O vodcast sobre segurança de identidade para líderes e profissionais de segurança cibernética
A identidade é agora a linha de frente da segurança cibernética - e as organizações precisam ficar à frente das ameaças, das pressões de conformidade e dos desafios de autenticação. O RSA Identity Unmasked é um vodcast mensal apresentado por especialistas da RSA e líderes do setor, que aborda as questões reais que moldam a segurança de identidade atualmente.
Inscreva-se agora usando o link “Assine agora” para ser notificado quando novos episódios estiverem disponíveis e obter insights práticos sobre tópicos como Autenticação moderna, Governança de identidade, Confiança zero, Acesso baseado em risco, Verificação de help desk, Problemas do setor, Tendências tecnológicas, Tópicos importantes específicos do setor, e muito mais.
Episódio 1 - Computação Quântica
Junte-se a Ingo Schubert (RSA) e David Lello (Burning Tree) para continuar o debate sobre criptografia quântica, cronogramas de risco e como as organizações podem se preparar para a resiliência de identidade pós-quântica. Neste primeiro episódio estendido, temos a conversa COMPLETA. Acomode-se e pegue a pipoca! É muito bom assistir!
Transcrição do vídeo
INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked, o vodcast em que analisamos as forças que estão moldando o futuro da segurança de identidade. Sou seu anfitrião, Ingo Schubert, e hoje vamos nos aprofundar no tópico que está gerando muito calor em todo o setor, a computação quântica. Hoje, tenho a companhia de David Lello, da Burning Tree. Vamos direto ao assunto. Hoje, a computação quântica é um exagero, uma ameaça, uma oportunidade ou todos os três. Na verdade, estamos revisitando um debate que começou em Bletchley Park, em setembro do ano passado, com David Lilo, da Burning Tree, e eu, Ingo Schubert. Então, vamos direto ao assunto. David, bem-vindo a este episódio.
DAVID LELLO: Obrigado
INGO SCHUBERT: Acho que, para beneficiar o público, o senhor poderia descrever em algumas palavras o que é computação quântica, para que estejamos em um nível de especialista depois que o senhor terminar?
DAVID LELLO: Bem, vou começar com a maneira básica de ver o computador quântico, porque acho que se começarmos a entrar em física teórica, talvez percamos algumas pessoas.
INGO SCHUBERT: Sim
DAVID LELLO: Então, com os computadores quânticos, os computadores quânticos funcionam de maneira diferente dos computadores tradicionais. Com um computador quântico, ele faz isso de forma diferente. O que ele está usando é a mecânica quântica e, portanto, em um mundo multidimensional de mecânica quântica, ele olha para os dados e vê os dados. Ele não lê os dados da mesma forma e, como resultado, pode levantar hipóteses e analisar vários construtos ao mesmo tempo. É como se, ao ler um livro, um computador tradicional o lesse do início ao fim; com um computador quântico, ele lê o livro e vê os dados. Assim, por causa disso, o computador quântico é capaz de processar informações muito mais rapidamente. E, ao resolver problemas, é como se resolvesse todos os problemas ao mesmo tempo, em vez de olhar para um problema e tentar resolvê-lo em uma série.
INGO SCHUBERT: Sim, então os algoritmos são bem diferentes, é claro. Sim, acho que é provavelmente por isso que muitos, e eu também me incluo nessa categoria, têm dificuldade, é claro, em saber como programar essa coisa. Acho que, por ter uma formação tradicional em TI, o que me ajuda às vezes a entender, por exemplo, que isso é realmente diferente, é que, em um computador tradicional, cada bit, sim. Se você tem N bits, pode armazenar N quantidades de dados. É zero, um, sim? Com o quantum, é dois elevado à potência de N, sim, o que é como, imediatamente, como, se o seu antigo instante entrar em ação, é como, sim, isso é muito mais, sim, na mesma quantidade de qubits nesse caso, certo? Portanto, o armazenamento e o processamento estão em um nível diferente, certo? Então, acho que vamos deixar isso para lá porque, caso contrário, ficaremos aqui por dias, certo? Apenas explicando o básico.
Portanto, o próximo tópico que gostaria de explorar é qual é o estado atual da computação quântica? Onde estamos agora? Porque acho que provavelmente, e se as pessoas que estão assistindo a isso tiverem nos visto em Bletchley Park, temos algumas opiniões diferentes sobre onde estamos e onde estaremos. Então, vamos começar com você. Qual é o estado atual da computação quântica?
DAVID LELLO: Acho que a computação quântica ainda está em um estágio inicial. Portanto, há vários computadores quânticos por aí, e você pode realmente contratar tempo em computadores quânticos para que possa analisar os dados. Mas acho que, da forma como os computadores quânticos foram desenvolvidos, há uma série de problemas. Alguns computadores quânticos estão exigindo muito controle em termos de coisas como temperatura. Assim, um computador quântico opera no zero absoluto, ou seja, 270 graus Celsius negativos, o que é muito frio. Para isso, são necessárias grandes instalações, grandes equipamentos e muita energia. Caso contrário, você perde a coesão e a estabilidade da plataforma.
Os primeiros computadores quânticos estavam queimando o tempo todo por causa desse problema. Portanto, esse é um problema que precisa ser resolvido e abordado. O outro problema é que, como o computador quântico analisa os dados ao mesmo tempo, ele cria muito ruído. Se você tivesse que pegar algo como a Bíblia e lê-la instantaneamente, em vez de percorrê-la do início ao fim, isso criaria uma narrativa em sua mente que seria incompreensível. E tentar digerir, entender e destilar a mensagem se tornaria muito difícil.
Portanto, o ruído no sistema criou um grande número de problemas. Temos visto um bom sucesso vindo de Oxford, onde eles reduziram significativamente a taxa de erro e o ruído dentro do sistema. Mas provavelmente o problema mais importante no momento é a quantidade de cubos que podem ser emaranhados de uma só vez, porque você começa a perder a coesão desses cubos quando ultrapassa cerca de 100 cubos. Portanto, a quantidade de qubits que podem ser emaranhados de uma só vez para processar as informações é limitada. Isso significa que o poder de processamento e a capacidade da máquina são limitados.
Portanto, ainda não é o que chamaríamos de computação quântica criptograficamente relevante, o que é um grande problema, mas está em um estágio em que foi comprovado. Ela funciona. Ela faz o que os cientistas dizem que faz. Trata-se apenas de levá-la ao próximo nível e investir mais. A cada poucos meses, novos avanços acontecem ou estão sendo fortemente investidos, e estamos começando a ver progresso.
INGO SCHUBERT: Sim, e isso é verdade. E acho que se compararmos os computadores quânticos, se olharmos apenas as fotos deles, certo? Há cinco anos e hoje, eu ainda os chamaria parcialmente de experimento físico, mas há cinco anos era muito mais um experimento físico, certo? Se você olhar apenas para a configuração física dessas coisas, certo?
No entanto, embora seja verdade que, você sabe, eles se tornaram tipo, sim, você joga um problema com eles e eles podem resolvê-lo muito mais rápido do que os computadores tradicionais. E parte disso é o que você disse ser a coesão. Sim, a coesão básica é, você sabe, se você conseguir manter o sistema estável por um determinado período de tempo. E isso geralmente é medido, no máximo, em segundos, sim, ou em milissegundos, dependendo do chip em tudo isso. E isso está muito longe de ser útil em muitos casos. Agora, há alguns casos de uso em que isso faz sentido. Pense nisso como um coprocessador quântico. Mas o problema que eu tenho com isso é que, em muitos dos casos de uso, é questionável se você poderia resolver o problema também com algumas GPUs da Nvidia, certo?
Portanto, uma das coisas que vejo que ainda estão sendo feitas constantemente é que há muito entusiasmo nesse espaço da computação quântica. Acho que ele se sobrepõe um pouco ao hype da IA também. Você também pode argumentar que, se isso é um exagero, é real. Mas a questão é que há muita propaganda e muito dinheiro circulando por aí. Acho que parte desse dinheiro agora está procurando uma estratégia de saída. E a computação quântica parece ser atraente, certo? Portanto, eles estão injetando muita coisa lá dentro e há empresas que, fundamentalmente, estão supervalorizadas e também superestimadas em termos do que prometem e do que fazem, e isso, na verdade, abrange todo o espectro, certo? No Bletchley Park, eu tinha o chip willow do Google como exemplo, no qual o Google tinha um comunicado de imprensa sobre esse novo chip, no qual eles tinham uma ótima correção de erros e tudo isso, e a alegação que foi captada pela imprensa popular foi que esse chip pode fazer em cinco minutos o que um computador tradicional pode fazer em 10 anos, o que é extraordinário. de 35 anos, o que é extraordinário, porque o universo tem apenas 10 à potência de 25 anos de idade, certo? e se você ler o artigo, verá que ele não é capaz de fazer isso, certo? era como se essa coisa pudesse funcionar por cinco minutos e como se fosse milhões, milhões de vezes, eles não são capazes de fazer isso, então seria assim. E se você observar outros comunicados à imprensa de diferentes empresas, grandes e pequenas, há uma certa tendência de exagerar o que elas alcançam.
E acho que, infelizmente, isso abafa alguns dos avanços reais que a computação quântica realmente fez nos últimos anos, certo? E acho que, e é aqui que chegamos, isso faz com que a ameaça da computação quântica pareça muito mais real, em termos de que ela está chegando, do que realmente é. Mas antes de entrarmos no assunto de por que o mundo acabará, se a computação quântica aparecer de repente, quais seriam os benefícios de um computador quântico que você tem em mente? Então, o que ele poderia fazer melhor do que qualquer outra coisa?
DAVID LELLO: Vou responder a isso reagindo também ao que você disse sobre o computador quântico em termos de sua situação atual. E, embora concorde que há problemas em termos de computador quântico, acho que estamos muito mais próximos de realmente alcançar a estabilidade em um computador quântico do que o que está sendo sugerido. Se eu olhar para trás, acho que uma das melhores maneiras de realmente olhar para o futuro é olhar para a história. Quando eu era jovem e trabalhava em um banco, havia um mainframe, e era um mainframe IBM da velha guarda. O mainframe ocupava uma sala. Era uma sala grande. Não era uma sala pequena. Era uma sala bem grande. E ele enchia a sala. Havia válvulas nesse mainframe. Ele tinha três tanques de resfriamento de água. Havia piscinas subterrâneas no porão desse banco. Essa coisa era enorme. E apenas alguns anos antes disso, eles haviam substituído o sistema de cartões perfurados desse mainframe.
