RSA Identity Unmasked

INGO SCHUBERT
Bem-vindo ao RSA Identity Unmasked. As senhas têm sido o elo mais fraco da segurança há décadas. No entanto, elas continuam a sustentar a forma como as organizações autenticam usuários, protegem sistemas e estabelecem confiança. Esse modelo não é mais sustentável. Os invasores não precisam invadir, eles fazem login.
E à medida que o phishing, o roubo de credenciais e os ataques orientados por IA evoluem, as limitações da segurança baseada em senhas estão se tornando impossíveis de ignorar. A mudança para a autenticação sem senha não é apenas uma melhoria na experiência do usuário.
Trata-se de uma mudança fundamental na forma como as organizações estabelecem e reforçam a confiança. Neste episódio, exploramos o que realmente significa "sem senha", como tecnologias como passkeys e autenticação resistente a phishing estão elevando o padrão e o que as organizações precisam fazer para que a transição seja bem-sucedida.
Sou Ingo Schubert, e hoje estou acompanhado aqui no estúdio por Paul Mulvihill, da nossa equipe de engenharia, e também remotamente por Rob Hugh, diretor de segurança da informação da RSA, e Alex Sumerer, chefe de autenticação da Swissbit.
Paul, Rob e Alex, obrigado por estarem conosco.
Durante décadas, as senhas foram o elo mais fraco da segurança. Será que finalmente estamos chegando a um ponto em que as organizações podem ir além delas? Paulo.

PAUL MULVIHILL
Acho que estamos indo na direção certa. Temos cada vez mais tecnologia que não precisa necessariamente deles, mas temos muitos sistemas que ainda precisam deles devido ao seu legado.

INGO SCHUBERT
Rob, qual é a sua opinião sobre isso?

ROB HUGHES
Acho que temos uma mistura de pessoas: algumas já se envolveram e estão totalmente sem senha e usando chaves de acesso, enquanto outras não sabem muito bem o que fazer. Talvez não tenham sofrido um incidente de identidade grave recentemente e seus programas são muito reativos, portanto, não sabem como proceder. Isso pode ser um pouco assustador para eles.

INGO SCHUBERT
Essa também é sua experiência, Alex?

ALEX SUMMER
Eu diria que, se você observar o número de incidentes, eles estão crescendo significativamente, e as empresas estão preocupadas. As primeiras implementações de esquemas sem senha são bem-sucedidas. É mais uma questão de integrá-los e lidar com a complexidade e o legado. Mas há um grande avanço no sentido de simplificar as soluções sem senha em várias organizações.

INGO SCHUBERT
Portanto, as senhas existem há décadas. E sabemos há pelo menos 10 ou 15 anos que elas são uma má ideia, certo? Isso está bem claro, e estava bem claro desde o início. Mas por que as senhas persistiram por tanto tempo apesar dessas falhas óbvias? Eu provavelmente diria que é porque elas são um fator comum. Todo mundo consegue se lembrar de alguma coisa. Não é necessariamente o melhor caminho a seguir, mas as senhas existem há tanto tempo que quase todos os sistemas aceitam um nome de usuário e uma senha. Portanto, se você quiser algum nível básico de segurança, ele está lá. Mas agora há muitas maneiras melhores e mais fortes de autenticar alguém. Para mim, é o legado: tantos sistemas mudaram tão rapidamente e as senhas continuam sendo o fator comum.

INGO SCHUBERT
Alex, qual é a sua opinião sobre isso?

ALEX SUMMER
As senhas, é claro, são fáceis de usar e implementar pelas organizações. Para o usuário final, elas também são bastante comuns. Com uma senha, você nunca terá problemas para fazer login, desde que se lembre da senha. Mas os problemas surgem com a segurança. O fato de não ser resistente a phishing é uma grande preocupação, especialmente com todos os ataques que estão ocorrendo. Não há como acompanhar um esquema baseado em senha. No entanto, as senhas são amplamente implementadas porque são fáceis de implementar e de usar pelos usuários.

INGO SCHUBERT
Alex, você mencionou que o phishing é, obviamente, uma ameaça às senhas. Há algum outro risco que as senhas ainda apresentam hoje se você continuar a usá-las? Rob, talvez.

ROB HUGHES
Sim, acho que há muitos riscos. Há apenas alguns anos, quando o Snowflake não exigia MFA nas contas e as pessoas o tratavam como opcional, muitos usavam apenas um nome de usuário e uma senha para proteger seu armazenamento. Isso resultou em uma série de invasões de contas. Isso mostra a facilidade com que, se você tiver apenas um nome de usuário e uma senha, alguém pode entrar e obter dados. Isso também mostra como estamos próximos desse limite: se estivermos usando senhas e não ativarmos a MFA, estaremos basicamente nos preparando para uma invasão de conta. É apenas uma questão de tempo, pois as pessoas geralmente reutilizam as senhas. Esse é outro problema com as senhas: é impossível alguém se lembrar de 50 senhas diferentes, portanto, a maioria das pessoas usa a mesma senha para muitas coisas. Assim que uma dessas senhas é comprometida, uma série de outras coisas pode ser comprometida, a menos que você tenha MFA ou não use senhas. Assim, você não terá essa preocupação. Mesmo como profissionais de segurança, pelo menos em minha experiência, a segurança é difícil. Eu reutilizo algumas senhas, embora com pequenas variações. Não para as confidenciais, é claro, mas sim, isso certamente é um problema.

INGO SCHUBERT
Então, Alex, quando as pessoas falam sobre a ausência de senha, a quais tecnologias elas se referem?

ALEX SUMMER
Há vários esquemas disponíveis e amplamente utilizados no setor. Eu começaria com a senha de uso único, ou OTP. Ela existe há décadas. A ideia é ter uma senha dinâmica: toda vez que você faz login no seu site, você tem uma senha diferente e tem um gerador para gerá-la. O esquema OTP tem vantagens: ainda é fácil de usar. Você precisa definir uma configuração para ele, mas depois poderá fazer login com facilidade. No entanto, ele não é totalmente resistente a phishing, pois ainda pode ser interceptado e um invasor pode realizar um ataque man-in-the-middle. Há também esquemas baseados em PKI. PKI significa criptografia de chave pública. Você tem uma chave privada em seu autenticador e faz login em um sistema de serviço. Isso tem uma grande vantagem porque a criptografia de chave pública é altamente segura, é resistente a phishing e há uma forte assinatura criptográfica por trás do processo. A desvantagem é a complexidade de lidar com certificados, que precisam ser mantidos em um ambiente de PKI. O terceiro esquema é bastante novo, mas está evoluindo cada vez mais. Ele é definido pela FIDO Alliance e é conhecido como autenticação FIDO. FIDO significa Fast Identity Online (identidade rápida on-line). É um padrão que agora está implementado em várias plataformas. Ele se baseia em criptografia de chave pública, é muito forte e resistente a phishing, e o melhor de tudo é que é fácil de manter. Não é necessário gerenciar certificados como em um esquema baseado em PKI. Mais ou menos, esses são os padrões do setor usados para autenticação sem senha.

INGO SCHUBERT
Obrigado, sim. Desculpe, Rob, vá em frente.

ROB HUGHES
Quanto ao ponto de vista de Alex sobre as chaves de acesso FIDO, isso certamente é o mais importante em nossas mentes quando pensamos em não ter senhas. Mas também temos mecanismos como os códigos QR, em que é possível usar algo que você tem, como o telefone, e algo que você é, como a biometria fornecida pelo telefone. Com essas tecnologias prontamente disponíveis e nas mãos de todos, ficou muito mais fácil progredirmos com o uso de senhas. Quando falamos de senhas, estamos falando de algo que você sabe. Para reduzir o poder desse fator, você pode usar um PIN, mas com os PINs você pode ter alguns dos mesmos problemas. Muitos dos mecanismos mais seguros são criados com base em algo que você tem e em algo que você é, com os elementos biométricos incorporados.

INGO SCHUBERT
Portanto, você precisa de um dispositivo para autenticar, seja um telefone celular ou um dispositivo físico, como um pendrive, correto?

ROB HUGHES
Sim, certamente algo como as chaves iShield ou os tokens RSA - coisas que podem ser o 'algo que você tem'. Às vezes, você pode ter uma combinação desses itens para redundância ou flexibilidade. Se alguém perder o telefone, o que fará? Se ela tiver o token iShield à mão, poderá usá-lo e colocar o novo telefone on-line mais rapidamente. Portanto, há alguns aspectos relacionados à integração e ao desligamento que você deve considerar ao usar esses dispositivos.

INGO SCHUBERT
Então, autenticação resistente a phishing: como isso muda o modelo de segurança? Paul?

PAUL MULVIHILL
Se você trouxer algo que seja resistente a phishing, será mais difícil para alguém obter esses dados de você. Eles não podem simplesmente fazer com que você clique em um link ou coagir você a obter as informações, porque parte delas está armazenada com você, mas não é baseada em conhecimento. Com uma chave de acesso ou um método sem senha de código QR, é algo que você tem e não pode dar a ninguém. Com uma senha ou um OTP, você pode lê-la para alguém. Mas, com uma chave de acesso, o nível de segurança aumenta muito, porque você não pode fornecê-la a outra pessoa. Você não pode me ligar e pedir que eu faça o seu login com a minha chave de acesso por meio do seu computador, porque a coisa física não está com você. Isso elimina o elemento de alguém poder compartilhar sua parte do processo de autenticação, seja intencionalmente ou não. Como técnico, você nunca diz que algo é absolutamente impossível, mas o nível de segurança aumenta porque eu não posso fazer o seu login ou o login de outra pessoa, quer eu esteja fazendo isso conscientemente ou não.

INGO SCHUBERT
Alex ou Rob, têm algo a acrescentar?

ROB HUGHES
Sim. Se as chaves de acesso forem necessárias, você terá a obrigação de usar segurança aprimorada, o que o impede de compartilhá-la, como disse Paul. Mas os invasores podem procurar rotas alternativas: o que acontece se a chave de acesso não funcionar? Existem outros mecanismos? Ainda acho que, seja qual for o seu mecanismo sem senha, ele será melhor do que as senhas. Vejo as chaves de acesso como um aprimoramento. Se pudermos aplicá-las em alguns casos, elas oferecem os benefícios da matemática de criptografia por trás do processo. Isso não é algo que possa ser facilmente compartilhado; tem que ser bloqueado em algo que você possui. Mas isso se refere ao mecanismo alternativo caso uma chave de acesso não funcione. Esse é um bom ponto. É importante entender que há mais de um método com alguma resistência a phishing. As chaves de acesso certamente estão perto do topo, em parte por causa da vinculação ao domínio onde você se registrou originalmente. Mas outros métodos também são fortes no sentido de que você não pode simplesmente fazer phishing e reutilizá-los mais tarde. Dependendo do caso de uso, uma chave de acesso pode funcionar, ou outro método pode ser melhor. Ter uma opção é definitivamente importante.

INGO SCHUBERT
Agora, ampliando o escopo para além do puramente técnico, muitas organizações querem autenticação sem senha, certo?

Então, para ser sincero, não conversei com ninguém que tenha dito "não, eu não quero isso", certo? Definitivamente, existe a necessidade e a vontade de fazer isso. Mas a adoção pode ser lenta.
Quais são as maiores barreiras? Rob, talvez.

ROB HUGHES
Falei com pessoas da área de segurança com quem não falava há algum tempo e perguntei: 'Você já está sem senha?'. Alguns disseram que não. Quando perguntei por que não, acho que parte disso se resumiu a FUD: medo, incerteza e dúvida. Eles não têm certeza de como começar e não sabem se têm as ferramentas necessárias. A realidade é que, se você tem MFA na maioria dos lugares, geralmente é apenas uma questão de mudar seus mecanismos de autenticação. Depende de você ter ou não todos os recursos disponíveis. Se você já tem recursos de autenticação forte e MFA, é uma questão de ajustá-los peça por peça. Mas as pessoas não sabem por onde começar. A menos que seja uma emergência, elas lidarão com o controle de contas aqui e ali, desde que toda a organização não seja controlada. Elas lidarão com a dor das senhas porque é o que conhecem e está arraigado em sua cultura. É bom desafiar isso e perguntar: o que está impedindo você de deixar de usar senhas? Em muitos casos, as pessoas têm todos os elementos básicos. Elas só precisam começar a usá-los, mas não sabem ao certo por onde começar.

INGO SCHUBERT
Alguém? Alex?

ALEX SUMMER
Uma das principais preocupações que observo é a complexidade dos sistemas de back-end. Você tem vários sistemas a considerar e vários aplicativos, especialmente em grandes organizações. Eles são executados em diferentes tipos de sistemas back-end, e simplificar o gerenciamento de identidade e acesso em todas as várias partes de uma empresa ou empreendimento é um desafio. Não se pode simplesmente dizer: 'Mude para um esquema baseado em FIDO'. É necessário um caminho de migração. O que observo é que isso está acontecendo: a migração está sendo feita, mas leva muito tempo. Durante o caminho de migração, você muda parte por parte para um esquema resistente a phishing. Eu diria que estamos vendo muito movimento, e vejo isso em um sentido muito positivo. Também existe a pressão para fazer uma mudança, porque os incidentes de segurança estão acontecendo e o risco de uma empresa não poder operar devido a incidentes de segurança é uma grande preocupação. Ano após ano, vejo grandes movimentos no mercado e acho que, em alguns anos, a autenticação sem senha será praticamente o padrão em todas as empresas.

INGO SCHUBERT
Você mencionou que alguns aplicativos podem ser movidos, outros talvez não. Então, esses sistemas legados - como eles complicam a transição, Paul?

