Connect with us

Jack Cherkas, Globální CISO ve společnosti Syntax – Rozhovor

Rozhovory

Jack Cherkas, Globální CISO ve společnosti Syntax – Rozhovor

mm
Published

Jack Cherkas, Globální CISO ve společnosti Syntax, je zkušený cybersecurity manažer s hlubokými zkušenostmi v oblasti cloudové bezpečnosti, kybernetické odolnosti, podnikové architektury a bezpečnosti AI. Působil ve vedoucích pozicích ve společnostech Syntax, PwC UK, Kyndryl a IBM, kde pomáhal budovat a rozšiřovat bezpečnostní operace, řídit hlavní incidenty a vyvíjet strategie kybernetické odolnosti pro velké podniky. Ve společnosti Syntax vede globální kybernetickou bezpečnost napříč lidmi, systémy, datovými centry, spravovanými cloudovými službami a zákaznickými bezpečnostními nabídkami, přičemž dohlíží na tým více než 65 bezpečnostních odborníků v osmi zemích.

Syntax je globální poskytovatel IT služeb a spravovaných cloudových služeb, specializující se na mise-critical podnikové aplikace, zejména prostředí SAP a Oracle. Společnost podporuje organizace při migraci do cloudu, spravovaném hostingu, kybernetické bezpečnosti, správě podnikových aplikací a AI-podporovaných operacích napříč hybridními a multi-cloudovými infrastrukturami. Jejím zaměřením je pomoci podnikům modernizovat, zabezpečit a provozovat komplexní obchodní systémy ve velkém měřítku.

Vedl jste kybernetické bezpečnostní iniciativy v IBM, Kyndryl, PwC a nyní ve společnosti Syntax. Jak se během této cesty změnil váš pohled na zabezpečení vznikajících technologií, jako je AI, zejména když organizace přecházejí z experimentování do produkční fáze?

Má kariéra sledovala řadu narušení, každé z nich vyžadovalo, aby bezpečnost doháněla novou kontrolní plochu. V IBM v raných dnech cloudu byla otázkou, zda můžeme důvěřovat někoho jiného infrastruktuře pro běh kriticky důležitých úloh. Odpovědí byl model sdílené odpovědnosti a generace cloudových nativních kontrol.

Pak přišla éra ransomwaru. NotPetya v roce 2017 vyřadila společnosti během několika hodin, a průmysl se naučil, že červy mohou vyřadit globální dodavatelské řetězce přes noc. Odpovědí bylo příprava na to, kdy (ne zda) k kybernetickému útoku dojde, segmentace sítě, neměnné zálohy a vážný tlak na identitu.

Během mého působení v Kyndryl a PwC se SaaS přesunul z okraje do centra každého majetku. Zátěže se přestěhovaly z datových center na někoho jiného stacku, identita se stala perimetrální a Zero Trust přestal být diagramem a začal být provozním modelem.

Nyní ve společnosti Syntax jsme v vlně GenAI, kde systém sám rozumí, generuje a jedná. Každá vlna nám dala novou kontrolní plochu, nedostatečné varování a kratší okno mezi experimentem a produkcí. Cloud trval roky. SaaS trval čtvrtletí. GenAI trvá týdny. CISO, kteří drželi krok, jsou ti, kteří přestali považovat každou vlnu za výjimku a začali považovat rychlou adopci za stálý stav.

Jak vyhodnotíte riziko, že důvěra, a ne pouze dodržování předpisů, je ohrožena, když organizace zrychluje adopci AI? Jaké jsou nejčasnější indikátory, že se toto začíná dít?

Důvěra je základem každé dobré adopce AI. Nejčasnější indikátory nejsou v auditním reportu, ale v provozních signálech. Stínové nasazení AI, které nikdo nevlastní. Schvalování dodavatelů GenAI bez bezpečnostní revize. Data lineage, která se láme okamžitě, když se zeptáte, odkud pocházejí trénovací data. AI agenti, kterým jsou udělena administrátorská oprávnění, protože nikdo nechtěl zpomalit projekt. Když vidíte tyto čtyři signály v jedné organizaci, důvěra je již utrácela rychleji, než je získávána. Vedení je obvykle poslední, kdo to ví.

Mnohé společnosti přijímají AI rychleji, než mohou zabezpečit. Jaké jsou nejčastější reálná rizika, která vidíte dnes, když governance zaostává za inovací?

