Il vodcast sulla sicurezza dell'identità per i leader e gli operatori della cybersecurity
L'identità è oggi la prima linea della cybersecurity e le organizzazioni devono essere all'avanguardia rispetto alle minacce, alle pressioni di conformità e alle sfide di autenticazione. RSA Identity Unmasked è un vodcast mensile condotto da esperti di RSA e leader di settore, che affronta i problemi reali che caratterizzano la sicurezza delle identità oggi.
Iscrivetevi ora utilizzando il pulsante “Iscriviti ora”per essere avvisati quando sono disponibili nuovi episodi e per ottenere informazioni utili su argomenti quali Autenticazione moderna, governance dell'identità, Zero Trust, accesso basato sul rischio, verifica dell'help desk, problemi del settore, tendenze tecnologiche, temi caldi specifici del settore, e altro ancora.
Episodio 1 - Il calcolo quantistico
Unitevi a Ingo Schubert (RSA) e David Lello (Burning Tree) per continuare il dibattito sulla crittografia quantistica, sulle tempistiche del rischio e su come le organizzazioni possono prepararsi alla resilienza dell'identità post-quantistica. In questo primo episodio esteso, abbiamo la conversazione completa. Mettetevi comodi e prendete i popcorn! È una bella visione!
Trascrizione video
INGO SCHUBERT: Benvenuti a RSA Identity Unmasked, il vodcast in cui analizziamo le forze che stanno plasmando il futuro della sicurezza delle identità. Sono il vostro conduttore, Ingo Schubert, e oggi ci immergiamo nell'argomento che sta suscitando molto scalpore in tutto il settore, il quantum computing. Oggi sono affiancato da David Lello di Burning Tree. Entriamo subito nel vivo. Oggi l'informatica quantistica è un'allusione, una minaccia, un'opportunità o tutte e tre le cose. In realtà stiamo rivisitando un dibattito iniziato a Bletchley Park nel settembre dello scorso anno con David Lilo di Burning Tree e il sottoscritto, Ingo Schubert. Quindi entriamo subito nel vivo. David, benvenuto a questo episodio.
DAVID LELLO: Grazie
INGO SCHUBERT: Credo che, per favorire il pubblico, possa descrivere in due parole cos'è l'informatica quantistica, in modo da renderci esperti dopo che lei ha finito.
DAVID LELLO: Beh, comincerò con il modo più elementare di vedere il computer quantistico, perché credo che se iniziamo ad addentrarci nella fisica teorica potremmo perdere un po' di persone.
INGO SCHUBERT: Sì
DAVID LELLO: Con i computer quantistici i computer quantistici funzionano in modo diverso rispetto ai computer tradizionali. Con un computer quantistico, lo fa in modo diverso. Utilizza la meccanica quantistica e quindi, in un mondo multidimensionale di meccanica quantistica, guarda i dati e li vede. Non legge i dati nello stesso modo e, di conseguenza, può ipotizzare e considerare più costrutti contemporaneamente. È un po' come quando si legge un libro, un computer tradizionale lo legge dall'inizio alla fine, mentre un computer quantistico legge il libro e vede i dati. Per questo motivo, il computer quantistico è in grado di elaborare le informazioni molto più velocemente. E quando si risolvono i problemi, è come se li risolvesse tutti nello stesso momento, invece di guardare a un problema cercando di risolverlo in serie.
INGO SCHUBERT: Sì, gli algoritmi sono molto diversi, ovviamente. Sì, credo che questo sia il motivo per cui molti, e mi ci metto anch'io, hanno difficoltà a capire come si fa a programmare una cosa del genere. Da un punto di vista informatico tradizionale, credo che ciò che mi aiuta a volte a capire che si tratta di una bestia diversa, è che, sai, un computer tradizionale, come ogni bit, sì. Se hai N bit, puoi memorizzare N quantità di dati. È zero, uno, sì? Con i quanti, è due alla potenza di N, sì, il che è come, immediatamente, se il vostro vecchio istante si attiva, è come, sì, che è molto di più, sì, nella stessa quantità di qubit in questo caso, giusto? Quindi, l'immagazzinamento e l'elaborazione sono a un livello diverso, giusto? Quindi penso che lo lasceremo qui perché altrimenti staremmo qui per giorni, giusto? Sto solo spiegando le basi.
Il prossimo argomento che vorrei esplorare è: qual è lo stato attuale dell'informatica quantistica? A che punto siamo in questo momento? Perché credo che probabilmente, e se chi sta guardando ci ha visto a Bletchley Park, abbiamo opinioni diverse su dove siamo e dove saremo. Cominciamo con lei. Qual è lo stato attuale dell'informatica quantistica?
DAVID LELLO: Credo che l'informatica quantistica sia ancora in fase iniziale. Ci sono diversi computer quantistici in circolazione e si può effettivamente noleggiare del tempo sui computer quantistici in modo da poter esaminare i dati. Ma credo che il modo in cui sono stati sviluppati i computer quantistici presenti una serie di problemi. Alcuni computer quantistici richiedono un notevole controllo in termini di temperatura. Un computer quantistico funziona allo zero assoluto, quindi a meno 270 gradi Celsius, che è davvero freddo. Sono necessarie grandi strutture, grandi attrezzature e grande energia. Altrimenti si perde la coesione e la stabilità della piattaforma.
I primi computer quantistici si bruciavano continuamente a causa di questo problema. Si tratta quindi di un problema che deve essere risolto e affrontato. L'altro problema è che, poiché il computer quantistico esamina i dati tutti nello stesso momento, crea molto rumore. Se doveste prendere qualcosa come la Bibbia e leggerla all'istante, invece di scorrerla dall'inizio alla fine, creereste un racconto nella vostra mente che sarebbe incomprensibile. E cercare di digerire, capire e distillare il messaggio diventa molto difficile.
Quindi, il rumore del sistema ha creato un'enorme quantità di problemi. Abbiamo assistito a un buon successo da parte di Oxford, che ha ridotto in modo significativo il punteggio di errore e il rumore all'interno del sistema. Ma probabilmente il problema più significativo al momento è la quantità di cubetti che possono essere entangled contemporaneamente, perché si inizia a perdere la coesione di quei cubetti quando si inizia a superare circa 100 cubetti. Quindi la quantità di qubit che possono essere agganciati contemporaneamente per poter elaborare le informazioni è limitata. Ciò significa che la potenza di elaborazione e la capacità della macchina sono limitate.
Quindi, non si tratta ancora di quello che chiameremmo calcolo quantistico crittograficamente rilevante, il che è un grosso problema, ma è in una fase in cui è dimostrato. Funziona. Fa quello che gli scienziati dicono che fa. Si tratta solo di portarlo al livello successivo e di investire ulteriormente. Ogni pochi mesi si registrano ulteriori progressi o si investe pesantemente su di essi, e stiamo iniziando a vedere dei progressi.
INGO SCHUBERT: Sì, quindi è vero. E penso che se si confrontano i computer quantistici, se si guardano le loro immagini, giusto? Da cinque anni fa a oggi, li definirei ancora in parte un esperimento fisico, ma cinque anni fa erano molto più esperimenti fisici, giusto? Se si guarda solo alla configurazione fisica di questi oggetti, giusto?
Tuttavia, anche se è vero che, sai, diventano come, sì, se gli lanci un problema, possono risolverlo molto più velocemente dei computer tradizionali. E parte di questo è ciò che lei ha detto essere la coesione. Sì, la coesione di base è, sai, se riesci a mantenere il sistema stabile solo per un certo periodo di tempo. E di solito si misura al massimo in secondi, sì, o in millisecondi, a seconda del chip utilizzato. E questo è un tempo molto lontano dall'essere utile in molti casi. Ora, ci sono alcuni casi d'uso in cui ha senso. Pensate a questo come a un co-processore quantistico. Ma il problema è che in molti casi d'uso è discutibile che si possa risolvere il problema anche con un paio di GPU Nvidia, giusto?
Quindi, una delle cose che vedo fare costantemente, è che c'è molto clamore anche nello spazio dell'informatica quantistica. Credo che si sovrapponga un po' al clamore per l'IA. Si può anche sostenere che, se si tratta di hype, è reale. Ma il punto è che c'è molto clamore, molti soldi in giro. Credo che una parte di questi soldi stia cercando una strategia di uscita. E l'informatica quantistica sembra essere attraente, giusto? Quindi ci stanno buttando dentro un sacco di roba e ci sono aziende che fondamentalmente sono sopravvalutate e anche sopravvalutate in termini di ciò che promettono e di ciò che fanno, e questo vale per tutto lo spettro. A Bletchley Park ho avuto come esempio il chip Willow di Google, in cui Google ha pubblicato un comunicato stampa su questo nuovo chip con un'ottima correzione degli errori e l'affermazione che è stata ripresa dalla stampa popolare è stata che questo chip può fare in cinque minuti quello che un computer tradizionale può fare in 10 anni. di 35 anni, il che è straordinario perché l'universo ha solo 10 anni alla potenza di 25 anni, quindi e se lo si legge è come se non potesse farlo, è come se questa cosa potesse funzionare per cinque minuti e come se milioni di milioni di volte non fossero in grado di farlo, allora sarebbe così. E se si osservano altri comunicati stampa di diverse aziende, grandi e piccole, si nota una certa tendenza a esagerare con i risultati ottenuti.
E credo che, sfortunatamente, questo faccia passare in secondo piano alcuni dei reali progressi che l'informatica quantistica ha fatto negli ultimi due anni, giusto? E credo che questo, e qui arriviamo, faccia sembrare la minaccia dell'informatica quantistica molto più reale, in termini di "dietro l'angolo", di quanto non sia in realtà. Ma prima di affrontare il tema del perché il mondo finirà, se l'informatica quantistica dovesse comparire all'improvviso, quali sarebbero i vantaggi di un computer quantistico che avete in mente? Cosa potrebbe fare meglio di qualsiasi altra cosa?
DAVID LELLO: Risponderò a questa domanda reagendo anche a ciò che ha detto sul computer quantistico in termini di situazione attuale. E credo che, pur essendo d'accordo sul fatto che ci siano dei problemi in termini di computer quantistico, penso che siamo molto più vicini a raggiungere la stabilità in un computer quantistico di quanto si pensi. Se guardo al passato, credo che uno dei modi migliori per guardare al futuro sia quello di guardare alla storia. Quando ero giovane e lavoravo in banca, c'era un mainframe, un vecchio mainframe IBM. Il mainframe occupava una stanza. Era una stanza grande. Non era una stanza piccola. Era una stanza piuttosto grande. E riempiva la stanza. Su questo mainframe c'erano delle valvole. Aveva tre serbatoi di raffreddamento ad acqua. C'erano piscine sotterranee nel seminterrato di questa banca. Questa cosa era enorme. E solo pochi anni prima avevano sostituito il sistema di schede perforate da quel mainframe.