PAUL MULVIHILL
Tudo se resume à forma como esses sistemas se comunicam com sua plataforma de autenticação. Sempre que falo com os clientes, uma coisa que sempre menciono é que o que você pode fazer é baseado no protocolo. Meu exemplo preferido é o RADIUS. Assim como as senhas, ele existe há muitos anos. Ele faz o que está escrito na lata e funciona até certo ponto, mas tem seus limites. Se você tem um sistema legado que não foi codificado, alterado ou atualizado por muitos anos, será que ele está em uma linguagem que alguém ainda mantém? Como ele pode adotar algo como uma chave de acesso, FIDO, alterações de protocolo, logon único ou todos os outros métodos que o ajudam a entrar em um estado sem senha? Você pode trazer sua nova tecnologia - passkeys, chaves FIDO e logons com código QR - mas o sistema pode não entender essa tecnologia. Ele simplesmente não consegue lidar com ela. Portanto, você pode ter uma seção do seu patrimônio em que o sistema sem senha funciona para 60% ou 70% dos sistemas, enquanto os 30% ou 40% restantes dos sistemas legados ocupam 80% do trabalho. Para colocar todo o patrimônio em um mundo compatível com o sistema sem senha, talvez seja necessário substituí-los ou encontrar algo que possa habilitá-los ou protegê-los sem senha.

INGO SCHUBERT
Acho que isso nos leva a um dos meus assuntos favoritos: você precisa saber o que está lá e entendê-lo. Sim, você quer ficar sem senha; esse é o objetivo final. Sim, você quer ficar sem senha; esse é o objetivo final. Mas onde você está hoje? Você precisa analisar todos esses sistemas, priorizá-los de acordo com o uso, o risco e outros fatores e, em seguida, criar um plano para passar de A para B. Saber de onde você está partindo também se aplica à força de trabalho. Rob mencionou os códigos QR e, com a ausência de senha, há várias opções. Se a sua força de trabalho tem diferentes níveis de conforto com a tecnologia e você oferece vários métodos, saber com o que a sua força de trabalho está satisfeita significa que você pode ter um bom plano. Se a força de trabalho gosta de usar telefones, você pode usar senhas nos telefones. Aqueles que desejam algo físico podem ter uma chave de acesso USB física. Você tem opções porque fez o trabalho de conscientização sobre o ponto de partida. Então, supondo que uma empresa tenha implementado o sistema sem senha, é isso ou ainda há riscos? Rob, talvez.


ROB HUGHES
Mesmo que você tenha implementado o sistema sem senha, é preciso perguntar se realmente pode se considerar sem senha. Se você estiver usando o Microsoft Entra, por exemplo, é necessário ter uma senha conectada ao seu ID de usuário. Você pode ficar sem senha se estiver usando o Entra ID? Se tudo o mais for sem senha, talvez você diga que sim. A realidade é que geralmente há espaços - silos de identidade - em grandes organizações, muitas vezes por causa do legado. Alguns lugares são mais difíceis de mudar e de introduzir novas metodologias. A questão é realmente gerenciá-los e gerenciar os riscos. Eu optaria pelo volume primeiro: deixe todos os seus usuários à vontade com o sistema sem senha e, em seguida, distribua as partes sem senha ao longo do tempo e espalhe o sistema sem senha para esses sistemas. Isso pode levar tempo, mas a implantação da cultura de ausência de senha facilita a identificação dos pontos em que ela não está presente e a promoção dessa prática.

PAUL MULVIHILL
Se você não tiver senha, uma das coisas que as pessoas precisam perceber é que muitos fluxos de trabalho mudam. Se antes você tinha algo que exigia uma senha para se inscrever em alguma coisa, ou uma autenticação baseada em conhecimento para o helpdesk, isso vai por água abaixo porque você não tem mais isso. Então, o que significa a ausência de senha para as operações de TI e o helpdesk? Como você verifica alguém? Como ajudar alguém? Você entra no campo da verificação de ID para integração, como o uso de um passaporte ou carteira de motorista para um cenário de primeiro dia. A recuperação de contas poderia adotar uma abordagem semelhante. Se você não estiver usando um desses métodos, isso se torna significativo. Você precisa descobrir como trazer alguém a bordo de forma segura. Você poderia enviar uma chave de acesso de alguma forma, mas alguém teria que registrá-la de forma segura, a menos que você bloqueie exatamente o que alguém pode usar ou controle como ele entra. Talvez seja necessário dizer que o processo de inscrição exige a presença física em um local e, em seguida, usar sinais como parte da autenticação para restringir as coisas. Isso muda muito a dinâmica em comparação com dizer: 'Eu lhe enviei uma carta ou e-mail com uma senha; altere-a quando fizer o primeiro login'. Nada disso existe se você estiver começando sem senha. Tudo se resume a verificar o que você tem, fazer uma análise de risco e, em seguida, tomar essas decisões. Como são esses fluxos de trabalho para diferentes tipos de usuários? É muito provável que não haja apenas um fluxo de trabalho que se adapte a todos. Dependendo da sua função e do canal que você usa, pode haver diferentes maneiras de realizá-lo.

INGO SHCUBERT
Então, Rob, qual é a sua opinião sobre o helpdesk?

ROB HUGHES
Quando se chega a um ponto em que os usuários não usam senhas, algumas coisas se tornam a sua nova realidade como CISO, analisando o seu programa de segurança. Os invasores, se não puderem assumir o controle das contas dos usuários com senhas, procurarão outras maneiras. Uma delas é a engenharia social do helpdesk. Outra é examinar o processo de integração ou o registro de dispositivos. Você precisa ter certeza de que possui uma cadeia forte em todos esses eventos e de que está promovendo a ausência de senhas em todos eles. Como Paul mencionou, é possível obter mecanismos sem senha para a integração, mas é preciso pensar em como fazer isso. É fácil pensar em integração quando se está acostumado a ter uma senha no mecanismo. Se você receber um novo laptop pelo correio, ele pedirá que você faça o login - então, como fazer isso no primeiro login? É muito importante que não haja senha de ponta a ponta.

INGO SCHUBERT
Nós, da RSA, tivemos a alegria de experimentar o login sem senha há algum tempo, e você fazia parte da equipe responsável pela função na RSA.
Então, como as organizações podem introduzir a ausência de senha sem prejudicar a produtividade do usuário?

ROB HUGHES
Bem, acho que isso depende do fato de você ter os pré-requisitos estabelecidos. Em geral, se você tiver a MFA implementada, esse é um ponto de partida. Se você tiver a flexibilidade de tokens de software e hardware, isso pode ajudar. Se os seus usuários tiverem smartphones com capacidade biométrica, como Face ID ou outros mecanismos biométricos, isso também pode ajudar. Você precisa se perguntar se tem esses pré-requisitos suficientes e, em seguida, começar. Por sermos uma empresa de identidade, tínhamos nosso mecanismo de logon único e, primeiro, introduzimos o sistema sem senha. Penso nisso de algumas maneiras. Primeiro, você disponibiliza a opção sem senha para os usuários: aqui está isso; você pode fazer isso; não precisa de uma senha. Em seguida, você a torna padrão, de modo que a primeira solicitação não seja uma senha. Quando tiver dados suficientes e puder verificar se há algum caso problemático, você o tornará um requisito e dirá que a ausência de senha agora é obrigatória. Se alguém tentar usar uma senha com determinados mecanismos, ela simplesmente não funcionará. Em seguida, você pode passar do SSO para a VPN, o login no desktop ou até mesmo para a conexão sem fio, e procurar obter a ausência de senhas em todo o espaço do usuário antes de focar nos silos de identidade depois disso. Se você fizer isso de forma metódica, reunir o feedback dos usuários e preparar o helpdesk ou o service desk para os prováveis problemas e soluções alternativas, isso poderá ser feito sem grandes interrupções. Também criamos um grupo de teste de voluntários que queriam experimentar primeiro e implementamos as novas tecnologias para eles primeiro. Fomos bem-sucedidos em fazer isso sem grandes interrupções. O segredo é fazer isso de forma metódica: não entre de um dia para o outro, ligue tudo e espere pelo melhor. Faça isso peça por peça e aprenda à medida que avança. É possível que você encontre dívidas técnicas legadas ocultas ou que nem todos tenham a versão correta do telefone para executar o aplicativo mais recente que você está prestes a exigir. Há pequenos contratempos como esse, mas acho que isso pode ser feito sem muito impacto para o usuário.

INGO SCHUBERT
Sem diminuir isso, parece uma implementação normal: você faz isso em etapas, tem suas cobaias - e eu fiquei feliz em ser uma dessas cobaias -, testa as coisas primeiro, amplia o grupo e, por fim, implementa para todos. Essa é uma abordagem sensata e, obviamente, também se aplica a uma implementação sem senha. É bom saber que não há nada de revolucionário ou dramaticamente diferente nisso. Essa deve ser uma abordagem familiar para a equipe de TI em todo o mundo.

ROB HUGHES
Com certeza. Trata-se de seguir as boas práticas de gerenciamento de mudanças. Desde que você consiga fazer isso, não deverá apresentar nenhum desafio de outro mundo.

INGO SCHUBERT
Alex, tem algo a acrescentar sobre o assunto?

ALEX SUMMER
Eu diria o seguinte: os hackers sempre procuram o elo mais fraco, e há três superfícies de ataque. Uma é o protocolo, a outra é a plataforma e a terceira é o processo. Quando se trata de esquemas sem senha, tome o FIDO como exemplo. O FIDO tem um design muito bom. O protocolo é seguro, com uma verificação mútua de autenticidade em ambos os pontos de extremidade, do host ao servidor. Nesse caso, o hacker não examinará o protocolo; ele examinará a plataforma. Há algum ponto fraco na plataforma? É possível implementar o FIDO em várias plataformas: um telefone celular, um PC de mesa ou algo como uma chave iShield - uma chave de segurança FIDO baseada em um chip de cartão inteligente. Dependendo da implementação na plataforma, há diferentes possibilidades de ataque. Com um chip de cartão inteligente, provavelmente será o mais difícil de atacar. Ele oferece uma resistência muito forte a phishing; nem mesmo um teste de penetração funcionaria em um laboratório. Com um PC de mesa, depende do fato de ele ser implementado usando um TPM ou alguma outra tecnologia baseada em confiança, ou de ser uma implementação fraca. Se o invasor não puder atacar o esquema ou a plataforma, ele examinará o processo. Se o processo for fraco, até mesmo um dispositivo como esse pode ser comprometido. Por exemplo, se o dispositivo estiver vinculado a um PIN e você tiver que desbloquear a chave com esse PIN, se o PIN for compartilhado e um invasor tiver a chave, ele poderá usá-la. Portanto, é muito importante proteger o processo, o que também envolve o helpdesk e todo o processo de implementação da empresa. Se todas essas superfícies forem cobertas por medidas de segurança, você estará seguro. Mas não basta dizer: 'Usamos esquemas sem senha, como o FIDO, portanto, estamos seguros'. É preciso considerar o processo, a plataforma e o protocolo.

INGO SCHUBERT
As senhas ou a autenticação em geral representam uma grande vulnerabilidade diante da GenAI e da IA generativa? Rob, qual é a sua opinião sobre isso?

ROB HUGHES
Sim, mas talvez não da maneira que as pessoas imaginam. Não acho que a GenAI possa prever senhas melhor do que os scripts e sistemas que já existem. Trata-se mais de engenharia social: ela amplia esses recursos. Áudio, vídeo e mensagens de e-mail bem elaboradas ou tentativas de spear-phishing ganham um impulso. Isso é importante se os invasores estiverem procurando credenciais básicas ou até mesmo tentando enganar as pessoas para que forneçam credenciais do tipo MFA. É nesse ponto que vejo o maior impacto. Quando alguém tem essas credenciais, a IA também pode facilitar a localização de locais onde elas poderiam ser usadas, pois pode examinar muitas informações de uma só vez e fornecer feedback rápido.

INGO SCHUBERT
Portanto, há definitivamente um aumento no risco com o uso de ferramentas de IA. Tem algo a acrescentar, Paul?

PAUL MULVIHILL
Não, acho que o Rob já falou sobre isso. Isso facilita a vida de uma pessoa no aspecto da engenharia social. A IA pode reunir mais dados com mais facilidade. Em um mundo baseado em senhas, ela pode não ser capaz de informar a resposta diretamente a um invasor, mas provavelmente pode fornecer mais informações mais rapidamente para ajudá-lo a descobrir a resposta.

INGO SCHUBERT
Então, como a ausência de senha ajuda as organizações a se adaptarem às ameaças automatizadas em geral?

PAUL MULVIHILL
Os ataques automatizados, como os ataques de dicionário, são exemplos clássicos. Se você tiver um esquema sem senha, esse tipo de ataque não se aplica mais. Depende do que mencionei anteriormente: como o processo é implementado, qual é a força do protocolo e qual é a força da plataforma. Se o processo, o protocolo e a plataforma forem fortes, o escopo dos ataques automatizados se aproximará de zero. Por exemplo, com chaves de segurança FIDO baseadas em hardware, mesmo na era da IA, não há um único incidente conhecido em uma empresa que as utilize. Depende das circunstâncias e da implementação - em termos de processo, protocolo e plataforma - mas eu diria que os ataques automatizados não têm chance se você fizer tudo certo.

ROB HUGHES
Sim, talvez eu possa acrescentar algo a isso também. Com os ataques automatizados, e se você tiver um sistema sem senha, há algumas coisas a considerar também do lado do invasor. Há todos os tipos de kits de ferramentas por aí, uso de IA e outras coisas para tentar entrar e obter a identidade de alguém. Mas, com a ausência de senhas, qualquer um desses kits de ferramentas que dependem de senhas e foram arquitetados para mostrar uma solicitação de senha, começa a não fazer mais sentido para o usuário. Portanto, ao adotar a opção sem senha, você chega a um ponto em que... se não tiver senhas, o usuário recebe uma solicitação de senha e diz: "Isso é estranho. Talvez ele nem saiba qual é a senha dele nesse momento. Portanto, é como se fosse um tipo adicional de resistência a phishing, mesmo que você ainda não tenha chaves de acesso em todos os lugares, a parte cultural disso. Portanto, se pensarmos nos ataques automatizados, é mais difícil para eles fazerem esses ataques automatizados contra uma base de usuários sem senhas. E, é claro, a ausência de senhas exige algo, uma autenticação forte, portanto, alguma forma de MFA, que por si só, como ter MFA em todos os lugares, mesmo que ainda haja uma senha, ainda o ajuda contra ataques automatizados, certo? E, é claro, com a ausência de senha, isso já é um dado adquirido, toda a questão da MFA.