Quando retiraram o antigo mainframe, que precisou de empilhadeiras e maquinário muito pesado para ser retirado, tiveram que cortar algumas portas porque não conseguiam encaixar fisicamente o mainframe novamente. E eles o substituíram por um rack e um computador mainframe que era exponencialmente maior do que o que existia antes. Vimos uma aceleração maciça nos avanços dos computadores ao longo dos anos. E se voltarmos apenas 30 anos, sabe, se voltarmos 40 anos, é simplesmente enorme a quantidade de mudanças que estamos vendo acontecer.
INGO SCHUBERT: Sim.
DAVID LELLO: E o que vimos com os computadores quânticos agora, sim, há indicadores iniciais e a ciência, quase parece um pouco com aquele velho mainframe no porão com os três tanques, porque você precisa dos sistemas de resfriamento, precisa do equipamento grande, precisa de todo o tipo de coisa que o acompanha. Há uma enorme quantidade de dinheiro investido nisso. Há muito investimento sendo feito. E esses problemas serão resolvidos. E eles podem ser resolvidos mais rapidamente do que imaginamos. E os avanços que temos visto mês a mês no momento sugerem que estamos cada vez mais próximos da coesão. Portanto, acho que pode estar um pouco mais perto.
E, se isso acontecer, acho que será realmente muito empolgante, pois o que o computador quântico pode fazer é processar dados muito mais rapidamente, não tão rapidamente quanto algumas pessoas afirmam, mas, como ele pode processar esses dados muito mais rapidamente, isso significa que ele poderá analisar e resolver problemas que não podiam ser resolvidos antes.
Então, você sabe que na física teórica existe o conceito do gato de Schrodinger, e o gato está vivo ou morto? Ele está se deteriorando? Ele está, o que é? Qual é o estado do gato? Bem, o computador quântico seria capaz de realmente olhar e ver o gato em todas as possibilidades e, portanto, seria capaz de resolver os principais problemas que não conseguimos resolver.
INGO SCHUBERT: Sim, e acho que, em termos de medicina, por exemplo, dobramento de proteínas, etc., os computadores quânticos teriam vantagem sobre os computadores tradicionais, com certeza, certo? E há outras coisas em que, simplesmente, tudo o que tem uma quantidade enorme de dados que precisam ser processados, como a previsão do tempo, seria uma coisa, como qualquer coisa, dados geológicos, há muitos casos de uso que se beneficiariam da computação.
Agora, voltando à questão de que isso é mais cedo, por mais que você pense que não é assim, porque não é uma linha reta onde ele diz que isso aconteceu no passado com os transistores e que acontecerá novamente, então pode ser que não seja, é como na loteria, só porque você ganhou da última vez não significa que não ganhará da próxima vez, começa do zero todas as vezes, especialmente com a coesão, Se você falar sobre, por exemplo, algumas centenas de qubits, talvez alguns milhares, para ser um computador quântico universal que, por exemplo, possa executar o Algoritmo de Shor, o que seria uma ameaça à criptografia. Você está falando de algumas centenas de milhares de qubits, certo? E, no caminho para isso, talvez batamos em uma parede em algum lugar, certo? Não há garantia de que resolveremos esses problemas. Talvez, e, na verdade, sim, claro, pode haver, mas não há garantia. E, ao mesmo tempo, um computador quântico precisa sobreviver comercialmente em um ambiente em que temos visto um aumento maciço no poder de computação em todo o mundo, essencialmente graças às GPUs, certo? Graças à IA. Bem, antes era a mania do Bitcoin, agora é a IA. Portanto, sem avanços, como avanços fundamentais no design de chips. Quero dizer, sim, eles ficam menores com isso. Aumentamos enormemente o poder de computação, tanto que, basicamente, o fator limitante agora é a energia, certo? Portanto, a energia elétrica.
E nesse ambiente, um computador quântico precisa sobreviver. Agora, você pode argumentar que, especialmente para aqueles que quebram chaves, alguns governos farão isso, tudo bem. Sim, então está tudo bem. Eles têm dinheiro suficiente. Eles realmente não se importam com isso. Bem, talvez eles devessem se importar. São nossos impostos, mas vamos supor que eles não se importem.
Há casos práticos de uso da computação quântica no caminho para um computador quântico universal totalmente funcional. Acho que isso é indiscutível. Não estou dizendo que não seja o caso. E há bons casos de uso para isso. Como eu disse, como, por exemplo, o dobramento de proteínas, na pesquisa farmacêutica, certo?
Mas vamos falar sobre as ameaças, certo? E não estou falando de consumo de energia, porque temos isso hoje com as unidades tradicionais, certo? Quero dizer, ameaças em particular à segurança de TI, e então é segurança, certo? Porque há algumas, você sabe, eu mencionei o algoritmo de Shor, então talvez devêssemos, você sabe, explicar brevemente, você sabe, o que é isso e como isso afeta a segurança.
DAVID LELLO: Sim, então com o computador quântico, porque ele pode processar essas informações e os dados muito mais rapidamente, ele é capaz de usar o algoritmo de Shaw para fazer engenharia reversa de chaves criptográficas e, portanto, quando temos um computador quântico criptográfico relevante, ele seria capaz de quebrar essas chaves em segundos, minutos.
INGO SCHUBERT: Sim.
DAVID LELLO: E, portanto, a maioria dos dados que consumimos, usamos e acessamos estaria vulnerável a ataques.
INGO SCHUBERT: Sim. E o argumento de Schor, como mencionei antes, é que hoje não existe um computador quântico que possa executar isso porque são necessárias centenas de milhares de qubits em coesão e funcionando por algum tempo. Então, sim, são alguns segundos, mas mesmo alguns segundos são um problema hoje em dia para alguns computadores quânticos. Portanto, isso essencialmente quebraria ou invalidaria, em certo sentido, o algoritmo RSA, sim, portanto, uma chave pública privada, usando RSA, mas também usando Diffie-Hellman e usando curvas elípticas, ECC. Então, basicamente, todos os que são populares e que foram usados nas últimas duas décadas seriam essencialmente quebrados, certo? Elas seriam quebradas com um computador quântico. É claro que os computadores tradicionais ainda teriam dificuldades, como sempre têm, portanto, não há ameaça.
E, sim, se isso estiver quebrado, esses algoritmos são usados em todos os lugares, certo? Então, esses são, você sabe, seu TLS tradicional, uma comunicação de servidor da Web, de um cliente para o servidor da Web, VPNs, assinaturas de e-mail, criptografia de arquivos sendo enviados e tudo isso, você sabe, todos eles são frequentemente baseados em RSA, ECC e ou Diffie-Hellman, certo? Portanto, isso seria, na verdade, catastrófico.
DAVID LELLO: Seria, com certeza. Seria completamente catastrófico. Acho que, quanto mais eu analisar o assunto e quanto mais casos de uso eu tiver, mais sistemas falharão. É um problema global. Como a autenticação e a autenticação no sistema financeiro. Até mesmo coisas como o Bitcoin ficam comprometidas. Eles usam criptografia de curva elíptica e isso pode ser comprometido. Como consequência, o sistema financeiro é totalmente quebrado.
Então, sim, isso pode ser absolutamente catastrófico. Acho que podemos ver os principais problemas nos casos típicos de uso amplo, mas também em problemas menores e menos públicos, nos quais as pessoas nem sempre pensam, portanto, quando começamos a falar sobre IOT e OT e começamos a pensar em dispositivos médicos e equipamentos médicos, a capacidade de comprometer isso. Pegue uma pessoa que esteja usando uma bomba de insulina.
Se eu conseguir comprometer a criptografia dessa bomba de insulina, posso matar alguém.
INGO SCHUBERT: Sim.
DAVID LELLO: De repente, a criminalidade por trás dessas coisas pode se tornar exponencialmente mais significativa. E começamos a ver coisas como Minority Report e casos de uso do tipo Terminator acontecendo.
INGO SCHUBERT: Agora você está falando. Isso ficou interessante agora, sim.
Mas, voltando à disponibilidade de computadores quânticos, isso não acontecerá da noite para o dia, porque não seria apenas de um dia para o outro. Vamos supor que alguém, sim, finalmente consiga um computador quântico com 200.000 cúbitos para executar o algoritmo de Shor, por exemplo. Normalmente, são cerca de um milhão. Há algumas pesquisas que dizem que você só precisa de cerca de 100 mil qubits. Não é como se, de repente, todo mundo tivesse um computador quântico. São apenas alguns governos e instalações de pesquisa que têm acesso à computação quântica. Não é como se todo criminoso cibernético tivesse acesso a ela.
Mas a ameaça é real. Acho que é um pouco semelhante ao problema do ano 2000. Então, já prevíamos isso há algum tempo, mas fizemos coisas para mitigá-lo e acabou sendo um pouco inútil.
DAVID LELLO: Mas só porque fizemos alguma coisa.
INGO SCHUBERT: Exatamente. Só porque fizemos alguma coisa, certo? Portanto, se não tivéssemos feito nada, isso provavelmente teria sido um grande problema, mas fizemos algo e acabou dando tudo certo, certo? E acho que provavelmente será semelhante a esse caso aqui, porque há coisas que podem ser feitas, o que nos leva ao próximo trabalho.
Sim, então podemos discordar sobre quanto tempo teremos, certo? Então, apenas para esclarecer isso, houve um relatório do MITRE, um instituto de pesquisa financiado pelo governo dos EUA, um relatório recente no início do ano e eles colocaram o algoritmo do Shor em algum lugar como o início da década de 2040, provavelmente mais para a década de 2050, então não é como se eles tivessem um incentivo para divulgá-lo corretamente, então foi um relatório sólido, mas mesmo que você diga que é muito mais cedo, é improvável que seja antes da década de 2030. Acho que é altamente improvável, a menos que aconteça algum milagre. Então, o que você pode fazer hoje para se preparar para esse apocalipse quântico?
DAVID LELLO: Acho que definitivamente será muito mais rápido do que 2050. Acho que, sabe, odeio tentar prever, porque é algo impossível. Sabe, quando alguém tenta prever o futuro, inevitavelmente fracassa porque não temos uma mente sobrenatural.
INGO SCHUBERT: Bem, vamos nos encontrar em 2055. No mesmo horário, sim, para podermos conversar sobre isso. Se eu ainda estiver lá dentro.
DAVID LELLO: Com certeza. Vamos fazer isso. No mesmo horário, no mesmo lugar. Vamos fazer isso. Tudo bem, mas se for antes, acho que vamos ver como podemos comemorar esse evento, porque acho que com qualquer avanço na tecnologia, uma descoberta acontece, e acontece em um momento. Pode acontecer na próxima semana. Pode acontecer daqui a 10 anos. Não sabemos. Mas isso vai acontecer, tenho certeza, porque a ciência existe. Ela é confiável. É real. Você sabe, um campo de girassóis é capaz de manter a coesão neste momento. A estabilidade existe à temperatura ambiente, em um campo, com todas as coisas que estão acontecendo ao seu redor. Animais correndo lá embaixo, poluição e tudo o mais. Um campo de girassóis pode ter coesão.
