Identità RSA smascherata

INGO SCHUBERT
Bentornati a RSA Identity Unmasked. Oggi parliamo di uno dei settori più interessanti e ad alto rischio della sicurezza delle identità, ovvero l'assistenza sanitaria. Oggi sono nuovamente affiancato da Paul e John e analizziamo le sfide, i casi d'uso e le best practice. Iniziamo. Perché l'assistenza sanitaria è un ambiente unico per la sicurezza delle identità?

JON NICHOLAS
Comincio io se vuoi, Paul. Vuoi farlo tu?

PAUL MULVIHILL
In ogni caso!

JON NICHOLAS
Una cosa di cui parliamo sempre in ambito sanitario, ed è uno dei primi argomenti che emergono, è lo stack tecnico di cui dispongono e, soprattutto, l'infrastruttura legacy. Una delle aree più importanti da proteggere dal punto di vista dell'identità, perché potrebbero non avere gli agganci per i moderni servizi MFA. Quindi la tecnologia proprietaria legacy è una sfida enorme per chi opera nel settore sanitario, come l'NHS, che è stato un esempio emblematico nel Regno Unito.

PAUL MULVIHILL
Spesso l'NHS, lo conosciamo tutti, è composto da molte organizzazioni più piccole sotto lo stesso ombrello, il che non significa che ci sia un'unica grande fonte di finanziamento per l'infrastruttura IT, ma che ogni piccolo ente ha le proprie responsabilità e quindi non può avere l'ultima novità perché non ha il budget necessario. Se si trattasse di un'unica grande cosa, forse, ma il mondo non funziona così, purtroppo, in una certa misura. Quindi ci sono le sfide di come ognuno di loro si assicura di avere l'ultimo e il più grande quando non può perché ha sistemi legacy, deve occuparsi della migrazione o della manutenzione, aggiungendo ulteriori sfide su come arrivare a un sistema moderno.

INGO SCHUBERT
Giusto. E penso che, naturalmente, la situazione sia diversa in Germania, per esempio. Non è poi così diverso, credo, in questo contesto, no? Sai, organizzazioni diverse, molte applicazioni legacy. Quindi penso che, ad essere onesti, questo sia il caso di tutta l'Europa o forse anche di tutto il mondo in molti posti, giusto?

PAUL MULVIHILL
E parliamo del sistema legacy, se avete qualcosa che funziona e i suoi tassi di errore, quindi se avete a che fare con la salute di qualcuno, avete un sistema che verifica qualcosa, funziona. Non deciderete di cambiarlo solo perché potrebbe essere vecchio di due anni. Si destinano i fondi a qualcosa di nuovo. Quindi sì, può essere un'eredità, ma non significa che sia vecchia, antiquata e superata. Significa solo che funziona. Ci sono cose più importanti a cui pensare.

INGO SCHUBERT
Non toccare un sistema in funzione. Cosa rende l'accesso, il controllo e l'autenticazione così impegnativi in questo ambiente?

PAUL MULVIHILL
Direi che si tratta di un mix di più trust. Come si fa, se si opera tutti in modo indipendente, ma si ha una forza lavoro che può passare da un'azienda all'altra perché copre un'area più ampia, come si fa a creare un sistema facile da usare, per esempio, se un giorno lavoro in un posto, un altro in un'altra, in un'altra azienda, in un'altra ancora, in un'altra azienda. C'è un sistema centrale che gestisce tutto? Forse no. Tornerò da qualche parte o lo farò un giorno all'anno da qualche altra parte? Il numero di sistemi che si cerca di gestire e di proteggere dal punto di vista dell'identità cresce esponenzialmente di complessità. Sono 50 siti, sono 50 sistemi? Sono 5 o uno? Se si estende a tutto il Paese, si aggiungono strati di complessità per vari motivi.

JON NICHOLAS
Sì, e credo che sia il numero di utenti. È l'account utente che a volte è così difficile da contrastare, perché ci sono medici che si occupano di servizi medici in prima linea che possono essere, ovviamente, molto bravi in quello che fanno, ma non sono esperti di sicurezza informatica. C'è un intero team che supporta l'NHS, ad esempio, che si occupa della logistica, della pianificazione e della parte amministrativa. Ora, alcuni di loro potrebbero essere in grado di utilizzare, ad esempio, un autenticatore mobile, ma altri potrebbero trovarsi in reparto o in ambienti più sicuri, ma sappiamo che non è possibile utilizzarlo. È necessario disporre di qualcos'altro, ad esempio un token fisico per
per l'autenticazione. Quindi non c'è solo una forza lavoro gigantesca, ma ci sono diversi casi d'uso in termini di modalità di autenticazione. E poi, avete menzionato la telefonia mobile, ma alcune persone potrebbero anche non avere un cellulare da usare. Quindi, si hanno subito tre, quattro, cinque casi d'uso diversi solo per far entrare cinque persone in un unico sistema.

INGO SCHUBERT
Quindi clinici, personale temporaneo, turni a rotazione, tutto ciò complica enormemente le cose. Quindi, quello che hai appena detto. Dal punto di vista della gestione delle identità, posso capire perché questo rappresenta una sfida rispetto a una forza lavoro aziendale piuttosto organizzata, dove si lavora dalle nove alle cinque. Sì, ci possono essere diversi fusi orari, ma in questo caso si arriva fino alle 11, essenzialmente.

PAUL MULVIHILL
Sì, si può avere una grande azienda che ha, diciamo, 50 o 100 dipartimenti diversi, mentre se si guarda al settore sanitario, si può avere un unico grande ente che rappresenta il settore dell'assistenza, ma al suo interno potrebbero esserci 50 o 100 aziende distinte che hanno tutte la loro specialità e devono essere autonome nel modo in cui lavorano, pur collaborando con altre entità all'interno dello stesso spazio. E se si verificano problemi con una di esse, quali sono le conseguenze?

INGO SCHUBERT
Quindi, in termini di, naturalmente, sai, abbiamo questo show televisivo drammatico come se tutto dovesse andare veloce, sì, ma questa è una cosa, sì, non stiamo rallentando le cose, penso che sia parte della sfida qui, ma non è solo come se qualcuno entrasse di corsa nella stanza del pronto soccorso e le cose dovessero andare veloci, è anche perché avete una forza lavoro limitata che deve essere molto efficiente, il che significa anche che sì, la sicurezza non può rallentare le cose per questo motivo, quindi quali sarebbero le sfide e i modi per raggiungere questo obiettivo?

JON NICHOLAS
Proprio per quanto riguarda le grandi sfide, non vorreste, se ne parliamo dal punto di vista della governance, dal punto di vista del minimo privilegio, che ognuno abbia solo i privilegi per svolgere il proprio ruolo, ad esempio. Ma poi la sfida è che, se si fa questa modifica, si tolgono per errore alcune autorizzazioni. E ora non possono azionare quel macchinario o quell'attrezzatura critica nel reparto che aiuterà a salvare la vita di qualcuno. Quindi l'accuratezza del processo decisionale per applicare una soluzione IGA, ad esempio, deve essere assolutamente di ferro. Quindi la capacità di apportare cambiamenti a quel punto è probabilmente quella di passare attraverso strati e strati di processi decisionali, quindi diventa lenta. Perché l'ultima cosa che vogliamo fare è dire: bene, implementiamo questo flusso di lavoro e ora qualcuno non può salvare una vita per andare all'esempio più estremo o somministrare qualcosa dalla farmacia.

INGO SCHUBERT
Ma allo stesso tempo, soprattutto per quanto riguarda la governance dell'identità, c'è ovviamente la soluzione rapida, che ovviamente non è tale: dare a tutti più diritti di accesso, in pratica, più diritti di cui dispongono normalmente. È un approccio valido? È un buon compromesso? No, lo è solennemente, credo, giusto?

PAUL MULVIHILL
Sì, perché se una persona viene hackerata, un account viene compromesso e ha troppi permessi, cosa succede? Si può entrare e l'inserviente, a cui è stato dato tutto perché è un membro del personale di un ospedale, può entrare nel sistema della farmacia e avere accesso ai farmaci o alla modifica delle cartelle cliniche del paziente. Giusto. Ma poi, come diceva Jon, le potenziali conseguenze di un cambiamento nell'applicazione di una policy o di un percorso minimo di permessi sono talmente tante che si arriva quasi alla paralisi del rischio. Potrei implementare questa politica che rimuove i permessi per X, Y e Z. Se non siete assolutamente sicuri, avete fatto l'analisi di: giusto, questo riguarda 50 persone, queste 50 persone hanno avuto accesso a questa risorsa? Se una di loro lo ha fatto, dovete continuare a fare ulteriori verifiche. A quella persona devono essere concessi permessi speciali? Se nessuno di loro l'ha fatto, e l'avete monitorato per un periodo di tempo sufficiente, allora sì, potreste imporlo, beh, lo toglieremo. Ma c'è il timore che, se tolgo qualcosa, si verifichi uno scenario che non si può mai prevedere con l'assistenza sanitaria. Si possono fare molte ipotesi, ma non si può mai pianificare un'emergenza in cui si ha bisogno di qualcosa. Ho rimosso questo permesso. Ora si è verificato uno scenario in cui l'infermiere o il medico o qualcuno doveva essere in grado di fare qualcosa e all'improvviso non può più farlo.

INGO SCHUBERT
Non si tratta solo di azionare macchinari. Potrebbe anche essere come accedere ai dati da qualche parte, giusto? Le cartelle cliniche, per esempio. Quindi capisco che in un'azienda normale potrebbe essere un problema se qualcuno ha troppo pochi diritti. Non può fare il suo lavoro, ma fa una richiesta e viene approvata. E' come se, sì, fosse un male. Potrebbe essere in ritardo di un paio d'ore, forse il giorno dopo, ma non è il mondo, mentre in un ambiente sanitario questo può significare letteralmente un problema enorme. Magari non sarà fatto al minuto, ma potrebbe significare che qualcuno non riceve le cure di cui ha bisogno quando ne ha bisogno.
PAUL MULVIHILL
Se si tratta di un'azienda e qualcuno ha accesso ai dati, magari qualcuno ordina qualcosa su una carta di credito e poi si può ricorrere al fullback con le carte di credito per rimediare o un ordine viene cancellato. Voglio dire, alcuni di questi sono effetti piuttosto gravi, ma se si tratta di sanità, qualcuno cambia le vostre cartelle cliniche. Qualcuno condivide dettagli che non dovrebbero essere condivisi. Ci sono molte più ramificazioni su ciò che potrebbe accadere. O la divulgazione di informazioni che potrebbero avere effetti a lungo termine su di voi. Come ha detto lei, potrebbe essere che qualche farmaco da cui dipende venga interrotto. Siete vicini alla fine della vostra prescrizione con quel farmaco e, in realtà, la rimozione dei dettagli quando dovete passare attraverso la rivalutazione di ciò che effettivamente, sì, mi serve, lo rallenta ulteriormente, lo ritarda, il che ha ulteriori effetti a catena. È uno di quei settori in cui, quello che può sembrare un piccolo cambiamento nel settore privato e aziendale della sanità, i problemi e le ramificazioni sono potenzialmente 10, 20, 30 volte superiori.

