RSA Identity Unmasked

INGO SCHUBERT
Bem-vindo de volta ao RSA Identity Unmasked. Hoje falaremos sobre um dos setores mais interessantes e de maior risco da segurança de identidade, que é o setor de saúde. Hoje, estou acompanhado novamente por Paul e John, e vamos analisar os desafios, os casos de uso e as práticas recomendadas. Vamos começar. Então, por que o setor de saúde é um ambiente tão especial para a segurança de identidade?

JON NICHOLAS
Vou começar se você quiser, Paul. Você quer começar?

PAUL MULVIHILL
Com certeza!

JON NICHOLAS
Acho que uma coisa que sempre falamos sobre o setor de saúde e é um dos primeiros tópicos que surgem é a pilha técnica que eles têm e, principalmente, a infraestrutura legada. Uma das maiores áreas a serem protegidas do ponto de vista da identidade, porque talvez não tenham os ganchos para os serviços modernos de MFA. Portanto, a tecnologia proprietária legada é um grande desafio em um setor como o de saúde, e o NHS é um excelente exemplo no Reino Unido.

PAUL MULVIHILL
Muitas vezes, todos conhecemos o NHS, mas ele é composto de várias organizações menores sob o mesmo guarda-chuva, o que não significa que haja um pote enorme para apoiar a infraestrutura de TI. Pode ser que cada pequeno fundo tenha suas próprias responsabilidades e, portanto, não possa obter o que há de melhor e mais recente porque não tem orçamento para isso. Se fosse uma coisa grande, possivelmente, mas o mundo não funciona assim, infelizmente, até certo ponto. Portanto, há os desafios de como cada um deles pode garantir que tenha o que há de mais moderno e melhor, quando não podem, porque têm sistemas legados, precisam lidar com a migração ou a manutenção, o que acrescenta desafios adicionais de como chegar a um sistema moderno

INGO SCHUBERT
Certo. E acho que, bem, é claro, é diferente na Alemanha, por exemplo. Acho que não é tão diferente nesse contexto, certo? Você sabe, organizações diferentes, muitos aplicativos legados. Então, acho que, para ser justo, você provavelmente encontra isso em toda a Europa ou talvez até mesmo em todo o mundo em muitos lugares, certo?

PAUL MULVIHILL
E falamos sobre o sistema legado, se você tem algo que funciona e as taxas de erro dele, portanto, se você está lidando com a saúde de alguém, você tem um sistema que testa algo, ele funciona. Você não vai simplesmente decidir mudá-lo porque ele pode ter dois anos de idade. Você vai aplicar esse financiamento em algo que é uma área nova. Portanto, sim, pode ser um legado, mas isso não significa que seja velho, antiquado e desatualizado. Significa apenas que, quer saber, ele funciona. Há coisas mais importantes a serem observadas.

INGO SCHUBERT
Não toque em um sistema em execução. Então, o que torna o acesso, o controle e a autenticação tão desafiadores nesse ambiente?

PAUL MULVIHILL
Provavelmente direi que é uma espécie de mistura de vários trusts. Como você, se todos estão operando de forma independente, mas têm uma força de trabalho que pode pular entre fiduciários porque estão cobrindo uma área mais ampla, como você configura um sistema fácil de usar que será, por exemplo, eu trabalhando em um lugar um dia, em outro, em outro, que é um fiduciário diferente, outro, outro, outro fiduciário. Existe um sistema central que gerencia tudo isso? É possível que não. Será que vou voltar para algum lugar ou vou fazer isso um dia por ano em outro lugar? Esse tipo de número de sistemas que você está tentando gerenciar e proteger do ponto de vista da identidade aumenta exponencialmente a complexidade. Estou em 50 sites, são 50 sistemas? São 5, é um? Dimensione isso em todo o país e você estará apenas adicionando camadas de complexidade por vários motivos.

JON NICHOLAS
Sim, e acho que é essa contagem de usuários. É a conta de usuário que, às vezes, é muito difícil de neutralizar, porque há médicos que prestam serviços médicos de primeira linha e que podem ser, é claro, muito bons no que fazem, mas não são especialistas em segurança cibernética. Há toda uma equipe de apoio ao NHS, por exemplo, que faz toda a logística, o planejamento e a parte administrativa. Agora, alguns deles podem ser capazes de usar, você sabe, autenticar um, como um autenticador móvel, mas outros talvez estejam na enfermaria ou, você sabe, em ambientes mais seguros, mas sabemos que você não pode usar isso. É preciso ter outra coisa, como um token físico para
fazer sua autenticação. Portanto, você não tem apenas uma força de trabalho gigante, mas também vários casos de uso em termos de como eles podem se autenticar. E então, você sabe, mencionou o celular, mas algumas pessoas podem nem mesmo ter um celular que queiram usar. Então, imediatamente, você tem três, quatro, cinco casos de uso diferentes apenas para colocar cinco pessoas em um sistema.

INGO SCHUBERT
Portanto, clínicos, equipe temporária, turnos rotativos, tudo isso complica imensamente as coisas. Então, o que você acabou de dizer. Então, do meu ponto de vista de gerenciamento de identidade, posso ver por que isso é um pouco desafiador em comparação com uma força de trabalho corporativa bastante organizada, sim, em que se trabalha das nove às cinco. Sim, você pode ter fusos horários diferentes, mas isso basicamente aumenta o tempo até as 11 horas, essencialmente.

PAUL MULVIHILL
Sim, você pode ter uma grande empresa que tenha, digamos, 50 ou 100 departamentos diferentes, ao passo que, no setor de saúde, você pode ter um grande órgão que é o setor de atendimento, mas que pode ter 50 ou 100 empresas separadas dentro dele, todas com suas especialidades e que precisam ser autônomas na forma como trabalham, mas ainda assim trabalham com outras entidades dentro desse mesmo espaço. E se você tiver algum problema com uma delas, quais são os efeitos colaterais?

INGO SCHUBERT
Então, em termos de, é claro, você sabe, temos esse programa de TV dramático, como se tudo tivesse que ser rápido, sim, mas isso é uma coisa, sim, não estamos desacelerando as coisas, acho que isso é parte do desafio aqui, mas não é só isso, ei, você sabe, alguém entra correndo na sala de emergência e as coisas precisam andar rápido, é também porque você tem uma força de trabalho limitada, eles precisam ser muito eficientes, o que também significa que, sim, a segurança não pode desacelerar as coisas por causa disso.

JON NICHOLAS
Apenas com relação a esses grandes desafios, se falarmos sobre isso do ponto de vista da governança, do ponto de vista do menor privilégio, você não gostaria de dizer, certo, precisamos que todos tenham apenas os privilégios para desempenhar sua função, por exemplo. Mas o desafio é que, se você fizer essa alteração, talvez por engano, você retire algumas permissões deles. E agora ele não pode operar aquele equipamento ou máquina essencial na enfermaria que vai ajudar a salvar a vida de alguém. Portanto, a precisão da tomada de decisões para aplicar uma solução IGA, por exemplo, tem que ser absolutamente precisa. Portanto, a capacidade de fazer mudanças nesse ponto provavelmente passará por camadas e camadas de tomada de decisões, o que torna o processo lento. Porque a última coisa que queremos fazer é dizer, certo, vamos implementar esse fluxo de trabalho e agora alguém não pode salvar uma vida para ir ao exemplo mais extremo ou administrar algo da farmácia.

INGO SCHUBERT
Mas, ao mesmo tempo, especialmente com a governança de identidade, é claro que há, você sabe, a solução rápida nesse caso, que, obviamente, não é, apenas dar a todos mais direitos de acesso, basicamente, mais direitos que eles normalmente teriam. Essa é uma abordagem válida? Isso é um bom compromisso? Não, acho que sim, certo?

PAUL MULVIHILL
Sim, porque se uma pessoa for hackeada, uma conta for comprometida e ela tiver permissão demais, o que acontecerá? Você pode entrar e o zelador, que recebeu tudo porque é funcionário de um hospital, pode entrar no sistema da farmácia e ter acesso à medicação ou à alteração dos registros do paciente. Certo. Mas, como Jon estava dizendo, há tantas ramificações em potencial ao fazer uma mudança na aplicação de uma política ou na aplicação de um caminho mínimo de permissões, que é quase uma paralisia do risco. Eu poderia implementar essa política que remove as permissões para X, Y e Z. Se você não tiver certeza absoluta, já fez a análise de, certo, isso afeta 50 pessoas, essas 50 pessoas acessaram esse recurso? Se uma delas acessou, você precisa continuar analisando mais. Essa pessoa precisa receber permissões especiais? Se nenhuma delas tiver acessado, e você tiver monitorado por tempo suficiente, tudo bem, então sim, você poderia aplicar a lei, bem, vamos tirar isso. Mas há o medo de que, se eu retirar algo, ocorra aquele cenário que nunca pode ser planejado no setor de saúde. Você pode tentar adivinhar muitas coisas, mas nunca pode planejar uma emergência em que precise de algo. Eu removi essa permissão. Agora, esse cenário surgiu quando essa enfermeira, esse médico ou alguém precisava fazer algo e, de repente, não pode.

INGO SCHUBERT
Não se trata apenas de operar máquinas. Também pode ser como acessar dados em algum lugar, certo? Nós, registros de saúde, por exemplo. Portanto, entendo que, em uma empresa normal, isso pode ser ruim se alguém tiver poucos direitos. Ela não consegue fazer seu trabalho, mas faz uma solicitação e ela é aprovada. É como se, sim, fosse ruim. Pode ser que atrase algumas horas, talvez no dia seguinte, mas, sabe, não é o mundo, ao passo que em um ambiente de saúde, isso literalmente pode significar um grande problema. E, sabe, pode não ser feito no minuto certo, mas pode significar que alguém não receba o atendimento de que precisa quando precisa.
PAUL MULVIHILL
Se for uma empresa e alguém tiver acesso aos dados, talvez alguém faça um pedido em um cartão de crédito que pode ser corrigido com os cartões de crédito ou um pedido é cancelado. Quero dizer, alguns desses efeitos são bonitos, não muito graves, mas se for na área da saúde, alguém altera seus registros médicos. Alguém compartilha detalhes que não deveriam ser compartilhados. Há muito mais ramificações sobre o que pode acontecer. Ou o vazamento de informações que podem realmente ter efeitos de longo prazo sobre você. Como você disse, pode ser que algum medicamento do qual você depende seja interrompido. Você está perto do fim da prescrição desse medicamento e, na verdade, eles removem os detalhes quando você tem que passar por toda a reavaliação do que, de fato, eu preciso dele, retardando-o ainda mais, atrasando-o, o que tem mais efeitos colaterais. Esse é um dos setores em que, o que pode parecer uma pequena mudança na empresa e no setor privado de saúde, os problemas e as ramificações são potencialmente 10, 20, 30 vezes maiores.