INGO SCHUBERT: É isso mesmo.
DAVID LELLO: Por que vários cientistas fazem isso?
INGO SHCUBERT: Sim, mas eles têm alguns milhões de anos para evoluir, certo? Esse é o meu ponto de vista. Concordo com isso, mas eles têm um pouco de vantagem, certo?
DAVID LELLO: Voltando à questão, acho que um dos problemas que temos, e abordamos um pouco no Bletchley Park, é que o que temos no momento em termos de prática e o que chamaríamos de boa prática em relação ao gerenciamento de chaves criptográficas, acho que muitas empresas falharam. Portanto, quando se trata de eventos, há alguns anos, tivemos a vulnerabilidade do SSL, e todo mundo se agitou e procurou substituir as chaves. Isso fez com que as organizações se tornassem muito mais ágeis em termos de rotação de suas chaves TLS, o que é fantástico. Isso está resolvendo uma boa parte do problema. Se você tiver agilidade em suas chaves TLS, isso significa que poderá alterá-las. Talvez seja necessário fazer alguns testes ao longo do caminho para garantir que tudo funcione.
Mas as organizações podem começar a pensar agora em sua autoridade de certificação e em como elas emitem suas chaves e como substituem suas chaves em um nível TLS. E isso é bom. O problema que encontramos quando entramos em uma organização é que 20 a 30, talvez até 40% das chaves não são gerenciadas dessa forma. Muitas vezes, muitos hardwares têm chaves incorporadas em uma infraestrutura de hardware e algumas dessas peças de hardware podem durar 20 anos, e a capacidade de alterar as chaves nesse hardware significa alterar o hardware.
Também temos muitas práticas ruins de codificação, especialmente nos dias de compilações monolíticas em que os aplicativos têm chaves incorporadas nos próprios aplicativos. E quando começamos a pensar sobre o que não aconteceu apenas.
INGO SCHUBERT: Acho que esse é o meu ponto. Essa foi uma prática ruim, independentemente de haver ou não computação quântica.
DAVID LELLO: É. Portanto, quando começamos a pensar nessa ideia do Dia Q, que no Y2K foi fácil porque tínhamos uma data. Com o Dia Q, não temos uma data.
INGO SCHUBERT: Muito bem visto.
DAVID LELLO: Mas quando isso acontecer, e pode acontecer amanhã ou daqui a 10 anos ou, se você estiver certo, daqui a muito mais tempo, teremos uma situação em que uma boa parte da organização e suas chaves não poderão ser substituídas facilmente, e entraremos em pânico. Teremos um problema enorme, pois os dados ficarão comprometidos.
Mas também, o outro problema que temos é algo que me fazem muitas perguntas, que é a ameaça ‘coletar agora, descriptografar depois’. E temos visto dados criptografados sendo roubados há anos. Quero dizer, neste país, com David Cameron, ele disse que todos os nossos dados foram roubados pela China, mas isso não importa. Eles são criptografados. Portanto, voltando alguns anos atrás, esse tipo de afirmação não deixa de ser verdade agora, considerando as tecnologias que temos com o tempo, com um computador quântico, isso se torna um problema. E sim, é claro, os dados envelhecem.
INGO SCHUBERT: Mas alguns desses dados ainda serão relevantes. Não todos, mas alguns. Então, acho que é a mesma coisa. Por exemplo, eles ficaram lá fora e, sim, se forem descriptografados daqui a cinco anos, quem se importa, certo? Ou em 10 anos, sim. Portanto, você pode argumentar que muitos dos dados de identidade para autenticação, se eles forem descriptografados em cinco ou dez anos, você não se importará muito com eles, pois já estarão desatualizados. Mas há muitos dados estratégicos em que, sim, isso pode prejudicá-lo por décadas, certo? E você nem precisa ser um estado. Você pode ser apenas uma corporação normal, uma empresa normal.
DAVID LELLO: Exatamente.
INGO SCHUBERT: E qual é o caso?
DAVID LELLO: Quero dizer, você sabe, a quantidade de organizações em que eu entro que têm sistemas legados. Na verdade, estive em uma organização há pouco tempo em que havia um aplicativo. Eles o tratavam como uma caixa preta, e o tratavam como uma caixa preta porque o código-fonte havia sido perdido. A pessoa que o escreveu já se foi há muito tempo, não toque nele. Se ele cair, a resposta é ligá-lo ou desligá-lo, ligá-lo novamente e rezar, porque é a única coisa que você pode fazer. Não há nada que você possa fazer. E esse sistema controlava todo o acesso em suas lojas, todo o acesso em suas lojas. E se for comprometido, se for derrubado, você derruba a organização.
INGO SCHUBERT: Ponto único de falha.
DAVID LELLO: Ponto único de falha. A quantidade de organizações que estamos visitando onde há esse ponto único de falha é extraordinária. As organizações realmente precisam começar a pensar em como modernizar sua infraestrutura de gerenciamento de identidade e acesso. Quando começamos a pensar em gerenciamento de identidade e acesso, o gerenciamento de identidade e acesso é o caminho para tudo. Vimos os últimos ataques de ransomware que estão ocorrendo na Alemanha, bem como aqui no Reino Unido, na Itália e em outros lugares. Esses ataques de ransomware têm como alvo os sistemas de controle de acesso. Eles têm como alvo a autenticação porque é um alvo fácil e suave, seja o Active Directory ou um sistema como o que descrevi, a capacidade de realmente comprometer o acesso derruba a organização, interrompe a comunicação e a capacidade de acesso. A modernização do gerenciamento de acesso à identidade nesse contexto será uma das grandes prioridades.
INGO SCHUBERT: Sim, sim. É difícil argumentar contra isso porque, você sabe, isso faz sentido, não importa como você olhe para isso, certo? Acho que quando voltamos ao gerenciamento de chaves de criptografia básica, muitos clientes não sabem o que têm, certo? Eles não têm uma boa visão de onde criptografam, onde estão as chaves, onde assinam digitalmente. Eles não têm essa visão geral. Acho que isso é parte do problema, certo? Porque não se pode consertar o que não se sabe que existe. Muitos dos clientes tiveram dificuldades com a simples higiene cibernética básica. Infelizmente, é isso que vejo constantemente, certo? Hoje de manhã, em uma ligação sobre um cliente que está usando um software da RSA com 20 anos de idade, com 20 anos de idade, certo?
DAVID LELLO: Uau.
INGO SCHUBERT: Então, na verdade, eles ligaram para o nosso suporte sobre algo e o suporte não conseguiu responder, e é como se, sim, claro, você sabe, provavelmente o pessoal de suporte que estava atendendo à chamada telefônica provavelmente estava no jardim de infância quando esse software foi lançado, certo? Portanto, o que quero dizer é que, enquanto não fizermos essa higiene e visibilidade cibernéticas básicas, em primeiro lugar, não será possível atingir esse estado de prontidão quântica, ou seja, estar pronto para o dia Q. Isso é simplesmente impossível. Isso é simplesmente impossível.
Além disso, minha opinião é que você não pode se preocupar com a computação quântica até que conserte essas coisas, certo? Porque se você não sabe qual software está executando, se não o mantém atualizado, é claro que você depende que os fornecedores consertem isso, como se você estivesse implementando criptografia pós-quântica, por exemplo, certo?
Mas se o software for lançado com a nova versão, com todas essas coisas legais de computação quântica, e você não o instalar, isso fará com que ele não exista, certo? E, além disso, mesmo que você faça isso, se suas políticas e procedimentos relacionados, por exemplo, ao gerenciamento de dados, não estiverem corretos, do que estamos falando aqui? Então, se o invasor puder simplesmente telefonar para o seu help desk e pedir para entrar, ele não precisará de um computador quântico para fazer isso, certo? Ele não precisa disso hoje. Não precisou ontem. Não precisará amanhã. Eles simplesmente telefonam para o seu help desk se suas políticas não estiverem corretas e obtêm acesso.
Portanto, há muitas coisas que podem dar errado, deram errado e darão errado, que não têm nada a ver com computadores quânticos. E meu medo é que as pessoas estejam olhando para essa coisa quântica, esse Q-Day, e se distraiam com esse brinquedo bonito e brilhante, certo? Enquanto elas têm muito dever de casa para fazer, o que provavelmente não tem sido feito há décadas, certo? E, é claro, você pode argumentar que precisa fazer isso, ter visibilidade, aplicar patches, corrigir seus procedimentos. Se for necessária essa ameaça da computação quântica para que um cliente faça isso, que assim seja, certo? Eu poderia ficar feliz.
Mas uma parte de mim pensa: "Não, porque o que acontecerá se encontrarmos um obstáculo com a computação quântica? E, por alguns anos, não houver nenhuma vantagem ou avanço real, e então você pensa: "ah, isso é tipo, você sabe, década de 2060, como se eu já tivesse saído do mercado de trabalho há muito tempo, então não preciso me preocupar com isso", e essa é a abordagem errada, porque você deve resolver isso, não importa o que aconteça.
Vou lhe dar um pouco de conhecimento, sim, alguns nomes, sim, o filósofo alemão Emmanuel Kant, sim, agora não corte esse editor, sim, isso é k, isso é k. Isso é K -A -N -T, certo? Portanto, eu o chamo de Emmanuel de agora em diante, sim.
Filósofo alemão, século 18, e muitas coisas inteligentes que ele disse. Mas uma das coisas que acredito ser uma das mais inteligentes é que você faz a coisa certa porque é a coisa certa a fazer, certo? Não porque isso lhe rende alguns pontos com alguma divindade, algo assim. Você faz isso porque é a coisa certa a fazer.
E ter uma boa visão geral de onde você criptografa, como você criptografa sobre políticas, procedimentos, patches e tudo isso é a coisa certa a fazer, independentemente de a computação quântica estar a 10 anos, 20 ou 30 anos de distância. Não importa. Você precisa fazer isso. Agora, você deveria estar fazendo isso nos últimos 20 anos. Esse é essencialmente um ponto. Acho que é nesse ponto que concordamos. Sim, com certeza. Acho que a motivação por trás disso é o ponto em que discordamos, pois temos opiniões diferentes sobre onde a computação quântica está e onde ela estará. Mas, com certeza, se houver um cliente que diga que preciso estar pronto para a computação quântica, o esforço não será desperdiçado.