JON NICHOLAS
Sì, e su questo tipo di numeri, quando si guarda a una violazione dei dati in questo tipo di scenario, le cartelle cliniche hanno un valore enorme quando vengono scambiate sul dark web, più dei dati delle carte di credito, per esempio, e uno dei settori in cui possono essere utilizzate è quello delle frodi assicurative, che possono comportare un enorme risarcimento monetario, se qualcuno fa quella richiesta, conosce la vostra storia medica e può fare un'offerta assicurativa per conto vostro, e questo è incredibilmente redditizio. È qui che gli aggressori vogliono entrare in gioco. Speriamo, dice, che non vogliano mettere a rischio la vita di nessuno, ma che vogliano ottenere la ricompensa economica di avere queste cartelle cliniche e poi prenderle a scopo di lucro.

INGO SCHUBERT
Voglio dire, queste informazioni sarebbero perfette per un aggressore che volesse effettuare un attacco di tipo spearfishing contro qualcuno. Se si conoscono già i dettagli medici, si aumenta il livello di fiducia e si diventa più sospettosi nei confronti di questo tipo di attacchi, giusto? O semplicemente, non so, ricatti o altro. Sì, ci sono così tante cose che si possono fare con quei dati, giusto? Quindi, sì, lo vedo. Tornando alla pratica, cosa succede, per esempio, in un ospedale? Qual è il tipico flusso di lavoro di autenticazione che qualcuno deve affrontare?

JON NICHOLAS
Non so se siano tipici.

INGO SCHUBERT
Beh, ok.

JON NICHOLAS
Abbiamo parlato dei sistemi, ma cosa dovrebbero fare? Forse la domanda, ma sapete, dovrebbe sempre esserci, dovrebbe sempre esserci quel passo in avanti dell'MFA con, sapete, processo aggiuntivo nel back end, come dire che si può sfruttare l'accesso condizionato quando si parla di IAM, si può sfruttare l'intelligenza artificiale per capire se l'utente è l'utente giusto al momento giusto e farlo in modo dinamico, piuttosto che far sì che gli amministratori cerchino di mettere insieme politiche di accesso condizionato basate su una base di utenti così vasta e su uno stack tecnologico così vasto, quindi sì, usate gli strumenti a vostro vantaggio e fate sempre in modo che chiunque faccia lo step up quando si trova effettivamente in record critici.

INGO SCHUBERT
Una cosa che ho notato in questo settore, forse il più vicino a quello manifatturiero, è la condivisione dei dispositivi. Sembrava essere non dico la norma, ma una quantità sproporzionata di dispositivi condivisi. Come ci comportiamo in questo caso?

PAUL MULVIHILL
Beh, sì, se avete una forza lavoro con turni di 8 ore, non avrete per ogni giorno una persona che ricopre un ruolo con un proprio dispositivo, quindi ne avrete uno condiviso da almeno 3 persone e probabilmente da 5, 6 o 7, perché potrebbe essere un terminale di una postazione infermieristica, cose del genere. Il modo migliore per proteggerlo? Voglio dire, dovrete inserire una sorta di credenziali come nome utente e password. Ho visto persone con i piccoli token OTP, token hardware, perché sono difficili da uccidere. Sono dannatamente resistenti. Ma è sufficiente? Perché si tratta di una password che passa una sola volta. Bisogna che qualcuno raggiunga un computer, si colleghi e lo usi. Ma sono collaudate e testate. Le persone sanno come usarle e ci sono molte persone in questo settore che potrebbero parlare con chiunque di noi del corpo e di come funziona la loro area del corpo, dargli una chiave FIDO e chiedergli di abituarsi a usarla o un cellulare con la biometria push to approve, è un'area completamente diversa a cui pensare, è una specie di parte della tua zona di comfort e della tua conoscenza tecnica. Ma poi stiamo cercando di dire, beh, per usarlo. Devi aggiungere tutti questi altri elementi.
 
INGO SCHUBERT
Inoltre, credo che non sia molto diverso da altri settori in cui, ad esempio, non è possibile portare ovunque un telefono cellulare. Ci sono posti in cui non è consentito portare con sé smartphone o dispositivi intelligenti, per motivi di privacy, perché ci sono macchine fotografiche o, non so, come, ad esempio, non è consentito avere una connessione Wi -Fi da qualche parte perché disturba un altro macchinario. Quindi, sì, hai bisogno di opzioni, sì. Inoltre, il generatore di OTP può essere immerso nel disinfettante, se si vuole.

PAUL MULVIHILL
Sì. L'altro giorno stavo parlando con un cliente che ha avuto un'esperienza del genere, beh, non è una situazione medica, ma è uno scenario in cui non ci sono telefoni cellulari. L'ambiente fisico è blindato dal punto di vista della sicurezza. Quindi, sì, hanno il token hardware con i codici di accesso una tantum oppure guardano alle chiavi Fido. Alcuni dei nuovi prodotti, come RSA iShield, includono l'intero sistema contactless FIDO ed elementi simili. Così, mentre in passato si poteva usare il nome utente, la password e il codice di accesso unico o il codice di accesso. Si può entrare nel regno, ok, andare su un computer, usare il nome, toccare, inserire il pin e si entra.

INGO SCHUBERT
Tutto qui.

PAUL MULVIHILL
È l'accelerazione dei processi. E ci sono anche altre aree in cui sta avanzando, dove potrebbe diventare ancora più semplice in futuro. Alcuni elementi delle chiavi FIDO e Passkey sono in grado di conservare, in un certo senso, anche un po' di informazioni sulla loro identità, in modo da poterle associare a una persona. Quindi, in futuro, basterà avvicinarsi con una chiave FIDO e inserirla nella macchina.

INGO SCHUBERT
Naturalmente, se si dispone di questo tap NFC, i problemi di usabilità sono minori. Non è necessario leggere qualcosa e toccare di nuovo qualcosa che può andare storto se si leggono i numeri giusti o sbagliati o se si hanno i numeri giusti e si toccano in modo errato. Questo aspetto è stato quindi eliminato.

PAUL MULVIHILL
E se qualcuno ha problemi di vista, leggere su un piccolo schermo che ruota potrebbe non essere facile. Quindi, ancora una volta, si tratta di NFC.
INGO SCHUBERT
Lo vedo.

PAUL MULVIHILL
Chiunque, in qualsiasi settore, può trarre beneficio da questo elemento.

JON NICHOLAS
Probabilmente uno dei settori più critici è quello di bilanciare sicurezza e convenienza, perché non vogliamo rallentare il flusso di autenticazione e di accesso per le persone che hanno fretta di fare qualcosa di molto importante, quindi sarà fondamentale che sia sicuro e conveniente allo stesso tempo.

INGO SCHUBERT
Quindi avere più metodi di autenticazione è importante, non solo per un utente, ci possono essere utenti che hanno più metodi, ma perché ci sono tutti i diversi tipi di ruoli, come si intende, sì? Quindi non c'è un tipo che vada bene per tutti.

PAUL MULVIHILL
Già.

JON NICHOLAS
Assolutamente no. Sicuramente in un'organizzazione di quelle dimensioni.

PAUL MULVIHILL
Come lei ha detto a proposito dei diversi ruoli, si torna al lato della governance per assicurarsi che ogni persona che svolge il proprio ruolo abbia mappato correttamente ciò che è in grado di fare. Un infermiere e un ospedale avranno una serie di cose che dovrebbero essere in grado di fare, un medico, un altro portiere o qualcuno alla reception. Probabilmente non riuscirei nemmeno a elencare il numero di ruoli diversi che ci sono all'interno e che hanno tutti requisiti e diritti di accesso diversi. Quindi dovete assicurarvi di poter tracciare una mappa e dire: "Bene, questa persona ha quel ruolo" e assicurarvi che il processo di governance e i sistemi del ciclo di vita vadano nella direzione giusta: "Questo è il tuo ruolo, questo è ciò che puoi avere" e poi tracciare un metodo adeguato in modo da poter svolgere il vostro lavoro senza dover passare 20 minuti al giorno a fare l'MFA, magari una o due volte al giorno, e poi magari sfruttare l'IA e l'analisi comportamentale per dire: "Sono entrato, sono al computer, sono al lavoro", Sono sul computer che ho sempre acceso, sto accedendo alla risorsa a cui accedo sempre, lo faccio una volta e sono dentro, continuo.

INGO SCHUBERT
Quindi, rimanendo sul versante della governance, della governance dell'identità, come, perché la leva del join, perché è così importante nell'ambiente sanitario?

JON NICHOLAS
Penso che quando si guarda, ancora una volta, ho menzionato la scala, ma si vede, e Paul l'ha menzionato, che le persone possono spostarsi da un trust all'altro, ma anche all'interno di un trust, si passa da un ruolo all'altro, probabilmente regolarmente. Quindi la scala del loro processo JML, voglio dire, decine, centinaia di migliaia di modifiche al giorno. Per questo motivo è fondamentale essere in grado di gestirlo da un punto di vista automatizzato. E non solo automatizzarlo, ma anche avere la giusta tempistica: si cambierà ruolo tra tre giorni, giusto? Questo è nel sistema. Tre giorni dopo il passaggio dal ruolo A al ruolo B, fatto automaticamente nel back-end. E voi conoscete il ruolo che andrete a ricoprire, o il sistema conosce il ruolo che andrete a ricoprire e conosce i permessi di cui avete bisogno, non è il caso che io parli con il vostro manager e dica: ‘Ehi, Ingo si unirà al vostro team la prossima settimana, cosa deve poter fare’, ma dovrebbe essere il caso che Ingo si unisca al team e possa fare tutto ciò di cui ha bisogno fin dal primo giorno.

INGO SCHUBERT
E questo significa anche che il ruolo A non è più con me se cambio fiducia, giusto?

JON NICHOLAS
Sì, sì.