JON NICHOLAS
Sim, e com relação a esses tipos de números, quando você analisa uma violação de dados nesse tipo de cenário, os registros médicos são extremamente valiosos quando negociados na dark web, mais do que os detalhes do cartão de crédito, por exemplo, e uma das áreas em que eles podem ser usados seria como fraude de seguro, que pode acarretar uma enorme compensação monetária, suponho que, se alguém fizer essa solicitação, conhecer seu histórico médico, poderá fazer o seguro em seu nome e isso é incrivelmente lucrativo. Portanto, é nesse ponto que os invasores querem entrar. Esperamos, diz ele, que eles não queiram, sabe, arriscar a vida de ninguém, mas a recompensa financeira de ter esses registros médicos e, em seguida, usá-los para obter ganhos financeiros é o que eles buscarão.

INGO SCHUBERT
Ou seja, essas informações seriam perfeitas para um invasor realizar um ataque de caça submarina contra alguém. Se você já conhece detalhes médicos, sim, isso apenas aumenta o nível de confiança, o que o torna mais suspeito para esses tipos de ataques, certo? Ou simplesmente, você sabe, eu não sei, chantagem ou algo assim. Sim, há muitas coisas que poderiam ser feitas com esses registros, certo? Então, sim, posso ver isso. Então, voltando à prática, o que acontece, por exemplo, em um hospital? Qual é o fluxo de trabalho típico de autenticação pelo qual alguém precisa passar?

JON NICHOLAS
Não sei se eles seriam típicos.

INGO SCHUBERT
Bem, tudo bem.

JON NICHOLAS
Falamos sobre os sistemas, mas o que eles devem fazer? Talvez essa seja a pergunta, mas sempre deve haver uma etapa de MFA com um processo adicional no back-end, processo adicional no back-end, você sabe, você pode aproveitar o acesso condicional quando estamos falando do ponto de vista do IAM, você pode aproveitar, vou dizer, pode aproveitar a IA para entender se aquele usuário é o usuário certo no momento certo e fazer isso dinamicamente, em vez de os administradores tentarem juntar políticas de acesso condicional com base em uma base de usuários tão vasta e em uma pilha de tecnologia tão vasta, então, sim, use as ferramentas a seu favor e sempre tenha alguém fazendo o step-up quando estiver realmente em registros críticos.

INGO SCHUBERT
Então, uma coisa que notei nesse setor, acho que o mais próximo que vejo talvez seja a fabricação no chão de fábrica, são os dispositivos compartilhados. Isso parece ser, não diria a norma, mas uma quantidade desproporcionalmente alta de dispositivos compartilhados. Como lidamos com isso?

PAUL MULVIHILL
Bem, sim, você tem uma força de trabalho em turnos de, digamos, 8 horas, você não terá todos os dias uma pessoa em uma função com seu próprio dispositivo, então você terá um dispositivo compartilhado por pelo menos 3 pessoas e, em casos prováveis, compartilhado por 5, 6, 7, pois pode ser um terminal em um posto de enfermagem, esse tipo de coisa. Qual é a melhor maneira de protegê-lo? Quero dizer, você colocará algum tipo de credencial no nome de usuário e na senha. Quero dizer, tenho visto pessoas com pequenos tokens OTP, tokens de hardware, porque eles são difíceis de matar. Eles são muito resistentes. Mas será que isso é suficiente? Porque é uma senha de uso único. É preciso que alguém entre em um computador, faça login e use a senha. Mas elas foram testadas e comprovadas. As pessoas sabem como usá-las e há muitas pessoas nesse setor que poderiam conversar com qualquer um de nós sobre o corpo e como a área do corpo delas funciona, dar a elas uma chave FIDO e pedir que se acostumem a usá-la ou um celular com biometria push to approve, é uma área completamente diferente para elas pensarem, é uma espécie de zona de conforto e seu conhecimento técnico está aqui. Mas então estamos tentando dizer, bem, para usar isso. Você precisa acrescentar todos esses outros elementos.
 
INGO SCHUBERT
Além disso, acho que, mais uma vez, não é tão diferente de outras áreas em outros setores em que, por exemplo, não se pode levar um telefone celular para todos os lugares. Há lugares em que não é permitido levar smartphones ou dispositivos inteligentes, ponto final, seja por motivos de privacidade, porque tenho câmeras ou, sei lá, como, por exemplo, não é permitido ter uma conexão Wi-Fi em algum lugar porque isso atrapalha outras máquinas. Então, sim, você precisa de opções, sim. Além disso, como o gerador de OTP, você pode mergulhá-lo em desinfetante, se quiser.

PAUL MULVIHILL
Sim. Quer dizer, eu estava conversando com um cliente outro dia, e ele tem exatamente esse tipo de situação, bem, não é médica, mas é um cenário em que não há telefones celulares. O ambiente físico é fechado em termos de segurança. Então, sim, eles têm o token de hardware com os códigos de passagem de uso único ou usam as chaves Fido. Alguns dos novos tokens, como o RSA iShield, incluem o FIDO sem contato e elementos desse tipo. Assim, enquanto no passado era possível usar o nome de usuário, a senha e a senha de uso único ou usá-los na senha. Você pode ir a um computador, usar o nome, tocar nele, colocar o PIN e pronto.

INGO SCHUBERT
É isso aí.

PAUL MULVIHILL
É a aceleração dos nossos processos. E há outras áreas em que isso também está avançando, onde pode ficar ainda mais simples no futuro. Quero dizer, alguns elementos do FIDO e das chaves de acesso podem reter, de certa forma, começam a aprender um pouco sobre quem são, para que você possa associá-los a uma pessoa. Assim, em um futuro próximo, basta entrar com uma chave FIDO e colocá-la na máquina.

INGO SCHUBERT
É claro que, se você tiver esse toque NFC, haverá menos problemas de usabilidade. Você não precisa ler algo e tocar em algo novamente, o que pode dar errado se você ler os números certos e errados ou se tiver os números certos e tocar neles de forma errada. Portanto, esse problema foi eliminado.

PAUL MULVIHILL
E se você tiver alguém com problemas de visão, ler isso em uma pequena tela que gira pode não ser fácil. Então, novamente, é NFC.
INGO SCHUBERT
Estou vendo isso.

PAUL MULVIHILL
Qualquer pessoa, em qualquer setor, pode se beneficiar desse elemento.

JON NICHOLAS
Provavelmente, um dos setores mais críticos é equilibrar segurança e conveniência, pois não queremos retardar o fluxo de autenticação e o fluxo de acesso das pessoas, provavelmente quando elas estão com pressa para fazer algo muito importante, portanto, segurança e conveniência ao mesmo tempo serão fundamentais.

INGO SCHUBERT
Portanto, ter vários métodos de autenticação é importante, não apenas para um usuário, pois pode haver usuários que tenham vários métodos, mas porque todos os tipos de funções são diferentes, como se sabe, certo? Portanto, não existe um tipo que sirva para todos.

PAUL MULVIHILL
Sim.

JON NICHOLAS
Absolutamente não. Certamente em uma organização desse porte.

PAUL MULVIHILL
Como você mencionou sobre as diferentes funções, você volta ao lado da governança para garantir que cada pessoa desempenhe sua função e que você tenha mapeado adequadamente o que ela pode fazer. Uma enfermeira e um hospital terão um conjunto de coisas que devem ser capazes de fazer, um médico, outro porteiro ou alguém na recepção. Provavelmente, eu nem conseguiria listar o número de funções diferentes que existem e todas elas têm requisitos diferentes e direitos de acesso diferentes. Portanto, você precisa ter certeza de que pode mapear isso e dizer, certo, ok, essa pessoa tem essa função e garantir que o processo de governança em vigor e os sistemas de ciclo de vida em vigor digam, certo, ok, essa é a sua função, isso é o que você pode ter e, em seguida, mapear isso de volta para um método adequado para que você possa fazer o seu trabalho sem gastar 20 minutos por dia fazendo MFA, talvez uma ou duas vezes por dia e, em seguida, talvez aproveitar um pouco do lado da IA e algumas análises comportamentais para dizer, certo, eu entrei, Estou no computador que estou sempre ligado, estou acessando o recurso que estou sempre acessando, faça isso uma vez e estou dentro, continue.

INGO SCHUBERT
Então, permanecendo no lado da governança, no lado da governança de identidade, como e por que, por exemplo, a alavanca de união, por que isso é tão importante no ambiente de saúde?

JON NICHOLAS
Acho que quando analisamos, mais uma vez, mencionei muito a escala, mas vemos, e o Paul mencionou isso, que as pessoas podem se deslocar entre trusts, mas dentro de um trust também, você se desloca entre funções, provavelmente com regularidade. Portanto, a escala de seu processo JML, quero dizer, dezenas, centenas de milhares de alterações por dia. Portanto, estar em cima disso do ponto de vista automatizado será fundamental. E não apenas automatizá-lo, mas também ter a linha do tempo certa. Você sabe, você vai mudar de função daqui a três dias, certo? Isso está no sistema. Três dias depois, você muda da função A para a função B, o que é feito automaticamente no back-end. E você sabe a função para a qual está indo, ou o sistema sabe a função para a qual você está indo e sabe as permissões de que você precisa, e não um caso em que eu tenha que falar com o seu gerente e dizer ‘ei, o Ingo vai se juntar à sua equipe na próxima semana, o que ele deve ser capaz de fazer’, mas sim um caso em que o Ingo se juntou à equipe e pode fazer tudo o que precisa fazer desde o primeiro dia.

INGO SCHUBERT
E isso também significa que a função A não estará mais comigo se eu mudar de trust, é claro, certo?