DAVID LELLO: Não, absolutamente não. Acho que também, Ingo, uma das coisas que é uma realidade que sempre me desafia, porque passamos muito tempo com diretorias de grandes empresas conversando com diretores financeiros e afins, e uma empresa existe com o objetivo de fornecer um produto ou serviço e, se estiver no setor privado, terá lucro, a não ser, é claro, que seja uma instituição de caridade, mas não vamos nos preocupar com isso. Assim, investir em algo porque é a coisa certa a fazer torna-se mais uma discussão filosófica. Não acho que essa seja necessariamente a abordagem correta.
INGO SCHUBERT: Bem, sim, com certeza.
DAVID LELLO: Embora eu concorde com você, absolutamente 100%, sabe, do ponto de vista da fé, do que eu acredito, eu sempre gostaria de fazer a coisa certa. Mas a realidade é que as empresas não existem para isso. Elas não existem para fazer a coisa certa. Às vezes, elas são um pouco imorais.
INGOSCHUBERT: Sério? É a primeira vez que ouço isso. Deixe-me anotar isso.
DAVID LELLO: Então, acho que o que você faz é olhar para isso de uma forma diferente e acho que uma das realidades que vemos e que ressoa e as pessoas entendem é medir, reconhecer e perceber qual é a minha exposição ao risco associada a um determinado ambiente e precisamos vinculá-la a algo que seja tangível, precisamos sempre voltar a pensar em como posso construir um caso de mudança neste mundo, sim, e como é a mudança? Um dos desafios que enfrentamos, porque quando começamos a procurar ajudar as organizações a responder a esse problema, é que não existe uma estrutura que lide com a preparação quântica. Não há uma.
Então, nós escrevemos um. Escrevemos um padrão para dizer que aqui está uma abordagem para analisar a quântica. Pegamos vários padrões diferentes do NIST e de boas práticas, ISF e várias coisas diferentes para podermos criar um modelo e uma estrutura para que possamos começar a analisá-los. Mas o que isso faz é permitir que comecemos a analisar e dizer: "Bem, quando você pega um sistema como esse sistema de identidade que gerencia todo o acesso que é um ambiente de caixa preta, qual é a minha exposição ao risco de ter uma máquina como essa? E vou retirar completamente a quântica. Qual é o meu risco? Eu realmente entendo meu risco? Se isso cair, o que acontecerá com meu ambiente? E se eu puder avaliar esse risco, tenho que fazer algo a respeito.
INGO SCHUBERT: Ah, e isso é, quero dizer, no final das contas, é o gerenciamento de risco adequado, que vejo que está faltando em muitas empresas ou organizações em geral, certo? E isso de fato precisa ser feito e deveria ter sido feito há anos e deveria ser feito hoje, independentemente da computação quântica ou não. Esse é o meu ponto de vista.
Bem, é claro que eles não fazem isso porque é a coisa certa a fazer, certo? Esse é um argumento financeiro difícil de ser apresentado. Concordo plenamente com você. Mas há todas as outras ameaças pelas quais eles deveriam estar fazendo isso, certo? E, mais uma vez, se você precisar vender esse conceito de analisar tudo isso e descobrir e ter um gerenciamento de risco adequado por causa da computação quântica, pode ser minha opinião, certo? Acho que esse é o caminho certo. Se essa for a alavanca de que você precisa para obter a assinatura, sim, com certeza, faça isso. Porque, no final, mesmo que a computação quântica ainda esteja a 30 anos de distância, você ainda se beneficia hoje. Porque ter essa prontidão ajuda você a estar seguro hoje também. Você não está desperdiçando dinheiro. Sim, então acho que essa é a coisa certa a se fazer. E há algumas recomendações e algumas estruturas da Europa, por exemplo, eles dizem que até 2026 - o que, para ser franco, você já deveria ter feito se quiser estar em conformidade com o DORA. Talvez você veja as mesmas coisas novamente porque não vê algumas pessoas fazendo isso. Portanto, visibilidade e gerenciamento de risco até 2026 e, em seguida, alguma preparação quântica de alguma forma até 2030 para alto risco e 2035 para baixo e médio risco, certo? Portanto, parece estar muito longe, mas, sabe, já estamos, tipo, no final de 2025, quando registramos isso, o lançamento é 2026.
Portanto, é como se isso estivesse a apenas alguns anos de distância. E se voltarmos ao início de nossa conversa, se olharmos para o problema do Y2K, sim, se você começou em 1999, provavelmente está um pouco atrasado para isso, certo? Portanto, você precisa estar preparado agora, com certeza, certo.
DAVID LELLO: Acho que uma das coisas que você mencionou, que considero um ponto fascinante em termos de psicologia humana, são as regulamentações, as regulamentações europeias e coisas como Dora. As regulamentações só entram realmente em vigor porque as empresas são negligentes em fazer a coisa certa.
INGO SCHUBERT: Sim, com certeza.
DAVID LELLO: E como não estão fazendo a coisa certa, os legisladores dizem que teremos um grande problema no país, a menos que analisemos a questão. Portanto, as leis entram em ação quando é preciso fazer algo. Portanto, o NCSC do Reino Unido criou orientações sobre quantum. E temos o DORA na Europa. E, infelizmente, por causa do Brexit...
INGO SCHUBERT: Você trouxe isso, eu não trouxe.
DAVID LELLO: Estamos apenas começando a analisar o nosso Projeto de Lei de Resiliência. Portanto, o Projeto de Lei de Resiliência foi liberado para comentários públicos. Portanto, a primeira edição foi liberada e os comentários estão sendo feitos. Em breve, teremos uma leitura no Parlamento. Esperamos estar em dia com o resto do mundo nessa questão específica.
INGO SCHUBERT: Bem, exceto os EUA. Os EUA parecem ser, você sabe, um lugar selvagem no mapa, sim. Sim, realmente é. Sim, é como se, e vejo isso conversando também com colegas americanos, sim, é como se, sim, nós realmente não tivéssemos isso, certo? Mas em todos os outros lugares do mundo, parece que a resiliência, o gerenciamento de riscos parece ser um pouco mais maduro em termos de regulamentações e perdas, sim, o que é...
DAVID LELLO: Você tem que ter isso.
INGO SCHUBERT: Você tem que ter isso, certo? E quando você as lê, e você provavelmente já leu tanto ou mais do que eu, algumas dessas coisas são óbvias, como ter um gerenciamento de risco adequado. É como se você devesse saber que, se essa coisa cair, você saberá as consequências, certo? Claro que sim, porque sua empresa está ganhando dinheiro e há algo que a impede de fazer isso. Você deve saber por que e como consertar isso. E, no entanto, eles não fazem isso até serem obrigados por lei, o que é triste em alguns sentidos, certo?
DAVID LELLO: Infelizmente, a natureza humana entra em ação. No entanto, tenho dificuldade em lidar com isso porque essas coisas não são difíceis, você sabe que analisar os riscos e o gerenciamento de riscos não é difícil.
INGO SCHUBERT: Não, mas leva tempo.
DAVID LELLO: E isso leva tempo, mas quero dizer que existem muitas tecnologias diferentes que podem ajudar a simplificar o processo. Sabe, os computadores são projetados para automatizar processos. A razão pela qual temos computadores é porque temos processos manuais que exigem exércitos de pessoas para realmente fazer algo. Com os computadores, podemos automatizar todo esse processo. E com os sistemas modernos, podemos automatizar ainda mais. Por exemplo, você pode pegar coisas como o gerenciamento de vulnerabilidades. Se você tiver um ambiente modernizado e uma varredura de vulnerabilidades implementada, terá uma visibilidade relativamente boa em termos de riscos tecnológicos.
INGO SCHUBERT: Sim. A mesma coisa para nós. Governança de identidade. No fim das contas, não se trata de ciência de foguetes. Sim, é claro. Você conectará todos os sistemas diferentes, talvez crie algumas regras e tudo isso. Mas então você tem essa visibilidade e tem a visão de você, sabe, em termos de segregação de funções, conformidade e tudo isso. E, sim, é um trabalho. Sim, é um investimento em termos de dinheiro e tempo, é claro, mas você ganha algo com isso.
DAVID LELLO: Sim.
INGO SCHUBERT: Certo. Acho que as pessoas também não percebem que o gerenciamento de risco provável também lhe dá algo em troca, porque você descobre coisas que talvez não devesse investir todo esse dinheiro nessa proteção ou está tornando essa coisa resiliente porque não tem um impacto tão grande, enquanto na outra você deveria investir mais porque, se ela cair, coisas ruins acontecerão. Acho que isso também acontece, e é claro que você não percebe isso porque, se não fizer um gerenciamento de risco adequado, não terá essa visibilidade, então como tomar essa decisão, certo? Portanto, as pessoas, basicamente, as organizações estão se prejudicando por não fazerem isso, certo?
DAVID LELLO: E a governança de identidade é muito importante em termos de capacitação e ajuda. É verdade. Sabe, quando converso com muitas organizações sobre identidade, a identidade não é uma daquelas coisas de segurança que você faz porque, sabe, é uma apólice de seguro. A identidade é um facilitador. É um verdadeiro facilitador de negócios para ajudar as organizações a serem mais eficientes e mais eficazes em termos de como as pessoas têm acesso. Mas é fundamental ter o acesso certo, na hora certa e no lugar certo, e ter os modelos de governança que realmente conduzam a isso. Portanto, quando começamos a analisar os controles de ITGC e os sistemas financeiros, e você começa a analisar como o acesso precisa ser criado em seus direitos, sua segregação de funções e os mandatos que o acompanham. Essas coisas não são novidade. Elas estão escritas na Lei das Empresas e na Regulamentação Financeira há décadas.
INGO SHUBERT: Com certeza.
DAVID LELLO: E a capacidade de controlar isso com um bom sistema de governança de identidade já existe. E com uma solução modernizada, isso se torna realmente muito fácil. Não é tão difícil quanto as pessoas pensam.
INGO SCHUBERT: Olhe para nós. Falando sobre governança de segurança de identidade e começamos com quantum. É como se, sim, mas esse é o ponto. Acho que isso é algo que também abre as portas para algumas discussões com clientes ou organizações em geral, onde, por exemplo, sim, está tudo bem. Falar sobre a ameaça quântica e, você sabe, mas no final você acaba em discussões que não são realmente sobre quântica, mas sobre outras coisas. Que, sim, você pode consertar agora, você deve consertar agora, independentemente do que aconteça no futuro.
DAVID LELLO: É o conceito básico de higiene.
INGO SCHUBERT: É o conceito básico de higiene, exatamente. Essa é uma maneira perfeita de encerrar o assunto. Então, David, obrigado. Poderíamos conversar por horas, de fato, toda vez que nos encontramos. Então, muito obrigado. Acho que a ameaça quântica pode parecer distante.