INGO SCHUBERT
Quindi questo accumulo di diritti o di tempo, che credo tutti noi abbiamo visto nella nostra carriera ad un certo punto del tempo, è

JON NICHOLAS
Un'espansione dell'identità, se volete.

INGO SCHUBERT
Sì, sì.

PAUL MULVIHILL
In aggiunta a ciò che diceva Jon, se si passa da un sito all'altro, da un trust all'altro e da un ruolo all'altro, l'account che è stato creato per voi per il sito A, se non tornate per tre, quattro, cinque settimane o anche per due o tre giorni, con il lato del ciclo di vita e l'elemento delle leve, potete disabilitare immediatamente quell'account. In questo modo non si verifica lo scenario dell'account orfano, in cui questo account esiste, ha un livello di autorizzazioni. È semplicemente fermo e non viene utilizzato, il che significa che è un altro vettore di attacco. In questo modo, qualcuno non può entrare e poi dedicarsi ad attacchi di tipo ransomware su trust e altre cose del genere. Si blocca tutto perché non si è più qui. Se tornate tra due giorni, tra due giorni il sistema lo riaccende.

INGO SCHUBERT
Giusto.

PAUL MULVIHILL
Fino a quel momento, non è un'opzione. È spenta. Non può essere utilizzata.

INGO SCHUBERT
E la visibilità che ne deriva, voglio dire, ovviamente il sistema sa, sai, quali ruoli hai, quali avrai, quali ruoli avevi. Credo che, e correggetemi se sbaglio, ma se si viene sottoposti a un audit, queste informazioni e questa visibilità sembrano essere molto utili.

PAUL MULVIHILL
Avreste una storia completa di chi può fare cosa in quale momento. Quindi, se dovesse succedere qualcosa dal punto di vista della revisione, vi attenete a questi criteri di revisione? Sì, ecco la prova. Se avete una sorta di piattaforma di governance centrale, tutto è lì. In questo modo potete sapere: "Sì, siamo a posto, nessun problema". E nell'eventualità, speriamo rara, che succeda qualcosa, si può usare lo stesso insieme di dati per dire: "Chi ha avuto accesso a queste cose in quel momento? A seconda di quali registrazioni aggiuntive si possono inserire nell'ecosistema e si può dire che questi account hanno fatto qualcosa, ma si può dire che chi aveva accesso a queste cose? Chi potrebbe aver fatto qualcosa.

INGO SCHUBERT
Questo aiuta nelle indagini. Se succede qualcosa, come un buon ingegnere della sicurezza, si presume sempre che succederà qualcosa, che prima o poi si verificherà una violazione. Questo vi aiuta anche, sapete, durante il processo di pulizia, a vedere cosa succede, chi è stato colpito.

PAUL MULVIHILL
Si presume sempre che qualcosa, si presume sempre che sia possibile una violazione. Quindi si adottano tutte le misure, i controlli e gli equilibri possibili per ridurre al minimo l'impatto, a meno che non si prenda il computer, lo si scolleghi, lo si metta nel cemento e lo si lasci cadere nella fossa dell'Areana o in altro modo, ma non succederà. Quindi, si fa in modo che se o quando succede qualcosa, l'impatto sia il minore possibile sul modo in cui stanno andando le cose.

JON NICHOLAS
Sì, e penso che, se si considerano i dati ottenuti con un approccio di governance, non si tratta solo di fornire informazioni ai revisori. Penso che si debba anche considerare la possibilità di comprendere ciò che abbiamo attualmente. Quindi la maturità dei processi, di cui parlo molto in queste sessioni, ma sapete, guardate un team, guardate i loro diritti di ruolo. Se si pensa che nessuno in quel team ha usato questa abilitazione per sei mesi, un anno, qualunque sia l'arco di tempo definito, il sistema dovrebbe dire che non è stata usata. Valutiamo la possibilità di rimuovere questo diritto, perché è un diritto eccessivo e potrebbe esserci un'ottima ragione per cui non lo usano più. Forse c'è un sistema parallelo che stanno usando per svolgere quella parte del carico di lavoro. Quindi, se lo si inserisce nel nuovo sistema, lo si toglie da quello vecchio. Ma avete bisogno di un'intelligenza automatizzata che vi aiuti a scoprire queste informazioni, perché altrimenti vi ritroverete a fare controlli manuali completi e non saprò cosa avete usato nel sistema negli ultimi sei mesi, ma il sistema saprà come lo avete usato. Utilizzate quindi questa intelligence per dire: "Bene, prendiamo decisioni informate per lavorare verso la fiducia zero o il privilegio minimo".

INGO SCHUBERT
Sì, è qui che mi viene in mente il privilegio.

PAUL MULVIHILL
Poi si verifica il rovescio della medaglia, come hai detto tu, e si può iniziare a vedere dove questo particolare privilegio di autorizzazione non è stato utilizzato. In realtà, 80 % del team lo fanno, ma non fa parte del loro ruolo ufficiale. Dobbiamo aggiungerlo per assicurarci che l'intero team possa farlo perché ne ha bisogno, anziché 8 su 10 che dicono individualmente: "Sì, posso avere accesso al sistema B, per favore, perché mi serve per fare X".

INGO SCHUBERT
Gestione per eccezione, essenzialmente, sì. Pulire, sì.

PAUL MULVIHILL
Facciamo così: beh, in realtà l'80% di loro lo sta usando. Rendiamolo ufficialmente parte del ruolo, in modo da poter aderire alle verifiche e alla conformità e da poter dire: "Sì, questo team ne ha bisogno. È parte del loro ruolo. Se qualcun altro si unisce, se qualcun altro se ne va, disattiviamo l'accesso perché fa parte del ruolo che ha, o lo diamo alla nuova persona che sta facendo altrettanto, solo per mantenere tutto in linea e la visibilità di ciò che queste persone possono fare.

INGO SCHUBERT
Cosa direbbe a un CIO, un CIO del settore sanitario, da dove dovrebbe iniziare? Perché ci sono così tante cose da cui potrebbero iniziare, ma se si tratta di un piccolo elenco di priorità, cosa gli diresti?

JON NICHOLAS
Penso che li incoraggerei, e ci stanno già pensando, ma il vero motivo è concentrarsi sulla resistenza al phishing. Penso che sia questo il punto di partenza, perché molte strutture sanitarie si affidano alla posta elettronica come metodo di comunicazione principale. E sappiamo che si tratta di un vettore di attacco davvero vulnerabile per la pesca. Non solo, ma coloro che utilizzano questi sistemi lavorano in ambienti ad alta pressione. Si collegano, devono fare qualcosa di veloce, arrivano le e-mail, sono riusciti a colpirle al momento giusto, e le passano in rassegna in preda al panico. Non in preda al panico, ma in un flusso normale, e inavvertitamente rilasciano le proprie credenziali e i propri dati al sito di phishing. Quindi, tenendo conto dell'autenticazione della resistenza al phishing, è soprattutto perché si tratta di un settore fortemente incentrato sulle comunicazioni via e-mail che è certamente quello a cui guarderei.
 
PAUL MULVIHILL
Probabilmente sono d'accordo sul fatto di iniziare con la parte di resistenza al phishing e poi con la visibilità di ciò che può fare la vostra forza lavoro, forse un po' in ritardo, ma parallelamente alla messa in sicurezza della porta d'ingresso, assicuratevi che gli approcci alla resistenza al phishing siano attivi, ma poi mettete in funzione una sorta di strumento di visibilità della governance per dire: ok, chi esiste, quali account esistono, cosa possono fare, senza apportare modifiche, ma raccogliendo letteralmente tutte queste informazioni per iniziare a vedere effettivamente la situazione degli account e dei permessi. cosa viene usato, cosa no, chi può fare cosa, chi non può fare cosa. Perché una volta ottenuti i dati, si può iniziare a dire: "Ecco le modifiche che posso pensare di apportare e che all'inizio non hanno alcun effetto perché nessuno le usa". Ma poi, allo stesso modo, quali cambiamenti devo apportare per mettere un team in grado di svolgere il proprio lavoro in modo più efficiente in futuro.

INGO SCHUBERT
Beh, grazie ragazzi. Ci sono stati ottimi spunti di riflessione sulla sicurezza delle identità nei sistemi sanitari. Se vi piacciono questo tipo di discussioni, assicuratevi di iscrivervi per essere avvisati quando pubblichiamo un nuovo episodio. Questo era RSA Identity Unmasked. Ci vediamo il mese prossimo.

INGO SCHUBERT: Benvenuti a RSA Identity Unmasked. Oggi parliamo di un argomento spesso trascurato, la sicurezza dell'help desk. Oggi, insieme a John e Paul, parliamo di casi reali, dei rischi e dei controlli che aiutano a mitigare tali rischi.

Perché l'help desk sta diventando un obiettivo? Inizia con questo.

JON NICHOLAS: Sì, sono felice di intervenire. Quando si vede il ruolo di un help desk, la prima cosa da fare è aiutare le persone. Quindi chiunque chiami l'help desk farà leva sulla buona natura dell'amministratore dell'help desk per dire: "Ehi, potete aiutarmi con qualcosa? Quindi va bene quando si è un dipendente di un'azienda, ho davvero bisogno di aiuto. Ma quando si tratta di un attore minaccioso che chiama, possono pregare su questo e dire: giusto, questa persona è disposta ad aiutarmi. E questo è davvero esagerato se i processi all'interno dell'organizzazione sono carenti, perché l'amministratore dell'Help Desk non è più limitato dai processi a dire: posso fare solo X, Y, Z. Potrebbe andare oltre quei confini e dire: cercherò di aiutarti a fare anche ABC. Questo è un rischio reale per l'help desk, che viene sfruttato quando non c'è un processo forte.

PAUL MULVIHILL: A ciò si aggiunge il fatto che alcuni help desk, in una certa misura, hanno come KPI: devo chiudere, qualcuno telefona, devo chiudere il ticket, devo risolvere il problema. E queste sono tutte cose che, se non siete in grado di fare, io mi gioco. Se volete chiudere un ticket, io ho telefonato, voi ne avete creato uno, farò il possibile per farvi dare le informazioni che voglio e per superare i processi che possono o meno essere in atto.

INGO SHUBERT: Sì, credo che se avete mai lavorato all'help desk - io l'ho fatto per un breve periodo - le loro statistiche, il numero di ticket aperti, il tempo medio di chiusura di un ticket e tutto il resto, a volte sono visualizzati in un grande monitor, quindi credo che creino un ambiente ad alto stress, perfetto per gli attacchi di social engineering. Ok, sì, sì. È cambiato qualcosa di recente, ad esempio cosa ha fatto sì che questa sia diventata una delle principali vie di attacco?

