Pertama kali saya berikan kartu kredit saya ke lab keamanan, kartunya kembali dalam keadaan rusak. Tidak rusak secara fisik, tapi sudah dibobol. Dalam waktu kurang dari 10 menit, para insinyur telah menemukan PIN saya.
Ini terjadi di awal tahun 1990-an, saat saya masih insinyur muda yang magang di salah satu perusahaan yang membantu menciptakan industri smart card. Saya pikir kartu saya aman. Saya percaya sistemnya bekerja. Tapi melihat orang asing dengan mudah mengambil sesuatu yang seharusnya rahasia dan terlindungi adalah sebuah kejutan. Itu juga saat saya sadar betapa tidak amannya keamanan sebenarnya, dan dampak buruk pelanggaran keamanan bagi individu, perusahaan global, dan pemerintah.
Banyak orang beranggapan keamanan adalah tentang membangun sesuatu yang tidak bisa dihancurkan. Kenyataannya, keamanan adalah tentang memahami persis bagaimana sesuatu bisa rusak, dalam kondisi apa, dan seberapa cepat. Itulah sebabnya, sekarang, saya menjalankan lab di mana para insinyur dibayar untuk menyerang chip yang justru dirancang perusahaan saya. Mereka mengukur fluktuasi daya, menyuntikkan sinyal elektromagnetik, menembakkan laser, dan membuka lapisan silikon. Tugas mereka adalah sengaja bertingkah seperti kriminal dan negara-negara yang bermusuhan, karena satu-satunya cara jujur untuk membangun kepercayaan adalah dengan mencoba menghancurkannya dulu.
Bagi orang di luar dunia keamanan, pendekatan ini terdengar tidak masuk akal. Mengapa menghabiskan tahunan merancang perangkat keras yang aman, hanya untuk mengundang orang menghancurkannya? Jawabannya sederhana: Kepercayaan yang tidak pernah diuji bukanlah kepercayaan. Itu adalah asumsi. Asumsi gagal diam-diam pada awalnya, dan mereka gagal di saat yang paling buruk.
Selama tiga dekade terakhir, saya melihat chip aman bergerak dari teknologi khusus menjadi infrastruktur yang tak terlihat. Awal karir saya, banyak pekerjaan saya fokus pada kartu pembayaran. Meyakinkan bank dan jaringan pembayaran bahwa chip lebih aman daripada pita magnetik tidak mudah. Saat itu, ada ketakutan akan pengawasan dan pelacakan. Yang sedikit disadari orang adalah bahwa chip ini menjadi paspor digital. Mereka membuktikan identitas, mengautentikasi perangkat, dan menentukan apa yang bisa dan tidak bisa dipercaya di jaringan.
Sekarang, chip aman diam-diam berada di dalam kartu kredit, ponsel pintar, mobil, perangkat medis, router rumah, sistem industri, dan infrastruktur nasional. Kebanyakan orang tidak pernah menyadarinya, yang sering dianggap sebagai tanda kesuksesan. Kenyataannya, ketidakterlihatan itu juga menciptakan risiko. Ketika keamanan menghilang dari pandangan, mudah untuk lupa bahwa itu harus tetap berkembang.
Pada tingkat dasar, chip aman melakukan satu hal penting. Ia melindungi sebuah rahasia – identitas kriptografi yang membuktikan suatu perangkat asli. Semua tindakan keamanan lain dibangun di atas dasar itu. Saat ponsel terbuka kuncinya, saat mobil berkomunikasi dengan stasiun pengisian daya, saat sensor medis mengirim data ke rumah sakit, atau saat pembaruan perangkat lunak dikirim ke perangkat di lapangan, semua tindakan itu bergantung pada rahasia itu yang tetap menjadi rahasia.
Tantangannya adalah chip tidak hanya menyimpan rahasia. Mereka menggunakannya. Mereka menghitung, berkomunikasi, dan merespon. Saat chip melakukan itu, ia mulai membocorkan informasi. Bukan karena desainnya buruk, tapi karena hukum fisika tidak bisa ditawar. Konsumsi daya berubah. Emisi elektromagnetik berubah. Waktu beragam. Dengan peralatan yang tepat dan keahlian yang cukup, sinyal-sinyal itu bisa diukur dan diartikan.