JON NICHOLAS
Sim, sim.

INGO SCHUBERT
Portanto, esse acúmulo de direitos ou de tempo, que acho que todos nós já vimos em nossas carreiras em algum momento, é

JON NICHOLAS
Expansão da identidade, se preferir.

INGO SCHUBERT
Sim, sim.

PAUL MULVIHILL
Para complementar o que Jon estava dizendo, se você estiver pulando de um site para outro e de um trust para outro e de uma função para outra, essa conta que foi criada para você no site A, se você não voltar por três, quatro, cinco semanas ou até mesmo por dois ou três dias, com o lado do ciclo de vida e o elemento de alavancas, você pode desativar essa conta instantaneamente. Assim, você não tem o cenário de conta órfã em que essa conta existe, tem um nível de permissões. Ela só está lá sem ser usada, o que significa que é outro vetor de ataque. Assim, alguém não pode entrar e, em seguida, entrar na esfera dos ataques de ransomware a fundos e todo esse tipo de coisa. Você simplesmente bloqueia isso porque não estará aqui novamente. Se você voltar em dois dias, em dois dias o sistema o ativará novamente.

INGO SCHUBERT
Certo.

PAUL MULVIHILL
Até esse momento, não é uma opção. Ela está desativada. Não pode ser usada.

INGO SCHUBERT
E a visibilidade que vem com isso, quero dizer, obviamente o sistema sabe, você sabe, quais funções você tem, quais funções você terá, as funções que você teve. Acho que, e me corrija se eu estiver errado, mas se você for auditado, essas informações e essa visibilidade parecem ser muito úteis.

PAUL MULVIHILL
Você teria um histórico completo de quem poderia fazer o quê e em que momento. Portanto, se algo acontecer do ponto de vista da auditoria, você segue esses critérios de auditoria? Sim, aqui está a prova. Se você tiver um tipo de plataforma central de governança, tudo estará lá. Assim, você pode saber, certo, sim, estamos bem, sem problemas. E na eventualidade de, bem, na rara ocorrência em que algo aconteça, você poderá usar o mesmo conjunto de dados para dizer, certo, quem teve acesso a esse material naquele momento? Dependendo do tipo de registro adicional que você pode obter no ecossistema, você pode dizer, certo, bem, essas contas talvez tenham feito algo, mas você pode dizer, certo, bem, quem teve acesso a isso? Quem poderia ter feito alguma coisa.

INGO SCHUBERT
Isso ajuda nas investigações. Se as coisas acontecerem, quero dizer, como um bom engenheiro de segurança, você sempre supõe que as coisas acontecerão, que eventualmente haverá uma violação. Isso também o ajuda, durante o processo de limpeza, a ver o que acontece, quem foi afetado.

PAUL MULVIHILL
Você sempre presume que algo é possível de ser violado. Por isso, você coloca o maior número possível de etapas, verificações e balanços para minimizar o impacto disso, a menos que você pegue o computador, desconecte-o, coloque-o em uma caixa de cimento e jogue-o na trincheira de Areana ou algo assim, isso não acontecerá. Portanto, é preciso investir o máximo possível para que, se ou quando algo acontecer, o impacto seja o menor possível sobre o andamento das coisas.

JON NICHOLAS
Sim, acho que, para acrescentar a isso, se analisarmos os dados obtidos com uma abordagem do tipo governança, não se trata apenas de fornecer informações aos auditores. Acho que você também está analisando se podemos entender o que temos atualmente. Portanto, a maturidade do processo. Falo muito sobre o processo nessas sessões, mas você sabe, você olha para uma equipe, olha para seus direitos de função. Você diz, espere aí, ninguém nessa equipe usou esse direito por seis meses, um ano, seja qual for o período de tempo que você definir, e o sistema deve dizer que ele não foi usado. Vamos dar uma olhada na remoção desse direito, porque esse é um direito a mais, e pode haver uma razão muito boa para que eles não o utilizem mais. Talvez haja um sistema paralelo que eles estejam usando para fazer essa parte da carga de trabalho. Portanto, você terá isso no novo sistema, retirando-o do antigo. Mas você precisa dessa inteligência automatizada para realmente ajudá-lo a descobrir essas informações, porque, caso contrário, você estará fazendo auditorias manuais completas e eu não sei o que você usou no sistema nos últimos seis meses, mas o sistema saberá como você o usou. Portanto, use essa inteligência para dizer, certo, vamos tomar decisões informadas sobre como trabalhar em direção à confiança zero ou ao privilégio mínimo.

INGO SCHUBERT
Sim, é aqui que o privilégio vem à mente.

PAUL MULVIHILL
Então, como você disse, você pode começar a ver onde esse privilégio de permissão específico não estava sendo usado. Bem, na verdade, 80 % da equipe têm feito isso, mas não faz parte de sua função oficial. Será que precisamos acrescentar isso para que possamos garantir que toda a equipe possa fazer isso porque precisa, em vez de 8 em cada 10 dizerem individualmente: "Sim, posso ter acesso ao sistema B, por favor, porque preciso dele para fazer X"?.

INGO SCHUBERT
Gerenciar por exceção, essencialmente, sim. Limpá-lo, sim.

PAUL MULVIHILL
Vamos pensar, bem, na verdade, 80 % deles estão usando. Vamos torná-lo oficialmente parte da função para que possamos aderir a essas auditorias e à conformidade, e isso significa que, certo, sim, essa equipe precisa disso. Faz parte de sua função. Se outra pessoa entrar ou sair, desativamos esse acesso porque faz parte da função que ela desempenha, ou o concedemos à nova pessoa que também está desempenhando essa função, apenas para manter tudo alinhado e a visibilidade de que é isso que essas pessoas podem fazer.

INGO SCHUBERT
Então, o que você diria a um CIO, um CIO do setor de saúde, por onde ele deveria começar? Porque, sabe, há tantas coisas que eles poderiam começar, mas como uma pequena lista de prioridades, talvez, o que você diria a eles?

JON NICHOLAS
Acho que eu os incentivaria, e eles já estão analisando isso, mas as verdadeiras razões para isso é ter um foco real na resistência ao phishing. Acho que é por aí que eu começaria, porque muitos serviços de saúde dependem do e-mail como seu principal método de comunicação. E sabemos que esse é um vetor de ataque realmente vulnerável para a pesca. E não apenas isso, mas aqueles que estão consumindo esses sistemas estão trabalhando em ambientes de alta pressão. Sabe como é, eles estão se conectando, precisam fazer algo rápido, os e-mails chegam, eles conseguiram chegar no momento certo, sim, passam por tudo em pânico. Não em pânico, mas em um fluxo normal e, inadvertidamente, liberam suas credenciais e dados para esse site de phishing. Portanto, levando em conta a autenticação de resistência a phishing, vamos apenas dizer que, desde o início, é principalmente porque se trata de um setor de comunicações por e-mail muito focado, que é certamente onde eu analisaria.
 
PAUL MULVIHILL
Eu provavelmente concordaria que você começasse com essa parte de resistência a phishing. A próxima coisa seria a visibilidade do que a sua força de trabalho pode fazer, então, talvez um pouco atrás, mas paralelamente, a questão de proteger a porta da frente, certificar-se de que as abordagens de resistência a phishing estejam em ação, mas, em seguida, ter algum tipo de ferramenta de visibilidade de governança em execução para dizer: "ok, quem existe, quais contas existem, o que elas podem fazer", não fazer alterações, mas literalmente apenas coletar todas essas informações para começar a ver realmente qual é a situação que temos com contas e permissões. O que é usado, o que não é, quem pode fazer o quê, quem não pode fazer o quê. Porque, depois de obter os dados, você pode começar a dizer: "Certo, essas são as alterações que posso fazer e que não têm nenhum efeito no início, porque ninguém as está usando". Mas, da mesma forma, que mudanças preciso fazer para capacitar uma equipe a fazer seu trabalho com mais eficiência no futuro.

INGO SCHUBERT
Bem, obrigado, pessoal. Foi um insight muito bom sobre segurança de identidade em sistemas de saúde. Se você gosta desse tipo de discussão, não deixe de se inscrever para ser notificado quando lançarmos um novo episódio. Este foi o RSA Identity Unmasked. Até o próximo mês.

INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked. Hoje, falaremos sobre um assunto que muitas vezes é negligenciado: a segurança do help desk. Hoje, estou acompanhado por John e Paul, e falaremos sobre casos reais, os riscos e os controles que ajudam a mitigar esses riscos.

Por que o help desk está se tornando um alvo tão grande? Comece com esta.

JON NICHOLAS: Sim, fico feliz em participar. Acho que quando você vê a função de um help desk, a primeira coisa que eles querem é ajudar as pessoas. Portanto, qualquer pessoa que ligar para o help desk aproveitará a boa natureza do administrador do help desk para dizer: "Ei, você pode me ajudar com alguma coisa? Portanto, tudo bem quando você é funcionário de uma empresa, eu realmente preciso de ajuda. Mas quando você é um ator ameaçador ligando para a empresa, eles podem rezar e dizer, certo, essa pessoa está disposta a me ajudar. E isso é realmente exagerado se houver um processo deficiente dentro da organização, porque o administrador do Help Desk não está mais limitado pelo processo para dizer: "Só posso fazer X, Y, Z." Ele pode ir além desses limites e dizer: "Vou tentar ajudá-lo a fazer ABC também". Esse é um risco real para o help desk, que pode ser explorado quando não há um processo sólido.

PAUL MULVIHILL: Além disso, em alguns help desks, os KPIs são: "Tenho que fechar, alguém liga, tenho que fechar o tíquete, tenho que resolver o problema". E essas são todas as coisas que, se você não estiver disposto a fazer, eu vou usar. Se você quiser fechar um tíquete, eu telefonei, você criou um, farei o que puder para que você me forneça as informações que eu quero e supere os processos que podem ou não estar em vigor.

INGO SHUBERT: Sim, acho que se você já trabalhou no help desk - eu trabalhei brevemente -, quero dizer, as estatísticas deles, quantos tíquetes estão abertos, o tempo médio de fechamento de um tíquete e tudo isso e, às vezes, está em um monitor grande, então, acho que isso cria um ambiente de alto estresse que é perfeito para ataques de engenharia social. Certo, sim, sim. Isso realmente mudou recentemente, por exemplo, o que mudou para que essa seja agora uma rota de ataque privilegiada?