PAUL MULVIHILL: Probabilmente è stato un attacco per un percorso per un po' di tempo, ma è ovvio che negli ultimi tempi la questione è stata portata alla ribalta delle cronache. Negli ultimi 12 mesi abbiamo avuto la cooperativa di Mark Spencer, JLR, Jaguar, Land Rover. Sono stati tutti colpiti in parte perché sono stati presi di mira gli help desk. Qualcuno è riuscito a convincere qualcuno a fornirgli le credenziali di un account, è entrato e poi ha combinato qualche guaio, ma più o meno.

JON NICHOLAS: Sì e mi chiedo che ruolo abbia l'IT in outsourcing, perché non ci sono più solo i dipendenti dell'organizzazione A che si affidano a terze parti e parliamo sempre di terze parti per il rischio preventivo del settore, quindi quanto incide questo aspetto, unito al turnover del personale dell'help desk, la cui permanenza potrebbe essere piuttosto breve, in modo che siano consapevoli del processo, della responsabilità e dell'impatto che può avere sull'azienda che stanno servendo. Forse anche in questo caso le conoscenze sono limitate.

Ok, sì. Questo e ovviamente se non conoscono la cultura dell'azienda, sì, hanno a che fare con questo.

PAUL MULVIHILL: Beh, se avete, come avete detto, un help desk in outsourcing, potete conoscere la procedura, ma non conoscete le persone. Giusto. Quindi cosa si può fare per dire: "Ok, ti sto chiamando"? Non ci siamo mai incontrati prima. Non siamo mai stati in un ufficio prima d'ora.

INGO SHUBERT: Come potrebbe accadere, per un vero attacco, come potrebbe accadere? Voglio dire, qual è un attacco tipico in questo caso? Cosa cerca di ottenere l'attaccante? E come lo fa?

PAUL MULVIHILL: Potrebbe essere, credo, dal tentativo di ripristinare un account a quello di ottenere aiuto per accedere a una rete VPN. Viviamo in un mondo in cui ci sono molti social media che si occupano di ciò che le persone fanno. Ho amici che in pratica pubblicano la loro vita su di essi per vari motivi. Alcune hanno senso, altre no. Quindi, se si volesse scoprire qualcosa su qualcuno, probabilmente si potrebbe iniziare a rintracciare le fonti e a mettere insieme molte informazioni. Quindi si telefona a un help desk e si scopre dove è nata una persona o il nome di un animale domestico, tutto questo, quello e quell'altro, in modo da poter dire: "Bene, ho bisogno di reimpostare una password". Quali sono i passi da fare oggi per sapere, quali sono i passi da fare oggi per sapere chi sono, chi dico? Probabilmente le domande di sicurezza.

Giusto. Quindi si tratta fondamentalmente di una combinazione di alcune, potenzialmente, conoscenze pregresse che l'attaccante ha, sia dai social network. Potrebbe trattarsi di un attacco diverso o di dati acquistati da un broker di dati, illegale o meno. E poi, in combinazione con l'ambiente ad alta pressione di cui abbiamo parlato all'inizio, sembra essere un bersaglio davvero interessante e succulento per gli aggressori, giusto?

JON NICHOLAS: Sì, oltre a questo, parliamo molto della ricerca dell'individuo che si vuole imitare, ma penso che con gli strumenti attuali a disposizione di tutti noi, possiamo dire: "Ehi, cosa usa l'azienda X nella sua infrastruttura IT? Qual è il loro stack tecnologico? In questo modo, quando si conversa con l'help desk, si può essere più credibili. Non si tratta di "posso avere accesso alla VPN". È come se la VPN di Palo Alto non funzionasse. Potete aiutarmi? Così, all'istante, si sentono più familiari.

INGO SHUBERT: Stavo per dire che, in questo caso, sembra che, sai, tu come attaccante, suoni più familiare, il che significa che sei uno di noi, sì, quindi posso fidarmi di più di te con un help desk in outsourcing, sì, sei quasi uno di loro perché alla fine, sai, non fai parte dell'azienda.

PAUL MULVIHILL: Ho visto un video, che riguardava una delle convention di non molto tempo fa, in cui c'era una persona che veniva pagata per hackerare le aziende tramite l'help desk. Il video mostrava che riusciva ad accedere ai sistemi di help desk in circa 30 secondi, perché in pratica telefonava, riusciva a fingere il numero di telefono per farlo sembrare dell'azienda, in modo che immediatamente le persone dell'help desk pensassero: "Oh, sono interni". E poi li hanno convinti, facendo domande - fingendo di essere l'utente o di avere informazioni su quali fossero i sistemi VPN, per convincerli ad aiutarli ad accedere a un sito web, che in realtà ha permesso loro di accedere come backdoor al computer in cui si trovava la persona.

INGO SCHUBERT: In pratica si tratta di affidarsi a prove per l'autenticazione. È più che altro una sensazione di calore che l'attaccante genera. È questo, voglio dire, che cosa si dovrebbe fare invece? Cioè, cosa si potrebbe fare in modo diverso? Voglio dire, non sembra un problema nuovo, giusto? Voglio dire, questi help desk esistono da decenni ormai, giusto?

PAUL MULVIHILL: Beh, sì, credo che siamo arrivati a un punto in cui, quando si tratta di sicurezza informatica, siamo la parte più debole dell'intera equazione. Se ci si affida a qualcosa che conosciamo, probabilmente lo si può scoprire. È necessario arrivare a fare qualcosa in cui l'autenticazione con qualcuno avvenga con qualcosa di cui dispone, che non può essere carpito da qualche altra fonte o che non può essere appreso. Quindi si tratta di fare una sorta di MFA step-up, qualcosa di simile, per dire, giusto, ok, hai un sistema, stai chiedendo aiuto, dimostralo. Ma non facendoti una domanda, perché questo può essere.

INGO SCHUBERT: Beh, stavo per dire che la più popolare è quella delle domande di sicurezza come, ad esempio, il nome da nubile della nonna e tutto il resto. Quante di queste sono sempre le stesse?

PAUL MULVIHILL: Esattamente. Abbiamo la stessa serie di 10 domande, ne scegliamo tre. E' come dire, beh, sapete cosa? Probabilmente posso trovare quell'elenco e cercare di capire qual è la risposta per tutti.

Giusto. Tornando al tema generale, in generale la sicurezza dell'identità richiede prove e prove solide. Credo che lei abbia menzionato l'MFA. È qui che entra in gioco l'MFA.

PAUL MULVIHILL: Sì. Voglio dire, se siete in un'azienda e avete l'MFA, usatelo a vostro vantaggio. Se John ha impostato l'MFA e chiama l'help desk, usatelo per dimostrare che siete chi dite di essere. Ovviamente non tutti gli MFA sono uguali, ma è sempre meglio che affidarsi a una ricerca su John e scoprire dove è nato o dove è nata la madre, questo, quello e quell'altro, e rispondere alla domanda. Se si trattava di un passo che prevedeva l'impostazione di un master, dimostralo.

INGO SCHUBERT: Quindi, ma come funzionerebbe ora? Con RSA ID Plus in questo caso, perché, voglio dire, cosa dovrebbe fare l'help desk? Cosa dovrebbe fare l'utente finale per farlo? Perché, come dire, si fa l'MFA, è come dire, sì, è una cosa. Ma come funziona passo dopo passo? Come, cosa dovrebbe fare un utente?

PAUL MULVIHILL: Con il sistema ID Plus, la chiamata avviene tra due persone. L'addetto all'help desk trova l'utente nel sistema e attiva una sessione di verifica. L'utente finale che chiama conosce l'URL, o gli è stato insegnato l'URL a cui deve andare e quindi all'interno del punto finale, è un, ok, fare un MFA. L'azienda deciderà se è FIDA, se è push to approve, se è biometrica, qualunque sia il metodo scelto come accettabile. Quando riescono a farlo, ottengono un codice di verifica. Lo restituiscono all'help desk. Ma questo è solo un numero di verifica dell'identità. Non è un numero di autenticazione. Non è un numero di autenticazione, non può essere utilizzato per indagare su nulla.

Giusto. Quindi non devono rivelare il loro attuale OTP o qualcosa del genere.

PAUL MULVIHILL: Si occupano dell'OTP se stanno facendo l'OTP. Fanno il push approvato, la biometria di Fido. Fanno tutto questo senza condividere alcuna informazione a quel punto. Ottenere un risultato. Danno il risultato all'help desk, anche in questo caso solo per la verifica. Non si tratta di alcun tipo di autenticazione. E poi il
L'addetto all'help desk dice: "Bene, dammi questo numero, uno, due, tre, quattro, cinque, inseriscilo" e il sistema risponde: "Sì, mi aspettavo che fosse chi dicono di essere".

INGO SCHUBERT: Benvenuti a RSA Identity Unmasked, il vodcast in cui analizziamo le forze che stanno plasmando il futuro della sicurezza delle identità. Sono il vostro conduttore, Ingo Schubert, e oggi ci immergiamo nell'argomento che sta suscitando molto scalpore in tutto il settore, il quantum computing. Oggi sono affiancato da David Lello di Burning Tree. Entriamo subito nel vivo. Oggi l'informatica quantistica è un'allusione, una minaccia, un'opportunità o tutte e tre le cose. In realtà stiamo rivisitando un dibattito iniziato a Bletchley Park nel settembre dello scorso anno con David Lilo di Burning Tree e il sottoscritto, Ingo Schubert. Quindi entriamo subito nel vivo. David, benvenuto a questo episodio.

DAVID LELLO: Grazie

INGO SCHUBERT: Credo che, per favorire il pubblico, possa descrivere in due parole cos'è l'informatica quantistica, in modo da renderci esperti dopo che lei ha finito.

DAVID LELLO: Beh, comincerò con il modo più elementare di vedere il computer quantistico, perché credo che se iniziamo ad addentrarci nella fisica teorica potremmo perdere un po' di persone.

INGO SCHUBERT: Sì

DAVID LELLO: Con i computer quantistici i computer quantistici funzionano in modo diverso rispetto ai computer tradizionali. Con un computer quantistico, lo fa in modo diverso. Utilizza la meccanica quantistica e quindi, in un mondo multidimensionale di meccanica quantistica, guarda i dati e li vede. Non legge i dati nello stesso modo e, di conseguenza, può ipotizzare e considerare più costrutti contemporaneamente. È un po' come quando si legge un libro, un computer tradizionale lo legge dall'inizio alla fine, mentre un computer quantistico legge il libro e vede i dati. Per questo motivo, il computer quantistico è in grado di elaborare le informazioni molto più velocemente. E quando si risolvono i problemi, è come se li risolvesse tutti nello stesso momento, invece di guardare a un problema cercando di risolverlo in serie.