INGO SCHUBERT
Então, se você estiver conversando com uma organização que deseja iniciar sua jornada sem senha hoje, que conselho daria?
Eu aconselharia uma abordagem passo a passo. Comece com algo aplicável em um departamento ou em um determinado grupo da empresa. Execute um piloto, amplie-o e, em seguida, implemente-o quando já estiver funcionando há algum tempo. Vejo regularmente projetos como esse. Executamos um piloto, o expandimos e, em seguida, analisamos juntos como implementá-lo nas várias entidades organizacionais. Isso funciona muito bem e recebemos um feedback muito positivo dessas implementações nas empresas.

ROB HUGHES
Acho que o conselho do Alex foi ótimo. Tudo se resume a planejar, fazer e decidir por onde quer começar. Faça isso de forma metódica. Não se trata de um conjunto de tecnologias tão exóticas que mude a forma de implementá-las. Ele usa muitas tecnologias com as quais os usuários já se sentem confortáveis: Face ID em smartphones, impressões digitais em laptops e ter um telefone por perto para usar a câmera e ler um código QR. Essas coisas não são mais esotéricas.

PAUL MULVIHILL
Muito simples. Não há muito mais que eu possa acrescentar ao que Alex e Rob disseram. Ter opções e passo a passo. Sempre haverá alguém que vai recuar, mas se você tiver opções e souber por onde está começando, então... Provavelmente, você já fez 90% do trabalho de base para colocar um bom plano em prática.

INGO SCHUBERT
Certo. E se eu puder acrescentar algo, é a minha velha implicância: descubra o que você tem e onde está hoje. Mapeie seu cenário de segurança e seu cenário de aplicativos. Descubra quais aplicativos existem, quais dependem de uma senha e quais não podem ser eliminados tão cedo. Haverá muitos que você pode mover. Priorize-os, implemente-os e obtenha alguns ganhos rápidos, para que possa justificar o orçamento que receberá para o projeto à gerência sênior.
A autenticação sem senha representa um avanço significativo, mas não é uma solução milagrosa. A remoção das senhas reduz o risco, mas uma segurança de identidade forte ainda depende de contexto, controle e confiança contínua. Se há uma conclusão a ser tirada da discussão de hoje, é a seguinte. A ausência de senhas eleva o padrão, mas é a ampla estratégia de identidade em torno dela que determina o grau de segurança que você realmente tem.
Obrigado por participar conosco deste episódio do RSA Identity Unmasked. Se você achou a discussão valiosa, inscreva-se para futuros episódios, pois continuaremos explorando as questões que moldam a segurança de identidade. E, para obter mais informações e recursos, acesse rsa.com. Alex, Rob, Paul - muito obrigado.

PAUL MULVIHILL, ROB HUGHES, ALEX SUMMERER
Obrigado a você. Obrigado por nos receber.

INGO SCHUBERT
Bem-vindo de volta ao RSA Identity Unmasked. Hoje falaremos sobre um dos setores mais interessantes e de maior risco da segurança de identidade, que é o setor de saúde. Hoje, estou acompanhado novamente por Paul e John, e vamos analisar os desafios, os casos de uso e as práticas recomendadas. Vamos começar. Então, por que o setor de saúde é um ambiente tão especial para a segurança de identidade?

JON NICHOLAS
Vou começar se você quiser, Paul. Você quer começar?

PAUL MULVIHILL
Com certeza!

JON NICHOLAS
Acho que uma coisa que sempre falamos sobre o setor de saúde e é um dos primeiros tópicos que surgem é a pilha técnica que eles têm e, principalmente, a infraestrutura legada. Uma das maiores áreas a serem protegidas do ponto de vista da identidade, porque talvez não tenham os ganchos para os serviços modernos de MFA. Portanto, a tecnologia proprietária legada é um grande desafio em um setor como o de saúde, e o NHS é um excelente exemplo no Reino Unido.

PAUL MULVIHILL
Muitas vezes, todos conhecemos o NHS, mas ele é composto de várias organizações menores sob o mesmo guarda-chuva, o que não significa que haja um pote enorme para apoiar a infraestrutura de TI. Pode ser que cada pequeno fundo tenha suas próprias responsabilidades e, portanto, não possa obter o que há de melhor e mais recente porque não tem orçamento para isso. Se fosse uma coisa grande, possivelmente, mas o mundo não funciona assim, infelizmente, até certo ponto. Portanto, há os desafios de como cada um deles pode garantir que tenha o que há de mais moderno e melhor, quando não podem, porque têm sistemas legados, precisam lidar com a migração ou a manutenção, o que acrescenta desafios adicionais de como chegar a um sistema moderno

INGO SCHUBERT
Certo. E acho que, bem, é claro, é diferente na Alemanha, por exemplo. Acho que não é tão diferente nesse contexto, certo? Você sabe, organizações diferentes, muitos aplicativos legados. Então, acho que, para ser justo, você provavelmente encontra isso em toda a Europa ou talvez até mesmo em todo o mundo em muitos lugares, certo?

PAUL MULVIHILL
E falamos sobre o sistema legado, se você tem algo que funciona e as taxas de erro dele, portanto, se você está lidando com a saúde de alguém, você tem um sistema que testa algo, ele funciona. Você não vai simplesmente decidir mudá-lo porque ele pode ter dois anos de idade. Você vai aplicar esse financiamento em algo que é uma área nova. Portanto, sim, pode ser um legado, mas isso não significa que seja velho, antiquado e desatualizado. Significa apenas que, quer saber, ele funciona. Há coisas mais importantes a serem observadas.

INGO SCHUBERT
Não toque em um sistema em execução. Então, o que torna o acesso, o controle e a autenticação tão desafiadores nesse ambiente?

PAUL MULVIHILL
Provavelmente direi que é uma espécie de mistura de vários trusts. Como você, se todos estão operando de forma independente, mas têm uma força de trabalho que pode pular entre fiduciários porque estão cobrindo uma área mais ampla, como você configura um sistema fácil de usar que será, por exemplo, eu trabalhando em um lugar um dia, em outro, em outro, que é um fiduciário diferente, outro, outro, outro fiduciário. Existe um sistema central que gerencia tudo isso? É possível que não. Será que vou voltar para algum lugar ou vou fazer isso um dia por ano em outro lugar? Esse tipo de número de sistemas que você está tentando gerenciar e proteger do ponto de vista da identidade aumenta exponencialmente a complexidade. Estou em 50 sites, são 50 sistemas? São 5, é um? Dimensione isso em todo o país e você estará apenas adicionando camadas de complexidade por vários motivos.

JON NICHOLAS
Sim, e acho que é essa contagem de usuários. É a conta de usuário que, às vezes, é muito difícil de neutralizar, porque há médicos que prestam serviços médicos de primeira linha e que podem ser, é claro, muito bons no que fazem, mas não são especialistas em segurança cibernética. Há toda uma equipe de apoio ao NHS, por exemplo, que faz toda a logística, o planejamento e a parte administrativa. Agora, alguns deles podem ser capazes de usar, você sabe, autenticar um, como um autenticador móvel, mas outros talvez estejam na enfermaria ou, você sabe, em ambientes mais seguros, mas sabemos que você não pode usar isso. É preciso ter outra coisa, como um token físico para
fazer sua autenticação. Portanto, você não tem apenas uma força de trabalho gigante, mas também vários casos de uso em termos de como eles podem se autenticar. E então, você sabe, mencionou o celular, mas algumas pessoas podem nem mesmo ter um celular que queiram usar. Então, imediatamente, você tem três, quatro, cinco casos de uso diferentes apenas para colocar cinco pessoas em um sistema.

INGO SCHUBERT
Portanto, clínicos, equipe temporária, turnos rotativos, tudo isso complica imensamente as coisas. Então, o que você acabou de dizer. Então, do meu ponto de vista de gerenciamento de identidade, posso ver por que isso é um pouco desafiador em comparação com uma força de trabalho corporativa bastante organizada, sim, em que se trabalha das nove às cinco. Sim, você pode ter fusos horários diferentes, mas isso basicamente aumenta o tempo até as 11 horas, essencialmente.

PAUL MULVIHILL
Sim, você pode ter uma grande empresa que tenha, digamos, 50 ou 100 departamentos diferentes, ao passo que, no setor de saúde, você pode ter um grande órgão que é o setor de atendimento, mas que pode ter 50 ou 100 empresas separadas dentro dele, todas com suas especialidades e que precisam ser autônomas na forma como trabalham, mas ainda assim trabalham com outras entidades dentro desse mesmo espaço. E se você tiver algum problema com uma delas, quais são os efeitos colaterais?

INGO SCHUBERT
Então, em termos de, é claro, você sabe, temos esse programa de TV dramático, como se tudo tivesse que ser rápido, sim, mas isso é uma coisa, sim, não estamos desacelerando as coisas, acho que isso é parte do desafio aqui, mas não é só isso, ei, você sabe, alguém entra correndo na sala de emergência e as coisas precisam andar rápido, é também porque você tem uma força de trabalho limitada, eles precisam ser muito eficientes, o que também significa que, sim, a segurança não pode desacelerar as coisas por causa disso.

JON NICHOLAS
Apenas com relação a esses grandes desafios, se falarmos sobre isso do ponto de vista da governança, do ponto de vista do menor privilégio, você não gostaria de dizer, certo, precisamos que todos tenham apenas os privilégios para desempenhar sua função, por exemplo. Mas o desafio é que, se você fizer essa alteração, talvez por engano, você retire algumas permissões deles. E agora ele não pode operar aquele equipamento ou máquina essencial na enfermaria que vai ajudar a salvar a vida de alguém. Portanto, a precisão da tomada de decisões para aplicar uma solução IGA, por exemplo, tem que ser absolutamente precisa. Portanto, a capacidade de fazer mudanças nesse ponto provavelmente passará por camadas e camadas de tomada de decisões, o que torna o processo lento. Porque a última coisa que queremos fazer é dizer, certo, vamos implementar esse fluxo de trabalho e agora alguém não pode salvar uma vida para ir ao exemplo mais extremo ou administrar algo da farmácia.

INGO SCHUBERT
Mas, ao mesmo tempo, especialmente com a governança de identidade, é claro que há, você sabe, a solução rápida nesse caso, que, obviamente, não é, apenas dar a todos mais direitos de acesso, basicamente, mais direitos que eles normalmente teriam. Essa é uma abordagem válida? Isso é um bom compromisso? Não, acho que sim, certo?

PAUL MULVIHILL
Sim, porque se uma pessoa for hackeada, uma conta for comprometida e ela tiver permissão demais, o que acontecerá? Você pode entrar e o zelador, que recebeu tudo porque é funcionário de um hospital, pode entrar no sistema da farmácia e ter acesso à medicação ou à alteração dos registros do paciente. Certo. Mas, como Jon estava dizendo, há tantas ramificações em potencial ao fazer uma mudança na aplicação de uma política ou na aplicação de um caminho mínimo de permissões, que é quase uma paralisia do risco. Eu poderia implementar essa política que remove as permissões para X, Y e Z. Se você não tiver certeza absoluta, já fez a análise de, certo, isso afeta 50 pessoas, essas 50 pessoas acessaram esse recurso? Se uma delas acessou, você precisa continuar analisando mais. Essa pessoa precisa receber permissões especiais? Se nenhuma delas tiver acessado, e você tiver monitorado por tempo suficiente, tudo bem, então sim, você poderia aplicar a lei, bem, vamos tirar isso. Mas há o medo de que, se eu retirar algo, ocorra aquele cenário que nunca pode ser planejado no setor de saúde. Você pode tentar adivinhar muitas coisas, mas nunca pode planejar uma emergência em que precise de algo. Eu removi essa permissão. Agora, esse cenário surgiu quando essa enfermeira, esse médico ou alguém precisava fazer algo e, de repente, não pode.

INGO SCHUBERT
Não se trata apenas de operar máquinas. Também pode ser como acessar dados em algum lugar, certo? Nós, registros de saúde, por exemplo. Portanto, entendo que, em uma empresa normal, isso pode ser ruim se alguém tiver poucos direitos. Ela não consegue fazer seu trabalho, mas faz uma solicitação e ela é aprovada. É como se, sim, fosse ruim. Pode ser que atrase algumas horas, talvez no dia seguinte, mas, sabe, não é o mundo, ao passo que em um ambiente de saúde, isso literalmente pode significar um grande problema. E, sabe, pode não ser feito no minuto certo, mas pode significar que alguém não receba o atendimento de que precisa quando precisa.
PAUL MULVIHILL
Se for uma empresa e alguém tiver acesso aos dados, talvez alguém faça um pedido em um cartão de crédito que pode ser corrigido com os cartões de crédito ou um pedido é cancelado. Quero dizer, alguns desses efeitos são bonitos, não muito graves, mas se for na área da saúde, alguém altera seus registros médicos. Alguém compartilha detalhes que não deveriam ser compartilhados. Há muito mais ramificações sobre o que pode acontecer. Ou o vazamento de informações que podem realmente ter efeitos de longo prazo sobre você. Como você disse, pode ser que algum medicamento do qual você depende seja interrompido. Você está perto do fim da prescrição desse medicamento e, na verdade, eles removem os detalhes quando você tem que passar por toda a reavaliação do que, de fato, eu preciso dele, retardando-o ainda mais, atrasando-o, o que tem mais efeitos colaterais. Esse é um dos setores em que, o que pode parecer uma pequena mudança na empresa e no setor privado de saúde, os problemas e as ramificações são potencialmente 10, 20, 30 vezes maiores.