PAUL MULVIHILL: Provavelmente, já é um ataque a uma rota há algum tempo, mas, obviamente, o assunto tem aparecido muito mais nas notícias ultimamente. Tivemos a cooperativa de Mark Spencer, a JLR, a Jaguar e a Land Rover nos últimos 12 meses. Todas elas foram atingidas, em parte, porque os help desks foram visados. Alguém conseguiu convencer uma pessoa a lhe fornecer as credenciais de uma conta, entrou e depois não conseguiu fazer nada de bom, mas basicamente.

JON NICHOLAS: Sim, e eu me pergunto qual é o papel da TI terceirizada nesse caso, porque não são mais apenas os funcionários da organização A que dependem de terceiros, e sempre falamos sobre terceiros para riscos anteriores no setor. Talvez haja um tipo limitado de conhecimento nesse aspecto também.

INGO SHUBERT: Certo. Sim. Isso e, claro, se eles não conhecem a cultura da empresa, sim, eles estão lidando com isso.

PAUL MULVIHILL: Bem, se você tem, como disse, um help desk terceirizado, você pode conhecer o procedimento, mas não conhece as pessoas. Certo. Então, o que você pode colocar em prática para dizer: "Tudo bem, estou ligando para você? Nunca nos encontramos antes. Nunca estivemos em um escritório antes.

INGO SHUBERT: Como isso poderia acontecer, por exemplo, em um ataque real? Quero dizer, qual é um ataque típico nesse caso? O que o invasor tenta alcançar? E como ele faz isso?

PAUL MULVIHILL: Pode ser, eu acho, desde tentar redefinir uma conta até obter ajuda para entrar em uma rede VPN. Quer dizer, vivemos em um mundo em que há muita mídia social em torno do que as pessoas fazem. Tenho amigos que basicamente publicam sua vida nas redes sociais por vários motivos. Alguns fazem sentido, outros não. Portanto, se você quisesse saber mais sobre alguém, provavelmente poderia começar a rastrear fontes e reunir muitas informações. Então, você liga para um help desk e pode ter descoberto onde alguém nasceu ou o nome de um animal de estimação, tudo isso, aquilo e aquilo outro, de modo que você possa dizer, certo, bem, preciso redefinir a senha. Quais são as etapas hoje para saber, quais são as etapas hoje para você saber quem eu sou, quem eu digo? Provavelmente, perguntas de segurança.

INGO SCHUBERT: Certo. Então, é basicamente uma combinação de algum conhecimento prévio que o invasor tem, seja de redes sociais. Eu sei que poderia ser um ataque diferente, talvez, ou dados que eles compraram de um corretor de dados, ilegal ou não. E, então, combinado com esse ambiente de alta pressão do qual falamos no início, parece ser um alvo muito bom e suculento para os invasores, certo?

JON NICHOLAS: Sim, além disso, também falamos muito sobre pesquisar a pessoa que se deseja imitar, mas acho que, com as ferramentas atuais disponíveis para todos nós, podemos dizer: "O que a empresa X usa em sua infraestrutura de TI? Como é a pilha de tecnologia deles? Assim, quando estiver conversando com o help desk, você poderá ser mais confiável. Não se trata de posso ter acesso à VPN. É como, oh, a VPN da Palo Alto não está funcionando para mim. Você pode me ajudar com isso? Então, instantaneamente, eles estão pensando, isso é mais familiar.

INGO SHUBERT: Eu ia dizer que, nesse caso, parece que você, como atacante, parece mais familiar, o que significa que você é um de nós, sim, então posso confiar mais em você com um help desk terceirizado, sim, você é quase um deles porque, no final, você não faz parte da empresa.

PAUL MULVIHILL: Assisti a um vídeo sobre uma das convenções, não faz muito tempo, e havia uma pessoa que era paga para hackear empresas por meio do help desk. No vídeo, ele obtinha acesso aos sistemas de help desk em cerca de 30 segundos, porque basicamente ligava e conseguia falsificar o número de telefone para parecer que era da empresa, de modo que as pessoas do help desk pensavam instantaneamente: "Ah, eles são internos". E então eles os convenceram, fazendo perguntas sobre - fingindo ser o usuário ou tendo informações sobre os sistemas VPN, o que eram, para que eles os ajudassem a acessar um site, o que, na verdade, lhes deu acesso backdoor ao computador em que a pessoa estava.

INGO SCHUBERT: Então, isso é basicamente confiar em evidências para autenticação. É mais como, você sabe, uma sensação agradável, calorosa e confusa que o invasor gera. Isso é, quero dizer, o que deveria ser feito em vez disso? Quero dizer, o que eles poderiam fazer de diferente para ajudar nisso? Quero dizer, não parece ser um problema novo, certo? Esses help desks existem há décadas, certo?

PAUL MULVIHILL: Bem, sim, quero dizer, acho que chegamos a um ponto em que, quando se trata de segurança de TI, somos a parte mais fraca de toda a equação. Se você estiver confiando em algo que sabemos, provavelmente poderá descobrir. Você precisa chegar ao ponto de fazer algo em que a autenticação de alguém seja feita com algo que essa pessoa tenha, que não possa ser obtido de alguma outra fonte ou que não possa ser aprendido? Então, é como se você estivesse fazendo algum tipo de MFA, algo nesse sentido, dizendo, certo, tudo bem, você tem um sistema, está pedindo ajuda, prove. Mas não fazendo uma pergunta a você, porque isso pode acontecer.

INGO SCHUBERT: Bem, eu ia dizer que a mais popular são aquelas perguntas de segurança como, sim, o nome de solteira da avó e tudo isso. Quantas delas são sempre as mesmas?

PAUL MULVIHILL: Exatamente. Temos o mesmo conjunto de 10 perguntas, escolha três delas. É como se, bem, sabe de uma coisa? Provavelmente posso encontrar essa lista e descobrir qual é a resposta para todo mundo.

INGO SCHUBERT: Certo. Então, voltando ao tema abrangente, em geral, na segurança de identidade, você precisa de provas e provas fortes. Acho que você mencionou a MFA. É aqui que entra a MFA.

PAUL MULVIHILL: Sim. Quero dizer, se você estiver em uma empresa e tiver a MFA implementada, use-a a seu favor. Se o John tiver configurado a MFA e ele estiver ligando para o help desk, use isso para provar que você é quem diz ser. Obviamente, nem todos os MFAs são criados da mesma forma, mas é melhor do que não confiar em nada. Eu pesquiso sobre o John e descubro onde ele nasceu ou onde ele é solteiro, solteira da mãe, isso, aquilo e aquilo outro, e respondo à pergunta. Se fosse uma etapa em que você tem um curso de mestrado, prove.

INGO SCHUBERT: Então, mas como isso funcionaria agora? Então, com o RSA ID Plus nesse caso, porque, quero dizer, o que o help desk precisaria fazer? O que o usuário final precisaria fazer para isso? Porque, por exemplo, se você faz MFA, é como se fosse uma coisa. Mas, por exemplo, como isso funciona passo a passo. Como, o que um usuário precisaria fazer?

PAUL MULVIHILL: Com o tipo de coisa ID Plus, você tem um pouco de dois lados, a chamada acontece entre duas pessoas. A pessoa do help desk encontra o usuário no sistema e aciona uma sessão de verificação. O usuário final que está ligando conhece o URL, ou foi ensinado a conhecer o URL para o qual precisa ir e, então, no ponto de extremidade, é um, ok, faça um MFA. A empresa decidirá se é FIDA, se é empurrado para aprovação, biometria, qualquer que seja o método aceitável escolhido. E, quando ela conseguir fazer isso, receberá um código de verificação. Devolvam-no à pessoa do help desk. Mas esse é apenas um número de verificação de identidade. Não é um número de autenticação. Eles não podem verificar nada com ele.

INGO SCHUBERT: Certo. Assim, eles não precisam revelar sua OTP atual ou algo do gênero.

PAUL MULVIHILL: Eles fazem o OTP, se estiverem fazendo OTP. Eles fazem a aprovação por push, a biometria do Fido. Fazem tudo isso sem compartilhar nenhuma informação nesse momento. Obtêm um resultado. Entregar o resultado à pessoa do help desk, o que, mais uma vez, é apenas para verificação. Não se trata de nenhum tipo de autenticação. E então o
A pessoa do help desk diz, certo, me dê este número, um, dois, três, quatro, cinco, insira-o, o sistema diz, sim, eu estava esperando que ele fosse quem diz ser.

INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked, o vodcast em que analisamos as forças que estão moldando o futuro da segurança de identidade. Sou seu anfitrião, Ingo Schubert, e hoje vamos nos aprofundar no tópico que está gerando muito calor em todo o setor, a computação quântica. Hoje, tenho a companhia de David Lello, da Burning Tree. Vamos direto ao assunto. Hoje, a computação quântica é um exagero, uma ameaça, uma oportunidade ou todos os três. Na verdade, estamos revisitando um debate que começou em Bletchley Park, em setembro do ano passado, com David Lilo, da Burning Tree, e eu, Ingo Schubert. Então, vamos direto ao assunto. David, bem-vindo a este episódio.

DAVID LELLO: Obrigado

INGO SCHUBERT: Acho que, para beneficiar o público, o senhor poderia descrever em algumas palavras o que é computação quântica, para que estejamos em um nível de especialista depois que o senhor terminar?

DAVID LELLO: Bem, vou começar com a maneira básica de ver o computador quântico, porque acho que se começarmos a entrar em física teórica, talvez percamos algumas pessoas.

INGO SCHUBERT: Sim

DAVID LELLO: Então, com os computadores quânticos, os computadores quânticos funcionam de maneira diferente dos computadores tradicionais. Com um computador quântico, ele faz isso de forma diferente. O que ele está usando é a mecânica quântica e, portanto, em um mundo multidimensional de mecânica quântica, ele olha para os dados e vê os dados. Ele não lê os dados da mesma forma e, como resultado, pode levantar hipóteses e analisar vários construtos ao mesmo tempo. É como se, ao ler um livro, um computador tradicional o lesse do início ao fim; com um computador quântico, ele lê o livro e vê os dados. Assim, por causa disso, o computador quântico é capaz de processar informações muito mais rapidamente. E, ao resolver problemas, é como se resolvesse todos os problemas ao mesmo tempo, em vez de olhar para um problema e tentar resolvê-lo em uma série.