Quando hanno tolto il vecchio mainframe, che richiedeva carrelli elevatori e macchinari molto pesanti per essere portato via, hanno dovuto tagliare alcune porte perché non potevano fisicamente far rientrare il mainframe. E l'hanno sostituito con un rack e un computer mainframe esponenzialmente più grande di quello che c'era prima. Nel corso degli anni abbiamo assistito a una massiccia accelerazione dei progressi dei computer. Se torniamo indietro di soli 30 anni, o di 40 anni, è enorme la quantità di cambiamenti che si sono verificati.
Sì.
DAVID LELLO: E quello che abbiamo visto ora con i computer quantistici, sì, ci sono i primi indicatori e la scienza, sembra quasi un po' come quel vecchio mainframe nel seminterrato con i tre serbatoi, perché servono i sistemi di raffreddamento, le grandi attrezzature, tutto il resto. Ci sono un'enorme quantità di denaro da investire. Ci sono molti investimenti in ballo. E questi problemi saranno risolti. E potrebbero essere risolti più rapidamente di quanto si possa pensare. E i progressi che abbiamo visto di mese in mese suggeriscono che ci stiamo avvicinando sempre di più alla coesione. E quindi penso che potrebbe essere un po' più vicina.
E se ci riuscirà, credo che sarà davvero entusiasmante, perché il computer quantistico potrà elaborare i dati molto più velocemente, e non così velocemente come alcuni sostengono, ma perché potrà elaborare i dati molto più velocemente, significa che potrà esaminare e risolvere problemi che prima non potevano essere risolti.
Nella fisica teorica si parla di gatto di Schrodinger e il gatto è vivo o morto? È decaduto? È, che cos'è? Qual è lo stato del gatto? Ebbene, il computer quantistico sarebbe in grado di guardare e vedere il gatto in ogni sua possibilità e quindi di risolvere problemi importanti che non siamo stati in grado di risolvere.
INGO SCHUBERT: Sì, e penso che in termini di medicina, ad esempio, di ripiegamento delle proteine, i computer quantistici siano in vantaggio rispetto ai computer tradizionali, giusto? E ci sono altre cose in cui, sai, semplicemente tutto ciò che ha un'enorme quantità di dati da elaborare, come le previsioni del tempo, è una cosa, come, sai, qualsiasi cosa, i dati geologici, c'è un bel po' di casi d'uso che trarrebbero vantaggio dall'informatica.
Ora, tornando a questo punto, è più presto il tuo punto di vista, per quanto tu possa pensare che è come se non lo pensassi, perché non è una linea retta in cui si dice che questo è successo in passato con i transistor e che succederà di nuovo, quindi potrebbe non esserlo, è come la lotteria, solo perché hai vinto l'ultima volta non significa che non vincerai la volta successiva, e specialmente con la coesione, se si parla di un paio di centinaia di qubit, forse un paio di migliaia, per essere un computer quantistico universale che, per esempio, può eseguire l'algoritmo di Shor, che sarebbe una minaccia per la crittografia. Si parla di un paio di centinaia di migliaia di qubit, giusto? E sulla strada per raggiungerli, potremmo sbattere contro un muro da qualche parte, giusto? Non c'è garanzia che riusciremo a risolvere questi problemi. Potremmo, e in effetti, sì, certo, potrebbe esserci, ma non c'è alcuna garanzia. Allo stesso tempo, un computer quantistico deve sopravvivere commercialmente in un ambiente in cui abbiamo assistito a un aumento massiccio della potenza di calcolo a livello mondiale, grazie essenzialmente alle GPU, giusto? Grazie all'intelligenza artificiale. Prima era la mania dei Bitcoin, ora è l'IA. Quindi, senza che ci siano stati progressi come quelli fondamentali nella progettazione dei chip. Certo, in questo modo diventano più piccoli. Abbiamo aumentato in modo massiccio la potenza di calcolo, tanto che ora il fattore limitante è l'energia, giusto? Quindi l'energia elettrica.
E in questo ambiente, un computer quantistico deve sopravvivere. Ora, si può argomentare che, soprattutto per quanto riguarda il cracking delle chiavi, alcuni governi lo faranno, bene. Sì, va bene. Hanno abbastanza soldi. Non gli interessa davvero. Beh, forse dovrebbe importargliene. Sono le nostre tasse, ma supponiamo che non gli importi.
Esistono casi pratici di utilizzo del calcolo quantistico lungo la strada che porta a un computer quantistico universale pienamente funzionante. Credo che questo sia indiscutibile. Non sto dicendo che non sia così. E ci sono buoni casi d'uso per questo. Come ho detto, ad esempio il ripiegamento delle proteine nella ricerca farmaceutica, giusto?
Ma parliamo delle minacce, giusto? E non mi riferisco al consumo di energia e a tutto il resto, perché questo è già presente nelle unità tradizionali, giusto? Voglio dire, le minacce riguardano in particolare la sicurezza informatica e quindi la sicurezza, giusto? Perché ci sono alcuni, sapete, ho menzionato l'algoritmo di Shor, quindi forse dovremmo, sapete, spiegare brevemente, sapete, di cosa si tratta e come influisce sulla sicurezza.
DAVID LELLO: Sì, quindi con il computer quantistico, poiché è in grado di elaborare le informazioni e i dati molto più velocemente, è in grado di usare l'algoritmo di Shaw per decifrare le chiavi crittografiche e quindi, quando avremo un computer crittografico, un computer quantistico rilevante, sarà in grado di decifrare quelle chiavi in pochi secondi, minuti.
INGO SCHUBERT: Sì.
DAVID LELLO: E quindi la maggior parte dei dati che consumiamo, utilizziamo e a cui accediamo sarebbe vulnerabile agli attacchi.
INGO SCHUBERT: Sì. E l'argomentazione di Schor, come ho detto prima, è che oggi non esiste un computer quantistico che possa funzionare in questo modo, perché occorrono centinaia di migliaia di qubit in coesione e in funzione per un certo tempo. Quindi sì, si tratta di un paio di secondi, ma anche un paio di secondi sono un problema al giorno d'oggi per alcuni computer quantistici. Quindi, in un certo senso, si romperebbe o invaliderebbe l'algoritmo RSA, sì, quindi una chiave pubblica privata, usando RSA, ma anche Diffie-Hellman e le curve ellittiche, ECC. Quindi, in pratica, tutti quelli che sono popolari e che sono stati usati negli ultimi due decenni sarebbero essenzialmente rotti, giusto? Sarebbero infranti da un computer quantistico. Naturalmente, i computer tradizionali continuerebbero a fare fatica come sempre, quindi non si tratta di una minaccia.
E sì, quindi se questo è rotto, voglio dire, questi algoritmi sono usati ovunque, sì? Si tratta, ad esempio, del tradizionale TLS, delle comunicazioni tra client e server web, delle VPN, delle firme delle e-mail, della crittografia dei file inviati e di tutto questo, spesso basato su RSA, ECC o Diffie-Hellman, giusto? Quindi, voglio dire, sarebbe, si potrebbe dire, catastrofico.
DAVID LELLO: Lo sarebbe, assolutamente. Sarebbe completamente catastrofico. Penso che, più approfondisco la questione e più casi d'uso mi si presentano, più sistemi si guasteranno. È un problema globale. Come l'autenticazione e l'accesso al sistema finanziario. Anche cose come Bitcoin vengono compromesse. Utilizzano la crittografia a curva ellittica e verrebbe compromessa. La conseguenza è un crollo completo del sistema finanziario.
Quindi, sì, può essere assolutamente catastrofico. Penso che nei casi d'uso tipicamente ampi si possano riscontrare problemi importanti, ma anche problemi più piccoli e meno pubblici, ai quali credo che la gente non pensi sempre, per cui quando iniziamo a parlare di IOT e OT e iniziamo a pensare ai dispositivi medici e alle apparecchiature mediche, la capacità di comprometterli. Prendete una persona che indossa un microinfusore di insulina.
Se riesco a compromettere la crittografia di quel microinfusore di insulina, posso uccidere qualcuno.
INGO SCHUBERT: Sì.
DAVID LELLO: In questo modo, all'improvviso, la criminalità dietro queste cose può diventare esponenzialmente più significativa. E cominciamo a vedere casi d'uso come Minority Report e Terminator.
Adesso sì che si ragiona. Ora la cosa si fa interessante, sì.
Ok. Ma, tornando alla disponibilità di computer quantistici, questo non accadrà da un giorno all'altro, perché non sarà così da un giorno all'altro. Supponiamo che qualcuno, sì, riesca finalmente a ottenere un computer quantistico con, sai, 200.000 cubiti in grado di eseguire l'algoritmo di Shor, per esempio. Di solito sono circa un milione. Alcune ricerche dicono che bastano un paio di qubit da 100.000. Non è che all'improvviso tutti abbiano un computer quantistico. Solo un paio di governi e di strutture di ricerca hanno accesso al calcolo quantistico. Non è che tutti i criminali informatici vi abbiano accesso.
Ma la minaccia è reale. Penso che sia simile al problema dell'anno 2000. L'avevamo previsto da un po', ma abbiamo fatto delle cose per mitigarlo e si è rivelato un po' un nulla di fatto.
Ma solo perché abbiamo fatto qualcosa.
Esattamente. Solo perché abbiamo fatto qualcosa, giusto? Se non avessimo fatto nulla, probabilmente sarebbe stato un problema enorme, mentre abbiamo fatto qualcosa ed è andato tutto bene, giusto? E penso che probabilmente sarà simile a questo caso, perché ci sono cose che si possono fare, il che ci porta al prossimo lavoro.
Sì, quindi potremmo non essere d'accordo su quanto tempo avremo a disposizione, giusto? Perciò, tanto per buttarla lì, c'è stato un rapporto del MITRE, un istituto di ricerca finanziato dal governo statunitense, che ha pubblicato un recente rapporto all'inizio dell'anno e ha collocato l'algoritmo di Shor all'incirca all'inizio del 2040, probabilmente più intorno al 2050, quindi non è che avessero un incentivo a farlo uscire, quindi era un rapporto solido, ma anche se si dice che è molto prima, è improbabile che sia prima del 2030. Penso che sia altamente improbabile, a meno che non avvenga un miracolo. Quindi, cosa potete fare oggi per prepararvi a questa apocalisse quantistica?
DAVID LELLO: Penso che sarà sicuramente molto più veloce del 2050. Odio cercare di fare previsioni perché è una cosa impossibile. Quando si cerca di prevedere il futuro, si fallisce inevitabilmente perché non abbiamo una mente soprannaturale.
INGO SCHUBERT: Bene, incontriamoci nel 2055. Alla stessa ora, sì, così possiamo parlarne. Se sono ancora all'interno.
Assolutamente sì. Facciamo così. Stessa ora, stesso posto. Facciamolo. Va bene, ma se è prima, vediamo come celebrare l'evento, perché penso che con qualsiasi progresso tecnologico, una scoperta avviene e avviene in un momento preciso. Potrebbe accadere la prossima settimana. Potrebbe accadere tra 10 anni. Non lo sappiamo. Ma accadrà, ne sono certo, perché la scienza c'è. È credibile. È reale. Un campo di girasoli è in grado di mantenere la coesione in questo momento. La stabilità è presente a temperatura ambiente, in un campo, con tutto ciò che accade intorno. Gli animali che corrono sotto, l'inquinamento e tutto il resto. Un campo di girasoli può avere coesione.