JON NICHOLAS
Sim, e com relação a esses tipos de números, quando você analisa uma violação de dados nesse tipo de cenário, os registros médicos são extremamente valiosos quando negociados na dark web, mais do que os detalhes do cartão de crédito, por exemplo, e uma das áreas em que eles podem ser usados seria como fraude de seguro, que pode acarretar uma enorme compensação monetária, suponho que, se alguém fizer essa solicitação, conhecer seu histórico médico, poderá fazer o seguro em seu nome e isso é incrivelmente lucrativo. Portanto, é nesse ponto que os invasores querem entrar. Esperamos, diz ele, que eles não queiram, sabe, arriscar a vida de ninguém, mas a recompensa financeira de ter esses registros médicos e, em seguida, usá-los para obter ganhos financeiros é o que eles buscarão.

INGO SCHUBERT
Ou seja, essas informações seriam perfeitas para um invasor realizar um ataque de caça submarina contra alguém. Se você já conhece detalhes médicos, sim, isso apenas aumenta o nível de confiança, o que o torna mais suspeito para esses tipos de ataques, certo? Ou simplesmente, você sabe, eu não sei, chantagem ou algo assim. Sim, há muitas coisas que poderiam ser feitas com esses registros, certo? Então, sim, posso ver isso. Então, voltando à prática, o que acontece, por exemplo, em um hospital? Qual é o fluxo de trabalho típico de autenticação pelo qual alguém precisa passar?

JON NICHOLAS
Não sei se eles seriam típicos.

INGO SCHUBERT
Bem, tudo bem.

JON NICHOLAS
Falamos sobre os sistemas, mas o que eles devem fazer? Talvez essa seja a pergunta, mas sempre deve haver uma etapa de MFA com um processo adicional no back-end, processo adicional no back-end, você sabe, você pode aproveitar o acesso condicional quando estamos falando do ponto de vista do IAM, você pode aproveitar, vou dizer, pode aproveitar a IA para entender se aquele usuário é o usuário certo no momento certo e fazer isso dinamicamente, em vez de os administradores tentarem juntar políticas de acesso condicional com base em uma base de usuários tão vasta e em uma pilha de tecnologia tão vasta, então, sim, use as ferramentas a seu favor e sempre tenha alguém fazendo o step-up quando estiver realmente em registros críticos.

INGO SCHUBERT
Então, uma coisa que notei nesse setor, acho que o mais próximo que vejo talvez seja a fabricação no chão de fábrica, são os dispositivos compartilhados. Isso parece ser, não diria a norma, mas uma quantidade desproporcionalmente alta de dispositivos compartilhados. Como lidamos com isso?

PAUL MULVIHILL
Bem, sim, você tem uma força de trabalho em turnos de, digamos, 8 horas, você não terá todos os dias uma pessoa em uma função com seu próprio dispositivo, então você terá um dispositivo compartilhado por pelo menos 3 pessoas e, em casos prováveis, compartilhado por 5, 6, 7, pois pode ser um terminal em um posto de enfermagem, esse tipo de coisa. Qual é a melhor maneira de protegê-lo? Quero dizer, você colocará algum tipo de credencial no nome de usuário e na senha. Quero dizer, tenho visto pessoas com pequenos tokens OTP, tokens de hardware, porque eles são difíceis de matar. Eles são muito resistentes. Mas será que isso é suficiente? Porque é uma senha de uso único. É preciso que alguém entre em um computador, faça login e use a senha. Mas elas foram testadas e comprovadas. As pessoas sabem como usá-las e há muitas pessoas nesse setor que poderiam conversar com qualquer um de nós sobre o corpo e como a área do corpo delas funciona, dar a elas uma chave FIDO e pedir que se acostumem a usá-la ou um celular com biometria push to approve, é uma área completamente diferente para elas pensarem, é uma espécie de zona de conforto e seu conhecimento técnico está aqui. Mas então estamos tentando dizer, bem, para usar isso. Você precisa acrescentar todos esses outros elementos.
 
INGO SCHUBERT
Além disso, acho que, mais uma vez, não é tão diferente de outras áreas em outros setores em que, por exemplo, não se pode levar um telefone celular para todos os lugares. Há lugares em que não é permitido levar smartphones ou dispositivos inteligentes, ponto final, seja por motivos de privacidade, porque tenho câmeras ou, sei lá, como, por exemplo, não é permitido ter uma conexão Wi-Fi em algum lugar porque isso atrapalha outras máquinas. Então, sim, você precisa de opções, sim. Além disso, como o gerador de OTP, você pode mergulhá-lo em desinfetante, se quiser.

PAUL MULVIHILL
Sim. Quer dizer, eu estava conversando com um cliente outro dia, e ele tem exatamente esse tipo de situação, bem, não é médica, mas é um cenário em que não há telefones celulares. O ambiente físico é fechado em termos de segurança. Então, sim, eles têm o token de hardware com os códigos de passagem de uso único ou usam as chaves Fido. Alguns dos novos tokens, como o RSA iShield, incluem o FIDO sem contato e elementos desse tipo. Assim, enquanto no passado era possível usar o nome de usuário, a senha e a senha de uso único ou usá-los na senha. Você pode ir a um computador, usar o nome, tocar nele, colocar o PIN e pronto.

INGO SCHUBERT
É isso aí.

PAUL MULVIHILL
É a aceleração dos nossos processos. E há outras áreas em que isso também está avançando, onde pode ficar ainda mais simples no futuro. Quero dizer, alguns elementos do FIDO e das chaves de acesso podem reter, de certa forma, começam a aprender um pouco sobre quem são, para que você possa associá-los a uma pessoa. Assim, em um futuro próximo, basta entrar com uma chave FIDO e colocá-la na máquina.

INGO SCHUBERT
É claro que, se você tiver esse toque NFC, haverá menos problemas de usabilidade. Você não precisa ler algo e tocar em algo novamente, o que pode dar errado se você ler os números certos e errados ou se tiver os números certos e tocar neles de forma errada. Portanto, esse problema foi eliminado.

PAUL MULVIHILL
E se você tiver alguém com problemas de visão, ler isso em uma pequena tela que gira pode não ser fácil. Então, novamente, é NFC.
INGO SCHUBERT
Estou vendo isso.

PAUL MULVIHILL
Qualquer pessoa, em qualquer setor, pode se beneficiar desse elemento.

JON NICHOLAS
Provavelmente, um dos setores mais críticos é equilibrar segurança e conveniência, pois não queremos retardar o fluxo de autenticação e o fluxo de acesso das pessoas, provavelmente quando elas estão com pressa para fazer algo muito importante, portanto, segurança e conveniência ao mesmo tempo serão fundamentais.

INGO SCHUBERT
Portanto, ter vários métodos de autenticação é importante, não apenas para um usuário, pois pode haver usuários que tenham vários métodos, mas porque todos os tipos de funções são diferentes, como se sabe, certo? Portanto, não existe um tipo que sirva para todos.

PAUL MULVIHILL
Sim.

JON NICHOLAS
Absolutamente não. Certamente em uma organização desse porte.

PAUL MULVIHILL
Como você mencionou sobre as diferentes funções, você volta ao lado da governança para garantir que cada pessoa desempenhe sua função e que você tenha mapeado adequadamente o que ela pode fazer. Uma enfermeira e um hospital terão um conjunto de coisas que devem ser capazes de fazer, um médico, outro porteiro ou alguém na recepção. Provavelmente, eu nem conseguiria listar o número de funções diferentes que existem e todas elas têm requisitos diferentes e direitos de acesso diferentes. Portanto, você precisa ter certeza de que pode mapear isso e dizer, certo, ok, essa pessoa tem essa função e garantir que o processo de governança em vigor e os sistemas de ciclo de vida em vigor digam, certo, ok, essa é a sua função, isso é o que você pode ter e, em seguida, mapear isso de volta para um método adequado para que você possa fazer o seu trabalho sem gastar 20 minutos por dia fazendo MFA, talvez uma ou duas vezes por dia e, em seguida, talvez aproveitar um pouco do lado da IA e algumas análises comportamentais para dizer, certo, eu entrei, Estou no computador que estou sempre ligado, estou acessando o recurso que estou sempre acessando, faça isso uma vez e estou dentro, continue.

INGO SCHUBERT
Então, permanecendo no lado da governança, no lado da governança de identidade, como e por que, por exemplo, a alavanca de união, por que isso é tão importante no ambiente de saúde?

JON NICHOLAS
Acho que quando analisamos, mais uma vez, mencionei muito a escala, mas vemos, e o Paul mencionou isso, que as pessoas podem se deslocar entre trusts, mas dentro de um trust também, você se desloca entre funções, provavelmente com regularidade. Portanto, a escala de seu processo JML, quero dizer, dezenas, centenas de milhares de alterações por dia. Portanto, estar em cima disso do ponto de vista automatizado será fundamental. E não apenas automatizá-lo, mas também ter a linha do tempo certa. Você sabe, você vai mudar de função daqui a três dias, certo? Isso está no sistema. Três dias depois, você muda da função A para a função B, o que é feito automaticamente no back-end. E você sabe a função para a qual está indo, ou o sistema sabe a função para a qual você está indo e sabe as permissões de que você precisa, e não um caso em que eu tenha que falar com o seu gerente e dizer ‘ei, o Ingo vai se juntar à sua equipe na próxima semana, o que ele deve ser capaz de fazer’, mas sim um caso em que o Ingo se juntou à equipe e pode fazer tudo o que precisa fazer desde o primeiro dia.

INGO SCHUBERT
E isso também significa que a função A não estará mais comigo se eu mudar de trust, é claro, certo?

JON NICHOLAS
Sim, sim.

INGO SCHUBERT
Portanto, esse acúmulo de direitos ou de tempo, que acho que todos nós já vimos em nossas carreiras em algum momento, é

JON NICHOLAS
Expansão da identidade, se preferir.

INGO SCHUBERT
Sim, sim.

PAUL MULVIHILL
Para complementar o que Jon estava dizendo, se você estiver pulando de um site para outro e de um trust para outro e de uma função para outra, essa conta que foi criada para você no site A, se você não voltar por três, quatro, cinco semanas ou até mesmo por dois ou três dias, com o lado do ciclo de vida e o elemento de alavancas, você pode desativar essa conta instantaneamente. Assim, você não tem o cenário de conta órfã em que essa conta existe, tem um nível de permissões. Ela só está lá sem ser usada, o que significa que é outro vetor de ataque. Assim, alguém não pode entrar e, em seguida, entrar na esfera dos ataques de ransomware a fundos e todo esse tipo de coisa. Você simplesmente bloqueia isso porque não estará aqui novamente. Se você voltar em dois dias, em dois dias o sistema o ativará novamente.

INGO SCHUBERT
Certo.

PAUL MULVIHILL
Até esse momento, não é uma opção. Ela está desativada. Não pode ser usada.

INGO SCHUBERT
E a visibilidade que vem com isso, quero dizer, obviamente o sistema sabe, você sabe, quais funções você tem, quais funções você terá, as funções que você teve. Acho que, e me corrija se eu estiver errado, mas se você for auditado, essas informações e essa visibilidade parecem ser muito úteis.

PAUL MULVIHILL
Você teria um histórico completo de quem poderia fazer o quê e em que momento. Portanto, se algo acontecer do ponto de vista da auditoria, você segue esses critérios de auditoria? Sim, aqui está a prova. Se você tiver um tipo de plataforma central de governança, tudo estará lá. Assim, você pode saber, certo, sim, estamos bem, sem problemas. E na eventualidade de, bem, na rara ocorrência em que algo aconteça, você poderá usar o mesmo conjunto de dados para dizer, certo, quem teve acesso a esse material naquele momento? Dependendo do tipo de registro adicional que você pode obter no ecossistema, você pode dizer, certo, bem, essas contas talvez tenham feito algo, mas você pode dizer, certo, bem, quem teve acesso a isso? Quem poderia ter feito alguma coisa.

INGO SCHUBERT
Isso ajuda nas investigações. Se as coisas acontecerem, quero dizer, como um bom engenheiro de segurança, você sempre supõe que as coisas acontecerão, que eventualmente haverá uma violação. Isso também o ajuda, durante o processo de limpeza, a ver o que acontece, quem foi afetado.

PAUL MULVIHILL
Você sempre presume que algo é possível de ser violado. Por isso, você coloca o maior número possível de etapas, verificações e balanços para minimizar o impacto disso, a menos que você pegue o computador, desconecte-o, coloque-o em uma caixa de cimento e jogue-o na trincheira de Areana ou algo assim, isso não acontecerá. Portanto, é preciso investir o máximo possível para que, se ou quando algo acontecer, o impacto seja o menor possível sobre o andamento das coisas.

JON NICHOLAS
Sim, acho que, para acrescentar a isso, se analisarmos os dados obtidos com uma abordagem do tipo governança, não se trata apenas de fornecer informações aos auditores. Acho que você também está analisando se podemos entender o que temos atualmente. Portanto, a maturidade do processo. Falo muito sobre o processo nessas sessões, mas você sabe, você olha para uma equipe, olha para seus direitos de função. Você diz, espere aí, ninguém nessa equipe usou esse direito por seis meses, um ano, seja qual for o período de tempo que você definir, e o sistema deve dizer que ele não foi usado. Vamos dar uma olhada na remoção desse direito, porque esse é um direito a mais, e pode haver uma razão muito boa para que eles não o utilizem mais. Talvez haja um sistema paralelo que eles estejam usando para fazer essa parte da carga de trabalho. Portanto, você terá isso no novo sistema, retirando-o do antigo. Mas você precisa dessa inteligência automatizada para realmente ajudá-lo a descobrir essas informações, porque, caso contrário, você estará fazendo auditorias manuais completas e eu não sei o que você usou no sistema nos últimos seis meses, mas o sistema saberá como você o usou. Portanto, use essa inteligência para dizer, certo, vamos tomar decisões informadas sobre como trabalhar em direção à confiança zero ou ao privilégio mínimo.

INGO SCHUBERT
Sim, é aqui que o privilégio vem à mente.

PAUL MULVIHILL
Então, como você disse, você pode começar a ver onde esse privilégio de permissão específico não estava sendo usado. Bem, na verdade, 80 % da equipe têm feito isso, mas não faz parte de sua função oficial. Será que precisamos acrescentar isso para que possamos garantir que toda a equipe possa fazer isso porque precisa, em vez de 8 em cada 10 dizerem individualmente: "Sim, posso ter acesso ao sistema B, por favor, porque preciso dele para fazer X"?.