INGO SCHUBERT: Sim, então os algoritmos são bem diferentes, é claro. Sim, acho que é provavelmente por isso que muitos, e eu também me incluo nessa categoria, têm dificuldade, é claro, em saber como programar essa coisa. Acho que, por ter uma formação tradicional em TI, o que me ajuda às vezes a entender, por exemplo, que isso é realmente diferente, é que, em um computador tradicional, cada bit, sim. Se você tem N bits, pode armazenar N quantidades de dados. É zero, um, sim? Com o quantum, é dois elevado à potência de N, sim, o que é como, imediatamente, como, se o seu antigo instante entrar em ação, é como, sim, isso é muito mais, sim, na mesma quantidade de qubits nesse caso, certo? Portanto, o armazenamento e o processamento estão em um nível diferente, certo? Então, acho que vamos deixar isso para lá porque, caso contrário, ficaremos aqui por dias, certo? Apenas explicando o básico.

Portanto, o próximo tópico que gostaria de explorar é qual é o estado atual da computação quântica? Onde estamos agora? Porque acho que provavelmente, e se as pessoas que estão assistindo a isso tiverem nos visto em Bletchley Park, temos algumas opiniões diferentes sobre onde estamos e onde estaremos. Então, vamos começar com você. Qual é o estado atual da computação quântica?

DAVID LELLO: Acho que a computação quântica ainda está em um estágio inicial. Portanto, há vários computadores quânticos por aí, e você pode realmente contratar tempo em computadores quânticos para que possa analisar os dados. Mas acho que, da forma como os computadores quânticos foram desenvolvidos, há uma série de problemas. Alguns computadores quânticos estão exigindo muito controle em termos de coisas como temperatura. Assim, um computador quântico opera no zero absoluto, ou seja, 270 graus Celsius negativos, o que é muito frio. Para isso, são necessárias grandes instalações, grandes equipamentos e muita energia. Caso contrário, você perde a coesão e a estabilidade da plataforma.

Os primeiros computadores quânticos estavam queimando o tempo todo por causa desse problema. Portanto, esse é um problema que precisa ser resolvido e abordado. O outro problema é que, como o computador quântico analisa os dados ao mesmo tempo, ele cria muito ruído. Se você tivesse que pegar algo como a Bíblia e lê-la instantaneamente, em vez de percorrê-la do início ao fim, isso criaria uma narrativa em sua mente que seria incompreensível. E tentar digerir, entender e destilar a mensagem se tornaria muito difícil.

Portanto, o ruído no sistema criou um grande número de problemas. Temos visto um bom sucesso vindo de Oxford, onde eles reduziram significativamente a taxa de erro e o ruído dentro do sistema. Mas provavelmente o problema mais importante no momento é a quantidade de cubos que podem ser emaranhados de uma só vez, porque você começa a perder a coesão desses cubos quando ultrapassa cerca de 100 cubos. Portanto, a quantidade de qubits que podem ser emaranhados de uma só vez para processar as informações é limitada. Isso significa que o poder de processamento e a capacidade da máquina são limitados.

Portanto, ainda não é o que chamaríamos de computação quântica criptograficamente relevante, o que é um grande problema, mas está em um estágio em que foi comprovado. Ela funciona. Ela faz o que os cientistas dizem que faz. Trata-se apenas de levá-la ao próximo nível e investir mais. A cada poucos meses, novos avanços acontecem ou estão sendo fortemente investidos, e estamos começando a ver progresso.

INGO SCHUBERT: Sim, e isso é verdade. E acho que se compararmos os computadores quânticos, se olharmos apenas as fotos deles, certo? Há cinco anos e hoje, eu ainda os chamaria parcialmente de experimento físico, mas há cinco anos era muito mais um experimento físico, certo? Se você olhar apenas para a configuração física dessas coisas, certo?

No entanto, embora seja verdade que, você sabe, eles se tornaram tipo, sim, você joga um problema com eles e eles podem resolvê-lo muito mais rápido do que os computadores tradicionais. E parte disso é o que você disse ser a coesão. Sim, a coesão básica é, você sabe, se você conseguir manter o sistema estável por um determinado período de tempo. E isso geralmente é medido, no máximo, em segundos, sim, ou em milissegundos, dependendo do chip em tudo isso. E isso está muito longe de ser útil em muitos casos. Agora, há alguns casos de uso em que isso faz sentido. Pense nisso como um coprocessador quântico. Mas o problema que eu tenho com isso é que, em muitos dos casos de uso, é questionável se você poderia resolver o problema também com algumas GPUs da Nvidia, certo?

Portanto, uma das coisas que vejo que ainda estão sendo feitas constantemente é que há muito entusiasmo nesse espaço da computação quântica. Acho que ele se sobrepõe um pouco ao hype da IA também. Você também pode argumentar que, se isso é um exagero, é real. Mas a questão é que há muita propaganda e muito dinheiro circulando por aí. Acho que parte desse dinheiro agora está procurando uma estratégia de saída. E a computação quântica parece ser atraente, certo? Portanto, eles estão injetando muita coisa lá dentro e há empresas que, fundamentalmente, estão supervalorizadas e também superestimadas em termos do que prometem e do que fazem, e isso, na verdade, abrange todo o espectro, certo? No Bletchley Park, eu tinha o chip willow do Google como exemplo, no qual o Google tinha um comunicado de imprensa sobre esse novo chip, no qual eles tinham uma ótima correção de erros e tudo isso, e a alegação que foi captada pela imprensa popular foi que esse chip pode fazer em cinco minutos o que um computador tradicional pode fazer em 10 anos, o que é extraordinário. de 35 anos, o que é extraordinário, porque o universo tem apenas 10 à potência de 25 anos de idade, certo? e se você ler o artigo, verá que ele não é capaz de fazer isso, certo? era como se essa coisa pudesse funcionar por cinco minutos e como se fosse milhões, milhões de vezes, eles não são capazes de fazer isso, então seria assim. E se você observar outros comunicados à imprensa de diferentes empresas, grandes e pequenas, há uma certa tendência de exagerar o que elas alcançam.

E acho que, infelizmente, isso abafa alguns dos avanços reais que a computação quântica realmente fez nos últimos anos, certo? E acho que, e é aqui que chegamos, isso faz com que a ameaça da computação quântica pareça muito mais real, em termos de que ela está chegando, do que realmente é. Mas antes de entrarmos no assunto de por que o mundo acabará, se a computação quântica aparecer de repente, quais seriam os benefícios de um computador quântico que você tem em mente? Então, o que ele poderia fazer melhor do que qualquer outra coisa?

DAVID LELLO: Vou responder a isso reagindo também ao que você disse sobre o computador quântico em termos de sua situação atual. E, embora concorde que há problemas em termos de computador quântico, acho que estamos muito mais próximos de realmente alcançar a estabilidade em um computador quântico do que o que está sendo sugerido. Se eu olhar para trás, acho que uma das melhores maneiras de realmente olhar para o futuro é olhar para a história. Quando eu era jovem e trabalhava em um banco, havia um mainframe, e era um mainframe IBM da velha guarda. O mainframe ocupava uma sala. Era uma sala grande. Não era uma sala pequena. Era uma sala bem grande. E ele enchia a sala. Havia válvulas nesse mainframe. Ele tinha três tanques de resfriamento de água. Havia piscinas subterrâneas no porão desse banco. Essa coisa era enorme. E apenas alguns anos antes disso, eles haviam substituído o sistema de cartões perfurados desse mainframe.

Quando retiraram o antigo mainframe, que precisou de empilhadeiras e maquinário muito pesado para ser retirado, tiveram que cortar algumas portas porque não conseguiam encaixar fisicamente o mainframe novamente. E eles o substituíram por um rack e um computador mainframe que era exponencialmente maior do que o que existia antes. Vimos uma aceleração maciça nos avanços dos computadores ao longo dos anos. E se voltarmos apenas 30 anos, sabe, se voltarmos 40 anos, é simplesmente enorme a quantidade de mudanças que estamos vendo acontecer.

INGO SCHUBERT: Sim.

DAVID LELLO: E o que vimos com os computadores quânticos agora, sim, há indicadores iniciais e a ciência, quase parece um pouco com aquele velho mainframe no porão com os três tanques, porque você precisa dos sistemas de resfriamento, precisa do equipamento grande, precisa de todo o tipo de coisa que o acompanha. Há uma enorme quantidade de dinheiro investido nisso. Há muito investimento sendo feito. E esses problemas serão resolvidos. E eles podem ser resolvidos mais rapidamente do que imaginamos. E os avanços que temos visto mês a mês no momento sugerem que estamos cada vez mais próximos da coesão. Portanto, acho que pode estar um pouco mais perto.

E, se isso acontecer, acho que será realmente muito empolgante, pois o que o computador quântico pode fazer é processar dados muito mais rapidamente, não tão rapidamente quanto algumas pessoas afirmam, mas, como ele pode processar esses dados muito mais rapidamente, isso significa que ele poderá analisar e resolver problemas que não podiam ser resolvidos antes.

Então, você sabe que na física teórica existe o conceito do gato de Schrodinger, e o gato está vivo ou morto? Ele está se deteriorando? Ele está, o que é? Qual é o estado do gato? Bem, o computador quântico seria capaz de realmente olhar e ver o gato em todas as possibilidades e, portanto, seria capaz de resolver os principais problemas que não conseguimos resolver.

INGO SCHUBERT: Sim, e acho que, em termos de medicina, por exemplo, dobramento de proteínas, etc., os computadores quânticos teriam vantagem sobre os computadores tradicionais, com certeza, certo? E há outras coisas em que, simplesmente, tudo o que tem uma quantidade enorme de dados que precisam ser processados, como a previsão do tempo, seria uma coisa, como qualquer coisa, dados geológicos, há muitos casos de uso que se beneficiariam da computação.