INGO SCHUBERT: Sì, gli algoritmi sono molto diversi, ovviamente. Sì, credo che questo sia il motivo per cui molti, e mi ci metto anch'io, hanno difficoltà a capire come si fa a programmare una cosa del genere. Da un punto di vista informatico tradizionale, credo che ciò che mi aiuta a volte a capire che si tratta di una bestia diversa, è che, sai, un computer tradizionale, come ogni bit, sì. Se hai N bit, puoi memorizzare N quantità di dati. È zero, uno, sì? Con i quanti, è due alla potenza di N, sì, il che è come, immediatamente, se il vostro vecchio istante si attiva, è come, sì, che è molto di più, sì, nella stessa quantità di qubit in questo caso, giusto? Quindi, l'immagazzinamento e l'elaborazione sono a un livello diverso, giusto? Quindi penso che lo lasceremo qui perché altrimenti staremmo qui per giorni, giusto? Sto solo spiegando le basi.

Il prossimo argomento che vorrei esplorare è: qual è lo stato attuale dell'informatica quantistica? A che punto siamo in questo momento? Perché credo che probabilmente, e se chi sta guardando ci ha visto a Bletchley Park, abbiamo opinioni diverse su dove siamo e dove saremo. Cominciamo con lei. Qual è lo stato attuale dell'informatica quantistica?

DAVID LELLO: Credo che l'informatica quantistica sia ancora in fase iniziale. Ci sono diversi computer quantistici in circolazione e si può effettivamente noleggiare del tempo sui computer quantistici in modo da poter esaminare i dati. Ma credo che il modo in cui sono stati sviluppati i computer quantistici presenti una serie di problemi. Alcuni computer quantistici richiedono un notevole controllo in termini di temperatura. Un computer quantistico funziona allo zero assoluto, quindi a meno 270 gradi Celsius, che è davvero freddo. Sono necessarie grandi strutture, grandi attrezzature e grande energia. Altrimenti si perde la coesione e la stabilità della piattaforma.

I primi computer quantistici si bruciavano continuamente a causa di questo problema. Si tratta quindi di un problema che deve essere risolto e affrontato. L'altro problema è che, poiché il computer quantistico esamina i dati tutti nello stesso momento, crea molto rumore. Se doveste prendere qualcosa come la Bibbia e leggerla all'istante, invece di scorrerla dall'inizio alla fine, creereste un racconto nella vostra mente che sarebbe incomprensibile. E cercare di digerire, capire e distillare il messaggio diventa molto difficile.

Quindi, il rumore del sistema ha creato un'enorme quantità di problemi. Abbiamo assistito a un buon successo da parte di Oxford, che ha ridotto in modo significativo il punteggio di errore e il rumore all'interno del sistema. Ma probabilmente il problema più significativo al momento è la quantità di cubetti che possono essere entangled contemporaneamente, perché si inizia a perdere la coesione di quei cubetti quando si inizia a superare circa 100 cubetti. Quindi la quantità di qubit che possono essere agganciati contemporaneamente per poter elaborare le informazioni è limitata. Ciò significa che la potenza di elaborazione e la capacità della macchina sono limitate.

Quindi, non si tratta ancora di quello che chiameremmo calcolo quantistico crittograficamente rilevante, il che è un grosso problema, ma è in una fase in cui è dimostrato. Funziona. Fa quello che gli scienziati dicono che fa. Si tratta solo di portarlo al livello successivo e di investire ulteriormente. Ogni pochi mesi si registrano ulteriori progressi o si investe pesantemente su di essi, e stiamo iniziando a vedere dei progressi.

INGO SCHUBERT: Sì, quindi è vero. E penso che se si confrontano i computer quantistici, se si guardano le loro immagini, giusto? Da cinque anni fa a oggi, li definirei ancora in parte un esperimento fisico, ma cinque anni fa erano molto più esperimenti fisici, giusto? Se si guarda solo alla configurazione fisica di questi oggetti, giusto?

Tuttavia, anche se è vero che, sai, diventano come, sì, se gli lanci un problema, possono risolverlo molto più velocemente dei computer tradizionali. E parte di questo è ciò che lei ha detto essere la coesione. Sì, la coesione di base è, sai, se riesci a mantenere il sistema stabile solo per un certo periodo di tempo. E di solito si misura al massimo in secondi, sì, o in millisecondi, a seconda del chip utilizzato. E questo è un tempo molto lontano dall'essere utile in molti casi. Ora, ci sono alcuni casi d'uso in cui ha senso. Pensate a questo come a un co-processore quantistico. Ma il problema è che in molti casi d'uso è discutibile che si possa risolvere il problema anche con un paio di GPU Nvidia, giusto?

Quindi, una delle cose che vedo fare costantemente, è che c'è molto clamore anche nello spazio dell'informatica quantistica. Credo che si sovrapponga un po' al clamore per l'IA. Si può anche sostenere che, se si tratta di hype, è reale. Ma il punto è che c'è molto clamore, molti soldi in giro. Credo che una parte di questi soldi stia cercando una strategia di uscita. E l'informatica quantistica sembra essere attraente, giusto? Quindi ci stanno buttando dentro un sacco di roba e ci sono aziende che fondamentalmente sono sopravvalutate e anche sopravvalutate in termini di ciò che promettono e di ciò che fanno, e questo vale per tutto lo spettro. A Bletchley Park ho avuto come esempio il chip Willow di Google, in cui Google ha pubblicato un comunicato stampa su questo nuovo chip con un'ottima correzione degli errori e l'affermazione che è stata ripresa dalla stampa popolare è stata che questo chip può fare in cinque minuti quello che un computer tradizionale può fare in 10 anni. di 35 anni, il che è straordinario perché l'universo ha solo 10 anni alla potenza di 25 anni, quindi e se lo si legge è come se non potesse farlo, è come se questa cosa potesse funzionare per cinque minuti e come se milioni di milioni di volte non fossero in grado di farlo, allora sarebbe così. E se si osservano altri comunicati stampa di diverse aziende, grandi e piccole, si nota una certa tendenza a esagerare con i risultati ottenuti.

E credo che, sfortunatamente, questo faccia passare in secondo piano alcuni dei reali progressi che l'informatica quantistica ha fatto negli ultimi due anni, giusto? E credo che questo, e qui arriviamo, faccia sembrare la minaccia dell'informatica quantistica molto più reale, in termini di "dietro l'angolo", di quanto non sia in realtà. Ma prima di affrontare il tema del perché il mondo finirà, se l'informatica quantistica dovesse comparire all'improvviso, quali sarebbero i vantaggi di un computer quantistico che avete in mente? Cosa potrebbe fare meglio di qualsiasi altra cosa?

DAVID LELLO: Risponderò a questa domanda reagendo anche a ciò che ha detto sul computer quantistico in termini di situazione attuale. E credo che, pur essendo d'accordo sul fatto che ci siano dei problemi in termini di computer quantistico, penso che siamo molto più vicini a raggiungere la stabilità in un computer quantistico di quanto si pensi. Se guardo al passato, credo che uno dei modi migliori per guardare al futuro sia quello di guardare alla storia. Quando ero giovane e lavoravo in banca, c'era un mainframe, un vecchio mainframe IBM. Il mainframe occupava una stanza. Era una stanza grande. Non era una stanza piccola. Era una stanza piuttosto grande. E riempiva la stanza. Su questo mainframe c'erano delle valvole. Aveva tre serbatoi di raffreddamento ad acqua. C'erano piscine sotterranee nel seminterrato di questa banca. Questa cosa era enorme. E solo pochi anni prima avevano sostituito il sistema di schede perforate da quel mainframe.

Quando hanno tolto il vecchio mainframe, che richiedeva carrelli elevatori e macchinari molto pesanti per essere portato via, hanno dovuto tagliare alcune porte perché non potevano fisicamente far rientrare il mainframe. E l'hanno sostituito con un rack e un computer mainframe esponenzialmente più grande di quello che c'era prima. Nel corso degli anni abbiamo assistito a una massiccia accelerazione dei progressi dei computer. Se torniamo indietro di soli 30 anni, o di 40 anni, è enorme la quantità di cambiamenti che si sono verificati.

Sì.

DAVID LELLO: E quello che abbiamo visto ora con i computer quantistici, sì, ci sono i primi indicatori e la scienza, sembra quasi un po' come quel vecchio mainframe nel seminterrato con i tre serbatoi, perché servono i sistemi di raffreddamento, le grandi attrezzature, tutto il resto. Ci sono un'enorme quantità di denaro da investire. Ci sono molti investimenti in ballo. E questi problemi saranno risolti. E potrebbero essere risolti più rapidamente di quanto si possa pensare. E i progressi che abbiamo visto di mese in mese suggeriscono che ci stiamo avvicinando sempre di più alla coesione. E quindi penso che potrebbe essere un po' più vicina.

E se ci riuscirà, credo che sarà davvero entusiasmante, perché il computer quantistico potrà elaborare i dati molto più velocemente, e non così velocemente come alcuni sostengono, ma perché potrà elaborare i dati molto più velocemente, significa che potrà esaminare e risolvere problemi che prima non potevano essere risolti.

Nella fisica teorica si parla di gatto di Schrodinger e il gatto è vivo o morto? È decaduto? È, che cos'è? Qual è lo stato del gatto? Ebbene, il computer quantistico sarebbe in grado di guardare e vedere il gatto in ogni sua possibilità e quindi di risolvere problemi importanti che non siamo stati in grado di risolvere.

INGO SCHUBERT: Sì, e penso che in termini di medicina, ad esempio, di ripiegamento delle proteine, i computer quantistici siano in vantaggio rispetto ai computer tradizionali, giusto? E ci sono altre cose in cui, sai, semplicemente tutto ciò che ha un'enorme quantità di dati da elaborare, come le previsioni del tempo, è una cosa, come, sai, qualsiasi cosa, i dati geologici, c'è un bel po' di casi d'uso che trarrebbero vantaggio dall'informatica.