INGO SCHUBERT: Esatto.
DAVID LELLO: Perché un gruppo di scienziati lo fa?
INGO SHCUBERT: Sì, ma hanno avuto un paio di milioni di anni per evolversi, giusto? Quindi è questo il punto. Sono d'accordo, ma hanno un po' di vantaggio, no?
DAVID LELLO: Tornando alla questione, credo che uno dei problemi che abbiamo, e che abbiamo affrontato un po' a Bletchley Park, è che quello che abbiamo al momento in termini di pratiche e di quelle che definiremmo buone pratiche di gestione delle chiavi crittografiche, credo che molte aziende abbiano fallito. Quando si tratta di eventi, qualche anno fa, c'è stata la vulnerabilità di SSL e tutti si sono affannati a cercare di sostituire le chiavi. Questo ha fatto sì che le aziende diventassero molto più agili in termini di rotazione delle chiavi TLS, il che è fantastico. Questo risolve una buona parte del problema. Se si dispone di agilità nelle chiavi TLS, significa che è possibile cambiarle. Potreste dover fare qualche test lungo il percorso per assicurarvi che tutto funzioni.
Ma le organizzazioni possono iniziare a pensare fin da ora alla loro autorità di certificazione e al modo in cui emettono le loro chiavi e come sostituiscono le loro chiavi a livello TLS. E questo va bene. Il problema che riscontriamo quando entriamo in un'organizzazione è che il 20-30, forse anche il 40% delle chiavi non è gestito in questo modo. Molto spesso molto hardware ha chiavi incorporate in un pezzo di infrastruttura hardware e alcuni di questi pezzi di hardware possono vivere per 20 anni e la possibilità di cambiare le chiavi all'interno di quell'hardware significa cambiare l'hardware.
Ci sono anche molte cattive pratiche di codifica, soprattutto ai tempi delle costruzioni monolitiche, in cui le applicazioni hanno chiavi incorporate nelle applicazioni stesse. E quando iniziamo a pensare che non è successo solo questo.
INGO SCHUBERT: Credo sia questo il punto. Si tratta di una cattiva pratica, a prescindere dall'informatica quantistica o meno.
DAVID LELLO: Lo è. E così, quando iniziamo a pensare all'idea del Q-Day, che nell'anno 2000 era facile perché avevamo una data. Con il Q-Day non abbiamo una data.
INGO SCHUBERT: Ottima osservazione.
DAVID LELLO: Ma quando alla fine arriverà, e potrebbe arrivare domani, o tra 10 anni, o se avete ragione tra molto più tempo, ci troveremo in una situazione in cui una buona parte dell'organizzazione e le sue chiavi non saranno prontamente o facilmente sostituibili, e ci sarà il panico. Avremo un problema enorme, enorme, quando i dati saranno compromessi.
Ma c'è anche un altro problema, che mi viene spesso chiesto, ovvero la minaccia del ‘raccogli ora e decripta dopo’. Sono anni che assistiamo al furto di dati criptati. In questo Paese, David Cameron ha detto che tutti i nostri dati sono stati rubati dalla Cina, ma non importa. Sono criptati. Quindi, tornando indietro di qualche anno, questo tipo di affermazione è vera mentre ora, date le tecnologie che abbiamo nel tempo con un computer quantistico, diventa un problema. E sì, ovviamente i dati invecchiano.
INGO SCHUBERT: Ma alcuni di quei dati saranno ancora rilevanti. Non tutti, ma in parte. Quindi penso che sia lo stesso. Sono rimasti là fuori che, sì, sai, se vengono decriptati tra cinque anni, chi se ne frega, giusto? O tra 10 anni, sì. Quindi si può argomentare che molti dei dati di identità per l'autenticazione, se vengono decriptati tra cinque o dieci anni, non ci si preoccupa più di tanto perché ormai sono obsoleti. Ma ci sono molti dati strategici che potrebbero danneggiarvi per decenni, giusto? E non è nemmeno necessario essere uno Stato. Potreste essere una normale società, una normale impresa.
Esattamente.
INGO SCHUBERT: E qual è il caso?
DAVID LELLO: Voglio dire, sapete, la quantità di organizzazioni in cui entro è caratterizzata da sistemi legacy. In effetti, non molto tempo fa sono stato in un'organizzazione in cui c'era un'applicazione. La trattavano come una scatola nera, e la trattavano come una scatola nera perché il codice sorgente era andato perso. La persona che l'ha scritta è morta da tempo e non la tocca. Se cade, la risposta è accenderla o spegnerla, riaccenderla e pregare perché è l'unica cosa che si può fare. Non c'è niente che si possa fare. E questo sistema controllava tutti gli accessi ai suoi negozi, tutti gli accessi ai suoi negozi. E se viene compromesso, se viene disattivato, l'organizzazione viene disattivata.
INGO SCHUBERT: Singolo punto di fallimento.
DAVID LELLO: Singolo punto di fallimento. La quantità di organizzazioni che stiamo visitando in cui c'è un singolo punto di fallimento è straordinaria. Le organizzazioni devono iniziare a pensare a come modernizzare la propria infrastruttura di gestione delle identità e degli accessi. Quando iniziamo a pensare alla gestione delle identità e degli accessi, la gestione delle identità e degli accessi è la via d'accesso a tutto. Abbiamo visto gli ultimi attacchi ransomware che si sono verificati in Germania, così come nel Regno Unito, in Italia e in altri luoghi. Questi attacchi ransomware prendono di mira i sistemi di controllo degli accessi. Lo prendono di mira nell'autenticazione perché è un bersaglio facile e morbido, che si tratti di Active Directory o di un sistema come quello che ho descritto, la possibilità di compromettere effettivamente l'accesso fa crollare l'organizzazione, blocca la comunicazione, blocca la possibilità di accedere. La modernizzazione della gestione degli accessi alle identità in questo contesto sarà una delle principali priorità.
Sì, sì. È difficile opporsi a questa affermazione, perché ha senso, da qualunque punto di vista la si guardi, no? Se torniamo alla gestione delle chiavi di crittografia, molti clienti non sanno cosa hanno, giusto? Non hanno una buona visione di dove crittografano, dove sono le chiavi, dove firmano digitalmente. Non hanno una visione d'insieme. Credo che questo sia parte del problema, no? Perché non si può risolvere ciò che non si sa che esiste. Molti clienti hanno avuto problemi con la semplice igiene informatica di base. Questo è ciò che vedo costantemente, purtroppo, giusto? Proprio stamattina ho ricevuto una telefonata da un cliente che utilizzava un software RSA vecchio di 20 anni, giusto?
Wow.
INGO SCHUBERT: Quindi, in realtà, hanno chiamato il nostro supporto per qualcosa, e il supporto non è stato in grado di rispondere, ed è come, sì, certo, sai, probabilmente il personale di supporto che rispondeva alla telefonata era probabilmente all'asilo quando è uscito quel software, giusto? Quindi, il mio punto di vista è che finché non facciamo questa igiene informatica di base e la visibilità, prima di tutto, non si può raggiungere questo stato di prontezza quantistica, sì, in cui si è pronti per il Q-day. Non è assolutamente possibile.
Inoltre, la mia opinione è che non ci si può preoccupare dell'informatica quantistica finché non si sistemano queste cose, giusto? Perché se non si sa che software si sta utilizzando, se non lo si tiene aggiornato, ovviamente si dipende dai fornitori che sistemano queste cose, come ad esempio l'implementazione della crittografia post-quantistica, giusto?
Ma se il software è uscito con la nuova versione, con tutte queste belle cose sul quantum computing, e tu non lo installi, vuol dire che uno non esiste, giusto? E poi, anche se lo fate, se le vostre politiche e procedure, per esempio, sulla gestione dei dati, non sono corrette, di cosa stiamo parlando? Se l'aggressore può semplicemente telefonare al vostro help desk e chiedere di entrare, non ha bisogno di un computer quantistico per farlo, giusto? Non ne hanno bisogno oggi. Non ne hanno bisogno ieri. Non ne hanno bisogno domani. Basta che telefonino all'help desk se le vostre politiche non sono corrette e ottengono l'accesso.
Quindi, ci sono molte cose che possono andare storte, che sono andate storte e che andranno storte, che non hanno nulla a che fare con i computer quantistici. Il mio timore è che le persone guardino a questa cosa quantistica, questo Q-Day, e si lascino distrarre da questo bel giocattolo luccicante, giusto? Mentre hanno così tanti compiti da fare, che probabilmente non sono stati fatti per decenni, giusto? E, naturalmente, si può argomentare che, ehi, sapete, dovete fare questo, avere visibilità, sapete, avere patch in atto su questo, sistemare le vostre procedure. Se un cliente ha bisogno della minaccia dell'informatica quantistica per farlo, così sia, giusto? Potrei essere felice.
Ma una parte di me pensa: "No, perché cosa succede se ci imbattiamo in un ostacolo con il calcolo quantistico? E per un paio d'anni non ci sono vantaggi o progressi reali e poi si pensa: "È una cosa del 2060, sarò già fuori dal mondo del lavoro e non dovrò preoccuparmene", ma questo è l'approccio sbagliato, perché si dovrebbe risolvere il problema a prescindere da tutto.
Vi darò un po' di nozioni, sì, un po' di nomi, sì, il filosofo tedesco Emmanuel Kant, sì, non tagliate quell'editore, sì, è k, è k. È K -A -N -T, giusto? Quindi d'ora in poi lo chiamerò Emmanuel, sì.
Filosofo tedesco del XVIII secolo, ha detto molte cose intelligenti. Ma una delle cose che ritengo più intelligenti è che si fa la cosa giusta perché è la cosa giusta da fare, giusto? Non perché ti faccia guadagnare punti con qualche divinità o qualcosa del genere. Lo fai perché è la cosa giusta da fare.
E avere una buona visione d'insieme di dove si cripta, come si cripta, delle politiche, delle procedure, delle patch e di tutto il resto, è la cosa giusta da fare, indipendentemente dal fatto che l'informatica quantistica sia lontana 10 anni, 20, 30 anni. Non importa. È necessario farlo. Ora, avreste dovuto farlo negli ultimi 20 anni. Questo è essenzialmente un punto. Credo che su questo punto siamo d'accordo. Sì, assolutamente. Credo che la motivazione che sta dietro a questo punto sia il punto di disaccordo, perché abbiamo opinioni diverse sul punto in cui si trova e si troverà l'informatica quantistica. Ma assolutamente, se c'è un cliente che dice che devo essere pronto per la quantistica, lo sforzo non è sprecato.