INGO SCHUBERT
Gerenciar por exceção, essencialmente, sim. Limpá-lo, sim.

PAUL MULVIHILL
Vamos pensar, bem, na verdade, 80 % deles estão usando. Vamos torná-lo oficialmente parte da função para que possamos aderir a essas auditorias e à conformidade, e isso significa que, certo, sim, essa equipe precisa disso. Faz parte de sua função. Se outra pessoa entrar ou sair, desativamos esse acesso porque faz parte da função que ela desempenha, ou o concedemos à nova pessoa que também está desempenhando essa função, apenas para manter tudo alinhado e a visibilidade de que é isso que essas pessoas podem fazer.

INGO SCHUBERT
Então, o que você diria a um CIO, um CIO do setor de saúde, por onde ele deveria começar? Porque, sabe, há tantas coisas que eles poderiam começar, mas como uma pequena lista de prioridades, talvez, o que você diria a eles?

JON NICHOLAS
Acho que eu os incentivaria, e eles já estão analisando isso, mas as verdadeiras razões para isso é ter um foco real na resistência ao phishing. Acho que é por aí que eu começaria, porque muitos serviços de saúde dependem do e-mail como seu principal método de comunicação. E sabemos que esse é um vetor de ataque realmente vulnerável para a pesca. E não apenas isso, mas aqueles que estão consumindo esses sistemas estão trabalhando em ambientes de alta pressão. Sabe como é, eles estão se conectando, precisam fazer algo rápido, os e-mails chegam, eles conseguiram chegar no momento certo, sim, passam por tudo em pânico. Não em pânico, mas em um fluxo normal e, inadvertidamente, liberam suas credenciais e dados para esse site de phishing. Portanto, levando em conta a autenticação de resistência a phishing, vamos apenas dizer que, desde o início, é principalmente porque se trata de um setor de comunicações por e-mail muito focado, que é certamente onde eu analisaria.
 
PAUL MULVIHILL
Eu provavelmente concordaria que você começasse com essa parte de resistência a phishing. A próxima coisa seria a visibilidade do que a sua força de trabalho pode fazer, então, talvez um pouco atrás, mas paralelamente, a questão de proteger a porta da frente, certificar-se de que as abordagens de resistência a phishing estejam em ação, mas, em seguida, ter algum tipo de ferramenta de visibilidade de governança em execução para dizer: "ok, quem existe, quais contas existem, o que elas podem fazer", não fazer alterações, mas literalmente apenas coletar todas essas informações para começar a ver realmente qual é a situação que temos com contas e permissões. O que é usado, o que não é, quem pode fazer o quê, quem não pode fazer o quê. Porque, depois de obter os dados, você pode começar a dizer: "Certo, essas são as alterações que posso fazer e que não têm nenhum efeito no início, porque ninguém as está usando". Mas, da mesma forma, que mudanças preciso fazer para capacitar uma equipe a fazer seu trabalho com mais eficiência no futuro.

INGO SCHUBERT
Bem, obrigado, pessoal. Foi um insight muito bom sobre segurança de identidade em sistemas de saúde. Se você gosta desse tipo de discussão, não deixe de se inscrever para ser notificado quando lançarmos um novo episódio. Este foi o RSA Identity Unmasked. Até o próximo mês.

INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked. Hoje, falaremos sobre um assunto que muitas vezes é negligenciado: a segurança do help desk. Hoje, estou acompanhado por John e Paul, e falaremos sobre casos reais, os riscos e os controles que ajudam a mitigar esses riscos.

Por que o help desk está se tornando um alvo tão grande? Comece com esta.

JON NICHOLAS: Sim, fico feliz em participar. Acho que quando você vê a função de um help desk, a primeira coisa que eles querem é ajudar as pessoas. Portanto, qualquer pessoa que ligar para o help desk aproveitará a boa natureza do administrador do help desk para dizer: "Ei, você pode me ajudar com alguma coisa? Portanto, tudo bem quando você é funcionário de uma empresa, eu realmente preciso de ajuda. Mas quando você é um ator ameaçador ligando para a empresa, eles podem rezar e dizer, certo, essa pessoa está disposta a me ajudar. E isso é realmente exagerado se houver um processo deficiente dentro da organização, porque o administrador do Help Desk não está mais limitado pelo processo para dizer: "Só posso fazer X, Y, Z." Ele pode ir além desses limites e dizer: "Vou tentar ajudá-lo a fazer ABC também". Esse é um risco real para o help desk, que pode ser explorado quando não há um processo sólido.

PAUL MULVIHILL: Além disso, em alguns help desks, os KPIs são: "Tenho que fechar, alguém liga, tenho que fechar o tíquete, tenho que resolver o problema". E essas são todas as coisas que, se você não estiver disposto a fazer, eu vou usar. Se você quiser fechar um tíquete, eu telefonei, você criou um, farei o que puder para que você me forneça as informações que eu quero e supere os processos que podem ou não estar em vigor.

INGO SHUBERT: Sim, acho que se você já trabalhou no help desk - eu trabalhei brevemente -, quero dizer, as estatísticas deles, quantos tíquetes estão abertos, o tempo médio de fechamento de um tíquete e tudo isso e, às vezes, está em um monitor grande, então, acho que isso cria um ambiente de alto estresse que é perfeito para ataques de engenharia social. Certo, sim, sim. Isso realmente mudou recentemente, por exemplo, o que mudou para que essa seja agora uma rota de ataque privilegiada?

PAUL MULVIHILL: Provavelmente, já é um ataque a uma rota há algum tempo, mas, obviamente, o assunto tem aparecido muito mais nas notícias ultimamente. Tivemos a cooperativa de Mark Spencer, a JLR, a Jaguar e a Land Rover nos últimos 12 meses. Todas elas foram atingidas, em parte, porque os help desks foram visados. Alguém conseguiu convencer uma pessoa a lhe fornecer as credenciais de uma conta, entrou e depois não conseguiu fazer nada de bom, mas basicamente.

JON NICHOLAS: Sim, e eu me pergunto qual é o papel da TI terceirizada nesse caso, porque não são mais apenas os funcionários da organização A que dependem de terceiros, e sempre falamos sobre terceiros para riscos anteriores no setor. Talvez haja um tipo limitado de conhecimento nesse aspecto também.

INGO SHUBERT: Certo. Sim. Isso e, claro, se eles não conhecem a cultura da empresa, sim, eles estão lidando com isso.

PAUL MULVIHILL: Bem, se você tem, como disse, um help desk terceirizado, você pode conhecer o procedimento, mas não conhece as pessoas. Certo. Então, o que você pode colocar em prática para dizer: "Tudo bem, estou ligando para você? Nunca nos encontramos antes. Nunca estivemos em um escritório antes.

INGO SHUBERT: Como isso poderia acontecer, por exemplo, em um ataque real? Quero dizer, qual é um ataque típico nesse caso? O que o invasor tenta alcançar? E como ele faz isso?

PAUL MULVIHILL: Pode ser, eu acho, desde tentar redefinir uma conta até obter ajuda para entrar em uma rede VPN. Quer dizer, vivemos em um mundo em que há muita mídia social em torno do que as pessoas fazem. Tenho amigos que basicamente publicam sua vida nas redes sociais por vários motivos. Alguns fazem sentido, outros não. Portanto, se você quisesse saber mais sobre alguém, provavelmente poderia começar a rastrear fontes e reunir muitas informações. Então, você liga para um help desk e pode ter descoberto onde alguém nasceu ou o nome de um animal de estimação, tudo isso, aquilo e aquilo outro, de modo que você possa dizer, certo, bem, preciso redefinir a senha. Quais são as etapas hoje para saber, quais são as etapas hoje para você saber quem eu sou, quem eu digo? Provavelmente, perguntas de segurança.

INGO SCHUBERT: Certo. Então, é basicamente uma combinação de algum conhecimento prévio que o invasor tem, seja de redes sociais. Eu sei que poderia ser um ataque diferente, talvez, ou dados que eles compraram de um corretor de dados, ilegal ou não. E, então, combinado com esse ambiente de alta pressão do qual falamos no início, parece ser um alvo muito bom e suculento para os invasores, certo?

JON NICHOLAS: Sim, além disso, também falamos muito sobre pesquisar a pessoa que se deseja imitar, mas acho que, com as ferramentas atuais disponíveis para todos nós, podemos dizer: "O que a empresa X usa em sua infraestrutura de TI? Como é a pilha de tecnologia deles? Assim, quando estiver conversando com o help desk, você poderá ser mais confiável. Não se trata de posso ter acesso à VPN. É como, oh, a VPN da Palo Alto não está funcionando para mim. Você pode me ajudar com isso? Então, instantaneamente, eles estão pensando, isso é mais familiar.

INGO SHUBERT: Eu ia dizer que, nesse caso, parece que você, como atacante, parece mais familiar, o que significa que você é um de nós, sim, então posso confiar mais em você com um help desk terceirizado, sim, você é quase um deles porque, no final, você não faz parte da empresa.

PAUL MULVIHILL: Assisti a um vídeo sobre uma das convenções, não faz muito tempo, e havia uma pessoa que era paga para hackear empresas por meio do help desk. No vídeo, ele obtinha acesso aos sistemas de help desk em cerca de 30 segundos, porque basicamente ligava e conseguia falsificar o número de telefone para parecer que era da empresa, de modo que as pessoas do help desk pensavam instantaneamente: "Ah, eles são internos". E então eles os convenceram, fazendo perguntas sobre - fingindo ser o usuário ou tendo informações sobre os sistemas VPN, o que eram, para que eles os ajudassem a acessar um site, o que, na verdade, lhes deu acesso backdoor ao computador em que a pessoa estava.

INGO SCHUBERT: Então, isso é basicamente confiar em evidências para autenticação. É mais como, você sabe, uma sensação agradável, calorosa e confusa que o invasor gera. Isso é, quero dizer, o que deveria ser feito em vez disso? Quero dizer, o que eles poderiam fazer de diferente para ajudar nisso? Quero dizer, não parece ser um problema novo, certo? Esses help desks existem há décadas, certo?

PAUL MULVIHILL: Bem, sim, quero dizer, acho que chegamos a um ponto em que, quando se trata de segurança de TI, somos a parte mais fraca de toda a equação. Se você estiver confiando em algo que sabemos, provavelmente poderá descobrir. Você precisa chegar ao ponto de fazer algo em que a autenticação de alguém seja feita com algo que essa pessoa tenha, que não possa ser obtido de alguma outra fonte ou que não possa ser aprendido? Então, é como se você estivesse fazendo algum tipo de MFA, algo nesse sentido, dizendo, certo, tudo bem, você tem um sistema, está pedindo ajuda, prove. Mas não fazendo uma pergunta a você, porque isso pode acontecer.

INGO SCHUBERT: Bem, eu ia dizer que a mais popular são aquelas perguntas de segurança como, sim, o nome de solteira da avó e tudo isso. Quantas delas são sempre as mesmas?

PAUL MULVIHILL: Exatamente. Temos o mesmo conjunto de 10 perguntas, escolha três delas. É como se, bem, sabe de uma coisa? Provavelmente posso encontrar essa lista e descobrir qual é a resposta para todo mundo.

INGO SCHUBERT: Certo. Então, voltando ao tema abrangente, em geral, na segurança de identidade, você precisa de provas e provas fortes. Acho que você mencionou a MFA. É aqui que entra a MFA.

PAUL MULVIHILL: Sim. Quero dizer, se você estiver em uma empresa e tiver a MFA implementada, use-a a seu favor. Se o John tiver configurado a MFA e ele estiver ligando para o help desk, use isso para provar que você é quem diz ser. Obviamente, nem todos os MFAs são criados da mesma forma, mas é melhor do que não confiar em nada. Eu pesquiso sobre o John e descubro onde ele nasceu ou onde ele é solteiro, solteira da mãe, isso, aquilo e aquilo outro, e respondo à pergunta. Se fosse uma etapa em que você tem um curso de mestrado, prove.

INGO SCHUBERT: Então, mas como isso funcionaria agora? Então, com o RSA ID Plus nesse caso, porque, quero dizer, o que o help desk precisaria fazer? O que o usuário final precisaria fazer para isso? Porque, por exemplo, se você faz MFA, é como se fosse uma coisa. Mas, por exemplo, como isso funciona passo a passo. Como, o que um usuário precisaria fazer?

PAUL MULVIHILL: Com o tipo de coisa ID Plus, você tem um pouco de dois lados, a chamada acontece entre duas pessoas. A pessoa do help desk encontra o usuário no sistema e aciona uma sessão de verificação. O usuário final que está ligando conhece o URL, ou foi ensinado a conhecer o URL para o qual precisa ir e, então, no ponto de extremidade, é um, ok, faça um MFA. A empresa decidirá se é FIDA, se é empurrado para aprovação, biometria, qualquer que seja o método aceitável escolhido. E, quando ela conseguir fazer isso, receberá um código de verificação. Devolvam-no à pessoa do help desk. Mas esse é apenas um número de verificação de identidade. Não é um número de autenticação. Eles não podem verificar nada com ele.

INGO SCHUBERT: Certo. Assim, eles não precisam revelar sua OTP atual ou algo do gênero.

PAUL MULVIHILL: Eles fazem o OTP, se estiverem fazendo OTP. Eles fazem a aprovação por push, a biometria do Fido. Fazem tudo isso sem compartilhar nenhuma informação nesse momento. Obtêm um resultado. Entregar o resultado à pessoa do help desk, o que, mais uma vez, é apenas para verificação. Não se trata de nenhum tipo de autenticação. E então o
A pessoa do help desk diz, certo, me dê este número, um, dois, três, quatro, cinco, insira-o, o sistema diz, sim, eu estava esperando que ele fosse quem diz ser.

INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked, o vodcast em que analisamos as forças que estão moldando o futuro da segurança de identidade. Sou seu anfitrião, Ingo Schubert, e hoje vamos nos aprofundar no tópico que está gerando muito calor em todo o setor, a computação quântica. Hoje, tenho a companhia de David Lello, da Burning Tree. Vamos direto ao assunto. Hoje, a computação quântica é um exagero, uma ameaça, uma oportunidade ou todos os três. Na verdade, estamos revisitando um debate que começou em Bletchley Park, em setembro do ano passado, com David Lilo, da Burning Tree, e eu, Ingo Schubert. Então, vamos direto ao assunto. David, bem-vindo a este episódio.

DAVID LELLO: Obrigado

INGO SCHUBERT: Acho que, para beneficiar o público, o senhor poderia descrever em algumas palavras o que é computação quântica, para que estejamos em um nível de especialista depois que o senhor terminar?

DAVID LELLO: Bem, vou começar com a maneira básica de ver o computador quântico, porque acho que se começarmos a entrar em física teórica, talvez percamos algumas pessoas.

INGO SCHUBERT: Sim

DAVID LELLO: Então, com os computadores quânticos, os computadores quânticos funcionam de maneira diferente dos computadores tradicionais. Com um computador quântico, ele faz isso de forma diferente. O que ele está usando é a mecânica quântica e, portanto, em um mundo multidimensional de mecânica quântica, ele olha para os dados e vê os dados. Ele não lê os dados da mesma forma e, como resultado, pode levantar hipóteses e analisar vários construtos ao mesmo tempo. É como se, ao ler um livro, um computador tradicional o lesse do início ao fim; com um computador quântico, ele lê o livro e vê os dados. Assim, por causa disso, o computador quântico é capaz de processar informações muito mais rapidamente. E, ao resolver problemas, é como se resolvesse todos os problemas ao mesmo tempo, em vez de olhar para um problema e tentar resolvê-lo em uma série.

INGO SCHUBERT: Sim, então os algoritmos são bem diferentes, é claro. Sim, acho que é provavelmente por isso que muitos, e eu também me incluo nessa categoria, têm dificuldade, é claro, em saber como programar essa coisa. Acho que, por ter uma formação tradicional em TI, o que me ajuda às vezes a entender, por exemplo, que isso é realmente diferente, é que, em um computador tradicional, cada bit, sim. Se você tem N bits, pode armazenar N quantidades de dados. É zero, um, sim? Com o quantum, é dois elevado à potência de N, sim, o que é como, imediatamente, como, se o seu antigo instante entrar em ação, é como, sim, isso é muito mais, sim, na mesma quantidade de qubits nesse caso, certo? Portanto, o armazenamento e o processamento estão em um nível diferente, certo? Então, acho que vamos deixar isso para lá porque, caso contrário, ficaremos aqui por dias, certo? Apenas explicando o básico.

Portanto, o próximo tópico que gostaria de explorar é qual é o estado atual da computação quântica? Onde estamos agora? Porque acho que provavelmente, e se as pessoas que estão assistindo a isso tiverem nos visto em Bletchley Park, temos algumas opiniões diferentes sobre onde estamos e onde estaremos. Então, vamos começar com você. Qual é o estado atual da computação quântica?

DAVID LELLO: Acho que a computação quântica ainda está em um estágio inicial. Portanto, há vários computadores quânticos por aí, e você pode realmente contratar tempo em computadores quânticos para que possa analisar os dados. Mas acho que, da forma como os computadores quânticos foram desenvolvidos, há uma série de problemas. Alguns computadores quânticos estão exigindo muito controle em termos de coisas como temperatura. Assim, um computador quântico opera no zero absoluto, ou seja, 270 graus Celsius negativos, o que é muito frio. Para isso, são necessárias grandes instalações, grandes equipamentos e muita energia. Caso contrário, você perde a coesão e a estabilidade da plataforma.

Os primeiros computadores quânticos estavam queimando o tempo todo por causa desse problema. Portanto, esse é um problema que precisa ser resolvido e abordado. O outro problema é que, como o computador quântico analisa os dados ao mesmo tempo, ele cria muito ruído. Se você tivesse que pegar algo como a Bíblia e lê-la instantaneamente, em vez de percorrê-la do início ao fim, isso criaria uma narrativa em sua mente que seria incompreensível. E tentar digerir, entender e destilar a mensagem se tornaria muito difícil.

Portanto, o ruído no sistema criou um grande número de problemas. Temos visto um bom sucesso vindo de Oxford, onde eles reduziram significativamente a taxa de erro e o ruído dentro do sistema. Mas provavelmente o problema mais importante no momento é a quantidade de cubos que podem ser emaranhados de uma só vez, porque você começa a perder a coesão desses cubos quando ultrapassa cerca de 100 cubos. Portanto, a quantidade de qubits que podem ser emaranhados de uma só vez para processar as informações é limitada. Isso significa que o poder de processamento e a capacidade da máquina são limitados.

Portanto, ainda não é o que chamaríamos de computação quântica criptograficamente relevante, o que é um grande problema, mas está em um estágio em que foi comprovado. Ela funciona. Ela faz o que os cientistas dizem que faz. Trata-se apenas de levá-la ao próximo nível e investir mais. A cada poucos meses, novos avanços acontecem ou estão sendo fortemente investidos, e estamos começando a ver progresso.

INGO SCHUBERT: Sim, e isso é verdade. E acho que se compararmos os computadores quânticos, se olharmos apenas as fotos deles, certo? Há cinco anos e hoje, eu ainda os chamaria parcialmente de experimento físico, mas há cinco anos era muito mais um experimento físico, certo? Se você olhar apenas para a configuração física dessas coisas, certo?

No entanto, embora seja verdade que, você sabe, eles se tornaram tipo, sim, você joga um problema com eles e eles podem resolvê-lo muito mais rápido do que os computadores tradicionais. E parte disso é o que você disse ser a coesão. Sim, a coesão básica é, você sabe, se você conseguir manter o sistema estável por um determinado período de tempo. E isso geralmente é medido, no máximo, em segundos, sim, ou em milissegundos, dependendo do chip em tudo isso. E isso está muito longe de ser útil em muitos casos. Agora, há alguns casos de uso em que isso faz sentido. Pense nisso como um coprocessador quântico. Mas o problema que eu tenho com isso é que, em muitos dos casos de uso, é questionável se você poderia resolver o problema também com algumas GPUs da Nvidia, certo?

Portanto, uma das coisas que vejo que ainda estão sendo feitas constantemente é que há muito entusiasmo nesse espaço da computação quântica. Acho que ele se sobrepõe um pouco ao hype da IA também. Você também pode argumentar que, se isso é um exagero, é real. Mas a questão é que há muita propaganda e muito dinheiro circulando por aí. Acho que parte desse dinheiro agora está procurando uma estratégia de saída. E a computação quântica parece ser atraente, certo? Portanto, eles estão injetando muita coisa lá dentro e há empresas que, fundamentalmente, estão supervalorizadas e também superestimadas em termos do que prometem e do que fazem, e isso, na verdade, abrange todo o espectro, certo? No Bletchley Park, eu tinha o chip willow do Google como exemplo, no qual o Google tinha um comunicado de imprensa sobre esse novo chip, no qual eles tinham uma ótima correção de erros e tudo isso, e a alegação que foi captada pela imprensa popular foi que esse chip pode fazer em cinco minutos o que um computador tradicional pode fazer em 10 anos, o que é extraordinário. de 35 anos, o que é extraordinário, porque o universo tem apenas 10 à potência de 25 anos de idade, certo? e se você ler o artigo, verá que ele não é capaz de fazer isso, certo? era como se essa coisa pudesse funcionar por cinco minutos e como se fosse milhões, milhões de vezes, eles não são capazes de fazer isso, então seria assim. E se você observar outros comunicados à imprensa de diferentes empresas, grandes e pequenas, há uma certa tendência de exagerar o que elas alcançam.

E acho que, infelizmente, isso abafa alguns dos avanços reais que a computação quântica realmente fez nos últimos anos, certo? E acho que, e é aqui que chegamos, isso faz com que a ameaça da computação quântica pareça muito mais real, em termos de que ela está chegando, do que realmente é. Mas antes de entrarmos no assunto de por que o mundo acabará, se a computação quântica aparecer de repente, quais seriam os benefícios de um computador quântico que você tem em mente? Então, o que ele poderia fazer melhor do que qualquer outra coisa?

DAVID LELLO: Vou responder a isso reagindo também ao que você disse sobre o computador quântico em termos de sua situação atual. E, embora concorde que há problemas em termos de computador quântico, acho que estamos muito mais próximos de realmente alcançar a estabilidade em um computador quântico do que o que está sendo sugerido. Se eu olhar para trás, acho que uma das melhores maneiras de realmente olhar para o futuro é olhar para a história. Quando eu era jovem e trabalhava em um banco, havia um mainframe, e era um mainframe IBM da velha guarda. O mainframe ocupava uma sala. Era uma sala grande. Não era uma sala pequena. Era uma sala bem grande. E ele enchia a sala. Havia válvulas nesse mainframe. Ele tinha três tanques de resfriamento de água. Havia piscinas subterrâneas no porão desse banco. Essa coisa era enorme. E apenas alguns anos antes disso, eles haviam substituído o sistema de cartões perfurados desse mainframe.

Quando retiraram o antigo mainframe, que precisou de empilhadeiras e maquinário muito pesado para ser retirado, tiveram que cortar algumas portas porque não conseguiam encaixar fisicamente o mainframe novamente. E eles o substituíram por um rack e um computador mainframe que era exponencialmente maior do que o que existia antes. Vimos uma aceleração maciça nos avanços dos computadores ao longo dos anos. E se voltarmos apenas 30 anos, sabe, se voltarmos 40 anos, é simplesmente enorme a quantidade de mudanças que estamos vendo acontecer.

INGO SCHUBERT: Sim.

DAVID LELLO: E o que vimos com os computadores quânticos agora, sim, há indicadores iniciais e a ciência, quase parece um pouco com aquele velho mainframe no porão com os três tanques, porque você precisa dos sistemas de resfriamento, precisa do equipamento grande, precisa de todo o tipo de coisa que o acompanha. Há uma enorme quantidade de dinheiro investido nisso. Há muito investimento sendo feito. E esses problemas serão resolvidos. E eles podem ser resolvidos mais rapidamente do que imaginamos. E os avanços que temos visto mês a mês no momento sugerem que estamos cada vez mais próximos da coesão. Portanto, acho que pode estar um pouco mais perto.

E, se isso acontecer, acho que será realmente muito empolgante, pois o que o computador quântico pode fazer é processar dados muito mais rapidamente, não tão rapidamente quanto algumas pessoas afirmam, mas, como ele pode processar esses dados muito mais rapidamente, isso significa que ele poderá analisar e resolver problemas que não podiam ser resolvidos antes.

Então, você sabe que na física teórica existe o conceito do gato de Schrodinger, e o gato está vivo ou morto? Ele está se deteriorando? Ele está, o que é? Qual é o estado do gato? Bem, o computador quântico seria capaz de realmente olhar e ver o gato em todas as possibilidades e, portanto, seria capaz de resolver os principais problemas que não conseguimos resolver.

INGO SCHUBERT: Sim, e acho que, em termos de medicina, por exemplo, dobramento de proteínas, etc., os computadores quânticos teriam vantagem sobre os computadores tradicionais, com certeza, certo? E há outras coisas em que, simplesmente, tudo o que tem uma quantidade enorme de dados que precisam ser processados, como a previsão do tempo, seria uma coisa, como qualquer coisa, dados geológicos, há muitos casos de uso que se beneficiariam da computação.

Agora, voltando à questão de que isso é mais cedo, por mais que você pense que não é assim, porque não é uma linha reta onde ele diz que isso aconteceu no passado com os transistores e que acontecerá novamente, então pode ser que não seja, é como na loteria, só porque você ganhou da última vez não significa que não ganhará da próxima vez, começa do zero todas as vezes, especialmente com a coesão, Se você falar sobre, por exemplo, algumas centenas de qubits, talvez alguns milhares, para ser um computador quântico universal que, por exemplo, possa executar o Algoritmo de Shor, o que seria uma ameaça à criptografia. Você está falando de algumas centenas de milhares de qubits, certo? E, no caminho para isso, talvez batamos em uma parede em algum lugar, certo? Não há garantia de que resolveremos esses problemas. Talvez, e, na verdade, sim, claro, pode haver, mas não há garantia. E, ao mesmo tempo, um computador quântico precisa sobreviver comercialmente em um ambiente em que temos visto um aumento maciço no poder de computação em todo o mundo, essencialmente graças às GPUs, certo? Graças à IA. Bem, antes era a mania do Bitcoin, agora é a IA. Portanto, sem avanços, como avanços fundamentais no design de chips. Quero dizer, sim, eles ficam menores com isso. Aumentamos enormemente o poder de computação, tanto que, basicamente, o fator limitante agora é a energia, certo? Portanto, a energia elétrica.

E nesse ambiente, um computador quântico precisa sobreviver. Agora, você pode argumentar que, especialmente para aqueles que quebram chaves, alguns governos farão isso, tudo bem. Sim, então está tudo bem. Eles têm dinheiro suficiente. Eles realmente não se importam com isso. Bem, talvez eles devessem se importar. São nossos impostos, mas vamos supor que eles não se importem.

Há casos práticos de uso da computação quântica no caminho para um computador quântico universal totalmente funcional. Acho que isso é indiscutível. Não estou dizendo que não seja o caso. E há bons casos de uso para isso. Como eu disse, como, por exemplo, o dobramento de proteínas, na pesquisa farmacêutica, certo?

Mas vamos falar sobre as ameaças, certo? E não estou falando de consumo de energia, porque temos isso hoje com as unidades tradicionais, certo? Quero dizer, ameaças em particular à segurança de TI, e então é segurança, certo? Porque há algumas, você sabe, eu mencionei o algoritmo de Shor, então talvez devêssemos, você sabe, explicar brevemente, você sabe, o que é isso e como isso afeta a segurança.