Ora, tornando a questo punto, è più presto il tuo punto di vista, per quanto tu possa pensare che è come se non lo pensassi, perché non è una linea retta in cui si dice che questo è successo in passato con i transistor e che succederà di nuovo, quindi potrebbe non esserlo, è come la lotteria, solo perché hai vinto l'ultima volta non significa che non vincerai la volta successiva, e specialmente con la coesione, se si parla di un paio di centinaia di qubit, forse un paio di migliaia, per essere un computer quantistico universale che, per esempio, può eseguire l'algoritmo di Shor, che sarebbe una minaccia per la crittografia. Si parla di un paio di centinaia di migliaia di qubit, giusto? E sulla strada per raggiungerli, potremmo sbattere contro un muro da qualche parte, giusto? Non c'è garanzia che riusciremo a risolvere questi problemi. Potremmo, e in effetti, sì, certo, potrebbe esserci, ma non c'è alcuna garanzia. Allo stesso tempo, un computer quantistico deve sopravvivere commercialmente in un ambiente in cui abbiamo assistito a un aumento massiccio della potenza di calcolo a livello mondiale, grazie essenzialmente alle GPU, giusto? Grazie all'intelligenza artificiale. Prima era la mania dei Bitcoin, ora è l'IA. Quindi, senza che ci siano stati progressi come quelli fondamentali nella progettazione dei chip. Certo, in questo modo diventano più piccoli. Abbiamo aumentato in modo massiccio la potenza di calcolo, tanto che ora il fattore limitante è l'energia, giusto? Quindi l'energia elettrica.

E in questo ambiente, un computer quantistico deve sopravvivere. Ora, si può argomentare che, soprattutto per quanto riguarda il cracking delle chiavi, alcuni governi lo faranno, bene. Sì, va bene. Hanno abbastanza soldi. Non gli interessa davvero. Beh, forse dovrebbe importargliene. Sono le nostre tasse, ma supponiamo che non gli importi.

Esistono casi pratici di utilizzo del calcolo quantistico lungo la strada che porta a un computer quantistico universale pienamente funzionante. Credo che questo sia indiscutibile. Non sto dicendo che non sia così. E ci sono buoni casi d'uso per questo. Come ho detto, ad esempio il ripiegamento delle proteine nella ricerca farmaceutica, giusto?

Ma parliamo delle minacce, giusto? E non mi riferisco al consumo di energia e a tutto il resto, perché questo è già presente nelle unità tradizionali, giusto? Voglio dire, le minacce riguardano in particolare la sicurezza informatica e quindi la sicurezza, giusto? Perché ci sono alcuni, sapete, ho menzionato l'algoritmo di Shor, quindi forse dovremmo, sapete, spiegare brevemente, sapete, di cosa si tratta e come influisce sulla sicurezza.

DAVID LELLO: Sì, quindi con il computer quantistico, poiché è in grado di elaborare le informazioni e i dati molto più velocemente, è in grado di usare l'algoritmo di Shaw per decifrare le chiavi crittografiche e quindi, quando avremo un computer crittografico, un computer quantistico rilevante, sarà in grado di decifrare quelle chiavi in pochi secondi, minuti.

INGO SCHUBERT: Sì.

DAVID LELLO: E quindi la maggior parte dei dati che consumiamo, utilizziamo e a cui accediamo sarebbe vulnerabile agli attacchi.

INGO SCHUBERT: Sì. E l'argomentazione di Schor, come ho detto prima, è che oggi non esiste un computer quantistico che possa funzionare in questo modo, perché occorrono centinaia di migliaia di qubit in coesione e in funzione per un certo tempo. Quindi sì, si tratta di un paio di secondi, ma anche un paio di secondi sono un problema al giorno d'oggi per alcuni computer quantistici. Quindi, in un certo senso, si romperebbe o invaliderebbe l'algoritmo RSA, sì, quindi una chiave pubblica privata, usando RSA, ma anche Diffie-Hellman e le curve ellittiche, ECC. Quindi, in pratica, tutti quelli che sono popolari e che sono stati usati negli ultimi due decenni sarebbero essenzialmente rotti, giusto? Sarebbero infranti da un computer quantistico. Naturalmente, i computer tradizionali continuerebbero a fare fatica come sempre, quindi non si tratta di una minaccia.

E sì, quindi se questo è rotto, voglio dire, questi algoritmi sono usati ovunque, sì? Si tratta, ad esempio, del tradizionale TLS, delle comunicazioni tra client e server web, delle VPN, delle firme delle e-mail, della crittografia dei file inviati e di tutto questo, spesso basato su RSA, ECC o Diffie-Hellman, giusto? Quindi, voglio dire, sarebbe, si potrebbe dire, catastrofico.

DAVID LELLO: Lo sarebbe, assolutamente. Sarebbe completamente catastrofico. Penso che, più approfondisco la questione e più casi d'uso mi si presentano, più sistemi si guasteranno. È un problema globale. Come l'autenticazione e l'accesso al sistema finanziario. Anche cose come Bitcoin vengono compromesse. Utilizzano la crittografia a curva ellittica e verrebbe compromessa. La conseguenza è un crollo completo del sistema finanziario.

Quindi, sì, può essere assolutamente catastrofico. Penso che nei casi d'uso tipicamente ampi si possano riscontrare problemi importanti, ma anche problemi più piccoli e meno pubblici, ai quali credo che la gente non pensi sempre, per cui quando iniziamo a parlare di IOT e OT e iniziamo a pensare ai dispositivi medici e alle apparecchiature mediche, la capacità di comprometterli. Prendete una persona che indossa un microinfusore di insulina.

Se riesco a compromettere la crittografia di quel microinfusore di insulina, posso uccidere qualcuno.

INGO SCHUBERT: Sì.

DAVID LELLO: In questo modo, all'improvviso, la criminalità dietro queste cose può diventare esponenzialmente più significativa. E cominciamo a vedere casi d'uso come Minority Report e Terminator.

Adesso sì che si ragiona. Ora la cosa si fa interessante, sì.

Ok. Ma, tornando alla disponibilità di computer quantistici, questo non accadrà da un giorno all'altro, perché non sarà così da un giorno all'altro. Supponiamo che qualcuno, sì, riesca finalmente a ottenere un computer quantistico con, sai, 200.000 cubiti in grado di eseguire l'algoritmo di Shor, per esempio. Di solito sono circa un milione. Alcune ricerche dicono che bastano un paio di qubit da 100.000. Non è che all'improvviso tutti abbiano un computer quantistico. Solo un paio di governi e di strutture di ricerca hanno accesso al calcolo quantistico. Non è che tutti i criminali informatici vi abbiano accesso.

Ma la minaccia è reale. Penso che sia simile al problema dell'anno 2000. L'avevamo previsto da un po', ma abbiamo fatto delle cose per mitigarlo e si è rivelato un po' un nulla di fatto.

Ma solo perché abbiamo fatto qualcosa.

Esattamente. Solo perché abbiamo fatto qualcosa, giusto? Se non avessimo fatto nulla, probabilmente sarebbe stato un problema enorme, mentre abbiamo fatto qualcosa ed è andato tutto bene, giusto? E penso che probabilmente sarà simile a questo caso, perché ci sono cose che si possono fare, il che ci porta al prossimo lavoro.

Sì, quindi potremmo non essere d'accordo su quanto tempo avremo a disposizione, giusto? Perciò, tanto per buttarla lì, c'è stato un rapporto del MITRE, un istituto di ricerca finanziato dal governo statunitense, che ha pubblicato un recente rapporto all'inizio dell'anno e ha collocato l'algoritmo di Shor all'incirca all'inizio del 2040, probabilmente più intorno al 2050, quindi non è che avessero un incentivo a farlo uscire, quindi era un rapporto solido, ma anche se si dice che è molto prima, è improbabile che sia prima del 2030. Penso che sia altamente improbabile, a meno che non avvenga un miracolo. Quindi, cosa potete fare oggi per prepararvi a questa apocalisse quantistica?

DAVID LELLO: Penso che sarà sicuramente molto più veloce del 2050. Odio cercare di fare previsioni perché è una cosa impossibile. Quando si cerca di prevedere il futuro, si fallisce inevitabilmente perché non abbiamo una mente soprannaturale.

INGO SCHUBERT: Bene, incontriamoci nel 2055. Alla stessa ora, sì, così possiamo parlarne. Se sono ancora all'interno.

Assolutamente sì. Facciamo così. Stessa ora, stesso posto. Facciamolo. Va bene, ma se è prima, vediamo come celebrare l'evento, perché penso che con qualsiasi progresso tecnologico, una scoperta avviene e avviene in un momento preciso. Potrebbe accadere la prossima settimana. Potrebbe accadere tra 10 anni. Non lo sappiamo. Ma accadrà, ne sono certo, perché la scienza c'è. È credibile. È reale. Un campo di girasoli è in grado di mantenere la coesione in questo momento. La stabilità è presente a temperatura ambiente, in un campo, con tutto ciò che accade intorno. Gli animali che corrono sotto, l'inquinamento e tutto il resto. Un campo di girasoli può avere coesione.

INGO SCHUBERT: Esatto.

DAVID LELLO: Perché un gruppo di scienziati lo fa?

INGO SHCUBERT: Sì, ma hanno avuto un paio di milioni di anni per evolversi, giusto? Quindi è questo il punto. Sono d'accordo, ma hanno un po' di vantaggio, no?

DAVID LELLO: Tornando alla questione, credo che uno dei problemi che abbiamo, e che abbiamo affrontato un po' a Bletchley Park, è che quello che abbiamo al momento in termini di pratiche e di quelle che definiremmo buone pratiche di gestione delle chiavi crittografiche, credo che molte aziende abbiano fallito. Quando si tratta di eventi, qualche anno fa, c'è stata la vulnerabilità di SSL e tutti si sono affannati a cercare di sostituire le chiavi. Questo ha fatto sì che le aziende diventassero molto più agili in termini di rotazione delle chiavi TLS, il che è fantastico. Questo risolve una buona parte del problema. Se si dispone di agilità nelle chiavi TLS, significa che è possibile cambiarle. Potreste dover fare qualche test lungo il percorso per assicurarvi che tutto funzioni.

Ma le organizzazioni possono iniziare a pensare fin da ora alla loro autorità di certificazione e al modo in cui emettono le loro chiavi e come sostituiscono le loro chiavi a livello TLS. E questo va bene. Il problema che riscontriamo quando entriamo in un'organizzazione è che il 20-30, forse anche il 40% delle chiavi non è gestito in questo modo. Molto spesso molto hardware ha chiavi incorporate in un pezzo di infrastruttura hardware e alcuni di questi pezzi di hardware possono vivere per 20 anni e la possibilità di cambiare le chiavi all'interno di quell'hardware significa cambiare l'hardware.