Pode ser que sim, pode ser que não. Mas esperamos que, durante essa conversa, nossos telespectadores e ouvintes tenham tido a ideia de que, independentemente de você dever fazer coisas hoje para se preparar para a quântica. Isso não faz mal algum.
O que você obtém com isso o beneficia hoje em relação às ameaças que existem hoje, certo? Você não precisa esperar 20 anos para perceber os benefícios. Na verdade, você os obtém hoje.
Isso encerra o debate de hoje sobre a computação quântica e seu impacto na segurança da identidade. O futuro quântico é ficção científica e as organizações precisam entender onde estão os riscos e as oportunidades reais. Se você quiser obter mais informações sobre a resiliência da identidade e as tecnologias que preparam as organizações para o futuro, acesse RSA.com. Se você quiser ter acesso a mais episódios do RSA Identity Unmasked, não se esqueça de se inscrever. Obrigado por nos acompanhar e até a próxima.
DAVID LELLO: Obrigado
INGO SCHUBERT: Acho que, para beneficiar o público, o senhor poderia descrever em algumas palavras o que é computação quântica, para que estejamos em um nível de especialista depois que o senhor terminar?
DAVID LELLO: Bem, vou começar com a maneira básica de ver o computador quântico, porque acho que se começarmos a entrar em física teórica, talvez percamos algumas pessoas.
INGO SCHUBERT: Sim
DAVID LELLO: Então, com os computadores quânticos, os computadores quânticos funcionam de maneira diferente dos computadores tradicionais. Com um computador quântico, ele faz isso de forma diferente. O que ele está usando é a mecânica quântica e, portanto, em um mundo multidimensional de mecânica quântica, ele olha para os dados e vê os dados. Ele não lê os dados da mesma forma e, como resultado, pode levantar hipóteses e analisar vários construtos ao mesmo tempo. É como se, ao ler um livro, um computador tradicional o lesse do início ao fim; com um computador quântico, ele lê o livro e vê os dados. Assim, por causa disso, o computador quântico é capaz de processar informações muito mais rapidamente. E, ao resolver problemas, é como se resolvesse todos os problemas ao mesmo tempo, em vez de olhar para um problema e tentar resolvê-lo em uma série.
INGO SCHUBERT: Sim, então os algoritmos são bem diferentes, é claro. Sim, acho que é provavelmente por isso que muitos, e eu também me incluo nessa categoria, têm dificuldade, é claro, em saber como programar essa coisa. Acho que, por ter uma formação tradicional em TI, o que me ajuda às vezes a entender, por exemplo, que isso é realmente diferente, é que, em um computador tradicional, cada bit, sim. Se você tem N bits, pode armazenar N quantidades de dados. É zero, um, sim? Com o quantum, é dois elevado à potência de N, sim, o que é como, imediatamente, como, se o seu antigo instante entrar em ação, é como, sim, isso é muito mais, sim, na mesma quantidade de qubits nesse caso, certo? Portanto, o armazenamento e o processamento estão em um nível diferente, certo? Então, acho que vamos deixar isso para lá porque, caso contrário, ficaremos aqui por dias, certo? Apenas explicando o básico.
Portanto, o próximo tópico que gostaria de explorar é qual é o estado atual da computação quântica? Onde estamos agora? Porque acho que provavelmente, e se as pessoas que estão assistindo a isso tiverem nos visto em Bletchley Park, temos algumas opiniões diferentes sobre onde estamos e onde estaremos. Então, vamos começar com você. Qual é o estado atual da computação quântica?
DAVID LELLO: Acho que a computação quântica ainda está em um estágio inicial. Portanto, há vários computadores quânticos por aí, e você pode realmente contratar tempo em computadores quânticos para que possa analisar os dados. Mas acho que, da forma como os computadores quânticos foram desenvolvidos, há uma série de problemas. Alguns computadores quânticos estão exigindo muito controle em termos de coisas como temperatura. Assim, um computador quântico opera no zero absoluto, ou seja, 270 graus Celsius negativos, o que é muito frio. Para isso, são necessárias grandes instalações, grandes equipamentos e muita energia. Caso contrário, você perde a coesão e a estabilidade da plataforma.
Os primeiros computadores quânticos estavam queimando o tempo todo por causa desse problema. Portanto, esse é um problema que precisa ser resolvido e abordado. O outro problema é que, como o computador quântico analisa os dados ao mesmo tempo, ele cria muito ruído. Se você tivesse que pegar algo como a Bíblia e lê-la instantaneamente, em vez de percorrê-la do início ao fim, isso criaria uma narrativa em sua mente que seria incompreensível. E tentar digerir, entender e destilar a mensagem se tornaria muito difícil.
Portanto, o ruído no sistema criou um grande número de problemas. Temos visto um bom sucesso vindo de Oxford, onde eles reduziram significativamente a taxa de erro e o ruído dentro do sistema. Mas provavelmente o problema mais importante no momento é a quantidade de cubos que podem ser emaranhados de uma só vez, porque você começa a perder a coesão desses cubos quando ultrapassa cerca de 100 cubos. Portanto, a quantidade de qubits que podem ser emaranhados de uma só vez para processar as informações é limitada. Isso significa que o poder de processamento e a capacidade da máquina são limitados.
Portanto, ainda não é o que chamaríamos de computação quântica criptograficamente relevante, o que é um grande problema, mas está em um estágio em que foi comprovado. Ela funciona. Ela faz o que os cientistas dizem que faz. Trata-se apenas de levá-la ao próximo nível e investir mais. A cada poucos meses, novos avanços acontecem ou estão sendo fortemente investidos, e estamos começando a ver progresso.
INGO SCHUBERT: Sim, e isso é verdade. E acho que se compararmos os computadores quânticos, se olharmos apenas as fotos deles, certo? Há cinco anos e hoje, eu ainda os chamaria parcialmente de experimento físico, mas há cinco anos era muito mais um experimento físico, certo? Se você olhar apenas para a configuração física dessas coisas, certo?
No entanto, embora seja verdade que, você sabe, eles se tornaram tipo, sim, você joga um problema com eles e eles podem resolvê-lo muito mais rápido do que os computadores tradicionais. E parte disso é o que você disse ser a coesão. Sim, a coesão básica é, você sabe, se você conseguir manter o sistema estável por um determinado período de tempo. E isso geralmente é medido, no máximo, em segundos, sim, ou em milissegundos, dependendo do chip em tudo isso. E isso está muito longe de ser útil em muitos casos. Agora, há alguns casos de uso em que isso faz sentido. Pense nisso como um coprocessador quântico. Mas o problema que eu tenho com isso é que, em muitos dos casos de uso, é questionável se você poderia resolver o problema também com algumas GPUs da Nvidia, certo?
Portanto, uma das coisas que vejo que ainda estão sendo feitas constantemente é que há muito entusiasmo nesse espaço da computação quântica. Acho que ele se sobrepõe um pouco ao hype da IA também. Você também pode argumentar que, se isso é um exagero, é real. Mas a questão é que há muita propaganda e muito dinheiro circulando por aí. Acho que parte desse dinheiro agora está procurando uma estratégia de saída. E a computação quântica parece ser atraente, certo? Portanto, eles estão injetando muita coisa lá dentro e há empresas que, fundamentalmente, estão supervalorizadas e também superestimadas em termos do que prometem e do que fazem, e isso, na verdade, abrange todo o espectro, certo? No Bletchley Park, eu tinha o chip willow do Google como exemplo, no qual o Google tinha um comunicado de imprensa sobre esse novo chip, no qual eles tinham uma ótima correção de erros e tudo isso, e a alegação que foi captada pela imprensa popular foi que esse chip pode fazer em cinco minutos o que um computador tradicional pode fazer em 10 anos, o que é extraordinário. de 35 anos, o que é extraordinário, porque o universo tem apenas 10 à potência de 25 anos de idade, certo? e se você ler o artigo, verá que ele não é capaz de fazer isso, certo? era como se essa coisa pudesse funcionar por cinco minutos e como se fosse milhões, milhões de vezes, eles não são capazes de fazer isso, então seria assim. E se você observar outros comunicados à imprensa de diferentes empresas, grandes e pequenas, há uma certa tendência de exagerar o que elas alcançam.
E acho que, infelizmente, isso abafa alguns dos avanços reais que a computação quântica realmente fez nos últimos anos, certo? E acho que, e é aqui que chegamos, isso faz com que a ameaça da computação quântica pareça muito mais real, em termos de que ela está chegando, do que realmente é. Mas antes de entrarmos no assunto de por que o mundo acabará, se a computação quântica aparecer de repente, quais seriam os benefícios de um computador quântico que você tem em mente? Então, o que ele poderia fazer melhor do que qualquer outra coisa?
DAVID LELLO: Vou responder a isso reagindo também ao que você disse sobre o computador quântico em termos de sua situação atual. E, embora concorde que há problemas em termos de computador quântico, acho que estamos muito mais próximos de realmente alcançar a estabilidade em um computador quântico do que o que está sendo sugerido. Se eu olhar para trás, acho que uma das melhores maneiras de realmente olhar para o futuro é olhar para a história. Quando eu era jovem e trabalhava em um banco, havia um mainframe, e era um mainframe IBM da velha guarda. O mainframe ocupava uma sala. Era uma sala grande. Não era uma sala pequena. Era uma sala bem grande. E ele enchia a sala. Havia válvulas nesse mainframe. Ele tinha três tanques de resfriamento de água. Havia piscinas subterrâneas no porão desse banco. Essa coisa era enorme. E apenas alguns anos antes disso, eles haviam substituído o sistema de cartões perfurados desse mainframe.
Quando retiraram o antigo mainframe, que precisou de empilhadeiras e maquinário muito pesado para ser retirado, tiveram que cortar algumas portas porque não conseguiam encaixar fisicamente o mainframe novamente. E eles o substituíram por um rack e um computador mainframe que era exponencialmente maior do que o que existia antes. Vimos uma aceleração maciça nos avanços dos computadores ao longo dos anos. E se voltarmos apenas 30 anos, sabe, se voltarmos 40 anos, é simplesmente enorme a quantidade de mudanças que estamos vendo acontecer.
INGO SCHUBERT: Sim.
DAVID LELLO: E o que vimos com os computadores quânticos agora, sim, há indicadores iniciais e a ciência, quase parece um pouco com aquele velho mainframe no porão com os três tanques, porque você precisa dos sistemas de resfriamento, precisa do equipamento grande, precisa de todo o tipo de coisa que o acompanha. Há uma enorme quantidade de dinheiro investido nisso. Há muito investimento sendo feito. E esses problemas serão resolvidos. E eles podem ser resolvidos mais rapidamente do que imaginamos. E os avanços que temos visto mês a mês no momento sugerem que estamos cada vez mais próximos da coesão. Portanto, acho que pode estar um pouco mais perto.