DAVID LELLO: Sim, então com o computador quântico, porque ele pode processar essas informações e os dados muito mais rapidamente, ele é capaz de usar o algoritmo de Shaw para fazer engenharia reversa de chaves criptográficas e, portanto, quando temos um computador quântico criptográfico relevante, ele seria capaz de quebrar essas chaves em segundos, minutos.

INGO SCHUBERT: Sim.

DAVID LELLO: E, portanto, a maioria dos dados que consumimos, usamos e acessamos estaria vulnerável a ataques.

INGO SCHUBERT: Sim. E o argumento de Schor, como mencionei antes, é que hoje não existe um computador quântico que possa executar isso porque são necessárias centenas de milhares de qubits em coesão e funcionando por algum tempo. Então, sim, são alguns segundos, mas mesmo alguns segundos são um problema hoje em dia para alguns computadores quânticos. Portanto, isso essencialmente quebraria ou invalidaria, em certo sentido, o algoritmo RSA, sim, portanto, uma chave pública privada, usando RSA, mas também usando Diffie-Hellman e usando curvas elípticas, ECC. Então, basicamente, todos os que são populares e que foram usados nas últimas duas décadas seriam essencialmente quebrados, certo? Elas seriam quebradas com um computador quântico. É claro que os computadores tradicionais ainda teriam dificuldades, como sempre têm, portanto, não há ameaça.

E, sim, se isso estiver quebrado, esses algoritmos são usados em todos os lugares, certo? Então, esses são, você sabe, seu TLS tradicional, uma comunicação de servidor da Web, de um cliente para o servidor da Web, VPNs, assinaturas de e-mail, criptografia de arquivos sendo enviados e tudo isso, você sabe, todos eles são frequentemente baseados em RSA, ECC e ou Diffie-Hellman, certo? Portanto, isso seria, na verdade, catastrófico.

DAVID LELLO: Seria, com certeza. Seria completamente catastrófico. Acho que, quanto mais eu analisar o assunto e quanto mais casos de uso eu tiver, mais sistemas falharão. É um problema global. Como a autenticação e a autenticação no sistema financeiro. Até mesmo coisas como o Bitcoin ficam comprometidas. Eles usam criptografia de curva elíptica e isso pode ser comprometido. Como consequência, o sistema financeiro é totalmente quebrado.

Então, sim, isso pode ser absolutamente catastrófico. Acho que podemos ver os principais problemas nos casos típicos de uso amplo, mas também em problemas menores e menos públicos, nos quais as pessoas nem sempre pensam, portanto, quando começamos a falar sobre IOT e OT e começamos a pensar em dispositivos médicos e equipamentos médicos, a capacidade de comprometer isso. Pegue uma pessoa que esteja usando uma bomba de insulina.

Se eu conseguir comprometer a criptografia dessa bomba de insulina, posso matar alguém.

INGO SCHUBERT: Sim.

DAVID LELLO: De repente, a criminalidade por trás dessas coisas pode se tornar exponencialmente mais significativa. E começamos a ver coisas como Minority Report e casos de uso do tipo Terminator acontecendo.

INGO SCHUBERT: Agora você está falando. Isso ficou interessante agora, sim.

Mas, voltando à disponibilidade de computadores quânticos, isso não acontecerá da noite para o dia, porque não seria apenas de um dia para o outro. Vamos supor que alguém, sim, finalmente consiga um computador quântico com 200.000 cúbitos para executar o algoritmo de Shor, por exemplo. Normalmente, são cerca de um milhão. Há algumas pesquisas que dizem que você só precisa de cerca de 100 mil qubits. Não é como se, de repente, todo mundo tivesse um computador quântico. São apenas alguns governos e instalações de pesquisa que têm acesso à computação quântica. Não é como se todo criminoso cibernético tivesse acesso a ela.

Mas a ameaça é real. Acho que é um pouco semelhante ao problema do ano 2000. Então, já prevíamos isso há algum tempo, mas fizemos coisas para mitigá-lo e acabou sendo um pouco inútil.

DAVID LELLO: Mas só porque fizemos alguma coisa.

INGO SCHUBERT: Exatamente. Só porque fizemos alguma coisa, certo? Portanto, se não tivéssemos feito nada, isso provavelmente teria sido um grande problema, mas fizemos algo e acabou dando tudo certo, certo? E acho que provavelmente será semelhante a esse caso aqui, porque há coisas que podem ser feitas, o que nos leva ao próximo trabalho.

Sim, então podemos discordar sobre quanto tempo teremos, certo? Então, apenas para esclarecer isso, houve um relatório do MITRE, um instituto de pesquisa financiado pelo governo dos EUA, um relatório recente no início do ano e eles colocaram o algoritmo do Shor em algum lugar como o início da década de 2040, provavelmente mais para a década de 2050, então não é como se eles tivessem um incentivo para divulgá-lo corretamente, então foi um relatório sólido, mas mesmo que você diga que é muito mais cedo, é improvável que seja antes da década de 2030. Acho que é altamente improvável, a menos que aconteça algum milagre. Então, o que você pode fazer hoje para se preparar para esse apocalipse quântico?

DAVID LELLO: Acho que definitivamente será muito mais rápido do que 2050. Acho que, sabe, odeio tentar prever, porque é algo impossível. Sabe, quando alguém tenta prever o futuro, inevitavelmente fracassa porque não temos uma mente sobrenatural.

INGO SCHUBERT: Bem, vamos nos encontrar em 2055. No mesmo horário, sim, para podermos conversar sobre isso. Se eu ainda estiver lá dentro.

DAVID LELLO: Com certeza. Vamos fazer isso. No mesmo horário, no mesmo lugar. Vamos fazer isso. Tudo bem, mas se for antes, acho que vamos ver como podemos comemorar esse evento, porque acho que com qualquer avanço na tecnologia, uma descoberta acontece, e acontece em um momento. Pode acontecer na próxima semana. Pode acontecer daqui a 10 anos. Não sabemos. Mas isso vai acontecer, tenho certeza, porque a ciência existe. Ela é confiável. É real. Você sabe, um campo de girassóis é capaz de manter a coesão neste momento. A estabilidade existe à temperatura ambiente, em um campo, com todas as coisas que estão acontecendo ao seu redor. Animais correndo lá embaixo, poluição e tudo o mais. Um campo de girassóis pode ter coesão.

INGO SCHUBERT: É isso mesmo.

DAVID LELLO: Por que vários cientistas fazem isso?

INGO SHCUBERT: Sim, mas eles têm alguns milhões de anos para evoluir, certo? Esse é o meu ponto de vista. Concordo com isso, mas eles têm um pouco de vantagem, certo?

DAVID LELLO: Voltando à questão, acho que um dos problemas que temos, e abordamos um pouco no Bletchley Park, é que o que temos no momento em termos de prática e o que chamaríamos de boa prática em relação ao gerenciamento de chaves criptográficas, acho que muitas empresas falharam. Portanto, quando se trata de eventos, há alguns anos, tivemos a vulnerabilidade do SSL, e todo mundo se agitou e procurou substituir as chaves. Isso fez com que as organizações se tornassem muito mais ágeis em termos de rotação de suas chaves TLS, o que é fantástico. Isso está resolvendo uma boa parte do problema. Se você tiver agilidade em suas chaves TLS, isso significa que poderá alterá-las. Talvez seja necessário fazer alguns testes ao longo do caminho para garantir que tudo funcione.

Mas as organizações podem começar a pensar agora em sua autoridade de certificação e em como elas emitem suas chaves e como substituem suas chaves em um nível TLS. E isso é bom. O problema que encontramos quando entramos em uma organização é que 20 a 30, talvez até 40% das chaves não são gerenciadas dessa forma. Muitas vezes, muitos hardwares têm chaves incorporadas em uma infraestrutura de hardware e algumas dessas peças de hardware podem durar 20 anos, e a capacidade de alterar as chaves nesse hardware significa alterar o hardware.

Também temos muitas práticas ruins de codificação, especialmente nos dias de compilações monolíticas em que os aplicativos têm chaves incorporadas nos próprios aplicativos. E quando começamos a pensar sobre o que não aconteceu apenas.

INGO SCHUBERT: Acho que esse é o meu ponto. Essa foi uma prática ruim, independentemente de haver ou não computação quântica.

DAVID LELLO: É. Portanto, quando começamos a pensar nessa ideia do Dia Q, que no Y2K foi fácil porque tínhamos uma data. Com o Dia Q, não temos uma data.

INGO SCHUBERT: Muito bem visto.

DAVID LELLO: Mas quando isso acontecer, e pode acontecer amanhã ou daqui a 10 anos ou, se você estiver certo, daqui a muito mais tempo, teremos uma situação em que uma boa parte da organização e suas chaves não poderão ser substituídas facilmente, e entraremos em pânico. Teremos um problema enorme, pois os dados ficarão comprometidos.

Mas também, o outro problema que temos é algo que me fazem muitas perguntas, que é a ameaça ‘coletar agora, descriptografar depois’. E temos visto dados criptografados sendo roubados há anos. Quero dizer, neste país, com David Cameron, ele disse que todos os nossos dados foram roubados pela China, mas isso não importa. Eles são criptografados. Portanto, voltando alguns anos atrás, esse tipo de afirmação não deixa de ser verdade agora, considerando as tecnologias que temos com o tempo, com um computador quântico, isso se torna um problema. E sim, é claro, os dados envelhecem.

INGO SCHUBERT: Mas alguns desses dados ainda serão relevantes. Não todos, mas alguns. Então, acho que é a mesma coisa. Por exemplo, eles ficaram lá fora e, sim, se forem descriptografados daqui a cinco anos, quem se importa, certo? Ou em 10 anos, sim. Portanto, você pode argumentar que muitos dos dados de identidade para autenticação, se eles forem descriptografados em cinco ou dez anos, você não se importará muito com eles, pois já estarão desatualizados. Mas há muitos dados estratégicos em que, sim, isso pode prejudicá-lo por décadas, certo? E você nem precisa ser um estado. Você pode ser apenas uma corporação normal, uma empresa normal.

DAVID LELLO: Exatamente.

INGO SCHUBERT: E qual é o caso?

DAVID LELLO: Quero dizer, você sabe, a quantidade de organizações em que eu entro que têm sistemas legados. Na verdade, estive em uma organização há pouco tempo em que havia um aplicativo. Eles o tratavam como uma caixa preta, e o tratavam como uma caixa preta porque o código-fonte havia sido perdido. A pessoa que o escreveu já se foi há muito tempo, não toque nele. Se ele cair, a resposta é ligá-lo ou desligá-lo, ligá-lo novamente e rezar, porque é a única coisa que você pode fazer. Não há nada que você possa fazer. E esse sistema controlava todo o acesso em suas lojas, todo o acesso em suas lojas. E se for comprometido, se for derrubado, você derruba a organização.

INGO SCHUBERT: Ponto único de falha.

DAVID LELLO: Ponto único de falha. A quantidade de organizações que estamos visitando onde há esse ponto único de falha é extraordinária. As organizações realmente precisam começar a pensar em como modernizar sua infraestrutura de gerenciamento de identidade e acesso. Quando começamos a pensar em gerenciamento de identidade e acesso, o gerenciamento de identidade e acesso é o caminho para tudo. Vimos os últimos ataques de ransomware que estão ocorrendo na Alemanha, bem como aqui no Reino Unido, na Itália e em outros lugares. Esses ataques de ransomware têm como alvo os sistemas de controle de acesso. Eles têm como alvo a autenticação porque é um alvo fácil e suave, seja o Active Directory ou um sistema como o que descrevi, a capacidade de realmente comprometer o acesso derruba a organização, interrompe a comunicação e a capacidade de acesso. A modernização do gerenciamento de acesso à identidade nesse contexto será uma das grandes prioridades.

INGO SCHUBERT: Sim, sim. É difícil argumentar contra isso porque, você sabe, isso faz sentido, não importa como você olhe para isso, certo? Acho que quando voltamos ao gerenciamento de chaves de criptografia básica, muitos clientes não sabem o que têm, certo? Eles não têm uma boa visão de onde criptografam, onde estão as chaves, onde assinam digitalmente. Eles não têm essa visão geral. Acho que isso é parte do problema, certo? Porque não se pode consertar o que não se sabe que existe. Muitos dos clientes tiveram dificuldades com a simples higiene cibernética básica. Infelizmente, é isso que vejo constantemente, certo? Hoje de manhã, em uma ligação sobre um cliente que está usando um software da RSA com 20 anos de idade, com 20 anos de idade, certo?

DAVID LELLO: Uau.

INGO SCHUBERT: Então, na verdade, eles ligaram para o nosso suporte sobre algo e o suporte não conseguiu responder, e é como se, sim, claro, você sabe, provavelmente o pessoal de suporte que estava atendendo à chamada telefônica provavelmente estava no jardim de infância quando esse software foi lançado, certo? Portanto, o que quero dizer é que, enquanto não fizermos essa higiene e visibilidade cibernéticas básicas, em primeiro lugar, não será possível atingir esse estado de prontidão quântica, ou seja, estar pronto para o dia Q. Isso é simplesmente impossível. Isso é simplesmente impossível.

Além disso, minha opinião é que você não pode se preocupar com a computação quântica até que conserte essas coisas, certo? Porque se você não sabe qual software está executando, se não o mantém atualizado, é claro que você depende que os fornecedores consertem isso, como se você estivesse implementando criptografia pós-quântica, por exemplo, certo?

Mas se o software for lançado com a nova versão, com todas essas coisas legais de computação quântica, e você não o instalar, isso fará com que ele não exista, certo? E, além disso, mesmo que você faça isso, se suas políticas e procedimentos relacionados, por exemplo, ao gerenciamento de dados, não estiverem corretos, do que estamos falando aqui? Então, se o invasor puder simplesmente telefonar para o seu help desk e pedir para entrar, ele não precisará de um computador quântico para fazer isso, certo? Ele não precisa disso hoje. Não precisou ontem. Não precisará amanhã. Eles simplesmente telefonam para o seu help desk se suas políticas não estiverem corretas e obtêm acesso.