Ci sono anche molte cattive pratiche di codifica, soprattutto ai tempi delle costruzioni monolitiche, in cui le applicazioni hanno chiavi incorporate nelle applicazioni stesse. E quando iniziamo a pensare che non è successo solo questo.

INGO SCHUBERT: Credo sia questo il punto. Si tratta di una cattiva pratica, a prescindere dall'informatica quantistica o meno.

DAVID LELLO: Lo è. E così, quando iniziamo a pensare all'idea del Q-Day, che nell'anno 2000 era facile perché avevamo una data. Con il Q-Day non abbiamo una data.

INGO SCHUBERT: Ottima osservazione.

DAVID LELLO: Ma quando alla fine arriverà, e potrebbe arrivare domani, o tra 10 anni, o se avete ragione tra molto più tempo, ci troveremo in una situazione in cui una buona parte dell'organizzazione e le sue chiavi non saranno prontamente o facilmente sostituibili, e ci sarà il panico. Avremo un problema enorme, enorme, quando i dati saranno compromessi.

Ma c'è anche un altro problema, che mi viene spesso chiesto, ovvero la minaccia del ‘raccogli ora e decripta dopo’. Sono anni che assistiamo al furto di dati criptati. In questo Paese, David Cameron ha detto che tutti i nostri dati sono stati rubati dalla Cina, ma non importa. Sono criptati. Quindi, tornando indietro di qualche anno, questo tipo di affermazione è vera mentre ora, date le tecnologie che abbiamo nel tempo con un computer quantistico, diventa un problema. E sì, ovviamente i dati invecchiano.

INGO SCHUBERT: Ma alcuni di quei dati saranno ancora rilevanti. Non tutti, ma in parte. Quindi penso che sia lo stesso. Sono rimasti là fuori che, sì, sai, se vengono decriptati tra cinque anni, chi se ne frega, giusto? O tra 10 anni, sì. Quindi si può argomentare che molti dei dati di identità per l'autenticazione, se vengono decriptati tra cinque o dieci anni, non ci si preoccupa più di tanto perché ormai sono obsoleti. Ma ci sono molti dati strategici che potrebbero danneggiarvi per decenni, giusto? E non è nemmeno necessario essere uno Stato. Potreste essere una normale società, una normale impresa.

Esattamente.

INGO SCHUBERT: E qual è il caso?

DAVID LELLO: Voglio dire, sapete, la quantità di organizzazioni in cui entro è caratterizzata da sistemi legacy. In effetti, non molto tempo fa sono stato in un'organizzazione in cui c'era un'applicazione. La trattavano come una scatola nera, e la trattavano come una scatola nera perché il codice sorgente era andato perso. La persona che l'ha scritta è morta da tempo e non la tocca. Se cade, la risposta è accenderla o spegnerla, riaccenderla e pregare perché è l'unica cosa che si può fare. Non c'è niente che si possa fare. E questo sistema controllava tutti gli accessi ai suoi negozi, tutti gli accessi ai suoi negozi. E se viene compromesso, se viene disattivato, l'organizzazione viene disattivata.

INGO SCHUBERT: Singolo punto di fallimento.

DAVID LELLO: Singolo punto di fallimento. La quantità di organizzazioni che stiamo visitando in cui c'è un singolo punto di fallimento è straordinaria. Le organizzazioni devono iniziare a pensare a come modernizzare la propria infrastruttura di gestione delle identità e degli accessi. Quando iniziamo a pensare alla gestione delle identità e degli accessi, la gestione delle identità e degli accessi è la via d'accesso a tutto. Abbiamo visto gli ultimi attacchi ransomware che si sono verificati in Germania, così come nel Regno Unito, in Italia e in altri luoghi. Questi attacchi ransomware prendono di mira i sistemi di controllo degli accessi. Lo prendono di mira nell'autenticazione perché è un bersaglio facile e morbido, che si tratti di Active Directory o di un sistema come quello che ho descritto, la possibilità di compromettere effettivamente l'accesso fa crollare l'organizzazione, blocca la comunicazione, blocca la possibilità di accedere. La modernizzazione della gestione degli accessi alle identità in questo contesto sarà una delle principali priorità.

Sì, sì. È difficile opporsi a questa affermazione, perché ha senso, da qualunque punto di vista la si guardi, no? Se torniamo alla gestione delle chiavi di crittografia, molti clienti non sanno cosa hanno, giusto? Non hanno una buona visione di dove crittografano, dove sono le chiavi, dove firmano digitalmente. Non hanno una visione d'insieme. Credo che questo sia parte del problema, no? Perché non si può risolvere ciò che non si sa che esiste. Molti clienti hanno avuto problemi con la semplice igiene informatica di base. Questo è ciò che vedo costantemente, purtroppo, giusto? Proprio stamattina ho ricevuto una telefonata da un cliente che utilizzava un software RSA vecchio di 20 anni, giusto?

Wow.

INGO SCHUBERT: Quindi, in realtà, hanno chiamato il nostro supporto per qualcosa, e il supporto non è stato in grado di rispondere, ed è come, sì, certo, sai, probabilmente il personale di supporto che rispondeva alla telefonata era probabilmente all'asilo quando è uscito quel software, giusto? Quindi, il mio punto di vista è che finché non facciamo questa igiene informatica di base e la visibilità, prima di tutto, non si può raggiungere questo stato di prontezza quantistica, sì, in cui si è pronti per il Q-day. Non è assolutamente possibile.

Inoltre, la mia opinione è che non ci si può preoccupare dell'informatica quantistica finché non si sistemano queste cose, giusto? Perché se non si sa che software si sta utilizzando, se non lo si tiene aggiornato, ovviamente si dipende dai fornitori che sistemano queste cose, come ad esempio l'implementazione della crittografia post-quantistica, giusto?

Ma se il software è uscito con la nuova versione, con tutte queste belle cose sul quantum computing, e tu non lo installi, vuol dire che uno non esiste, giusto? E poi, anche se lo fate, se le vostre politiche e procedure, per esempio, sulla gestione dei dati, non sono corrette, di cosa stiamo parlando? Se l'aggressore può semplicemente telefonare al vostro help desk e chiedere di entrare, non ha bisogno di un computer quantistico per farlo, giusto? Non ne hanno bisogno oggi. Non ne hanno bisogno ieri. Non ne hanno bisogno domani. Basta che telefonino all'help desk se le vostre politiche non sono corrette e ottengono l'accesso.

Quindi, ci sono molte cose che possono andare storte, che sono andate storte e che andranno storte, che non hanno nulla a che fare con i computer quantistici. Il mio timore è che le persone guardino a questa cosa quantistica, questo Q-Day, e si lascino distrarre da questo bel giocattolo luccicante, giusto? Mentre hanno così tanti compiti da fare, che probabilmente non sono stati fatti per decenni, giusto? E, naturalmente, si può argomentare che, ehi, sapete, dovete fare questo, avere visibilità, sapete, avere patch in atto su questo, sistemare le vostre procedure. Se un cliente ha bisogno della minaccia dell'informatica quantistica per farlo, così sia, giusto? Potrei essere felice.

Ma una parte di me pensa: "No, perché cosa succede se ci imbattiamo in un ostacolo con il calcolo quantistico? E per un paio d'anni non ci sono vantaggi o progressi reali e poi si pensa: "È una cosa del 2060, sarò già fuori dal mondo del lavoro e non dovrò preoccuparmene", ma questo è l'approccio sbagliato, perché si dovrebbe risolvere il problema a prescindere da tutto.

Vi darò un po' di nozioni, sì, un po' di nomi, sì, il filosofo tedesco Emmanuel Kant, sì, non tagliate quell'editore, sì, è k, è k. È K -A -N -T, giusto? Quindi d'ora in poi lo chiamerò Emmanuel, sì.

Filosofo tedesco del XVIII secolo, ha detto molte cose intelligenti. Ma una delle cose che ritengo più intelligenti è che si fa la cosa giusta perché è la cosa giusta da fare, giusto? Non perché ti faccia guadagnare punti con qualche divinità o qualcosa del genere. Lo fai perché è la cosa giusta da fare.

E avere una buona visione d'insieme di dove si cripta, come si cripta, delle politiche, delle procedure, delle patch e di tutto il resto, è la cosa giusta da fare, indipendentemente dal fatto che l'informatica quantistica sia lontana 10 anni, 20, 30 anni. Non importa. È necessario farlo. Ora, avreste dovuto farlo negli ultimi 20 anni. Questo è essenzialmente un punto. Credo che su questo punto siamo d'accordo. Sì, assolutamente. Credo che la motivazione che sta dietro a questo punto sia il punto di disaccordo, perché abbiamo opinioni diverse sul punto in cui si trova e si troverà l'informatica quantistica. Ma assolutamente, se c'è un cliente che dice che devo essere pronto per la quantistica, lo sforzo non è sprecato.

DAVID LELLO: No, assolutamente no. Penso anche, Ingo, che una delle cose su cui vengo sempre messo alla prova è che passiamo molto tempo con i consigli di amministrazione delle grandi aziende a parlare con i direttori finanziari e simili e che un'azienda esiste allo scopo di fornire un prodotto o un servizio e, se si tratta del settore privato, di realizzare un profitto, a meno che non si tratti di beneficenza, ma non preoccupiamoci di questo, quindi l'idea di spendere denaro solo perché è la cosa giusta da fare, con un rendimento negativo, diventa difficile e impegnativa da realizzare per gli esperti di finanza. E quindi investire in qualcosa perché è la cosa giusta da fare diventa più una discussione filosofica. Non credo che sia necessariamente l'approccio giusto.

INGO SCHUBERT: Beh, sì, assolutamente.

DAVID LELLO: Anche se sono d'accordo con lei, assolutamente 100%, da un punto di vista di fede, di ciò in cui credo, vorrei sempre fare la cosa giusta. Ma la realtà è che le aziende non esistono per questo. Non esistono per fare la cosa giusta. A volte sono un po' immorali.

Davvero? È la prima volta che lo sento. Lasciatemi prendere nota.

DAVID LELLO: Quindi penso che quello che fate è guardare la questione in modo diverso e penso che una delle realtà che vediamo e che risuona e che le persone capiscono è misurare e riconoscere e realizzare qual è la mia esposizione al rischio associata a un determinato ambiente e dobbiamo collegarla a qualcosa di tangibile, dobbiamo sempre tornare a come costruire un caso di cambiamento in questo mondo e a cosa assomiglia il cambiamento? Sai, una delle sfide che ci siamo posti, perché quando abbiamo iniziato a cercare di aiutare le organizzazioni a rispondere a questo problema, è che in realtà non esiste un quadro di riferimento che si occupi della preparazione quantistica. Non ne esiste uno.