Inilah yang terjadi di lab serangan kami setiap hari. Para insinyur mendengarkan chip mirip seperti cara penyedia listrik dapat menduga rutinitas harian Anda dari penggunaan daya. Mereka menguji perangkat hingga berperilaku berbeda dari yang diinginkan. Mereka memperkenalkan kesalahan dan mengamati respons chip. Dari pengamatan itu, mereka belajar bagaimana penyerang akan berpikir, di mana informasi bocor, dan bagaimana pertahanan harus dirancang ulang.
Komputasi kuantum memasuki gambar ini tanpa drama atau fiksi ilmiah. Kuantum tidak mengubah apa yang diincar penyerang – mereka masih menginginkan rahasianya. Yang diubah kuantum adalah kecepatan mereka mendapatkannya. Masalah yang membutuhkan ribuan tahun untuk komputer klasik dapat runtuh menjadi menit atau detik begitu kemampuan kuantum yang cukup ada. Targetnya tetap sama. Jadwal waktunya menghilang.
Inilah mengapa keamanan statis gagal. Sistem apa pun yang dirancang untuk aman sekali lalu tidak disentuh lagi sudah menua menuju ketidakbergunaan. Jika suatu sistem tidak pernah diserang, ia pada akhirnya akan gagal, karena dunia di sekitarnya tidak diam. Teknik serangan berevolusi dan membaik. Alat menjadi lebih murah, lebih kuat, dan lebih mudah diakses – terutama di era Kecerdasan Buatan. Pengetahuan tentang serangan yang berhasil menyebar secara global, memberanikan orang lain untuk mencari kesuksesan serupa.
Banyak organisasi membuat kesalahan yang sama. Mereka berasumsi mereka akan melihat ancaman datang. Mereka menunggu pelanggaran yang terlihat atau insiden publik sebelum bertindak. Dengan kuantum, logika itu runtuh. Pelaku pertama dengan kemampuan kuantum yang nyata tidak akan mengumumkannya. Mereka akan menggunakannya diam-diam. Bahkan, ini sudah terjadi sekarang dengan serangan Harvest Now-Decrypt Later (HNDL), di mana sejumlah besar data terenkripsi dikumpulkan dan disimpan hari ini untuk didekripsi kuantum di masa depan. Saat serangan menjadi jelas, kerusakannya sudah terjadi.
Kenyataan itulah yang menyebabkan pemerintah dan regulator bergerak sekarang. Di berbagai industri, muncul persyaratan bahwa sistem harus menjadi tahan kuantum dalam jangka waktu yang ditentukan. Ini tidak didorong oleh teori atau hype. Ini didorong oleh fakta sederhana bahwa memperbarui kriptografi, perangkat keras, dan infrastruktur membutuhkan tahunan, sementara mengeksploitasi kelemahan bisa dilakukan dalam sekejap.
Saat saya berjalan melalui lab kami hari ini, yang paling mencolok bagi saya bukanlah kecanggihan alatnya, tetapi kedisiplinan prosesnya. Akses dikontrol ketat. Para insinyur diperiksa dan diaudit. Setiap eksperimen didokumentasikan. Ini bukan peretasan yang didorong rasa ingin tahu. Ini adalah pengujian terstruktur dan dapat diulang yang dirancang untuk mengungkap kelemahan lebih awal, sementara masih ada waktu untuk memperbaikinya. Setiap serangan yang berhasil menjadi masukan untuk desain yang lebih kuat.
Inilah yang perlu dipahami oleh para pemimpin, pemilik sistem, dan pembuat kebijakan. Keamanan tidak gagal tiba-tiba. Ia gagal diam-diam, jauh sebelum ada yang menyadarinya. Mempersiapkan ancaman kuantum bukan tentang memprediksi momen tepat terjadinya terobosan. Ini tentang menerima bahwa begitu itu terjadi, tidak akan ada masa tenggang. Satu-satunya pendekatan yang bertanggung jawab adalah menganggap sistem Anda akan diserang dan memastikan itu terjadi dalam kondisi terkendali, sebelum orang lain memutuskan waktunya untuk Anda.
Pendapat yang diungkapkan dalam artikel komentar Fortune.com adalah pendapat penulisnya sendiri dan tidak selalu mencerminkan pendapat dan keyakinan Fortune.