Portanto, há muitas coisas que podem dar errado, deram errado e darão errado, que não têm nada a ver com computadores quânticos. E meu medo é que as pessoas estejam olhando para essa coisa quântica, esse Q-Day, e se distraiam com esse brinquedo bonito e brilhante, certo? Enquanto elas têm muito dever de casa para fazer, o que provavelmente não tem sido feito há décadas, certo? E, é claro, você pode argumentar que precisa fazer isso, ter visibilidade, aplicar patches, corrigir seus procedimentos. Se for necessária essa ameaça da computação quântica para que um cliente faça isso, que assim seja, certo? Eu poderia ficar feliz.

Mas uma parte de mim pensa: "Não, porque o que acontecerá se encontrarmos um obstáculo com a computação quântica? E, por alguns anos, não houver nenhuma vantagem ou avanço real, e então você pensa: "ah, isso é tipo, você sabe, década de 2060, como se eu já tivesse saído do mercado de trabalho há muito tempo, então não preciso me preocupar com isso", e essa é a abordagem errada, porque você deve resolver isso, não importa o que aconteça.

Vou lhe dar um pouco de conhecimento, sim, alguns nomes, sim, o filósofo alemão Emmanuel Kant, sim, agora não corte esse editor, sim, isso é k, isso é k. Isso é K -A -N -T, certo? Portanto, eu o chamo de Emmanuel de agora em diante, sim.

Filósofo alemão, século 18, e muitas coisas inteligentes que ele disse. Mas uma das coisas que acredito ser uma das mais inteligentes é que você faz a coisa certa porque é a coisa certa a fazer, certo? Não porque isso lhe rende alguns pontos com alguma divindade, algo assim. Você faz isso porque é a coisa certa a fazer.

E ter uma boa visão geral de onde você criptografa, como você criptografa sobre políticas, procedimentos, patches e tudo isso é a coisa certa a fazer, independentemente de a computação quântica estar a 10 anos, 20 ou 30 anos de distância. Não importa. Você precisa fazer isso. Agora, você deveria estar fazendo isso nos últimos 20 anos. Esse é essencialmente um ponto. Acho que é nesse ponto que concordamos. Sim, com certeza. Acho que a motivação por trás disso é o ponto em que discordamos, pois temos opiniões diferentes sobre onde a computação quântica está e onde ela estará. Mas, com certeza, se houver um cliente que diga que preciso estar pronto para a computação quântica, o esforço não será desperdiçado.

DAVID LELLO: Não, absolutamente não. Acho que também, Ingo, uma das coisas que é uma realidade que sempre me desafia, porque passamos muito tempo com diretorias de grandes empresas conversando com diretores financeiros e afins, e uma empresa existe com o objetivo de fornecer um produto ou serviço e, se estiver no setor privado, terá lucro, a não ser, é claro, que seja uma instituição de caridade, mas não vamos nos preocupar com isso. Assim, investir em algo porque é a coisa certa a fazer torna-se mais uma discussão filosófica. Não acho que essa seja necessariamente a abordagem correta.

INGO SCHUBERT: Bem, sim, com certeza.

DAVID LELLO: Embora eu concorde com você, absolutamente 100%, sabe, do ponto de vista da fé, do que eu acredito, eu sempre gostaria de fazer a coisa certa. Mas a realidade é que as empresas não existem para isso. Elas não existem para fazer a coisa certa. Às vezes, elas são um pouco imorais.

INGOSCHUBERT: Sério? É a primeira vez que ouço isso. Deixe-me anotar isso.

DAVID LELLO: Então, acho que o que você faz é olhar para isso de uma forma diferente e acho que uma das realidades que vemos e que ressoa e as pessoas entendem é medir, reconhecer e perceber qual é a minha exposição ao risco associada a um determinado ambiente e precisamos vinculá-la a algo que seja tangível, precisamos sempre voltar a pensar em como posso construir um caso de mudança neste mundo, sim, e como é a mudança? Um dos desafios que enfrentamos, porque quando começamos a procurar ajudar as organizações a responder a esse problema, é que não existe uma estrutura que lide com a preparação quântica. Não há uma.

Então, nós escrevemos um. Escrevemos um padrão para dizer que aqui está uma abordagem para analisar a quântica. Pegamos vários padrões diferentes do NIST e de boas práticas, ISF e várias coisas diferentes para podermos criar um modelo e uma estrutura para que possamos começar a analisá-los. Mas o que isso faz é permitir que comecemos a analisar e dizer: "Bem, quando você pega um sistema como esse sistema de identidade que gerencia todo o acesso que é um ambiente de caixa preta, qual é a minha exposição ao risco de ter uma máquina como essa? E vou retirar completamente a quântica. Qual é o meu risco? Eu realmente entendo meu risco? Se isso cair, o que acontecerá com meu ambiente? E se eu puder avaliar esse risco, tenho que fazer algo a respeito.

INGO SCHUBERT: Ah, e isso é, quero dizer, no final das contas, é o gerenciamento de risco adequado, que vejo que está faltando em muitas empresas ou organizações em geral, certo? E isso de fato precisa ser feito e deveria ter sido feito há anos e deveria ser feito hoje, independentemente da computação quântica ou não. Esse é o meu ponto de vista.

Bem, é claro que eles não fazem isso porque é a coisa certa a fazer, certo? Esse é um argumento financeiro difícil de ser apresentado. Concordo plenamente com você. Mas há todas as outras ameaças pelas quais eles deveriam estar fazendo isso, certo? E, mais uma vez, se você precisar vender esse conceito de analisar tudo isso e descobrir e ter um gerenciamento de risco adequado por causa da computação quântica, pode ser minha opinião, certo? Acho que esse é o caminho certo. Se essa for a alavanca de que você precisa para obter a assinatura, sim, com certeza, faça isso. Porque, no final, mesmo que a computação quântica ainda esteja a 30 anos de distância, você ainda se beneficia hoje. Porque ter essa prontidão ajuda você a estar seguro hoje também. Você não está desperdiçando dinheiro. Sim, então acho que essa é a coisa certa a se fazer. E há algumas recomendações e algumas estruturas da Europa, por exemplo, eles dizem que até 2026 - o que, para ser franco, você já deveria ter feito se quiser estar em conformidade com o DORA. Talvez você veja as mesmas coisas novamente porque não vê algumas pessoas fazendo isso. Portanto, visibilidade e gerenciamento de risco até 2026 e, em seguida, alguma preparação quântica de alguma forma até 2030 para alto risco e 2035 para baixo e médio risco, certo? Portanto, parece estar muito longe, mas, sabe, já estamos, tipo, no final de 2025, quando registramos isso, o lançamento é 2026.

Portanto, é como se isso estivesse a apenas alguns anos de distância. E se voltarmos ao início de nossa conversa, se olharmos para o problema do Y2K, sim, se você começou em 1999, provavelmente está um pouco atrasado para isso, certo? Portanto, você precisa estar preparado agora, com certeza, certo.

DAVID LELLO: Acho que uma das coisas que você mencionou, que considero um ponto fascinante em termos de psicologia humana, são as regulamentações, as regulamentações europeias e coisas como Dora. As regulamentações só entram realmente em vigor porque as empresas são negligentes em fazer a coisa certa.

INGO SCHUBERT: Sim, com certeza.

DAVID LELLO: E como não estão fazendo a coisa certa, os legisladores dizem que teremos um grande problema no país, a menos que analisemos a questão. Portanto, as leis entram em ação quando é preciso fazer algo. Portanto, o NCSC do Reino Unido criou orientações sobre quantum. E temos o DORA na Europa. E, infelizmente, por causa do Brexit...

INGO SCHUBERT: Você trouxe isso, eu não trouxe.

DAVID LELLO: Estamos apenas começando a analisar o nosso Projeto de Lei de Resiliência. Portanto, o Projeto de Lei de Resiliência foi liberado para comentários públicos. Portanto, a primeira edição foi liberada e os comentários estão sendo feitos. Em breve, teremos uma leitura no Parlamento. Esperamos estar em dia com o resto do mundo nessa questão específica.

INGO SCHUBERT: Bem, exceto os EUA. Os EUA parecem ser, você sabe, um lugar selvagem no mapa, sim. Sim, realmente é. Sim, é como se, e vejo isso conversando também com colegas americanos, sim, é como se, sim, nós realmente não tivéssemos isso, certo? Mas em todos os outros lugares do mundo, parece que a resiliência, o gerenciamento de riscos parece ser um pouco mais maduro em termos de regulamentações e perdas, sim, o que é...

DAVID LELLO: Você tem que ter isso.

INGO SCHUBERT: Você tem que ter isso, certo? E quando você as lê, e você provavelmente já leu tanto ou mais do que eu, algumas dessas coisas são óbvias, como ter um gerenciamento de risco adequado. É como se você devesse saber que, se essa coisa cair, você saberá as consequências, certo? Claro que sim, porque sua empresa está ganhando dinheiro e há algo que a impede de fazer isso. Você deve saber por que e como consertar isso. E, no entanto, eles não fazem isso até serem obrigados por lei, o que é triste em alguns sentidos, certo?

DAVID LELLO: Infelizmente, a natureza humana entra em ação. No entanto, tenho dificuldade em lidar com isso porque essas coisas não são difíceis, você sabe que analisar os riscos e o gerenciamento de riscos não é difícil.

INGO SCHUBERT: Não, mas leva tempo.

DAVID LELLO: E isso leva tempo, mas quero dizer que existem muitas tecnologias diferentes que podem ajudar a simplificar o processo. Sabe, os computadores são projetados para automatizar processos. A razão pela qual temos computadores é porque temos processos manuais que exigem exércitos de pessoas para realmente fazer algo. Com os computadores, podemos automatizar todo esse processo. E com os sistemas modernos, podemos automatizar ainda mais. Por exemplo, você pode pegar coisas como o gerenciamento de vulnerabilidades. Se você tiver um ambiente modernizado e uma varredura de vulnerabilidades implementada, terá uma visibilidade relativamente boa em termos de riscos tecnológicos.

INGO SCHUBERT: Sim. A mesma coisa para nós. Governança de identidade. No fim das contas, não se trata de ciência de foguetes. Sim, é claro. Você conectará todos os sistemas diferentes, talvez crie algumas regras e tudo isso. Mas então você tem essa visibilidade e tem a visão de você, sabe, em termos de segregação de funções, conformidade e tudo isso. E, sim, é um trabalho. Sim, é um investimento em termos de dinheiro e tempo, é claro, mas você ganha algo com isso.

DAVID LELLO: Sim.

INGO SCHUBERT: Certo. Acho que as pessoas também não percebem que o gerenciamento de risco provável também lhe dá algo em troca, porque você descobre coisas que talvez não devesse investir todo esse dinheiro nessa proteção ou está tornando essa coisa resiliente porque não tem um impacto tão grande, enquanto na outra você deveria investir mais porque, se ela cair, coisas ruins acontecerão. Acho que isso também acontece, e é claro que você não percebe isso porque, se não fizer um gerenciamento de risco adequado, não terá essa visibilidade, então como tomar essa decisão, certo? Portanto, as pessoas, basicamente, as organizações estão se prejudicando por não fazerem isso, certo?

DAVID LELLO: E a governança de identidade é muito importante em termos de capacitação e ajuda. É verdade. Sabe, quando converso com muitas organizações sobre identidade, a identidade não é uma daquelas coisas de segurança que você faz porque, sabe, é uma apólice de seguro. A identidade é um facilitador. É um verdadeiro facilitador de negócios para ajudar as organizações a serem mais eficientes e mais eficazes em termos de como as pessoas têm acesso. Mas é fundamental ter o acesso certo, na hora certa e no lugar certo, e ter os modelos de governança que realmente conduzam a isso. Portanto, quando começamos a analisar os controles de ITGC e os sistemas financeiros, e você começa a analisar como o acesso precisa ser criado em seus direitos, sua segregação de funções e os mandatos que o acompanham. Essas coisas não são novidade. Elas estão escritas na Lei das Empresas e na Regulamentação Financeira há décadas.

INGO SHUBERT: Com certeza.

DAVID LELLO: E a capacidade de controlar isso com um bom sistema de governança de identidade já existe. E com uma solução modernizada, isso se torna realmente muito fácil. Não é tão difícil quanto as pessoas pensam.

INGO SCHUBERT: Olhe para nós. Falando sobre governança de segurança de identidade e começamos com quantum. É como se, sim, mas esse é o ponto. Acho que isso é algo que também abre as portas para algumas discussões com clientes ou organizações em geral, onde, por exemplo, sim, está tudo bem. Falar sobre a ameaça quântica e, você sabe, mas no final você acaba em discussões que não são realmente sobre quântica, mas sobre outras coisas. Que, sim, você pode consertar agora, você deve consertar agora, independentemente do que aconteça no futuro.

DAVID LELLO: É o conceito básico de higiene.

INGO SCHUBERT: É o conceito básico de higiene, exatamente. Essa é uma maneira perfeita de encerrar o assunto. Então, David, obrigado. Poderíamos conversar por horas, de fato, toda vez que nos encontramos. Então, muito obrigado. Acho que a ameaça quântica pode parecer distante.

Pode ser que sim, pode ser que não. Mas esperamos que, durante essa conversa, nossos telespectadores e ouvintes tenham tido a ideia de que, independentemente de você dever fazer coisas hoje para se preparar para a quântica. Isso não faz mal algum.

O que você obtém com isso o beneficia hoje em relação às ameaças que existem hoje, certo? Você não precisa esperar 20 anos para perceber os benefícios. Na verdade, você os obtém hoje.

Isso encerra o debate de hoje sobre a computação quântica e seu impacto na segurança da identidade. O futuro quântico é ficção científica e as organizações precisam entender onde estão os riscos e as oportunidades reais. Se você quiser obter mais informações sobre a resiliência da identidade e as tecnologias que preparam as organizações para o futuro, acesse RSA.com. Se você quiser ter acesso a mais episódios do RSA Identity Unmasked, não se esqueça de se inscrever. Obrigado por nos acompanhar e até a próxima.