Agora, voltando à questão de que isso é mais cedo, por mais que você pense que não é assim, porque não é uma linha reta onde ele diz que isso aconteceu no passado com os transistores e que acontecerá novamente, então pode ser que não seja, é como na loteria, só porque você ganhou da última vez não significa que não ganhará da próxima vez, começa do zero todas as vezes, especialmente com a coesão, Se você falar sobre, por exemplo, algumas centenas de qubits, talvez alguns milhares, para ser um computador quântico universal que, por exemplo, possa executar o Algoritmo de Shor, o que seria uma ameaça à criptografia. Você está falando de algumas centenas de milhares de qubits, certo? E, no caminho para isso, talvez batamos em uma parede em algum lugar, certo? Não há garantia de que resolveremos esses problemas. Talvez, e, na verdade, sim, claro, pode haver, mas não há garantia. E, ao mesmo tempo, um computador quântico precisa sobreviver comercialmente em um ambiente em que temos visto um aumento maciço no poder de computação em todo o mundo, essencialmente graças às GPUs, certo? Graças à IA. Bem, antes era a mania do Bitcoin, agora é a IA. Portanto, sem avanços, como avanços fundamentais no design de chips. Quero dizer, sim, eles ficam menores com isso. Aumentamos enormemente o poder de computação, tanto que, basicamente, o fator limitante agora é a energia, certo? Portanto, a energia elétrica.

E nesse ambiente, um computador quântico precisa sobreviver. Agora, você pode argumentar que, especialmente para aqueles que quebram chaves, alguns governos farão isso, tudo bem. Sim, então está tudo bem. Eles têm dinheiro suficiente. Eles realmente não se importam com isso. Bem, talvez eles devessem se importar. São nossos impostos, mas vamos supor que eles não se importem.

Há casos práticos de uso da computação quântica no caminho para um computador quântico universal totalmente funcional. Acho que isso é indiscutível. Não estou dizendo que não seja o caso. E há bons casos de uso para isso. Como eu disse, como, por exemplo, o dobramento de proteínas, na pesquisa farmacêutica, certo?

Mas vamos falar sobre as ameaças, certo? E não estou falando de consumo de energia, porque temos isso hoje com as unidades tradicionais, certo? Quero dizer, ameaças em particular à segurança de TI, e então é segurança, certo? Porque há algumas, você sabe, eu mencionei o algoritmo de Shor, então talvez devêssemos, você sabe, explicar brevemente, você sabe, o que é isso e como isso afeta a segurança.

DAVID LELLO: Sim, então com o computador quântico, porque ele pode processar essas informações e os dados muito mais rapidamente, ele é capaz de usar o algoritmo de Shaw para fazer engenharia reversa de chaves criptográficas e, portanto, quando temos um computador quântico criptográfico relevante, ele seria capaz de quebrar essas chaves em segundos, minutos.

INGO SCHUBERT: Sim.

DAVID LELLO: E, portanto, a maioria dos dados que consumimos, usamos e acessamos estaria vulnerável a ataques.

INGO SCHUBERT: Sim. E o argumento de Schor, como mencionei antes, é que hoje não existe um computador quântico que possa executar isso porque são necessárias centenas de milhares de qubits em coesão e funcionando por algum tempo. Então, sim, são alguns segundos, mas mesmo alguns segundos são um problema hoje em dia para alguns computadores quânticos. Portanto, isso essencialmente quebraria ou invalidaria, em certo sentido, o algoritmo RSA, sim, portanto, uma chave pública privada, usando RSA, mas também usando Diffie-Hellman e usando curvas elípticas, ECC. Então, basicamente, todos os que são populares e que foram usados nas últimas duas décadas seriam essencialmente quebrados, certo? Elas seriam quebradas com um computador quântico. É claro que os computadores tradicionais ainda teriam dificuldades, como sempre têm, portanto, não há ameaça.

E, sim, se isso estiver quebrado, esses algoritmos são usados em todos os lugares, certo? Então, esses são, você sabe, seu TLS tradicional, uma comunicação de servidor da Web, de um cliente para o servidor da Web, VPNs, assinaturas de e-mail, criptografia de arquivos sendo enviados e tudo isso, você sabe, todos eles são frequentemente baseados em RSA, ECC e ou Diffie-Hellman, certo? Portanto, isso seria, na verdade, catastrófico.

DAVID LELLO: Seria, com certeza. Seria completamente catastrófico. Acho que, quanto mais eu analisar o assunto e quanto mais casos de uso eu tiver, mais sistemas falharão. É um problema global. Como a autenticação e a autenticação no sistema financeiro. Até mesmo coisas como o Bitcoin ficam comprometidas. Eles usam criptografia de curva elíptica e isso pode ser comprometido. Como consequência, o sistema financeiro é totalmente quebrado.

Então, sim, isso pode ser absolutamente catastrófico. Acho que podemos ver os principais problemas nos casos típicos de uso amplo, mas também em problemas menores e menos públicos, nos quais as pessoas nem sempre pensam, portanto, quando começamos a falar sobre IOT e OT e começamos a pensar em dispositivos médicos e equipamentos médicos, a capacidade de comprometer isso. Pegue uma pessoa que esteja usando uma bomba de insulina.

Se eu conseguir comprometer a criptografia dessa bomba de insulina, posso matar alguém.

INGO SCHUBERT: Sim.

DAVID LELLO: De repente, a criminalidade por trás dessas coisas pode se tornar exponencialmente mais significativa. E começamos a ver coisas como Minority Report e casos de uso do tipo Terminator acontecendo.

INGO SCHUBERT: Agora você está falando. Isso ficou interessante agora, sim.

Mas, voltando à disponibilidade de computadores quânticos, isso não acontecerá da noite para o dia, porque não seria apenas de um dia para o outro. Vamos supor que alguém, sim, finalmente consiga um computador quântico com 200.000 cúbitos para executar o algoritmo de Shor, por exemplo. Normalmente, são cerca de um milhão. Há algumas pesquisas que dizem que você só precisa de cerca de 100 mil qubits. Não é como se, de repente, todo mundo tivesse um computador quântico. São apenas alguns governos e instalações de pesquisa que têm acesso à computação quântica. Não é como se todo criminoso cibernético tivesse acesso a ela.

Mas a ameaça é real. Acho que é um pouco semelhante ao problema do ano 2000. Então, já prevíamos isso há algum tempo, mas fizemos coisas para mitigá-lo e acabou sendo um pouco inútil.

DAVID LELLO: Mas só porque fizemos alguma coisa.

INGO SCHUBERT: Exatamente. Só porque fizemos alguma coisa, certo? Portanto, se não tivéssemos feito nada, isso provavelmente teria sido um grande problema, mas fizemos algo e acabou dando tudo certo, certo? E acho que provavelmente será semelhante a esse caso aqui, porque há coisas que podem ser feitas, o que nos leva ao próximo trabalho.

Sim, então podemos discordar sobre quanto tempo teremos, certo? Então, apenas para esclarecer isso, houve um relatório do MITRE, um instituto de pesquisa financiado pelo governo dos EUA, um relatório recente no início do ano e eles colocaram o algoritmo do Shor em algum lugar como o início da década de 2040, provavelmente mais para a década de 2050, então não é como se eles tivessem um incentivo para divulgá-lo corretamente, então foi um relatório sólido, mas mesmo que você diga que é muito mais cedo, é improvável que seja antes da década de 2030. Acho que é altamente improvável, a menos que aconteça algum milagre. Então, o que você pode fazer hoje para se preparar para esse apocalipse quântico?

DAVID LELLO: Acho que definitivamente será muito mais rápido do que 2050. Acho que, sabe, odeio tentar prever, porque é algo impossível. Sabe, quando alguém tenta prever o futuro, inevitavelmente fracassa porque não temos uma mente sobrenatural.

INGO SCHUBERT: Bem, vamos nos encontrar em 2055. No mesmo horário, sim, para podermos conversar sobre isso. Se eu ainda estiver lá dentro.

DAVID LELLO: Com certeza. Vamos fazer isso. No mesmo horário, no mesmo lugar. Vamos fazer isso. Tudo bem, mas se for antes, acho que vamos ver como podemos comemorar esse evento, porque acho que com qualquer avanço na tecnologia, uma descoberta acontece, e acontece em um momento. Pode acontecer na próxima semana. Pode acontecer daqui a 10 anos. Não sabemos. Mas isso vai acontecer, tenho certeza, porque a ciência existe. Ela é confiável. É real. Você sabe, um campo de girassóis é capaz de manter a coesão neste momento. A estabilidade existe à temperatura ambiente, em um campo, com todas as coisas que estão acontecendo ao seu redor. Animais correndo lá embaixo, poluição e tudo o mais. Um campo de girassóis pode ter coesão.

INGO SCHUBERT: É isso mesmo.

DAVID LELLO: Por que vários cientistas fazem isso?

INGO SHCUBERT: Sim, mas eles têm alguns milhões de anos para evoluir, certo? Esse é o meu ponto de vista. Concordo com isso, mas eles têm um pouco de vantagem, certo?

DAVID LELLO: Voltando à questão, acho que um dos problemas que temos, e abordamos um pouco no Bletchley Park, é que o que temos no momento em termos de prática e o que chamaríamos de boa prática em relação ao gerenciamento de chaves criptográficas, acho que muitas empresas falharam. Portanto, quando se trata de eventos, há alguns anos, tivemos a vulnerabilidade do SSL, e todo mundo se agitou e procurou substituir as chaves. Isso fez com que as organizações se tornassem muito mais ágeis em termos de rotação de suas chaves TLS, o que é fantástico. Isso está resolvendo uma boa parte do problema. Se você tiver agilidade em suas chaves TLS, isso significa que poderá alterá-las. Talvez seja necessário fazer alguns testes ao longo do caminho para garantir que tudo funcione.

Mas as organizações podem começar a pensar agora em sua autoridade de certificação e em como elas emitem suas chaves e como substituem suas chaves em um nível TLS. E isso é bom. O problema que encontramos quando entramos em uma organização é que 20 a 30, talvez até 40% das chaves não são gerenciadas dessa forma. Muitas vezes, muitos hardwares têm chaves incorporadas em uma infraestrutura de hardware e algumas dessas peças de hardware podem durar 20 anos, e a capacidade de alterar as chaves nesse hardware significa alterar o hardware.