Così, siamo andati a scriverne uno. Abbiamo scritto uno standard per dire: "Ecco un approccio per guardare ai quanti". Abbiamo preso in considerazione diversi standard del NIST e delle buone pratiche, dell'ISF e di varie altre cose per poter elaborare un modello e un quadro di riferimento che ci permettesse di iniziare a esaminare la questione. Ma questo ci permette di iniziare a guardare e a dire: "Quando si prende un sistema come quello di identità che gestisce tutti gli accessi, che è un ambiente a scatola nera, qual è la mia esposizione al rischio di avere una macchina del genere? E toglierò completamente il quantum da questo sistema. Qual è il mio rischio? Comprendo davvero il mio rischio? Se si guasta, cosa succede al mio ambiente? E se riesco ad apprezzare il rischio, devo fare qualcosa.

INGO SCHUBERT: Oh, e questa è, voglio dire, alla fine, la corretta gestione del rischio, che vedo mancare in molte aziende o organizzazioni in generale, giusto? E questo deve essere fatto, dovrebbe essere fatto per anni e dovrebbe essere fatto oggi, indipendentemente dall'informatica quantistica o meno. Questo è il mio punto di vista.

Ovviamente non lo fanno perché è la cosa giusta da fare, giusto? È un argomento finanziario difficile da sostenere. Sono completamente d'accordo con te. Ma ci sono tutte le altre minacce per cui dovrebbero farlo, giusto? E ancora, se dovete vendere il concetto di guardare a tutto questo e capirlo e avere un'adeguata gestione del rischio a causa dell'informatica quantistica, fate la mia ipotesi, giusto? Penso che sia assolutamente il modo giusto. Se questa è la leva di cui avete bisogno per ottenere la firma, sì, fatelo assolutamente. Perché alla fine, anche se l'informatica quantistica è ancora lontana 30 anni, i vantaggi sono ancora oggi. Perché avere questa disponibilità aiuta a essere sicuri anche oggi. Non si spreca denaro. Sì, quindi credo che sia la cosa giusta da fare. E ci sono alcune raccomandazioni e alcuni quadri normativi europei, per esempio, che dicono che entro il 2026 - cosa che, a dire il vero, dovreste già fare se volete essere conformi al DORA. Forse si vedono di nuovo le stesse cose, perché alcuni non lo fanno. Quindi visibilità e gestione del rischio entro il 2026 e poi una qualche forma di preparazione quantistica entro il 2030 per il rischio elevato e il 2035 per il rischio medio e basso, giusto? Quindi sembra che sia molto lontano, ma, sapete, abbiamo già, tipo, alla fine del 2025, quando registriamo questo, il rilascio è il 2026.

Quindi è come se, sì, mancasse solo una manciata di anni. E se tornate all'inizio della nostra conversazione, se guardate al problema dell'anno 2000, sì, se avete iniziato nel 1999, probabilmente siete un po' in ritardo per questo, giusto? Quindi dovete essere preparati ora, assolutamente, giusto.

DAVID LELLO: Penso che uno degli aspetti che hai sollevato, e che ritengo sia un punto affascinante in termini di psicologia umana, sia quello delle normative, delle normative europee e di altre cose come Dora. I regolamenti entrano in vigore solo perché le aziende sono negligenti nel fare la cosa giusta.

INGO SCHUBERT: Sì, assolutamente.

DAVID LELLO: E poiché non stanno facendo la cosa giusta, i legislatori dicono che avremo un grosso problema nel Paese se non lo affrontiamo. Quindi le leggi entrano in gioco quando è necessario fare qualcosa. Nel Regno Unito, l'NCSC ha elaborato una guida sul quantum. E in Europa c'è il DORA. E purtroppo, a causa della Brexit.

INGO SCHUBERT: Lei ha portato il tup che io non ho portato.

DAVID LELLO: Stiamo iniziando a esaminare la nostra legge sulla resilienza. Il progetto di legge sulla resilienza è stato pubblicato per i commenti pubblici. Il primo numero è stato pubblicato e i commenti sono in corso. Presto avremo una lettura in Parlamento. Speriamo di metterci al passo con il resto del mondo su questo tema specifico.

INGO SCHUBERT: Beh, tranne gli Stati Uniti. Gli Stati Uniti sembrano essere, sai, un luogo selvaggio sulla mappa, sì. Sì, lo sono davvero. Sì, è come, e lo vedo anche parlando con i colleghi statunitensi, sì, è come, sì, non abbiamo davvero questo, giusto? Ma in tutto il resto del mondo sembra che la resilienza, la gestione del rischio sia un po' più matura in termini di regolamenti e perdite, sì, il che è...

Devi averla.

INGO SCHUBERT: Bisogna averla, giusto? E quando li leggete, e probabilmente ne avete tanti e più di me, alcune di queste cose sono di un'ovvietà accecante, come la corretta gestione del rischio. È come se dovessi sapere che, se quell'affare si guasta, ne conosci le conseguenze, giusto? Certo che dovresti, perché la tua azienda sta facendo soldi e c'è qualcosa che glielo impedisce. Dovresti sapere perché e come risolverlo. Eppure non lo fanno fino a quando non sono costretti dalla legge, il che è triste in un certo senso, giusto?

DAVID LELLO: La natura umana purtroppo entra in gioco. Io però faccio fatica perché non si tratta di cose difficili, perché guardare al rischio e alla gestione del rischio non è difficile.

INGO SCHUBERT: No, ma ci vuole tempo.

DAVID LELLO: Ci vuole tempo, ma ci sono tante tecnologie diverse che possono aiutare a semplificare il processo. I computer sono progettati per automatizzare i processi. Il motivo per cui abbiamo i computer è che abbiamo processi manuali che richiedono eserciti di persone per fare qualcosa. Con i computer possiamo automatizzare tutti questi processi. E con i sistemi moderni possiamo automatizzare ancora di più. Prendiamo ad esempio la gestione delle vulnerabilità. Se si dispone di un ambiente modernizzato e di una scansione delle vulnerabilità, si ha una visibilità relativamente buona in termini di rischio tecnologico.

INGO SCHUBERT: Sì. La stessa cosa per noi. Governance dell'identità. Alla fine, non è scienza missilistica. Sì, certo. Dovrete collegare tutti i diversi sistemi, magari creare delle regole e tutto il resto. Ma poi si ha la visibilità e la visione, ad esempio, della segregazione dei compiti, della conformità e tutto il resto. E sì, è un lavoro. Sì, è un investimento in termini di denaro e tempo, ovviamente, ma si ottiene qualcosa.

Sì.

Giusto. Inoltre, credo che le persone non si rendano conto che una probabile gestione del rischio ti restituisce anche qualcosa, perché scopri che forse non dovresti investire tutti quei soldi in questa sicurezza o che stai rendendo questa cosa resiliente perché non ha un impatto così grande, mentre sull'altra dovresti investire di più perché se va in crisi succedono brutte cose. Penso che questo sia anche, e ovviamente non lo si capisce, perché se non si fa un'adeguata gestione del rischio non si ha quella visibilità, quindi come si fa a prendere una decisione del genere? Quindi le persone, in pratica, si fanno del male da sole se non lo fanno, giusto?

DAVID LELLO: E la governance dell'identità è molto importante per consentire e aiutare questo processo. Sì, ma non è così. Quando parlo con molte organizzazioni di identità, l'identità non è una di quelle cose di sicurezza che si fanno perché è una polizza assicurativa. L'identità è un fattore abilitante. È un vero e proprio strumento di business per aiutare le organizzazioni a essere più efficienti e più efficaci in termini di accesso delle persone. Ma è fondamentale avere l'accesso giusto al momento giusto e nel posto giusto e disporre di modelli di governance che lo guidino effettivamente. Quindi, quando iniziamo a esaminare i controlli ITGC e i sistemi finanziari e iniziamo a considerare come deve essere creato l'accesso nei diritti, nella segregazione dei compiti e nei mandati che ne derivano, non è una novità. Questi aspetti non sono una novità. Sono state inserite nella legge sulle società e nei regolamenti finanziari per decenni.

INGO SHUBERT: Assolutamente sì.

DAVID LELLO: E la capacità di controllarlo con un buon sistema di governance delle identità è già presente. E con una soluzione modernizzata, diventa piuttosto facile. Non è così difficile come si pensa.

INGO SCHUBERT: Guardateci. Stiamo parlando di governance della sicurezza delle identità e abbiamo iniziato con i quanti. È come se... Sì, ma questo è il punto. Penso che questo sia un argomento che apre le porte ad alcune discussioni con i clienti o con le organizzazioni in generale: "Sì, va bene". Si parla della minaccia quantistica e, insomma, ma alla fine si finisce per discutere, non proprio di quantistica, ma di altre cose. Che, sì, si può risolvere ora, si dovrebbe risolvere ora, indipendentemente da ciò che accadrà in futuro.

DAVID LELLO: È il concetto di igiene di base.

INGO SCHUBERT: È il concetto di igiene di base, esattamente. È un modo perfetto per concludere. David, grazie. Potremmo parlare per ore, davvero, ogni volta che ci incontriamo. Quindi, grazie mille. Penso che la minaccia quantistica possa sembrare lontana.

Può essere, può non essere. Ma speriamo che durante questa conversazione, i nostri spettatori e ascoltatori si siano fatti l'idea che, sapete cosa, a prescindere dal fatto che dobbiate fare qualcosa oggi per essere pronti a livello quantistico. Questo non fa affatto male.

Ciò che ne ricavate vi avvantaggia oggi rispetto alle minacce che esistono oggi, giusto? Non dovrete aspettare 20 anni per ottenere i benefici. Li realizzerete oggi stesso.

Con questo si conclude il dibattito odierno sull'informatica quantistica e il suo impatto sulla sicurezza delle identità. Il futuro quantistico è fantascienza e le organizzazioni devono capire dove si trovano i rischi e le opportunità reali. Se volete saperne di più sulla resilienza delle identità e sulle tecnologie che preparano le organizzazioni a ciò che verrà, visitate RSA.com. Se volete accedere alla casella di posta elettronica per altri episodi di RSA Identity Unmasked, non dimenticate di abbonarvi. Grazie per essere stati con noi e ci vediamo la prossima volta.