DAVID LELLO: No, assolutamente no. Penso anche, Ingo, che una delle cose su cui vengo sempre messo alla prova è che passiamo molto tempo con i consigli di amministrazione delle grandi aziende a parlare con i direttori finanziari e simili e che un'azienda esiste allo scopo di fornire un prodotto o un servizio e, se si tratta del settore privato, di realizzare un profitto, a meno che non si tratti di beneficenza, ma non preoccupiamoci di questo, quindi l'idea di spendere denaro solo perché è la cosa giusta da fare, con un rendimento negativo, diventa difficile e impegnativa da realizzare per gli esperti di finanza. E quindi investire in qualcosa perché è la cosa giusta da fare diventa più una discussione filosofica. Non credo che sia necessariamente l'approccio giusto.
INGO SCHUBERT: Beh, sì, assolutamente.
DAVID LELLO: Anche se sono d'accordo con lei, assolutamente 100%, da un punto di vista di fede, di ciò in cui credo, vorrei sempre fare la cosa giusta. Ma la realtà è che le aziende non esistono per questo. Non esistono per fare la cosa giusta. A volte sono un po' immorali.
Davvero? È la prima volta che lo sento. Lasciatemi prendere nota.
DAVID LELLO: Quindi penso che quello che fate è guardare la questione in modo diverso e penso che una delle realtà che vediamo e che risuona e che le persone capiscono è misurare e riconoscere e realizzare qual è la mia esposizione al rischio associata a un determinato ambiente e dobbiamo collegarla a qualcosa di tangibile, dobbiamo sempre tornare a come costruire un caso di cambiamento in questo mondo e a cosa assomiglia il cambiamento? Sai, una delle sfide che ci siamo posti, perché quando abbiamo iniziato a cercare di aiutare le organizzazioni a rispondere a questo problema, è che in realtà non esiste un quadro di riferimento che si occupi della preparazione quantistica. Non ne esiste uno.
Così, siamo andati a scriverne uno. Abbiamo scritto uno standard per dire: "Ecco un approccio per guardare ai quanti". Abbiamo preso in considerazione diversi standard del NIST e delle buone pratiche, dell'ISF e di varie altre cose per poter elaborare un modello e un quadro di riferimento che ci permettesse di iniziare a esaminare la questione. Ma questo ci permette di iniziare a guardare e a dire: "Quando si prende un sistema come quello di identità che gestisce tutti gli accessi, che è un ambiente a scatola nera, qual è la mia esposizione al rischio di avere una macchina del genere? E toglierò completamente il quantum da questo sistema. Qual è il mio rischio? Comprendo davvero il mio rischio? Se si guasta, cosa succede al mio ambiente? E se riesco ad apprezzare il rischio, devo fare qualcosa.
INGO SCHUBERT: Oh, e questa è, voglio dire, alla fine, la corretta gestione del rischio, che vedo mancare in molte aziende o organizzazioni in generale, giusto? E questo deve essere fatto, dovrebbe essere fatto per anni e dovrebbe essere fatto oggi, indipendentemente dall'informatica quantistica o meno. Questo è il mio punto di vista.
Ovviamente non lo fanno perché è la cosa giusta da fare, giusto? È un argomento finanziario difficile da sostenere. Sono completamente d'accordo con te. Ma ci sono tutte le altre minacce per cui dovrebbero farlo, giusto? E ancora, se dovete vendere il concetto di guardare a tutto questo e capirlo e avere un'adeguata gestione del rischio a causa dell'informatica quantistica, fate la mia ipotesi, giusto? Penso che sia assolutamente il modo giusto. Se questa è la leva di cui avete bisogno per ottenere la firma, sì, fatelo assolutamente. Perché alla fine, anche se l'informatica quantistica è ancora lontana 30 anni, i vantaggi sono ancora oggi. Perché avere questa disponibilità aiuta a essere sicuri anche oggi. Non si spreca denaro. Sì, quindi credo che sia la cosa giusta da fare. E ci sono alcune raccomandazioni e alcuni quadri normativi europei, per esempio, che dicono che entro il 2026 - cosa che, a dire il vero, dovreste già fare se volete essere conformi al DORA. Forse si vedono di nuovo le stesse cose, perché alcuni non lo fanno. Quindi visibilità e gestione del rischio entro il 2026 e poi una qualche forma di preparazione quantistica entro il 2030 per il rischio elevato e il 2035 per il rischio medio e basso, giusto? Quindi sembra che sia molto lontano, ma, sapete, abbiamo già, tipo, alla fine del 2025, quando registriamo questo, il rilascio è il 2026.
Quindi è come se, sì, mancasse solo una manciata di anni. E se tornate all'inizio della nostra conversazione, se guardate al problema dell'anno 2000, sì, se avete iniziato nel 1999, probabilmente siete un po' in ritardo per questo, giusto? Quindi dovete essere preparati ora, assolutamente, giusto.
DAVID LELLO: Penso che uno degli aspetti che hai sollevato, e che ritengo sia un punto affascinante in termini di psicologia umana, sia quello delle normative, delle normative europee e di altre cose come Dora. I regolamenti entrano in vigore solo perché le aziende sono negligenti nel fare la cosa giusta.
INGO SCHUBERT: Sì, assolutamente.
DAVID LELLO: E poiché non stanno facendo la cosa giusta, i legislatori dicono che avremo un grosso problema nel Paese se non lo affrontiamo. Quindi le leggi entrano in gioco quando è necessario fare qualcosa. Nel Regno Unito, l'NCSC ha elaborato una guida sul quantum. E in Europa c'è il DORA. E purtroppo, a causa della Brexit.
INGO SCHUBERT: Lei ha portato il tup che io non ho portato.
DAVID LELLO: Stiamo iniziando a esaminare la nostra legge sulla resilienza. Il progetto di legge sulla resilienza è stato pubblicato per i commenti pubblici. Il primo numero è stato pubblicato e i commenti sono in corso. Presto avremo una lettura in Parlamento. Speriamo di metterci al passo con il resto del mondo su questo tema specifico.
INGO SCHUBERT: Beh, tranne gli Stati Uniti. Gli Stati Uniti sembrano essere, sai, un luogo selvaggio sulla mappa, sì. Sì, lo sono davvero. Sì, è come, e lo vedo anche parlando con i colleghi statunitensi, sì, è come, sì, non abbiamo davvero questo, giusto? Ma in tutto il resto del mondo sembra che la resilienza, la gestione del rischio sia un po' più matura in termini di regolamenti e perdite, sì, il che è...
Devi averla.
INGO SCHUBERT: Bisogna averla, giusto? E quando li leggete, e probabilmente ne avete tanti e più di me, alcune di queste cose sono di un'ovvietà accecante, come la corretta gestione del rischio. È come se dovessi sapere che, se quell'affare si guasta, ne conosci le conseguenze, giusto? Certo che dovresti, perché la tua azienda sta facendo soldi e c'è qualcosa che glielo impedisce. Dovresti sapere perché e come risolverlo. Eppure non lo fanno fino a quando non sono costretti dalla legge, il che è triste in un certo senso, giusto?
DAVID LELLO: La natura umana purtroppo entra in gioco. Io però faccio fatica perché non si tratta di cose difficili, perché guardare al rischio e alla gestione del rischio non è difficile.
INGO SCHUBERT: No, ma ci vuole tempo.
DAVID LELLO: Ci vuole tempo, ma ci sono tante tecnologie diverse che possono aiutare a semplificare il processo. I computer sono progettati per automatizzare i processi. Il motivo per cui abbiamo i computer è che abbiamo processi manuali che richiedono eserciti di persone per fare qualcosa. Con i computer possiamo automatizzare tutti questi processi. E con i sistemi moderni possiamo automatizzare ancora di più. Prendiamo ad esempio la gestione delle vulnerabilità. Se si dispone di un ambiente modernizzato e di una scansione delle vulnerabilità, si ha una visibilità relativamente buona in termini di rischio tecnologico.
INGO SCHUBERT: Sì. La stessa cosa per noi. Governance dell'identità. Alla fine, non è scienza missilistica. Sì, certo. Dovrete collegare tutti i diversi sistemi, magari creare delle regole e tutto il resto. Ma poi si ha la visibilità e la visione, ad esempio, della segregazione dei compiti, della conformità e tutto il resto. E sì, è un lavoro. Sì, è un investimento in termini di denaro e tempo, ovviamente, ma si ottiene qualcosa.
Sì.
Giusto. Inoltre, credo che le persone non si rendano conto che una probabile gestione del rischio ti restituisce anche qualcosa, perché scopri che forse non dovresti investire tutti quei soldi in questa sicurezza o che stai rendendo questa cosa resiliente perché non ha un impatto così grande, mentre sull'altra dovresti investire di più perché se va in crisi succedono brutte cose. Penso che questo sia anche, e ovviamente non lo si capisce, perché se non si fa un'adeguata gestione del rischio non si ha quella visibilità, quindi come si fa a prendere una decisione del genere? Quindi le persone, in pratica, si fanno del male da sole se non lo fanno, giusto?
DAVID LELLO: E la governance dell'identità è molto importante per consentire e aiutare questo processo. Sì, ma non è così. Quando parlo con molte organizzazioni di identità, l'identità non è una di quelle cose di sicurezza che si fanno perché è una polizza assicurativa. L'identità è un fattore abilitante. È un vero e proprio strumento di business per aiutare le organizzazioni a essere più efficienti e più efficaci in termini di accesso delle persone. Ma è fondamentale avere l'accesso giusto al momento giusto e nel posto giusto e disporre di modelli di governance che lo guidino effettivamente. Quindi, quando iniziamo a esaminare i controlli ITGC e i sistemi finanziari e iniziamo a considerare come deve essere creato l'accesso nei diritti, nella segregazione dei compiti e nei mandati che ne derivano, non è una novità. Questi aspetti non sono una novità. Sono state inserite nella legge sulle società e nei regolamenti finanziari per decenni.
INGO SHUBERT: Assolutamente sì.
DAVID LELLO: E la capacità di controllarlo con un buon sistema di governance delle identità è già presente. E con una soluzione modernizzata, diventa piuttosto facile. Non è così difficile come si pensa.
INGO SCHUBERT: Guardateci. Stiamo parlando di governance della sicurezza delle identità e abbiamo iniziato con i quanti. È come se... Sì, ma questo è il punto. Penso che questo sia un argomento che apre le porte ad alcune discussioni con i clienti o con le organizzazioni in generale: "Sì, va bene". Si parla della minaccia quantistica e, insomma, ma alla fine si finisce per discutere, non proprio di quantistica, ma di altre cose. Che, sì, si può risolvere ora, si dovrebbe risolvere ora, indipendentemente da ciò che accadrà in futuro.
DAVID LELLO: È il concetto di igiene di base.
INGO SCHUBERT: È il concetto di igiene di base, esattamente. È un modo perfetto per concludere. David, grazie. Potremmo parlare per ore, davvero, ogni volta che ci incontriamo. Quindi, grazie mille. Penso che la minaccia quantistica possa sembrare lontana.