E, se isso acontecer, acho que será realmente muito empolgante, pois o que o computador quântico pode fazer é processar dados muito mais rapidamente, não tão rapidamente quanto algumas pessoas afirmam, mas, como ele pode processar esses dados muito mais rapidamente, isso significa que ele poderá analisar e resolver problemas que não podiam ser resolvidos antes.
Então, você sabe que na física teórica existe o conceito do gato de Schrodinger, e o gato está vivo ou morto? Ele está se deteriorando? Ele está, o que é? Qual é o estado do gato? Bem, o computador quântico seria capaz de realmente olhar e ver o gato em todas as possibilidades e, portanto, seria capaz de resolver os principais problemas que não conseguimos resolver.
INGO SCHUBERT: Sim, e acho que, em termos de medicina, por exemplo, dobramento de proteínas, etc., os computadores quânticos teriam vantagem sobre os computadores tradicionais, com certeza, certo? E há outras coisas em que, simplesmente, tudo o que tem uma quantidade enorme de dados que precisam ser processados, como a previsão do tempo, seria uma coisa, como qualquer coisa, dados geológicos, há muitos casos de uso que se beneficiariam da computação.
Agora, voltando à questão de que isso é mais cedo, por mais que você pense que não é assim, porque não é uma linha reta onde ele diz que isso aconteceu no passado com os transistores e que acontecerá novamente, então pode ser que não seja, é como na loteria, só porque você ganhou da última vez não significa que não ganhará da próxima vez, começa do zero todas as vezes, especialmente com a coesão, Se você falar sobre, por exemplo, algumas centenas de qubits, talvez alguns milhares, para ser um computador quântico universal que, por exemplo, possa executar o Algoritmo de Shor, o que seria uma ameaça à criptografia. Você está falando de algumas centenas de milhares de qubits, certo? E, no caminho para isso, talvez batamos em uma parede em algum lugar, certo? Não há garantia de que resolveremos esses problemas. Talvez, e, na verdade, sim, claro, pode haver, mas não há garantia. E, ao mesmo tempo, um computador quântico precisa sobreviver comercialmente em um ambiente em que temos visto um aumento maciço no poder de computação em todo o mundo, essencialmente graças às GPUs, certo? Graças à IA. Bem, antes era a mania do Bitcoin, agora é a IA. Portanto, sem avanços, como avanços fundamentais no design de chips. Quero dizer, sim, eles ficam menores com isso. Aumentamos enormemente o poder de computação, tanto que, basicamente, o fator limitante agora é a energia, certo? Portanto, a energia elétrica.
E nesse ambiente, um computador quântico precisa sobreviver. Agora, você pode argumentar que, especialmente para aqueles que quebram chaves, alguns governos farão isso, tudo bem. Sim, então está tudo bem. Eles têm dinheiro suficiente. Eles realmente não se importam com isso. Bem, talvez eles devessem se importar. São nossos impostos, mas vamos supor que eles não se importem.
Há casos práticos de uso da computação quântica no caminho para um computador quântico universal totalmente funcional. Acho que isso é indiscutível. Não estou dizendo que não seja o caso. E há bons casos de uso para isso. Como eu disse, como, por exemplo, o dobramento de proteínas, na pesquisa farmacêutica, certo?
Mas vamos falar sobre as ameaças, certo? E não estou falando de consumo de energia, porque temos isso hoje com as unidades tradicionais, certo? Quero dizer, ameaças em particular à segurança de TI, e então é segurança, certo? Porque há algumas, você sabe, eu mencionei o algoritmo de Shor, então talvez devêssemos, você sabe, explicar brevemente, você sabe, o que é isso e como isso afeta a segurança.
DAVID LELLO: Sim, então com o computador quântico, porque ele pode processar essas informações e os dados muito mais rapidamente, ele é capaz de usar o algoritmo de Shaw para fazer engenharia reversa de chaves criptográficas e, portanto, quando temos um computador quântico criptográfico relevante, ele seria capaz de quebrar essas chaves em segundos, minutos.
INGO SCHUBERT: Sim.
DAVID LELLO: E, portanto, a maioria dos dados que consumimos, usamos e acessamos estaria vulnerável a ataques.
INGO SCHUBERT: Sim. E o argumento de Schor, como mencionei antes, é que hoje não existe um computador quântico que possa executar isso porque são necessárias centenas de milhares de qubits em coesão e funcionando por algum tempo. Então, sim, são alguns segundos, mas mesmo alguns segundos são um problema hoje em dia para alguns computadores quânticos. Portanto, isso essencialmente quebraria ou invalidaria, em certo sentido, o algoritmo RSA, sim, portanto, uma chave pública privada, usando RSA, mas também usando Diffie-Hellman e usando curvas elípticas, ECC. Então, basicamente, todos os que são populares e que foram usados nas últimas duas décadas seriam essencialmente quebrados, certo? Elas seriam quebradas com um computador quântico. É claro que os computadores tradicionais ainda teriam dificuldades, como sempre têm, portanto, não há ameaça.
E, sim, se isso estiver quebrado, esses algoritmos são usados em todos os lugares, certo? Então, esses são, você sabe, seu TLS tradicional, uma comunicação de servidor da Web, de um cliente para o servidor da Web, VPNs, assinaturas de e-mail, criptografia de arquivos sendo enviados e tudo isso, você sabe, todos eles são frequentemente baseados em RSA, ECC e ou Diffie-Hellman, certo? Portanto, isso seria, na verdade, catastrófico.
DAVID LELLO: Seria, com certeza. Seria completamente catastrófico. Acho que, quanto mais eu analisar o assunto e quanto mais casos de uso eu tiver, mais sistemas falharão. É um problema global. Como a autenticação e a autenticação no sistema financeiro. Até mesmo coisas como o Bitcoin ficam comprometidas. Eles usam criptografia de curva elíptica e isso pode ser comprometido. Como consequência, o sistema financeiro é totalmente quebrado.
Então, sim, isso pode ser absolutamente catastrófico. Acho que podemos ver os principais problemas nos casos típicos de uso amplo, mas também em problemas menores e menos públicos, nos quais as pessoas nem sempre pensam, portanto, quando começamos a falar sobre IOT e OT e começamos a pensar em dispositivos médicos e equipamentos médicos, a capacidade de comprometer isso. Pegue uma pessoa que esteja usando uma bomba de insulina.
Se eu conseguir comprometer a criptografia dessa bomba de insulina, posso matar alguém.
INGO SCHUBERT: Sim.
DAVID LELLO: De repente, a criminalidade por trás dessas coisas pode se tornar exponencialmente mais significativa. E começamos a ver coisas como Minority Report e casos de uso do tipo Terminator acontecendo.
INGO SCHUBERT: Agora você está falando. Isso ficou interessante agora, sim.
Mas, voltando à disponibilidade de computadores quânticos, isso não acontecerá da noite para o dia, porque não seria apenas de um dia para o outro. Vamos supor que alguém, sim, finalmente consiga um computador quântico com 200.000 cúbitos para executar o algoritmo de Shor, por exemplo. Normalmente, são cerca de um milhão. Há algumas pesquisas que dizem que você só precisa de cerca de 100 mil qubits. Não é como se, de repente, todo mundo tivesse um computador quântico. São apenas alguns governos e instalações de pesquisa que têm acesso à computação quântica. Não é como se todo criminoso cibernético tivesse acesso a ela.
Mas a ameaça é real. Acho que é um pouco semelhante ao problema do ano 2000. Então, já prevíamos isso há algum tempo, mas fizemos coisas para mitigá-lo e acabou sendo um pouco inútil.
DAVID LELLO: Mas só porque fizemos alguma coisa.
INGO SCHUBERT: Exatamente. Só porque fizemos alguma coisa, certo? Portanto, se não tivéssemos feito nada, isso provavelmente teria sido um grande problema, mas fizemos algo e acabou dando tudo certo, certo? E acho que provavelmente será semelhante a esse caso aqui, porque há coisas que podem ser feitas, o que nos leva ao próximo trabalho.
Sim, então podemos discordar sobre quanto tempo teremos, certo? Então, apenas para esclarecer isso, houve um relatório do MITRE, um instituto de pesquisa financiado pelo governo dos EUA, um relatório recente no início do ano e eles colocaram o algoritmo do Shor em algum lugar como o início da década de 2040, provavelmente mais para a década de 2050, então não é como se eles tivessem um incentivo para divulgá-lo corretamente, então foi um relatório sólido, mas mesmo que você diga que é muito mais cedo, é improvável que seja antes da década de 2030. Acho que é altamente improvável, a menos que aconteça algum milagre. Então, o que você pode fazer hoje para se preparar para esse apocalipse quântico?
DAVID LELLO: Acho que definitivamente será muito mais rápido do que 2050. Acho que, sabe, odeio tentar prever, porque é algo impossível. Sabe, quando alguém tenta prever o futuro, inevitavelmente fracassa porque não temos uma mente sobrenatural.
INGO SCHUBERT: Bem, vamos nos encontrar em 2055. No mesmo horário, sim, para podermos conversar sobre isso. Se eu ainda estiver lá dentro.
DAVID LELLO: Com certeza. Vamos fazer isso. No mesmo horário, no mesmo lugar. Vamos fazer isso. Tudo bem, mas se for antes, acho que vamos ver como podemos comemorar esse evento, porque acho que com qualquer avanço na tecnologia, uma descoberta acontece, e acontece em um momento. Pode acontecer na próxima semana. Pode acontecer daqui a 10 anos. Não sabemos. Mas isso vai acontecer, tenho certeza, porque a ciência existe. Ela é confiável. É real. Você sabe, um campo de girassóis é capaz de manter a coesão neste momento. A estabilidade existe à temperatura ambiente, em um campo, com todas as coisas que estão acontecendo ao seu redor. Animais correndo lá embaixo, poluição e tudo o mais. Um campo de girassóis pode ter coesão.
INGO SCHUBERT: É isso mesmo.
DAVID LELLO: Por que vários cientistas fazem isso?
INGO SHCUBERT: Sim, mas eles têm alguns milhões de anos para evoluir, certo? Esse é o meu ponto de vista. Concordo com isso, mas eles têm um pouco de vantagem, certo?