Když governance zaostává, děje se tři věci, a žádná z nich se neobjeví jako bezpečnostní incidenty, dokud mnohem později. První, regulační expozice se kumuluje tiše: nasazení AI, které porušuje požadavky EU AI Act na transparentnost, nezazní žádné alarmy; objeví se v auditu za dva roky jako pokuta. Druhé, důvěra zákazníků se eroduje v transakcích, které nevidíte: potenciální zákazníci si vybírají konkurenty, kteří mohou prokázat governance, a váš prodejní tým se nikdy nedozví, proč. Třetí, kvalita rozhodnutí se zhoršuje: organizace činí více AI-ovlivněných rozhodnutí, ale nemůže je vysvětlit nebo audovat, a špatná rozhodnutí se kumulují na místech, kam nikdo nehledí. Náklady na slabou AI governance jsou pomalá eroze auditu, prodeje a kvality rozhodnutí, které končí poškozením pověsti.

Jak by organizace měly přehodnotit své bezpečnostní modely, aby zvládly AI-poháněné systémy a autonomní rozhodování?

AI je nový útočný vektor, násobič hrozeb a kritický defenzivní puzzle, a bezpečnostní model se musí přizpůsobit, aby pokryl všechny tři najednou.

Jako útočný vektor se GenAI platformy samy stávají cíli, které je třeba bránit. Jako násobič hrozeb používají útočníci GenAI k vytváření phishingu ve velkém měřítku, generování exploit kódu, automatizovanému průzkumu a objevování zranitelností rychlostí strojů. Jako defenzivní prvek je stejná technologie otočená opačným směrem jediným realistickým řešením: AI-poháněné triage, automatizované hledání hrozeb a augmentace analytiků již nejsou volitelné; jsou to, jak SOC udržuje krok s AI-augmentovaným protivníkem. Pokud jsou oni AI-augmentovaní a my ne, mezera se zvětšuje s každým cyklem.

To také vytváří nový typ aktéra, kterého model musí řídit. Ve společnosti Syntax již přemýšlíme o AI agentech jako o součásti organizační struktury, vedle lidí, což nastavuje laťku pro to, jak je zabezpečujeme. AI agenti potřebují vše, co poskytujeme lidem (identita, role-based oprávnění, záznamy aktivit, behaviorální baseline) plus stejné mechanismy, které používáme na kompromitované účty: schopnost zakázat, izolovat a odebrat. Rozdíl je v rychlosti. Agenti jednají v milisekundách, takže tyto mechanismy musí být okamžité a automatizované, ne zadní část incident response workflow.

Ve společnosti Syntax se náš Globální bezpečnostní operativní středisko vyvíjí tak, aby AI augmentoval lidského analytika, zatímco naši zaměstnanci budují agentic workflows a agenty uvnitř Syntax GenAI Platform, který poskytuje vestavěné zábrany proti zkreslení, toxicity a kontrolám pro ochranu dat a bezpečnost ve výchozím stavu.

To je přehodnocení. Bránit AI jako cíl. Nasadit AI jako obránce. Řídit použití AI.

Jak mohou organizace udržet inovační rychlost, zatímco zároveň implementují smysluplnou kontrolu a zábrany pro AI systémy?

Rychlost a kontrola vypadají jako protiklady, dokud nevytvoříte governance, která cestuje s projektem, spíše než ho blokuje. Chybou je umístit governance na bránu: výbor, schvalovací proces, čtvrtletní kontrola. Do té doby, než se brána otevře, tým buď obešel, nebo ztratil impuls. Model, který funguje, je procesy předefinované s governance vestavěné dovnitř. Čisté a konzistentní komunikace je výchozím bodem, následované předem schválenými vzory, předem schválenými tokem dat a předem definovanými šablonami oprávnění. Týmy získávají rychlost, bezpečnostní týmy získávají viditelnost a kompromis, který všichni předpokládají, se ukáže jako špatně navržený proces. To seすべて o vyvážení bezpečnosti s inovací proti individuálnímu riziku každé organizace.

Jak se zavádění AI změní povahu kybernetických hrozeb a způsob, jakým by organizace měly být připraveny?