Può essere, può non essere. Ma speriamo che durante questa conversazione, i nostri spettatori e ascoltatori si siano fatti l'idea che, sapete cosa, a prescindere dal fatto che dobbiate fare qualcosa oggi per essere pronti a livello quantistico. Questo non fa affatto male.
Ciò che ne ricavate vi avvantaggia oggi rispetto alle minacce che esistono oggi, giusto? Non dovrete aspettare 20 anni per ottenere i benefici. Li realizzerete oggi stesso.
Con questo si conclude il dibattito odierno sull'informatica quantistica e il suo impatto sulla sicurezza delle identità. Il futuro quantistico è fantascienza e le organizzazioni devono capire dove si trovano i rischi e le opportunità reali. Se volete saperne di più sulla resilienza delle identità e sulle tecnologie che preparano le organizzazioni a ciò che verrà, visitate RSA.com. Se volete accedere alla casella di posta elettronica per altri episodi di RSA Identity Unmasked, non dimenticate di abbonarvi. Grazie per essere stati con noi e ci vediamo la prossima volta.
DAVID LELLO: Grazie
INGO SCHUBERT: Credo che, per favorire il pubblico, possa descrivere in due parole cos'è l'informatica quantistica, in modo da renderci esperti dopo che lei ha finito.
DAVID LELLO: Beh, comincerò con il modo più elementare di vedere il computer quantistico, perché credo che se iniziamo ad addentrarci nella fisica teorica potremmo perdere un po' di persone.
INGO SCHUBERT: Sì
DAVID LELLO: Con i computer quantistici i computer quantistici funzionano in modo diverso rispetto ai computer tradizionali. Con un computer quantistico, lo fa in modo diverso. Utilizza la meccanica quantistica e quindi, in un mondo multidimensionale di meccanica quantistica, guarda i dati e li vede. Non legge i dati nello stesso modo e, di conseguenza, può ipotizzare e considerare più costrutti contemporaneamente. È un po' come quando si legge un libro, un computer tradizionale lo legge dall'inizio alla fine, mentre un computer quantistico legge il libro e vede i dati. Per questo motivo, il computer quantistico è in grado di elaborare le informazioni molto più velocemente. E quando si risolvono i problemi, è come se li risolvesse tutti nello stesso momento, invece di guardare a un problema cercando di risolverlo in serie.
INGO SCHUBERT: Sì, gli algoritmi sono molto diversi, ovviamente. Sì, credo che questo sia il motivo per cui molti, e mi ci metto anch'io, hanno difficoltà a capire come si fa a programmare una cosa del genere. Da un punto di vista informatico tradizionale, credo che ciò che mi aiuta a volte a capire che si tratta di una bestia diversa, è che, sai, un computer tradizionale, come ogni bit, sì. Se hai N bit, puoi memorizzare N quantità di dati. È zero, uno, sì? Con i quanti, è due alla potenza di N, sì, il che è come, immediatamente, se il vostro vecchio istante si attiva, è come, sì, che è molto di più, sì, nella stessa quantità di qubit in questo caso, giusto? Quindi, l'immagazzinamento e l'elaborazione sono a un livello diverso, giusto? Quindi penso che lo lasceremo qui perché altrimenti staremmo qui per giorni, giusto? Sto solo spiegando le basi.
Il prossimo argomento che vorrei esplorare è: qual è lo stato attuale dell'informatica quantistica? A che punto siamo in questo momento? Perché credo che probabilmente, e se chi sta guardando ci ha visto a Bletchley Park, abbiamo opinioni diverse su dove siamo e dove saremo. Cominciamo con lei. Qual è lo stato attuale dell'informatica quantistica?
DAVID LELLO: Credo che l'informatica quantistica sia ancora in fase iniziale. Ci sono diversi computer quantistici in circolazione e si può effettivamente noleggiare del tempo sui computer quantistici in modo da poter esaminare i dati. Ma credo che il modo in cui sono stati sviluppati i computer quantistici presenti una serie di problemi. Alcuni computer quantistici richiedono un notevole controllo in termini di temperatura. Un computer quantistico funziona allo zero assoluto, quindi a meno 270 gradi Celsius, che è davvero freddo. Sono necessarie grandi strutture, grandi attrezzature e grande energia. Altrimenti si perde la coesione e la stabilità della piattaforma.
I primi computer quantistici si bruciavano continuamente a causa di questo problema. Si tratta quindi di un problema che deve essere risolto e affrontato. L'altro problema è che, poiché il computer quantistico esamina i dati tutti nello stesso momento, crea molto rumore. Se doveste prendere qualcosa come la Bibbia e leggerla all'istante, invece di scorrerla dall'inizio alla fine, creereste un racconto nella vostra mente che sarebbe incomprensibile. E cercare di digerire, capire e distillare il messaggio diventa molto difficile.
Quindi, il rumore del sistema ha creato un'enorme quantità di problemi. Abbiamo assistito a un buon successo da parte di Oxford, che ha ridotto in modo significativo il punteggio di errore e il rumore all'interno del sistema. Ma probabilmente il problema più significativo al momento è la quantità di cubetti che possono essere entangled contemporaneamente, perché si inizia a perdere la coesione di quei cubetti quando si inizia a superare circa 100 cubetti. Quindi la quantità di qubit che possono essere agganciati contemporaneamente per poter elaborare le informazioni è limitata. Ciò significa che la potenza di elaborazione e la capacità della macchina sono limitate.
Quindi, non si tratta ancora di quello che chiameremmo calcolo quantistico crittograficamente rilevante, il che è un grosso problema, ma è in una fase in cui è dimostrato. Funziona. Fa quello che gli scienziati dicono che fa. Si tratta solo di portarlo al livello successivo e di investire ulteriormente. Ogni pochi mesi si registrano ulteriori progressi o si investe pesantemente su di essi, e stiamo iniziando a vedere dei progressi.
INGO SCHUBERT: Sì, quindi è vero. E penso che se si confrontano i computer quantistici, se si guardano le loro immagini, giusto? Da cinque anni fa a oggi, li definirei ancora in parte un esperimento fisico, ma cinque anni fa erano molto più esperimenti fisici, giusto? Se si guarda solo alla configurazione fisica di questi oggetti, giusto?
Tuttavia, anche se è vero che, sai, diventano come, sì, se gli lanci un problema, possono risolverlo molto più velocemente dei computer tradizionali. E parte di questo è ciò che lei ha detto essere la coesione. Sì, la coesione di base è, sai, se riesci a mantenere il sistema stabile solo per un certo periodo di tempo. E di solito si misura al massimo in secondi, sì, o in millisecondi, a seconda del chip utilizzato. E questo è un tempo molto lontano dall'essere utile in molti casi. Ora, ci sono alcuni casi d'uso in cui ha senso. Pensate a questo come a un co-processore quantistico. Ma il problema è che in molti casi d'uso è discutibile che si possa risolvere il problema anche con un paio di GPU Nvidia, giusto?
Quindi, una delle cose che vedo fare costantemente, è che c'è molto clamore anche nello spazio dell'informatica quantistica. Credo che si sovrapponga un po' al clamore per l'IA. Si può anche sostenere che, se si tratta di hype, è reale. Ma il punto è che c'è molto clamore, molti soldi in giro. Credo che una parte di questi soldi stia cercando una strategia di uscita. E l'informatica quantistica sembra essere attraente, giusto? Quindi ci stanno buttando dentro un sacco di roba e ci sono aziende che fondamentalmente sono sopravvalutate e anche sopravvalutate in termini di ciò che promettono e di ciò che fanno, e questo vale per tutto lo spettro. A Bletchley Park ho avuto come esempio il chip Willow di Google, in cui Google ha pubblicato un comunicato stampa su questo nuovo chip con un'ottima correzione degli errori e l'affermazione che è stata ripresa dalla stampa popolare è stata che questo chip può fare in cinque minuti quello che un computer tradizionale può fare in 10 anni. di 35 anni, il che è straordinario perché l'universo ha solo 10 anni alla potenza di 25 anni, quindi e se lo si legge è come se non potesse farlo, è come se questa cosa potesse funzionare per cinque minuti e come se milioni di milioni di volte non fossero in grado di farlo, allora sarebbe così. E se si osservano altri comunicati stampa di diverse aziende, grandi e piccole, si nota una certa tendenza a esagerare con i risultati ottenuti.
E credo che, sfortunatamente, questo faccia passare in secondo piano alcuni dei reali progressi che l'informatica quantistica ha fatto negli ultimi due anni, giusto? E credo che questo, e qui arriviamo, faccia sembrare la minaccia dell'informatica quantistica molto più reale, in termini di "dietro l'angolo", di quanto non sia in realtà. Ma prima di affrontare il tema del perché il mondo finirà, se l'informatica quantistica dovesse comparire all'improvviso, quali sarebbero i vantaggi di un computer quantistico che avete in mente? Cosa potrebbe fare meglio di qualsiasi altra cosa?
DAVID LELLO: Risponderò a questa domanda reagendo anche a ciò che ha detto sul computer quantistico in termini di situazione attuale. E credo che, pur essendo d'accordo sul fatto che ci siano dei problemi in termini di computer quantistico, penso che siamo molto più vicini a raggiungere la stabilità in un computer quantistico di quanto si pensi. Se guardo al passato, credo che uno dei modi migliori per guardare al futuro sia quello di guardare alla storia. Quando ero giovane e lavoravo in banca, c'era un mainframe, un vecchio mainframe IBM. Il mainframe occupava una stanza. Era una stanza grande. Non era una stanza piccola. Era una stanza piuttosto grande. E riempiva la stanza. Su questo mainframe c'erano delle valvole. Aveva tre serbatoi di raffreddamento ad acqua. C'erano piscine sotterranee nel seminterrato di questa banca. Questa cosa era enorme. E solo pochi anni prima avevano sostituito il sistema di schede perforate da quel mainframe.
Quando hanno tolto il vecchio mainframe, che richiedeva carrelli elevatori e macchinari molto pesanti per essere portato via, hanno dovuto tagliare alcune porte perché non potevano fisicamente far rientrare il mainframe. E l'hanno sostituito con un rack e un computer mainframe esponenzialmente più grande di quello che c'era prima. Nel corso degli anni abbiamo assistito a una massiccia accelerazione dei progressi dei computer. Se torniamo indietro di soli 30 anni, o di 40 anni, è enorme la quantità di cambiamenti che si sono verificati.
Sì.
DAVID LELLO: E quello che abbiamo visto ora con i computer quantistici, sì, ci sono i primi indicatori e la scienza, sembra quasi un po' come quel vecchio mainframe nel seminterrato con i tre serbatoi, perché servono i sistemi di raffreddamento, le grandi attrezzature, tutto il resto. Ci sono un'enorme quantità di denaro da investire. Ci sono molti investimenti in ballo. E questi problemi saranno risolti. E potrebbero essere risolti più rapidamente di quanto si possa pensare. E i progressi che abbiamo visto di mese in mese suggeriscono che ci stiamo avvicinando sempre di più alla coesione. E quindi penso che potrebbe essere un po' più vicina.