DAVID LELLO: Voltando à questão, acho que um dos problemas que temos, e abordamos um pouco no Bletchley Park, é que o que temos no momento em termos de prática e o que chamaríamos de boa prática em relação ao gerenciamento de chaves criptográficas, acho que muitas empresas falharam. Portanto, quando se trata de eventos, há alguns anos, tivemos a vulnerabilidade do SSL, e todo mundo se agitou e procurou substituir as chaves. Isso fez com que as organizações se tornassem muito mais ágeis em termos de rotação de suas chaves TLS, o que é fantástico. Isso está resolvendo uma boa parte do problema. Se você tiver agilidade em suas chaves TLS, isso significa que poderá alterá-las. Talvez seja necessário fazer alguns testes ao longo do caminho para garantir que tudo funcione.
Mas as organizações podem começar a pensar agora em sua autoridade de certificação e em como elas emitem suas chaves e como substituem suas chaves em um nível TLS. E isso é bom. O problema que encontramos quando entramos em uma organização é que 20 a 30, talvez até 40% das chaves não são gerenciadas dessa forma. Muitas vezes, muitos hardwares têm chaves incorporadas em uma infraestrutura de hardware e algumas dessas peças de hardware podem durar 20 anos, e a capacidade de alterar as chaves nesse hardware significa alterar o hardware.
Também temos muitas práticas ruins de codificação, especialmente nos dias de compilações monolíticas em que os aplicativos têm chaves incorporadas nos próprios aplicativos. E quando começamos a pensar sobre o que não aconteceu apenas.
INGO SCHUBERT: Acho que esse é o meu ponto. Essa foi uma prática ruim, independentemente de haver ou não computação quântica.
DAVID LELLO: É. Portanto, quando começamos a pensar nessa ideia do Dia Q, que no Y2K foi fácil porque tínhamos uma data. Com o Dia Q, não temos uma data.
INGO SCHUBERT: Muito bem visto.
DAVID LELLO: Mas quando isso acontecer, e pode acontecer amanhã ou daqui a 10 anos ou, se você estiver certo, daqui a muito mais tempo, teremos uma situação em que uma boa parte da organização e suas chaves não poderão ser substituídas facilmente, e entraremos em pânico. Teremos um problema enorme, pois os dados ficarão comprometidos.
Mas também, o outro problema que temos é algo que me fazem muitas perguntas, que é a ameaça ‘coletar agora, descriptografar depois’. E temos visto dados criptografados sendo roubados há anos. Quero dizer, neste país, com David Cameron, ele disse que todos os nossos dados foram roubados pela China, mas isso não importa. Eles são criptografados. Portanto, voltando alguns anos atrás, esse tipo de afirmação não deixa de ser verdade agora, considerando as tecnologias que temos com o tempo, com um computador quântico, isso se torna um problema. E sim, é claro, os dados envelhecem.
INGO SCHUBERT: Mas alguns desses dados ainda serão relevantes. Não todos, mas alguns. Então, acho que é a mesma coisa. Por exemplo, eles ficaram lá fora e, sim, se forem descriptografados daqui a cinco anos, quem se importa, certo? Ou em 10 anos, sim. Portanto, você pode argumentar que muitos dos dados de identidade para autenticação, se eles forem descriptografados em cinco ou dez anos, você não se importará muito com eles, pois já estarão desatualizados. Mas há muitos dados estratégicos em que, sim, isso pode prejudicá-lo por décadas, certo? E você nem precisa ser um estado. Você pode ser apenas uma corporação normal, uma empresa normal.
DAVID LELLO: Exatamente.
INGO SCHUBERT: E qual é o caso?
DAVID LELLO: Quero dizer, você sabe, a quantidade de organizações em que eu entro que têm sistemas legados. Na verdade, estive em uma organização há pouco tempo em que havia um aplicativo. Eles o tratavam como uma caixa preta, e o tratavam como uma caixa preta porque o código-fonte havia sido perdido. A pessoa que o escreveu já se foi há muito tempo, não toque nele. Se ele cair, a resposta é ligá-lo ou desligá-lo, ligá-lo novamente e rezar, porque é a única coisa que você pode fazer. Não há nada que você possa fazer. E esse sistema controlava todo o acesso em suas lojas, todo o acesso em suas lojas. E se for comprometido, se for derrubado, você derruba a organização.
INGO SCHUBERT: Ponto único de falha.
DAVID LELLO: Ponto único de falha. A quantidade de organizações que estamos visitando onde há esse ponto único de falha é extraordinária. As organizações realmente precisam começar a pensar em como modernizar sua infraestrutura de gerenciamento de identidade e acesso. Quando começamos a pensar em gerenciamento de identidade e acesso, o gerenciamento de identidade e acesso é o caminho para tudo. Vimos os últimos ataques de ransomware que estão ocorrendo na Alemanha, bem como aqui no Reino Unido, na Itália e em outros lugares. Esses ataques de ransomware têm como alvo os sistemas de controle de acesso. Eles têm como alvo a autenticação porque é um alvo fácil e suave, seja o Active Directory ou um sistema como o que descrevi, a capacidade de realmente comprometer o acesso derruba a organização, interrompe a comunicação e a capacidade de acesso. A modernização do gerenciamento de acesso à identidade nesse contexto será uma das grandes prioridades.
INGO SCHUBERT: Sim, sim. É difícil argumentar contra isso porque, você sabe, isso faz sentido, não importa como você olhe para isso, certo? Acho que quando voltamos ao gerenciamento de chaves de criptografia básica, muitos clientes não sabem o que têm, certo? Eles não têm uma boa visão de onde criptografam, onde estão as chaves, onde assinam digitalmente. Eles não têm essa visão geral. Acho que isso é parte do problema, certo? Porque não se pode consertar o que não se sabe que existe. Muitos dos clientes tiveram dificuldades com a simples higiene cibernética básica. Infelizmente, é isso que vejo constantemente, certo? Hoje de manhã, em uma ligação sobre um cliente que está usando um software da RSA com 20 anos de idade, com 20 anos de idade, certo?
DAVID LELLO: Uau.
INGO SCHUBERT: Então, na verdade, eles ligaram para o nosso suporte sobre algo e o suporte não conseguiu responder, e é como se, sim, claro, você sabe, provavelmente o pessoal de suporte que estava atendendo à chamada telefônica provavelmente estava no jardim de infância quando esse software foi lançado, certo? Portanto, o que quero dizer é que, enquanto não fizermos essa higiene e visibilidade cibernéticas básicas, em primeiro lugar, não será possível atingir esse estado de prontidão quântica, ou seja, estar pronto para o dia Q. Isso é simplesmente impossível. Isso é simplesmente impossível.
Além disso, minha opinião é que você não pode se preocupar com a computação quântica até que conserte essas coisas, certo? Porque se você não sabe qual software está executando, se não o mantém atualizado, é claro que você depende que os fornecedores consertem isso, como se você estivesse implementando criptografia pós-quântica, por exemplo, certo?
Mas se o software for lançado com a nova versão, com todas essas coisas legais de computação quântica, e você não o instalar, isso fará com que ele não exista, certo? E, além disso, mesmo que você faça isso, se suas políticas e procedimentos relacionados, por exemplo, ao gerenciamento de dados, não estiverem corretos, do que estamos falando aqui? Então, se o invasor puder simplesmente telefonar para o seu help desk e pedir para entrar, ele não precisará de um computador quântico para fazer isso, certo? Ele não precisa disso hoje. Não precisou ontem. Não precisará amanhã. Eles simplesmente telefonam para o seu help desk se suas políticas não estiverem corretas e obtêm acesso.
Portanto, há muitas coisas que podem dar errado, deram errado e darão errado, que não têm nada a ver com computadores quânticos. E meu medo é que as pessoas estejam olhando para essa coisa quântica, esse Q-Day, e se distraiam com esse brinquedo bonito e brilhante, certo? Enquanto elas têm muito dever de casa para fazer, o que provavelmente não tem sido feito há décadas, certo? E, é claro, você pode argumentar que precisa fazer isso, ter visibilidade, aplicar patches, corrigir seus procedimentos. Se for necessária essa ameaça da computação quântica para que um cliente faça isso, que assim seja, certo? Eu poderia ficar feliz.
Mas uma parte de mim pensa: "Não, porque o que acontecerá se encontrarmos um obstáculo com a computação quântica? E, por alguns anos, não houver nenhuma vantagem ou avanço real, e então você pensa: "ah, isso é tipo, você sabe, década de 2060, como se eu já tivesse saído do mercado de trabalho há muito tempo, então não preciso me preocupar com isso", e essa é a abordagem errada, porque você deve resolver isso, não importa o que aconteça.
Vou lhe dar um pouco de conhecimento, sim, alguns nomes, sim, o filósofo alemão Emmanuel Kant, sim, agora não corte esse editor, sim, isso é k, isso é k. Isso é K -A -N -T, certo? Portanto, eu o chamo de Emmanuel de agora em diante, sim.
Filósofo alemão, século 18, e muitas coisas inteligentes que ele disse. Mas uma das coisas que acredito ser uma das mais inteligentes é que você faz a coisa certa porque é a coisa certa a fazer, certo? Não porque isso lhe rende alguns pontos com alguma divindade, algo assim. Você faz isso porque é a coisa certa a fazer.
E ter uma boa visão geral de onde você criptografa, como você criptografa sobre políticas, procedimentos, patches e tudo isso é a coisa certa a fazer, independentemente de a computação quântica estar a 10 anos, 20 ou 30 anos de distância. Não importa. Você precisa fazer isso. Agora, você deveria estar fazendo isso nos últimos 20 anos. Esse é essencialmente um ponto. Acho que é nesse ponto que concordamos. Sim, com certeza. Acho que a motivação por trás disso é o ponto em que discordamos, pois temos opiniões diferentes sobre onde a computação quântica está e onde ela estará. Mas, com certeza, se houver um cliente que diga que preciso estar pronto para a computação quântica, o esforço não será desperdiçado.
DAVID LELLO: Não, absolutamente não. Acho que também, Ingo, uma das coisas que é uma realidade que sempre me desafia, porque passamos muito tempo com diretorias de grandes empresas conversando com diretores financeiros e afins, e uma empresa existe com o objetivo de fornecer um produto ou serviço e, se estiver no setor privado, terá lucro, a não ser, é claro, que seja uma instituição de caridade, mas não vamos nos preocupar com isso. Assim, investir em algo porque é a coisa certa a fazer torna-se mais uma discussão filosófica. Não acho que essa seja necessariamente a abordagem correta.
INGO SCHUBERT: Bem, sim, com certeza.
DAVID LELLO: Embora eu concorde com você, absolutamente 100%, sabe, do ponto de vista da fé, do que eu acredito, eu sempre gostaria de fazer a coisa certa. Mas a realidade é que as empresas não existem para isso. Elas não existem para fazer a coisa certa. Às vezes, elas são um pouco imorais.
INGOSCHUBERT: Sério? É a primeira vez que ouço isso. Deixe-me anotar isso.