AI urychluje hrozby napříč různými vektory. Měřítko: phishing a průzkum rychlostí strojů proti tisícům cílů současně. Sophistication: deepfake-driven sociální inženýrství, které poráží hlasovou a video verifikaci. Identita: syntetické identity, které procházejí identifikačními kontrolami navržené pro lidi.

Pro incident response jsou důsledky provozní. Potřebujete detekci, která se neopírá o lidské rozpoznávání vzorců lidskou rychlostí. Potřebujete verifikační protokoly, které předpokládají, že hlas a video mohou být padělány. A potřebujete incident response playbook, které výslovně pokrývají AI-související incidenty, protože kroky pro obnovu nejsou stejné jako při obnově z ransomwarového incidentu.

Ve společnosti Syntax, co znamená „zabezpečené podle návrhu“ AI ve složitých, reálných podnikových prostředích?

Ve společnosti Syntax to znamená vyvážení inovací a bezpečnosti prostřednictvím adopce naší GenAI Platform s vestavěnými zábranami, našich schválených, omezených a zakázaných GenAI služeb a aplikací, modelů a platforem, a řízení bezpečnostní kultury prostřednictvím našeho AI Governance Office. Pro naši Globální bezpečnostní organizaci to znamená позиcionování se jako enabler pro podnik, ne blokátor, podporu podniku s jeho strategickými prioritami, zatímco chráníme společnost Syntax v souladu s naším apetitem k riziku.

Jaké změny jsou zapotřebí, aby organizace skutečně přijaly myšlení, že bezpečnost a dodržování předpisů nejsou již brzdiči, ale enablery růstu?

Největší změna je to, co vypadá jako úspěch. Bezpečnostní týmy byly měřeny po desetiletí podle toho, co se nestalo: žádné porušení, žádné incidenty, žádné auditní nálezy. Tento metriku odměňuje říkáním ne. Týmy, které fungují jako enablery, měří něco jiného: uzavřené obchody, protože kontroly byly prokazatelné, spuštění, které splnily datum, protože bezpečnost vyčistila cestu, a inovace, které prošly governance, spíše než kolem ní.

Operačně to vyžaduje procesy předefinované s governance vestavěné dovnitř, spojené s aktivním enablementem, jako je náš GenAI Platform, který dělá zabezpečené cestu snazší, a dostupné AI vzdělávání a programy, jako je naše AI Champions iniciativa.

Kultura následuje to, co incentivizujete a co umožňujete. Změňte to, co odměňujete, vybavte lidi správnými nástroji a správným tréninkem ve správný čas, a změníte to, co dělají. To je cesta, kterou se společnost Syntax vydala.

Jak by CISO měli spolupracovat s AI lídry, datovými vědci a produktovými týmy, aby zajistili odpovědnost bez zpomalení pokroku?

CISO, který čeká, až bude pozván, bude pozdě. CISO, který se objeví brzy, s praktickými vzory spíše než politickými námitkami, se stává partnerem, kterého AI projekty skutečně chtějí u stolu. V praxi to znamená společné designové sezení s AI týmy, bezpečnostní schvalovací procesy, které sedí vedle funkčních, spíše než po nich, a otevřenou dveřní politiku. To mění konverzaci z “Departementu Ne” na “Ano, ale” nebo “Ne, ale” jako ochotný a spolupracující partner pro podnik.

Předpokládáte, že uvidíme standardizovaný globální rámec pro AI governance, nebo organizace budou muset budovat své vlastní interní trust architektury bez ohledu na regulaci?

Obojí, v tomto pořadí. Uvidíme fázované sbližování na malé množství regionálních rámců, EU AI Act jako první, další budou následovat s místními variacemi. Neuvidíme jeden globální standard v tomto desetiletí kvůli geopolitické fragmentaci. Organizace proto budou muset dělat dvě věci paralelně: dodržovat rámec, který se vztahuje na jejich největší trh, a provozovat interní trust architekturu, která převyšuje jakýkoli rámec, který je nejslabší. Interní architektura je důležitější než vnější standard, protože regulátoři se pohybují pomalu a hrozby ne. Společnosti, které budují interní trust architektury nyní, budou trávit příštích deset let říkáním “už to děláme” každému novému regulátorovi, který přijde.

Děkuji za skvělý rozhovor, čtenáři, kteří chtějí se dozvědět více, by měli navštívit Syntax.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.