E se ci riuscirà, credo che sarà davvero entusiasmante, perché il computer quantistico potrà elaborare i dati molto più velocemente, e non così velocemente come alcuni sostengono, ma perché potrà elaborare i dati molto più velocemente, significa che potrà esaminare e risolvere problemi che prima non potevano essere risolti.
Nella fisica teorica si parla di gatto di Schrodinger e il gatto è vivo o morto? È decaduto? È, che cos'è? Qual è lo stato del gatto? Ebbene, il computer quantistico sarebbe in grado di guardare e vedere il gatto in ogni sua possibilità e quindi di risolvere problemi importanti che non siamo stati in grado di risolvere.
INGO SCHUBERT: Sì, e penso che in termini di medicina, ad esempio, di ripiegamento delle proteine, i computer quantistici siano in vantaggio rispetto ai computer tradizionali, giusto? E ci sono altre cose in cui, sai, semplicemente tutto ciò che ha un'enorme quantità di dati da elaborare, come le previsioni del tempo, è una cosa, come, sai, qualsiasi cosa, i dati geologici, c'è un bel po' di casi d'uso che trarrebbero vantaggio dall'informatica.
Ora, tornando a questo punto, è più presto il tuo punto di vista, per quanto tu possa pensare che è come se non lo pensassi, perché non è una linea retta in cui si dice che questo è successo in passato con i transistor e che succederà di nuovo, quindi potrebbe non esserlo, è come la lotteria, solo perché hai vinto l'ultima volta non significa che non vincerai la volta successiva, e specialmente con la coesione, se si parla di un paio di centinaia di qubit, forse un paio di migliaia, per essere un computer quantistico universale che, per esempio, può eseguire l'algoritmo di Shor, che sarebbe una minaccia per la crittografia. Si parla di un paio di centinaia di migliaia di qubit, giusto? E sulla strada per raggiungerli, potremmo sbattere contro un muro da qualche parte, giusto? Non c'è garanzia che riusciremo a risolvere questi problemi. Potremmo, e in effetti, sì, certo, potrebbe esserci, ma non c'è alcuna garanzia. Allo stesso tempo, un computer quantistico deve sopravvivere commercialmente in un ambiente in cui abbiamo assistito a un aumento massiccio della potenza di calcolo a livello mondiale, grazie essenzialmente alle GPU, giusto? Grazie all'intelligenza artificiale. Prima era la mania dei Bitcoin, ora è l'IA. Quindi, senza che ci siano stati progressi come quelli fondamentali nella progettazione dei chip. Certo, in questo modo diventano più piccoli. Abbiamo aumentato in modo massiccio la potenza di calcolo, tanto che ora il fattore limitante è l'energia, giusto? Quindi l'energia elettrica.
E in questo ambiente, un computer quantistico deve sopravvivere. Ora, si può argomentare che, soprattutto per quanto riguarda il cracking delle chiavi, alcuni governi lo faranno, bene. Sì, va bene. Hanno abbastanza soldi. Non gli interessa davvero. Beh, forse dovrebbe importargliene. Sono le nostre tasse, ma supponiamo che non gli importi.
Esistono casi pratici di utilizzo del calcolo quantistico lungo la strada che porta a un computer quantistico universale pienamente funzionante. Credo che questo sia indiscutibile. Non sto dicendo che non sia così. E ci sono buoni casi d'uso per questo. Come ho detto, ad esempio il ripiegamento delle proteine nella ricerca farmaceutica, giusto?
Ma parliamo delle minacce, giusto? E non mi riferisco al consumo di energia e a tutto il resto, perché questo è già presente nelle unità tradizionali, giusto? Voglio dire, le minacce riguardano in particolare la sicurezza informatica e quindi la sicurezza, giusto? Perché ci sono alcuni, sapete, ho menzionato l'algoritmo di Shor, quindi forse dovremmo, sapete, spiegare brevemente, sapete, di cosa si tratta e come influisce sulla sicurezza.
DAVID LELLO: Sì, quindi con il computer quantistico, poiché è in grado di elaborare le informazioni e i dati molto più velocemente, è in grado di usare l'algoritmo di Shaw per decifrare le chiavi crittografiche e quindi, quando avremo un computer crittografico, un computer quantistico rilevante, sarà in grado di decifrare quelle chiavi in pochi secondi, minuti.
INGO SCHUBERT: Sì.
DAVID LELLO: E quindi la maggior parte dei dati che consumiamo, utilizziamo e a cui accediamo sarebbe vulnerabile agli attacchi.
INGO SCHUBERT: Sì. E l'argomentazione di Schor, come ho detto prima, è che oggi non esiste un computer quantistico che possa funzionare in questo modo, perché occorrono centinaia di migliaia di qubit in coesione e in funzione per un certo tempo. Quindi sì, si tratta di un paio di secondi, ma anche un paio di secondi sono un problema al giorno d'oggi per alcuni computer quantistici. Quindi, in un certo senso, si romperebbe o invaliderebbe l'algoritmo RSA, sì, quindi una chiave pubblica privata, usando RSA, ma anche Diffie-Hellman e le curve ellittiche, ECC. Quindi, in pratica, tutti quelli che sono popolari e che sono stati usati negli ultimi due decenni sarebbero essenzialmente rotti, giusto? Sarebbero infranti da un computer quantistico. Naturalmente, i computer tradizionali continuerebbero a fare fatica come sempre, quindi non si tratta di una minaccia.
E sì, quindi se questo è rotto, voglio dire, questi algoritmi sono usati ovunque, sì? Si tratta, ad esempio, del tradizionale TLS, delle comunicazioni tra client e server web, delle VPN, delle firme delle e-mail, della crittografia dei file inviati e di tutto questo, spesso basato su RSA, ECC o Diffie-Hellman, giusto? Quindi, voglio dire, sarebbe, si potrebbe dire, catastrofico.
DAVID LELLO: Lo sarebbe, assolutamente. Sarebbe completamente catastrofico. Penso che, più approfondisco la questione e più casi d'uso mi si presentano, più sistemi si guasteranno. È un problema globale. Come l'autenticazione e l'accesso al sistema finanziario. Anche cose come Bitcoin vengono compromesse. Utilizzano la crittografia a curva ellittica e verrebbe compromessa. La conseguenza è un crollo completo del sistema finanziario.
Quindi, sì, può essere assolutamente catastrofico. Penso che nei casi d'uso tipicamente ampi si possano riscontrare problemi importanti, ma anche problemi più piccoli e meno pubblici, ai quali credo che la gente non pensi sempre, per cui quando iniziamo a parlare di IOT e OT e iniziamo a pensare ai dispositivi medici e alle apparecchiature mediche, la capacità di comprometterli. Prendete una persona che indossa un microinfusore di insulina.
Se riesco a compromettere la crittografia di quel microinfusore di insulina, posso uccidere qualcuno.
INGO SCHUBERT: Sì.
DAVID LELLO: In questo modo, all'improvviso, la criminalità dietro queste cose può diventare esponenzialmente più significativa. E cominciamo a vedere casi d'uso come Minority Report e Terminator.
Adesso sì che si ragiona. Ora la cosa si fa interessante, sì.
Ok. Ma, tornando alla disponibilità di computer quantistici, questo non accadrà da un giorno all'altro, perché non sarà così da un giorno all'altro. Supponiamo che qualcuno, sì, riesca finalmente a ottenere un computer quantistico con, sai, 200.000 cubiti in grado di eseguire l'algoritmo di Shor, per esempio. Di solito sono circa un milione. Alcune ricerche dicono che bastano un paio di qubit da 100.000. Non è che all'improvviso tutti abbiano un computer quantistico. Solo un paio di governi e di strutture di ricerca hanno accesso al calcolo quantistico. Non è che tutti i criminali informatici vi abbiano accesso.
Ma la minaccia è reale. Penso che sia simile al problema dell'anno 2000. L'avevamo previsto da un po', ma abbiamo fatto delle cose per mitigarlo e si è rivelato un po' un nulla di fatto.
Ma solo perché abbiamo fatto qualcosa.
Esattamente. Solo perché abbiamo fatto qualcosa, giusto? Se non avessimo fatto nulla, probabilmente sarebbe stato un problema enorme, mentre abbiamo fatto qualcosa ed è andato tutto bene, giusto? E penso che probabilmente sarà simile a questo caso, perché ci sono cose che si possono fare, il che ci porta al prossimo lavoro.
Sì, quindi potremmo non essere d'accordo su quanto tempo avremo a disposizione, giusto? Perciò, tanto per buttarla lì, c'è stato un rapporto del MITRE, un istituto di ricerca finanziato dal governo statunitense, che ha pubblicato un recente rapporto all'inizio dell'anno e ha collocato l'algoritmo di Shor all'incirca all'inizio del 2040, probabilmente più intorno al 2050, quindi non è che avessero un incentivo a farlo uscire, quindi era un rapporto solido, ma anche se si dice che è molto prima, è improbabile che sia prima del 2030. Penso che sia altamente improbabile, a meno che non avvenga un miracolo. Quindi, cosa potete fare oggi per prepararvi a questa apocalisse quantistica?
DAVID LELLO: Penso che sarà sicuramente molto più veloce del 2050. Odio cercare di fare previsioni perché è una cosa impossibile. Quando si cerca di prevedere il futuro, si fallisce inevitabilmente perché non abbiamo una mente soprannaturale.
INGO SCHUBERT: Bene, incontriamoci nel 2055. Alla stessa ora, sì, così possiamo parlarne. Se sono ancora all'interno.
Assolutamente sì. Facciamo così. Stessa ora, stesso posto. Facciamolo. Va bene, ma se è prima, vediamo come celebrare l'evento, perché penso che con qualsiasi progresso tecnologico, una scoperta avviene e avviene in un momento preciso. Potrebbe accadere la prossima settimana. Potrebbe accadere tra 10 anni. Non lo sappiamo. Ma accadrà, ne sono certo, perché la scienza c'è. È credibile. È reale. Un campo di girasoli è in grado di mantenere la coesione in questo momento. La stabilità è presente a temperatura ambiente, in un campo, con tutto ciò che accade intorno. Gli animali che corrono sotto, l'inquinamento e tutto il resto. Un campo di girasoli può avere coesione.
INGO SCHUBERT: Esatto.
DAVID LELLO: Perché un gruppo di scienziati lo fa?
INGO SHCUBERT: Sì, ma hanno avuto un paio di milioni di anni per evolversi, giusto? Quindi è questo il punto. Sono d'accordo, ma hanno un po' di vantaggio, no?
