menutup acara ini. Jadi David, terima kasih. Kita bisa berbicara berjam-jam, sungguh, setiap kali bertemu. Jadi, terima kasih banyak. Jadi saya pikir ancaman kuantum mungkin terasa jauh.

Bisa jadi iya, bisa jadi tidak. Tapi mudah-mudahan selama percakapan ini, pemirsa dan pendengar kami mendapatkan ide bahwa, Anda tahu, terlepas dari apakah Anda harus melakukan sesuatu hari ini untuk menjadi siap secara kuantum. Hal ini tidak ada salahnya sama sekali.

Apa yang Anda dapatkan darinya akan bermanfaat bagi Anda saat ini dari ancaman yang ada saat ini, bukan? Anda tidak perlu menunggu 20 tahun lagi untuk menyadari manfaatnya. Anda benar-benar menyadarinya hari ini.

Demikianlah akhir dari perdebatan hari ini mengenai komputasi kuantum dan dampaknya terhadap keamanan identitas. Masa depan kuantum dalam fiksi ilmiah dan organisasi perlu memahami di mana letak risiko dan peluang yang sebenarnya. Jika Anda ingin mendapatkan lebih banyak wawasan tentang ketahanan identitas dan teknologi yang mempersiapkan organisasi untuk menghadapi masa depan, kunjungi RSA.com. Jika Anda ingin mendapatkan akses kotak masuk ke episode RSA Identity Unmasked selanjutnya, jangan lupa untuk berlangganan. Terima kasih telah bergabung dengan kami dan sampai jumpa di lain waktu.