Também temos muitas práticas ruins de codificação, especialmente nos dias de compilações monolíticas em que os aplicativos têm chaves incorporadas nos próprios aplicativos. E quando começamos a pensar sobre o que não aconteceu apenas.

INGO SCHUBERT: Acho que esse é o meu ponto. Essa foi uma prática ruim, independentemente de haver ou não computação quântica.

DAVID LELLO: É. Portanto, quando começamos a pensar nessa ideia do Dia Q, que no Y2K foi fácil porque tínhamos uma data. Com o Dia Q, não temos uma data.

INGO SCHUBERT: Muito bem visto.

DAVID LELLO: Mas quando isso acontecer, e pode acontecer amanhã ou daqui a 10 anos ou, se você estiver certo, daqui a muito mais tempo, teremos uma situação em que uma boa parte da organização e suas chaves não poderão ser substituídas facilmente, e entraremos em pânico. Teremos um problema enorme, pois os dados ficarão comprometidos.

Mas também, o outro problema que temos é algo que me fazem muitas perguntas, que é a ameaça ‘coletar agora, descriptografar depois’. E temos visto dados criptografados sendo roubados há anos. Quero dizer, neste país, com David Cameron, ele disse que todos os nossos dados foram roubados pela China, mas isso não importa. Eles são criptografados. Portanto, voltando alguns anos atrás, esse tipo de afirmação não deixa de ser verdade agora, considerando as tecnologias que temos com o tempo, com um computador quântico, isso se torna um problema. E sim, é claro, os dados envelhecem.

INGO SCHUBERT: Mas alguns desses dados ainda serão relevantes. Não todos, mas alguns. Então, acho que é a mesma coisa. Por exemplo, eles ficaram lá fora e, sim, se forem descriptografados daqui a cinco anos, quem se importa, certo? Ou em 10 anos, sim. Portanto, você pode argumentar que muitos dos dados de identidade para autenticação, se eles forem descriptografados em cinco ou dez anos, você não se importará muito com eles, pois já estarão desatualizados. Mas há muitos dados estratégicos em que, sim, isso pode prejudicá-lo por décadas, certo? E você nem precisa ser um estado. Você pode ser apenas uma corporação normal, uma empresa normal.

DAVID LELLO: Exatamente.

INGO SCHUBERT: E qual é o caso?

DAVID LELLO: Quero dizer, você sabe, a quantidade de organizações em que eu entro que têm sistemas legados. Na verdade, estive em uma organização há pouco tempo em que havia um aplicativo. Eles o tratavam como uma caixa preta, e o tratavam como uma caixa preta porque o código-fonte havia sido perdido. A pessoa que o escreveu já se foi há muito tempo, não toque nele. Se ele cair, a resposta é ligá-lo ou desligá-lo, ligá-lo novamente e rezar, porque é a única coisa que você pode fazer. Não há nada que você possa fazer. E esse sistema controlava todo o acesso em suas lojas, todo o acesso em suas lojas. E se for comprometido, se for derrubado, você derruba a organização.

INGO SCHUBERT: Ponto único de falha.

DAVID LELLO: Ponto único de falha. A quantidade de organizações que estamos visitando onde há esse ponto único de falha é extraordinária. As organizações realmente precisam começar a pensar em como modernizar sua infraestrutura de gerenciamento de identidade e acesso. Quando começamos a pensar em gerenciamento de identidade e acesso, o gerenciamento de identidade e acesso é o caminho para tudo. Vimos os últimos ataques de ransomware que estão ocorrendo na Alemanha, bem como aqui no Reino Unido, na Itália e em outros lugares. Esses ataques de ransomware têm como alvo os sistemas de controle de acesso. Eles têm como alvo a autenticação porque é um alvo fácil e suave, seja o Active Directory ou um sistema como o que descrevi, a capacidade de realmente comprometer o acesso derruba a organização, interrompe a comunicação e a capacidade de acesso. A modernização do gerenciamento de acesso à identidade nesse contexto será uma das grandes prioridades.

INGO SCHUBERT: Sim, sim. É difícil argumentar contra isso porque, você sabe, isso faz sentido, não importa como você olhe para isso, certo? Acho que quando voltamos ao gerenciamento de chaves de criptografia básica, muitos clientes não sabem o que têm, certo? Eles não têm uma boa visão de onde criptografam, onde estão as chaves, onde assinam digitalmente. Eles não têm essa visão geral. Acho que isso é parte do problema, certo? Porque não se pode consertar o que não se sabe que existe. Muitos dos clientes tiveram dificuldades com a simples higiene cibernética básica. Infelizmente, é isso que vejo constantemente, certo? Hoje de manhã, em uma ligação sobre um cliente que está usando um software da RSA com 20 anos de idade, com 20 anos de idade, certo?

DAVID LELLO: Uau.

INGO SCHUBERT: Então, na verdade, eles ligaram para o nosso suporte sobre algo e o suporte não conseguiu responder, e é como se, sim, claro, você sabe, provavelmente o pessoal de suporte que estava atendendo à chamada telefônica provavelmente estava no jardim de infância quando esse software foi lançado, certo? Portanto, o que quero dizer é que, enquanto não fizermos essa higiene e visibilidade cibernéticas básicas, em primeiro lugar, não será possível atingir esse estado de prontidão quântica, ou seja, estar pronto para o dia Q. Isso é simplesmente impossível. Isso é simplesmente impossível.

Além disso, minha opinião é que você não pode se preocupar com a computação quântica até que conserte essas coisas, certo? Porque se você não sabe qual software está executando, se não o mantém atualizado, é claro que você depende que os fornecedores consertem isso, como se você estivesse implementando criptografia pós-quântica, por exemplo, certo?

Mas se o software for lançado com a nova versão, com todas essas coisas legais de computação quântica, e você não o instalar, isso fará com que ele não exista, certo? E, além disso, mesmo que você faça isso, se suas políticas e procedimentos relacionados, por exemplo, ao gerenciamento de dados, não estiverem corretos, do que estamos falando aqui? Então, se o invasor puder simplesmente telefonar para o seu help desk e pedir para entrar, ele não precisará de um computador quântico para fazer isso, certo? Ele não precisa disso hoje. Não precisou ontem. Não precisará amanhã. Eles simplesmente telefonam para o seu help desk se suas políticas não estiverem corretas e obtêm acesso.

Portanto, há muitas coisas que podem dar errado, deram errado e darão errado, que não têm nada a ver com computadores quânticos. E meu medo é que as pessoas estejam olhando para essa coisa quântica, esse Q-Day, e se distraiam com esse brinquedo bonito e brilhante, certo? Enquanto elas têm muito dever de casa para fazer, o que provavelmente não tem sido feito há décadas, certo? E, é claro, você pode argumentar que precisa fazer isso, ter visibilidade, aplicar patches, corrigir seus procedimentos. Se for necessária essa ameaça da computação quântica para que um cliente faça isso, que assim seja, certo? Eu poderia ficar feliz.

Mas uma parte de mim pensa: "Não, porque o que acontecerá se encontrarmos um obstáculo com a computação quântica? E, por alguns anos, não houver nenhuma vantagem ou avanço real, e então você pensa: "ah, isso é tipo, você sabe, década de 2060, como se eu já tivesse saído do mercado de trabalho há muito tempo, então não preciso me preocupar com isso", e essa é a abordagem errada, porque você deve resolver isso, não importa o que aconteça.

Vou lhe dar um pouco de conhecimento, sim, alguns nomes, sim, o filósofo alemão Emmanuel Kant, sim, agora não corte esse editor, sim, isso é k, isso é k. Isso é K -A -N -T, certo? Portanto, eu o chamo de Emmanuel de agora em diante, sim.

Filósofo alemão, século 18, e muitas coisas inteligentes que ele disse. Mas uma das coisas que acredito ser uma das mais inteligentes é que você faz a coisa certa porque é a coisa certa a fazer, certo? Não porque isso lhe rende alguns pontos com alguma divindade, algo assim. Você faz isso porque é a coisa certa a fazer.

E ter uma boa visão geral de onde você criptografa, como você criptografa sobre políticas, procedimentos, patches e tudo isso é a coisa certa a fazer, independentemente de a computação quântica estar a 10 anos, 20 ou 30 anos de distância. Não importa. Você precisa fazer isso. Agora, você deveria estar fazendo isso nos últimos 20 anos. Esse é essencialmente um ponto. Acho que é nesse ponto que concordamos. Sim, com certeza. Acho que a motivação por trás disso é o ponto em que discordamos, pois temos opiniões diferentes sobre onde a computação quântica está e onde ela estará. Mas, com certeza, se houver um cliente que diga que preciso estar pronto para a computação quântica, o esforço não será desperdiçado.

DAVID LELLO: Não, absolutamente não. Acho que também, Ingo, uma das coisas que é uma realidade que sempre me desafia, porque passamos muito tempo com diretorias de grandes empresas conversando com diretores financeiros e afins, e uma empresa existe com o objetivo de fornecer um produto ou serviço e, se estiver no setor privado, terá lucro, a não ser, é claro, que seja uma instituição de caridade, mas não vamos nos preocupar com isso. Assim, investir em algo porque é a coisa certa a fazer torna-se mais uma discussão filosófica. Não acho que essa seja necessariamente a abordagem correta.

INGO SCHUBERT: Bem, sim, com certeza.

DAVID LELLO: Embora eu concorde com você, absolutamente 100%, sabe, do ponto de vista da fé, do que eu acredito, eu sempre gostaria de fazer a coisa certa. Mas a realidade é que as empresas não existem para isso. Elas não existem para fazer a coisa certa. Às vezes, elas são um pouco imorais.

INGOSCHUBERT: Sério? É a primeira vez que ouço isso. Deixe-me anotar isso.

DAVID LELLO: Então, acho que o que você faz é olhar para isso de uma forma diferente e acho que uma das realidades que vemos e que ressoa e as pessoas entendem é medir, reconhecer e perceber qual é a minha exposição ao risco associada a um determinado ambiente e precisamos vinculá-la a algo que seja tangível, precisamos sempre voltar a pensar em como posso construir um caso de mudança neste mundo, sim, e como é a mudança? Um dos desafios que enfrentamos, porque quando começamos a procurar ajudar as organizações a responder a esse problema, é que não existe uma estrutura que lide com a preparação quântica. Não há uma.