DAVID LELLO: Tornando alla questione, credo che uno dei problemi che abbiamo, e che abbiamo affrontato un po' a Bletchley Park, è che quello che abbiamo al momento in termini di pratiche e di quelle che definiremmo buone pratiche di gestione delle chiavi crittografiche, credo che molte aziende abbiano fallito. Quando si tratta di eventi, qualche anno fa, c'è stata la vulnerabilità di SSL e tutti si sono affannati a cercare di sostituire le chiavi. Questo ha fatto sì che le aziende diventassero molto più agili in termini di rotazione delle chiavi TLS, il che è fantastico. Questo risolve una buona parte del problema. Se si dispone di agilità nelle chiavi TLS, significa che è possibile cambiarle. Potreste dover fare qualche test lungo il percorso per assicurarvi che tutto funzioni.
Ma le organizzazioni possono iniziare a pensare fin da ora alla loro autorità di certificazione e al modo in cui emettono le loro chiavi e come sostituiscono le loro chiavi a livello TLS. E questo va bene. Il problema che riscontriamo quando entriamo in un'organizzazione è che il 20-30, forse anche il 40% delle chiavi non è gestito in questo modo. Molto spesso molto hardware ha chiavi incorporate in un pezzo di infrastruttura hardware e alcuni di questi pezzi di hardware possono vivere per 20 anni e la possibilità di cambiare le chiavi all'interno di quell'hardware significa cambiare l'hardware.
Ci sono anche molte cattive pratiche di codifica, soprattutto ai tempi delle costruzioni monolitiche, in cui le applicazioni hanno chiavi incorporate nelle applicazioni stesse. E quando iniziamo a pensare che non è successo solo questo.
INGO SCHUBERT: Credo sia questo il punto. Si tratta di una cattiva pratica, a prescindere dall'informatica quantistica o meno.
DAVID LELLO: Lo è. E così, quando iniziamo a pensare all'idea del Q-Day, che nell'anno 2000 era facile perché avevamo una data. Con il Q-Day non abbiamo una data.
INGO SCHUBERT: Ottima osservazione.
DAVID LELLO: Ma quando alla fine arriverà, e potrebbe arrivare domani, o tra 10 anni, o se avete ragione tra molto più tempo, ci troveremo in una situazione in cui una buona parte dell'organizzazione e le sue chiavi non saranno prontamente o facilmente sostituibili, e ci sarà il panico. Avremo un problema enorme, enorme, quando i dati saranno compromessi.
Ma c'è anche un altro problema, che mi viene spesso chiesto, ovvero la minaccia del ‘raccogli ora e decripta dopo’. Sono anni che assistiamo al furto di dati criptati. In questo Paese, David Cameron ha detto che tutti i nostri dati sono stati rubati dalla Cina, ma non importa. Sono criptati. Quindi, tornando indietro di qualche anno, questo tipo di affermazione è vera mentre ora, date le tecnologie che abbiamo nel tempo con un computer quantistico, diventa un problema. E sì, ovviamente i dati invecchiano.
INGO SCHUBERT: Ma alcuni di quei dati saranno ancora rilevanti. Non tutti, ma in parte. Quindi penso che sia lo stesso. Sono rimasti là fuori che, sì, sai, se vengono decriptati tra cinque anni, chi se ne frega, giusto? O tra 10 anni, sì. Quindi si può argomentare che molti dei dati di identità per l'autenticazione, se vengono decriptati tra cinque o dieci anni, non ci si preoccupa più di tanto perché ormai sono obsoleti. Ma ci sono molti dati strategici che potrebbero danneggiarvi per decenni, giusto? E non è nemmeno necessario essere uno Stato. Potreste essere una normale società, una normale impresa.
Esattamente.
INGO SCHUBERT: E qual è il caso?
DAVID LELLO: Voglio dire, sapete, la quantità di organizzazioni in cui entro è caratterizzata da sistemi legacy. In effetti, non molto tempo fa sono stato in un'organizzazione in cui c'era un'applicazione. La trattavano come una scatola nera, e la trattavano come una scatola nera perché il codice sorgente era andato perso. La persona che l'ha scritta è morta da tempo e non la tocca. Se cade, la risposta è accenderla o spegnerla, riaccenderla e pregare perché è l'unica cosa che si può fare. Non c'è niente che si possa fare. E questo sistema controllava tutti gli accessi ai suoi negozi, tutti gli accessi ai suoi negozi. E se viene compromesso, se viene disattivato, l'organizzazione viene disattivata.
INGO SCHUBERT: Singolo punto di fallimento.
DAVID LELLO: Singolo punto di fallimento. La quantità di organizzazioni che stiamo visitando in cui c'è un singolo punto di fallimento è straordinaria. Le organizzazioni devono iniziare a pensare a come modernizzare la propria infrastruttura di gestione delle identità e degli accessi. Quando iniziamo a pensare alla gestione delle identità e degli accessi, la gestione delle identità e degli accessi è la via d'accesso a tutto. Abbiamo visto gli ultimi attacchi ransomware che si sono verificati in Germania, così come nel Regno Unito, in Italia e in altri luoghi. Questi attacchi ransomware prendono di mira i sistemi di controllo degli accessi. Lo prendono di mira nell'autenticazione perché è un bersaglio facile e morbido, che si tratti di Active Directory o di un sistema come quello che ho descritto, la possibilità di compromettere effettivamente l'accesso fa crollare l'organizzazione, blocca la comunicazione, blocca la possibilità di accedere. La modernizzazione della gestione degli accessi alle identità in questo contesto sarà una delle principali priorità.
Sì, sì. È difficile opporsi a questa affermazione, perché ha senso, da qualunque punto di vista la si guardi, no? Se torniamo alla gestione delle chiavi di crittografia, molti clienti non sanno cosa hanno, giusto? Non hanno una buona visione di dove crittografano, dove sono le chiavi, dove firmano digitalmente. Non hanno una visione d'insieme. Credo che questo sia parte del problema, no? Perché non si può risolvere ciò che non si sa che esiste. Molti clienti hanno avuto problemi con la semplice igiene informatica di base. Questo è ciò che vedo costantemente, purtroppo, giusto? Proprio stamattina ho ricevuto una telefonata da un cliente che utilizzava un software RSA vecchio di 20 anni, giusto?
Wow.
INGO SCHUBERT: Quindi, in realtà, hanno chiamato il nostro supporto per qualcosa, e il supporto non è stato in grado di rispondere, ed è come, sì, certo, sai, probabilmente il personale di supporto che rispondeva alla telefonata era probabilmente all'asilo quando è uscito quel software, giusto? Quindi, il mio punto di vista è che finché non facciamo questa igiene informatica di base e la visibilità, prima di tutto, non si può raggiungere questo stato di prontezza quantistica, sì, in cui si è pronti per il Q-day. Non è assolutamente possibile.
Inoltre, la mia opinione è che non ci si può preoccupare dell'informatica quantistica finché non si sistemano queste cose, giusto? Perché se non si sa che software si sta utilizzando, se non lo si tiene aggiornato, ovviamente si dipende dai fornitori che sistemano queste cose, come ad esempio l'implementazione della crittografia post-quantistica, giusto?
Ma se il software è uscito con la nuova versione, con tutte queste belle cose sul quantum computing, e tu non lo installi, vuol dire che uno non esiste, giusto? E poi, anche se lo fate, se le vostre politiche e procedure, per esempio, sulla gestione dei dati, non sono corrette, di cosa stiamo parlando? Se l'aggressore può semplicemente telefonare al vostro help desk e chiedere di entrare, non ha bisogno di un computer quantistico per farlo, giusto? Non ne hanno bisogno oggi. Non ne hanno bisogno ieri. Non ne hanno bisogno domani. Basta che telefonino all'help desk se le vostre politiche non sono corrette e ottengono l'accesso.
Quindi, ci sono molte cose che possono andare storte, che sono andate storte e che andranno storte, che non hanno nulla a che fare con i computer quantistici. Il mio timore è che le persone guardino a questa cosa quantistica, questo Q-Day, e si lascino distrarre da questo bel giocattolo luccicante, giusto? Mentre hanno così tanti compiti da fare, che probabilmente non sono stati fatti per decenni, giusto? E, naturalmente, si può argomentare che, ehi, sapete, dovete fare questo, avere visibilità, sapete, avere patch in atto su questo, sistemare le vostre procedure. Se un cliente ha bisogno della minaccia dell'informatica quantistica per farlo, così sia, giusto? Potrei essere felice.
Ma una parte di me pensa: "No, perché cosa succede se ci imbattiamo in un ostacolo con il calcolo quantistico? E per un paio d'anni non ci sono vantaggi o progressi reali e poi si pensa: "È una cosa del 2060, sarò già fuori dal mondo del lavoro e non dovrò preoccuparmene", ma questo è l'approccio sbagliato, perché si dovrebbe risolvere il problema a prescindere da tutto.
Vi darò un po' di nozioni, sì, un po' di nomi, sì, il filosofo tedesco Emmanuel Kant, sì, non tagliate quell'editore, sì, è k, è k. È K -A -N -T, giusto? Quindi d'ora in poi lo chiamerò Emmanuel, sì.
Filosofo tedesco del XVIII secolo, ha detto molte cose intelligenti. Ma una delle cose che ritengo più intelligenti è che si fa la cosa giusta perché è la cosa giusta da fare, giusto? Non perché ti faccia guadagnare punti con qualche divinità o qualcosa del genere. Lo fai perché è la cosa giusta da fare.
E avere una buona visione d'insieme di dove si cripta, come si cripta, delle politiche, delle procedure, delle patch e di tutto il resto, è la cosa giusta da fare, indipendentemente dal fatto che l'informatica quantistica sia lontana 10 anni, 20, 30 anni. Non importa. È necessario farlo. Ora, avreste dovuto farlo negli ultimi 20 anni. Questo è essenzialmente un punto. Credo che su questo punto siamo d'accordo. Sì, assolutamente. Credo che la motivazione che sta dietro a questo punto sia il punto di disaccordo, perché abbiamo opinioni diverse sul punto in cui si trova e si troverà l'informatica quantistica. Ma assolutamente, se c'è un cliente che dice che devo essere pronto per la quantistica, lo sforzo non è sprecato.
DAVID LELLO: No, assolutamente no. Penso anche, Ingo, che una delle cose su cui vengo sempre messo alla prova è che passiamo molto tempo con i consigli di amministrazione delle grandi aziende a parlare con i direttori finanziari e simili e che un'azienda esiste allo scopo di fornire un prodotto o un servizio e, se si tratta del settore privato, di realizzare un profitto, a meno che non si tratti di beneficenza, ma non preoccupiamoci di questo, quindi l'idea di spendere denaro solo perché è la cosa giusta da fare, con un rendimento negativo, diventa difficile e impegnativa da realizzare per gli esperti di finanza. E quindi investire in qualcosa perché è la cosa giusta da fare diventa più una discussione filosofica. Non credo che sia necessariamente l'approccio giusto.
INGO SCHUBERT: Beh, sì, assolutamente.
DAVID LELLO: Anche se sono d'accordo con lei, assolutamente 100%, da un punto di vista di fede, di ciò in cui credo, vorrei sempre fare la cosa giusta. Ma la realtà è che le aziende non esistono per questo. Non esistono per fare la cosa giusta. A volte sono un po' immorali.