DAVID LELLO: Então, acho que o que você faz é olhar para isso de uma forma diferente e acho que uma das realidades que vemos e que ressoa e as pessoas entendem é medir, reconhecer e perceber qual é a minha exposição ao risco associada a um determinado ambiente e precisamos vinculá-la a algo que seja tangível, precisamos sempre voltar a pensar em como posso construir um caso de mudança neste mundo, sim, e como é a mudança? Um dos desafios que enfrentamos, porque quando começamos a procurar ajudar as organizações a responder a esse problema, é que não existe uma estrutura que lide com a preparação quântica. Não há uma.
Então, nós escrevemos um. Escrevemos um padrão para dizer que aqui está uma abordagem para analisar a quântica. Pegamos vários padrões diferentes do NIST e de boas práticas, ISF e várias coisas diferentes para podermos criar um modelo e uma estrutura para que possamos começar a analisá-los. Mas o que isso faz é permitir que comecemos a analisar e dizer: "Bem, quando você pega um sistema como esse sistema de identidade que gerencia todo o acesso que é um ambiente de caixa preta, qual é a minha exposição ao risco de ter uma máquina como essa? E vou retirar completamente a quântica. Qual é o meu risco? Eu realmente entendo meu risco? Se isso cair, o que acontecerá com meu ambiente? E se eu puder avaliar esse risco, tenho que fazer algo a respeito.
INGO SCHUBERT: Ah, e isso é, quero dizer, no final das contas, é o gerenciamento de risco adequado, que vejo que está faltando em muitas empresas ou organizações em geral, certo? E isso de fato precisa ser feito e deveria ter sido feito há anos e deveria ser feito hoje, independentemente da computação quântica ou não. Esse é o meu ponto de vista.
Bem, é claro que eles não fazem isso porque é a coisa certa a fazer, certo? Esse é um argumento financeiro difícil de ser apresentado. Concordo plenamente com você. Mas há todas as outras ameaças pelas quais eles deveriam estar fazendo isso, certo? E, mais uma vez, se você precisar vender esse conceito de analisar tudo isso e descobrir e ter um gerenciamento de risco adequado por causa da computação quântica, pode ser minha opinião, certo? Acho que esse é o caminho certo. Se essa for a alavanca de que você precisa para obter a assinatura, sim, com certeza, faça isso. Porque, no final, mesmo que a computação quântica ainda esteja a 30 anos de distância, você ainda se beneficia hoje. Porque ter essa prontidão ajuda você a estar seguro hoje também. Você não está desperdiçando dinheiro. Sim, então acho que essa é a coisa certa a se fazer. E há algumas recomendações e algumas estruturas da Europa, por exemplo, eles dizem que até 2026 - o que, para ser franco, você já deveria ter feito se quiser estar em conformidade com o DORA. Talvez você veja as mesmas coisas novamente porque não vê algumas pessoas fazendo isso. Portanto, visibilidade e gerenciamento de risco até 2026 e, em seguida, alguma preparação quântica de alguma forma até 2030 para alto risco e 2035 para baixo e médio risco, certo? Portanto, parece estar muito longe, mas, sabe, já estamos, tipo, no final de 2025, quando registramos isso, o lançamento é 2026.
Portanto, é como se isso estivesse a apenas alguns anos de distância. E se voltarmos ao início de nossa conversa, se olharmos para o problema do Y2K, sim, se você começou em 1999, provavelmente está um pouco atrasado para isso, certo? Portanto, você precisa estar preparado agora, com certeza, certo.
DAVID LELLO: Acho que uma das coisas que você mencionou, que considero um ponto fascinante em termos de psicologia humana, são as regulamentações, as regulamentações europeias e coisas como Dora. As regulamentações só entram realmente em vigor porque as empresas são negligentes em fazer a coisa certa.
INGO SCHUBERT: Sim, com certeza.
DAVID LELLO: E como não estão fazendo a coisa certa, os legisladores dizem que teremos um grande problema no país, a menos que analisemos a questão. Portanto, as leis entram em ação quando é preciso fazer algo. Portanto, o NCSC do Reino Unido criou orientações sobre quantum. E temos o DORA na Europa. E, infelizmente, por causa do Brexit...
INGO SCHUBERT: Você trouxe isso, eu não trouxe.
DAVID LELLO: Estamos apenas começando a analisar o nosso Projeto de Lei de Resiliência. Portanto, o Projeto de Lei de Resiliência foi liberado para comentários públicos. Portanto, a primeira edição foi liberada e os comentários estão sendo feitos. Em breve, teremos uma leitura no Parlamento. Esperamos estar em dia com o resto do mundo nessa questão específica.
INGO SCHUBERT: Bem, exceto os EUA. Os EUA parecem ser, você sabe, um lugar selvagem no mapa, sim. Sim, realmente é. Sim, é como se, e vejo isso conversando também com colegas americanos, sim, é como se, sim, nós realmente não tivéssemos isso, certo? Mas em todos os outros lugares do mundo, parece que a resiliência, o gerenciamento de riscos parece ser um pouco mais maduro em termos de regulamentações e perdas, sim, o que é...
DAVID LELLO: Você tem que ter isso.
INGO SCHUBERT: Você tem que ter isso, certo? E quando você as lê, e você provavelmente já leu tanto ou mais do que eu, algumas dessas coisas são óbvias, como ter um gerenciamento de risco adequado. É como se você devesse saber que, se essa coisa cair, você saberá as consequências, certo? Claro que sim, porque sua empresa está ganhando dinheiro e há algo que a impede de fazer isso. Você deve saber por que e como consertar isso. E, no entanto, eles não fazem isso até serem obrigados por lei, o que é triste em alguns sentidos, certo?
DAVID LELLO: Infelizmente, a natureza humana entra em ação. No entanto, tenho dificuldade em lidar com isso porque essas coisas não são difíceis, você sabe que analisar os riscos e o gerenciamento de riscos não é difícil.
INGO SCHUBERT: Não, mas leva tempo.
DAVID LELLO: E isso leva tempo, mas quero dizer que existem muitas tecnologias diferentes que podem ajudar a simplificar o processo. Sabe, os computadores são projetados para automatizar processos. A razão pela qual temos computadores é porque temos processos manuais que exigem exércitos de pessoas para realmente fazer algo. Com os computadores, podemos automatizar todo esse processo. E com os sistemas modernos, podemos automatizar ainda mais. Por exemplo, você pode pegar coisas como o gerenciamento de vulnerabilidades. Se você tiver um ambiente modernizado e uma varredura de vulnerabilidades implementada, terá uma visibilidade relativamente boa em termos de riscos tecnológicos.
INGO SCHUBERT: Sim. A mesma coisa para nós. Governança de identidade. No fim das contas, não se trata de ciência de foguetes. Sim, é claro. Você conectará todos os sistemas diferentes, talvez crie algumas regras e tudo isso. Mas então você tem essa visibilidade e tem a visão de você, sabe, em termos de segregação de funções, conformidade e tudo isso. E, sim, é um trabalho. Sim, é um investimento em termos de dinheiro e tempo, é claro, mas você ganha algo com isso.
DAVID LELLO: Sim.
INGO SCHUBERT: Certo. Acho que as pessoas também não percebem que o gerenciamento de risco provável também lhe dá algo em troca, porque você descobre coisas que talvez não devesse investir todo esse dinheiro nessa proteção ou está tornando essa coisa resiliente porque não tem um impacto tão grande, enquanto na outra você deveria investir mais porque, se ela cair, coisas ruins acontecerão. Acho que isso também acontece, e é claro que você não percebe isso porque, se não fizer um gerenciamento de risco adequado, não terá essa visibilidade, então como tomar essa decisão, certo? Portanto, as pessoas, basicamente, as organizações estão se prejudicando por não fazerem isso, certo?
DAVID LELLO: E a governança de identidade é muito importante em termos de capacitação e ajuda. É verdade. Sabe, quando converso com muitas organizações sobre identidade, a identidade não é uma daquelas coisas de segurança que você faz porque, sabe, é uma apólice de seguro. A identidade é um facilitador. É um verdadeiro facilitador de negócios para ajudar as organizações a serem mais eficientes e mais eficazes em termos de como as pessoas têm acesso. Mas é fundamental ter o acesso certo, na hora certa e no lugar certo, e ter os modelos de governança que realmente conduzam a isso. Portanto, quando começamos a analisar os controles de ITGC e os sistemas financeiros, e você começa a analisar como o acesso precisa ser criado em seus direitos, sua segregação de funções e os mandatos que o acompanham. Essas coisas não são novidade. Elas estão escritas na Lei das Empresas e na Regulamentação Financeira há décadas.
INGO SHUBERT: Com certeza.
DAVID LELLO: E a capacidade de controlar isso com um bom sistema de governança de identidade já existe. E com uma solução modernizada, isso se torna realmente muito fácil. Não é tão difícil quanto as pessoas pensam.
INGO SCHUBERT: Olhe para nós. Falando sobre governança de segurança de identidade e começamos com quantum. É como se, sim, mas esse é o ponto. Acho que isso é algo que também abre as portas para algumas discussões com clientes ou organizações em geral, onde, por exemplo, sim, está tudo bem. Falar sobre a ameaça quântica e, você sabe, mas no final você acaba em discussões que não são realmente sobre quântica, mas sobre outras coisas. Que, sim, você pode consertar agora, você deve consertar agora, independentemente do que aconteça no futuro.
DAVID LELLO: É o conceito básico de higiene.
INGO SCHUBERT: É o conceito básico de higiene, exatamente. Essa é uma maneira perfeita de encerrar o assunto. Então, David, obrigado. Poderíamos conversar por horas, de fato, toda vez que nos encontramos. Então, muito obrigado. Acho que a ameaça quântica pode parecer distante.
Pode ser que sim, pode ser que não. Mas esperamos que, durante essa conversa, nossos telespectadores e ouvintes tenham tido a ideia de que, independentemente de você dever fazer coisas hoje para se preparar para a quântica. Isso não faz mal algum.
O que você obtém com isso o beneficia hoje em relação às ameaças que existem hoje, certo? Você não precisa esperar 20 anos para perceber os benefícios. Na verdade, você os obtém hoje.
Isso encerra o debate de hoje sobre a computação quântica e seu impacto na segurança da identidade. O futuro quântico é ficção científica e as organizações precisam entender onde estão os riscos e as oportunidades reais. Se você quiser obter mais informações sobre a resiliência da identidade e as tecnologias que preparam as organizações para o futuro, acesse RSA.com. Se você quiser ter acesso a mais episódios do RSA Identity Unmasked, não se esqueça de se inscrever. Obrigado por nos acompanhar e até a próxima.