Então, nós escrevemos um. Escrevemos um padrão para dizer que aqui está uma abordagem para analisar a quântica. Pegamos vários padrões diferentes do NIST e de boas práticas, ISF e várias coisas diferentes para podermos criar um modelo e uma estrutura para que possamos começar a analisá-los. Mas o que isso faz é permitir que comecemos a analisar e dizer: "Bem, quando você pega um sistema como esse sistema de identidade que gerencia todo o acesso que é um ambiente de caixa preta, qual é a minha exposição ao risco de ter uma máquina como essa? E vou retirar completamente a quântica. Qual é o meu risco? Eu realmente entendo meu risco? Se isso cair, o que acontecerá com meu ambiente? E se eu puder avaliar esse risco, tenho que fazer algo a respeito.

INGO SCHUBERT: Ah, e isso é, quero dizer, no final das contas, é o gerenciamento de risco adequado, que vejo que está faltando em muitas empresas ou organizações em geral, certo? E isso de fato precisa ser feito e deveria ter sido feito há anos e deveria ser feito hoje, independentemente da computação quântica ou não. Esse é o meu ponto de vista.

Bem, é claro que eles não fazem isso porque é a coisa certa a fazer, certo? Esse é um argumento financeiro difícil de ser apresentado. Concordo plenamente com você. Mas há todas as outras ameaças pelas quais eles deveriam estar fazendo isso, certo? E, mais uma vez, se você precisar vender esse conceito de analisar tudo isso e descobrir e ter um gerenciamento de risco adequado por causa da computação quântica, pode ser minha opinião, certo? Acho que esse é o caminho certo. Se essa for a alavanca de que você precisa para obter a assinatura, sim, com certeza, faça isso. Porque, no final, mesmo que a computação quântica ainda esteja a 30 anos de distância, você ainda se beneficia hoje. Porque ter essa prontidão ajuda você a estar seguro hoje também. Você não está desperdiçando dinheiro. Sim, então acho que essa é a coisa certa a se fazer. E há algumas recomendações e algumas estruturas da Europa, por exemplo, eles dizem que até 2026 - o que, para ser franco, você já deveria ter feito se quiser estar em conformidade com o DORA. Talvez você veja as mesmas coisas novamente porque não vê algumas pessoas fazendo isso. Portanto, visibilidade e gerenciamento de risco até 2026 e, em seguida, alguma preparação quântica de alguma forma até 2030 para alto risco e 2035 para baixo e médio risco, certo? Portanto, parece estar muito longe, mas, sabe, já estamos, tipo, no final de 2025, quando registramos isso, o lançamento é 2026.

Portanto, é como se isso estivesse a apenas alguns anos de distância. E se voltarmos ao início de nossa conversa, se olharmos para o problema do Y2K, sim, se você começou em 1999, provavelmente está um pouco atrasado para isso, certo? Portanto, você precisa estar preparado agora, com certeza, certo.

DAVID LELLO: Acho que uma das coisas que você mencionou, que considero um ponto fascinante em termos de psicologia humana, são as regulamentações, as regulamentações europeias e coisas como Dora. As regulamentações só entram realmente em vigor porque as empresas são negligentes em fazer a coisa certa.

INGO SCHUBERT: Sim, com certeza.

DAVID LELLO: E como não estão fazendo a coisa certa, os legisladores dizem que teremos um grande problema no país, a menos que analisemos a questão. Portanto, as leis entram em ação quando é preciso fazer algo. Portanto, o NCSC do Reino Unido criou orientações sobre quantum. E temos o DORA na Europa. E, infelizmente, por causa do Brexit...

INGO SCHUBERT: Você trouxe isso, eu não trouxe.

DAVID LELLO: Estamos apenas começando a analisar o nosso Projeto de Lei de Resiliência. Portanto, o Projeto de Lei de Resiliência foi liberado para comentários públicos. Portanto, a primeira edição foi liberada e os comentários estão sendo feitos. Em breve, teremos uma leitura no Parlamento. Esperamos estar em dia com o resto do mundo nessa questão específica.

INGO SCHUBERT: Bem, exceto os EUA. Os EUA parecem ser, você sabe, um lugar selvagem no mapa, sim. Sim, realmente é. Sim, é como se, e vejo isso conversando também com colegas americanos, sim, é como se, sim, nós realmente não tivéssemos isso, certo? Mas em todos os outros lugares do mundo, parece que a resiliência, o gerenciamento de riscos parece ser um pouco mais maduro em termos de regulamentações e perdas, sim, o que é...

DAVID LELLO: Você tem que ter isso.

INGO SCHUBERT: Você tem que ter isso, certo? E quando você as lê, e você provavelmente já leu tanto ou mais do que eu, algumas dessas coisas são óbvias, como ter um gerenciamento de risco adequado. É como se você devesse saber que, se essa coisa cair, você saberá as consequências, certo? Claro que sim, porque sua empresa está ganhando dinheiro e há algo que a impede de fazer isso. Você deve saber por que e como consertar isso. E, no entanto, eles não fazem isso até serem obrigados por lei, o que é triste em alguns sentidos, certo?

DAVID LELLO: Infelizmente, a natureza humana entra em ação. No entanto, tenho dificuldade em lidar com isso porque essas coisas não são difíceis, você sabe que analisar os riscos e o gerenciamento de riscos não é difícil.

INGO SCHUBERT: Não, mas leva tempo.

DAVID LELLO: E isso leva tempo, mas quero dizer que existem muitas tecnologias diferentes que podem ajudar a simplificar o processo. Sabe, os computadores são projetados para automatizar processos. A razão pela qual temos computadores é porque temos processos manuais que exigem exércitos de pessoas para realmente fazer algo. Com os computadores, podemos automatizar todo esse processo. E com os sistemas modernos, podemos automatizar ainda mais. Por exemplo, você pode pegar coisas como o gerenciamento de vulnerabilidades. Se você tiver um ambiente modernizado e uma varredura de vulnerabilidades implementada, terá uma visibilidade relativamente boa em termos de riscos tecnológicos.

INGO SCHUBERT: Sim. A mesma coisa para nós. Governança de identidade. No fim das contas, não se trata de ciência de foguetes. Sim, é claro. Você conectará todos os sistemas diferentes, talvez crie algumas regras e tudo isso. Mas então você tem essa visibilidade e tem a visão de você, sabe, em termos de segregação de funções, conformidade e tudo isso. E, sim, é um trabalho. Sim, é um investimento em termos de dinheiro e tempo, é claro, mas você ganha algo com isso.

DAVID LELLO: Sim.

INGO SCHUBERT: Certo. Acho que as pessoas também não percebem que o gerenciamento de risco provável também lhe dá algo em troca, porque você descobre coisas que talvez não devesse investir todo esse dinheiro nessa proteção ou está tornando essa coisa resiliente porque não tem um impacto tão grande, enquanto na outra você deveria investir mais porque, se ela cair, coisas ruins acontecerão. Acho que isso também acontece, e é claro que você não percebe isso porque, se não fizer um gerenciamento de risco adequado, não terá essa visibilidade, então como tomar essa decisão, certo? Portanto, as pessoas, basicamente, as organizações estão se prejudicando por não fazerem isso, certo?

DAVID LELLO: E a governança de identidade é muito importante em termos de capacitação e ajuda. É verdade. Sabe, quando converso com muitas organizações sobre identidade, a identidade não é uma daquelas coisas de segurança que você faz porque, sabe, é uma apólice de seguro. A identidade é um facilitador. É um verdadeiro facilitador de negócios para ajudar as organizações a serem mais eficientes e mais eficazes em termos de como as pessoas têm acesso. Mas é fundamental ter o acesso certo, na hora certa e no lugar certo, e ter os modelos de governança que realmente conduzam a isso. Portanto, quando começamos a analisar os controles de ITGC e os sistemas financeiros, e você começa a analisar como o acesso precisa ser criado em seus direitos, sua segregação de funções e os mandatos que o acompanham. Essas coisas não são novidade. Elas estão escritas na Lei das Empresas e na Regulamentação Financeira há décadas.

INGO SHUBERT: Com certeza.

DAVID LELLO: E a capacidade de controlar isso com um bom sistema de governança de identidade já existe. E com uma solução modernizada, isso se torna realmente muito fácil. Não é tão difícil quanto as pessoas pensam.

INGO SCHUBERT: Olhe para nós. Falando sobre governança de segurança de identidade e começamos com quantum. É como se, sim, mas esse é o ponto. Acho que isso é algo que também abre as portas para algumas discussões com clientes ou organizações em geral, onde, por exemplo, sim, está tudo bem. Falar sobre a ameaça quântica e, você sabe, mas no final você acaba em discussões que não são realmente sobre quântica, mas sobre outras coisas. Que, sim, você pode consertar agora, você deve consertar agora, independentemente do que aconteça no futuro.

DAVID LELLO: É o conceito básico de higiene.

INGO SCHUBERT: É o conceito básico de higiene, exatamente. Essa é uma maneira perfeita de encerrar o assunto. Então, David, obrigado. Poderíamos conversar por horas, de fato, toda vez que nos encontramos. Então, muito obrigado. Acho que a ameaça quântica pode parecer distante.

Pode ser que sim, pode ser que não. Mas esperamos que, durante essa conversa, nossos telespectadores e ouvintes tenham tido a ideia de que, independentemente de você dever fazer coisas hoje para se preparar para a quântica. Isso não faz mal algum.

O que você obtém com isso o beneficia hoje em relação às ameaças que existem hoje, certo? Você não precisa esperar 20 anos para perceber os benefícios. Na verdade, você os obtém hoje.

Isso encerra o debate de hoje sobre a computação quântica e seu impacto na segurança da identidade. O futuro quântico é ficção científica e as organizações precisam entender onde estão os riscos e as oportunidades reais. Se você quiser obter mais informações sobre a resiliência da identidade e as tecnologias que preparam as organizações para o futuro, acesse RSA.com. Se você quiser ter acesso a mais episódios do RSA Identity Unmasked, não se esqueça de se inscrever. Obrigado por nos acompanhar e até a próxima.