Davvero? È la prima volta che lo sento. Lasciatemi prendere nota.
DAVID LELLO: Quindi penso che quello che fate è guardare la questione in modo diverso e penso che una delle realtà che vediamo e che risuona e che le persone capiscono è misurare e riconoscere e realizzare qual è la mia esposizione al rischio associata a un determinato ambiente e dobbiamo collegarla a qualcosa di tangibile, dobbiamo sempre tornare a come costruire un caso di cambiamento in questo mondo e a cosa assomiglia il cambiamento? Sai, una delle sfide che ci siamo posti, perché quando abbiamo iniziato a cercare di aiutare le organizzazioni a rispondere a questo problema, è che in realtà non esiste un quadro di riferimento che si occupi della preparazione quantistica. Non ne esiste uno.
Così, siamo andati a scriverne uno. Abbiamo scritto uno standard per dire: "Ecco un approccio per guardare ai quanti". Abbiamo preso in considerazione diversi standard del NIST e delle buone pratiche, dell'ISF e di varie altre cose per poter elaborare un modello e un quadro di riferimento che ci permettesse di iniziare a esaminare la questione. Ma questo ci permette di iniziare a guardare e a dire: "Quando si prende un sistema come quello di identità che gestisce tutti gli accessi, che è un ambiente a scatola nera, qual è la mia esposizione al rischio di avere una macchina del genere? E toglierò completamente il quantum da questo sistema. Qual è il mio rischio? Comprendo davvero il mio rischio? Se si guasta, cosa succede al mio ambiente? E se riesco ad apprezzare il rischio, devo fare qualcosa.
INGO SCHUBERT: Oh, e questa è, voglio dire, alla fine, la corretta gestione del rischio, che vedo mancare in molte aziende o organizzazioni in generale, giusto? E questo deve essere fatto, dovrebbe essere fatto per anni e dovrebbe essere fatto oggi, indipendentemente dall'informatica quantistica o meno. Questo è il mio punto di vista.
Ovviamente non lo fanno perché è la cosa giusta da fare, giusto? È un argomento finanziario difficile da sostenere. Sono completamente d'accordo con te. Ma ci sono tutte le altre minacce per cui dovrebbero farlo, giusto? E ancora, se dovete vendere il concetto di guardare a tutto questo e capirlo e avere un'adeguata gestione del rischio a causa dell'informatica quantistica, fate la mia ipotesi, giusto? Penso che sia assolutamente il modo giusto. Se questa è la leva di cui avete bisogno per ottenere la firma, sì, fatelo assolutamente. Perché alla fine, anche se l'informatica quantistica è ancora lontana 30 anni, i vantaggi sono ancora oggi. Perché avere questa disponibilità aiuta a essere sicuri anche oggi. Non si spreca denaro. Sì, quindi credo che sia la cosa giusta da fare. E ci sono alcune raccomandazioni e alcuni quadri normativi europei, per esempio, che dicono che entro il 2026 - cosa che, a dire il vero, dovreste già fare se volete essere conformi al DORA. Forse si vedono di nuovo le stesse cose, perché alcuni non lo fanno. Quindi visibilità e gestione del rischio entro il 2026 e poi una qualche forma di preparazione quantistica entro il 2030 per il rischio elevato e il 2035 per il rischio medio e basso, giusto? Quindi sembra che sia molto lontano, ma, sapete, abbiamo già, tipo, alla fine del 2025, quando registriamo questo, il rilascio è il 2026.
Quindi è come se, sì, mancasse solo una manciata di anni. E se tornate all'inizio della nostra conversazione, se guardate al problema dell'anno 2000, sì, se avete iniziato nel 1999, probabilmente siete un po' in ritardo per questo, giusto? Quindi dovete essere preparati ora, assolutamente, giusto.
DAVID LELLO: Penso che uno degli aspetti che hai sollevato, e che ritengo sia un punto affascinante in termini di psicologia umana, sia quello delle normative, delle normative europee e di altre cose come Dora. I regolamenti entrano in vigore solo perché le aziende sono negligenti nel fare la cosa giusta.
INGO SCHUBERT: Sì, assolutamente.
DAVID LELLO: E poiché non stanno facendo la cosa giusta, i legislatori dicono che avremo un grosso problema nel Paese se non lo affrontiamo. Quindi le leggi entrano in gioco quando è necessario fare qualcosa. Nel Regno Unito, l'NCSC ha elaborato una guida sul quantum. E in Europa c'è il DORA. E purtroppo, a causa della Brexit.
INGO SCHUBERT: Lei ha portato il tup che io non ho portato.
DAVID LELLO: Stiamo iniziando a esaminare la nostra legge sulla resilienza. Il progetto di legge sulla resilienza è stato pubblicato per i commenti pubblici. Il primo numero è stato pubblicato e i commenti sono in corso. Presto avremo una lettura in Parlamento. Speriamo di metterci al passo con il resto del mondo su questo tema specifico.
INGO SCHUBERT: Beh, tranne gli Stati Uniti. Gli Stati Uniti sembrano essere, sai, un luogo selvaggio sulla mappa, sì. Sì, lo sono davvero. Sì, è come, e lo vedo anche parlando con i colleghi statunitensi, sì, è come, sì, non abbiamo davvero questo, giusto? Ma in tutto il resto del mondo sembra che la resilienza, la gestione del rischio sia un po' più matura in termini di regolamenti e perdite, sì, il che è...
Devi averla.
INGO SCHUBERT: Bisogna averla, giusto? E quando li leggete, e probabilmente ne avete tanti e più di me, alcune di queste cose sono di un'ovvietà accecante, come la corretta gestione del rischio. È come se dovessi sapere che, se quell'affare si guasta, ne conosci le conseguenze, giusto? Certo che dovresti, perché la tua azienda sta facendo soldi e c'è qualcosa che glielo impedisce. Dovresti sapere perché e come risolverlo. Eppure non lo fanno fino a quando non sono costretti dalla legge, il che è triste in un certo senso, giusto?
DAVID LELLO: La natura umana purtroppo entra in gioco. Io però faccio fatica perché non si tratta di cose difficili, perché guardare al rischio e alla gestione del rischio non è difficile.
INGO SCHUBERT: No, ma ci vuole tempo.
DAVID LELLO: Ci vuole tempo, ma ci sono tante tecnologie diverse che possono aiutare a semplificare il processo. I computer sono progettati per automatizzare i processi. Il motivo per cui abbiamo i computer è che abbiamo processi manuali che richiedono eserciti di persone per fare qualcosa. Con i computer possiamo automatizzare tutti questi processi. E con i sistemi moderni possiamo automatizzare ancora di più. Prendiamo ad esempio la gestione delle vulnerabilità. Se si dispone di un ambiente modernizzato e di una scansione delle vulnerabilità, si ha una visibilità relativamente buona in termini di rischio tecnologico.
INGO SCHUBERT: Sì. La stessa cosa per noi. Governance dell'identità. Alla fine, non è scienza missilistica. Sì, certo. Dovrete collegare tutti i diversi sistemi, magari creare delle regole e tutto il resto. Ma poi si ha la visibilità e la visione, ad esempio, della segregazione dei compiti, della conformità e tutto il resto. E sì, è un lavoro. Sì, è un investimento in termini di denaro e tempo, ovviamente, ma si ottiene qualcosa.
Sì.
Giusto. Inoltre, credo che le persone non si rendano conto che una probabile gestione del rischio ti restituisce anche qualcosa, perché scopri che forse non dovresti investire tutti quei soldi in questa sicurezza o che stai rendendo questa cosa resiliente perché non ha un impatto così grande, mentre sull'altra dovresti investire di più perché se va in crisi succedono brutte cose. Penso che questo sia anche, e ovviamente non lo si capisce, perché se non si fa un'adeguata gestione del rischio non si ha quella visibilità, quindi come si fa a prendere una decisione del genere? Quindi le persone, in pratica, si fanno del male da sole se non lo fanno, giusto?
DAVID LELLO: E la governance dell'identità è molto importante per consentire e aiutare questo processo. Sì, ma non è così. Quando parlo con molte organizzazioni di identità, l'identità non è una di quelle cose di sicurezza che si fanno perché è una polizza assicurativa. L'identità è un fattore abilitante. È un vero e proprio strumento di business per aiutare le organizzazioni a essere più efficienti e più efficaci in termini di accesso delle persone. Ma è fondamentale avere l'accesso giusto al momento giusto e nel posto giusto e disporre di modelli di governance che lo guidino effettivamente. Quindi, quando iniziamo a esaminare i controlli ITGC e i sistemi finanziari e iniziamo a considerare come deve essere creato l'accesso nei diritti, nella segregazione dei compiti e nei mandati che ne derivano, non è una novità. Questi aspetti non sono una novità. Sono state inserite nella legge sulle società e nei regolamenti finanziari per decenni.
INGO SHUBERT: Assolutamente sì.
DAVID LELLO: E la capacità di controllarlo con un buon sistema di governance delle identità è già presente. E con una soluzione modernizzata, diventa piuttosto facile. Non è così difficile come si pensa.
INGO SCHUBERT: Guardateci. Stiamo parlando di governance della sicurezza delle identità e abbiamo iniziato con i quanti. È come se... Sì, ma questo è il punto. Penso che questo sia un argomento che apre le porte ad alcune discussioni con i clienti o con le organizzazioni in generale: "Sì, va bene". Si parla della minaccia quantistica e, insomma, ma alla fine si finisce per discutere, non proprio di quantistica, ma di altre cose. Che, sì, si può risolvere ora, si dovrebbe risolvere ora, indipendentemente da ciò che accadrà in futuro.
DAVID LELLO: È il concetto di igiene di base.
INGO SCHUBERT: È il concetto di igiene di base, esattamente. È un modo perfetto per concludere. David, grazie. Potremmo parlare per ore, davvero, ogni volta che ci incontriamo. Quindi, grazie mille. Penso che la minaccia quantistica possa sembrare lontana.
Può essere, può non essere. Ma speriamo che durante questa conversazione, i nostri spettatori e ascoltatori si siano fatti l'idea che, sapete cosa, a prescindere dal fatto che dobbiate fare qualcosa oggi per essere pronti a livello quantistico. Questo non fa affatto male.
Ciò che ne ricavate vi avvantaggia oggi rispetto alle minacce che esistono oggi, giusto? Non dovrete aspettare 20 anni per ottenere i benefici. Li realizzerete oggi stesso.
Con questo si conclude il dibattito odierno sull'informatica quantistica e il suo impatto sulla sicurezza delle identità. Il futuro quantistico è fantascienza e le organizzazioni devono capire dove si trovano i rischi e le opportunità reali. Se volete saperne di più sulla resilienza delle identità e sulle tecnologie che preparano le organizzazioni a ciò che verrà, visitate RSA.com. Se volete accedere alla casella di posta elettronica per altri episodi di RSA Identity Unmasked, non dimenticate di abbonarvi. Grazie per essere stati con noi e ci vediamo la prossima volta.
