Kara Sprague, generální ředitelka společnosti HackerOne – Série rozhovorů

Kara Sprague, generální ředitelka společnosti HackerOne, je zkušená technologická manažerka s více než dvacetiletou praxí v oblasti produktového vedení, generálního managementu a strategického poradenství v softwarovém a bezpečnostním sektoru. Funkce generální ředitelky se ujala v listopadu 2024 poté, co působila na vedoucích pozicích ve společnosti F5, včetně pozice výkonné viceprezidentky a produktové ředitelky, kde vedla hlavní produktové a platformní iniciativy, a také dříve zastávala pozice generální ředitelky dohlížející na velké podniky. Před nástupem do F5 strávila více než deset let jako partnerka ve společnosti McKinsey & Company, kde radila předním technologickým společnostem v oblasti růstu a strategie, a svou kariéru zahájila jako technická pracovnice ve společnosti Oracle. Souběžně s rolí ve společnosti HackerOne působí také ve správní radě společnosti Trimble Inc.

HackerOne je společnost zabývající se kybernetickou bezpečností, která je nejvíce známá jako průkopník v oblasti zabezpečení poháněného hackery. Propojuje organizace s globální komunitou etických hackerů s cílem identifikovat a napravit zranitelnosti dříve, než je lze zneužít. Platforma podporuje podniky a vlády prostřednictvím programů odměn za nalezené chyby, odhalování zranitelností, penetračního testování a služeb bezpečnostního testování, které kombinují lidské znalosti s automatizací a pracovními postupy řízenými umělou inteligencí. Díky posunu zabezpečení z reaktivního na proaktivní model se HackerOne stala klíčovou součástí moderního zabezpečení aplikací pro organizace, které chtějí snížit rizika a zlepšit odolnost ve velkém měřítku.

Do role generálního ředitele společnosti HackerOne jste nastoupil v listopadu 2024 po desetiletích vedení společností F5, McKinsey, Oracle a dalších významných technologických organizací. Co vás v této fázi vaší kariéry přivedlo k přijetí této výzvy a jaké byly první priority, které jste si stanovil, když jste začal vést společnost?

Svou kariéru jsem strávil na průsečíku technologií, strategie a rizik a pomáhal jsem organizacím orientovat se v momentech, kdy je v sázce hodně a prostředí se rychle mění. Na HackerOne mě přitáhlo to, že se opět nacházíme přesně v takovém inflexním bodě, kdy umělá inteligence mění krajinu kybernetické bezpečnosti.

Bezpečnost již není funkcí back-office – je to klíčový faktor důvěry, odolnosti a rychlosti podnikání. Podniky nyní fungují na hluboce propojených systémech, s neustálými toky dat a automatizovaným rozhodováním v nebývalém rozsahu. Umělá inteligence urychluje inovace, ale také zavádí nové překážky, závislosti a režimy selhání, na které tradiční bezpečnostní modely nebyly stavěny.

Proto je poslání HackerOne právě teď tak důležité. Naším posláním je dát světu prostor k vybudování bezpečnějšího internetu a ve světě řízeném umělou inteligencí je toto poslání naléhavější než kdy dříve. HackerOne se liší tím, že kombinuje globální komunitu výzkumníků v oblasti lidské bezpečnosti s inteligencí platformy, abychom našli a opravili zranitelnosti dříve, než je útočníci mohou zneužít. Tento model „člověk v cyklu“ není jen odlišný – je nezbytný.

Od prvního dne jsem se zaměřil na tři priority: rozšíření možností naší agentní platformy, investice do naší výzkumné komunity a prohloubení důvěry se zákazníky a partnery. To znamená škálování AI red teamingu, vývoj Hai z kopilota na koordinovaný tým agentů s umělou inteligencí, kteří pomáhají organizacím průběžně prioritizovat, ověřovat a rychleji sanovat rizika, a spuštění HackerOne Code pro zabezpečení softwaru v raných fázích vývojového cyklu. Dnes více než 90 % našich zákazníků používá Hai k urychlení své práce na ověřování a opravě zranitelností.

Prostředí se rychle vyvíjí, ale naše zaměření je konstantní: omezit riziko dříve, než vás definuje. V HackerOne to znamená, že zabezpečení musí být nepřetržité, praktické a přizpůsobené tempu moderních inovací.

Společnost HackerOne zaznamenala jak 200% nárůst penetračního testování a red teamingu s využitím umělé inteligence, tak strategický posun směrem k neustálému řízení ohrožení. Jak tyto trendy mění vaši dlouhodobou vizi pro společnost a co tento impuls signalizuje o budoucnosti podnikové bezpečnosti?

To, co vidíme, není prudký nárůst – je to reset. 200% nárůst penetračního testování a red teamingu s využitím umělé inteligence potvrzuje, že zabezpečení v daném okamžiku jednoduše nedrží krok s tím, jak rychle se moderní podniky mění.

Tato realita formuje naši dlouhodobou vizi nepřetržitého řízení ohrožení v celém životním cyklu – od kódu a cloudu až po systémy umělé inteligence. Vzhledem k tomu, že umělá inteligence zrychluje inovace i rychlost útoků, výzvou není nalezení zranitelností, ale prokázání toho, co je zneužitelné, stanovení priorit toho, na čem záleží nejvíce, a jejich rychlá oprava. Vytvořili jsme platformu, která kombinuje nepřetržité testování, autonomní validaci, inteligentní prioritizaci a lidské znalosti, aby to dokázala přesně tak, jak je to potřeba.

Pro vedoucí pracovníky v podnicích je signál jasný: bezpečnost se stává nepřetržitou obchodní disciplínou, nikoli pravidelným auditem. Společnosti, které dosáhnou nejlepších výsledků, budou ty, které identifikují rizika dříve, jednají rychleji a omezí riziko dříve, než se stane obchodním problémem. Tento posun definuje budoucnost podnikové bezpečnosti.

Jak se váš systém umělé inteligence Hai integruje do pracovního postupu pro objevování zranitelností a kde poskytuje největší užitek výzkumníkům a zákazníkům?

Hai je koordinovaný tým agentů umělé inteligence, kteří jsou přímo integrováni do pracovního postupu správy zranitelností a neustále analyzují a zasazují zjištění do kontextu, aby pomohli organizacím rychleji prioritizovat, ověřovat a sanovat rizika. Hai funguje po celou dobu životního cyklu zprávy a slouží jako multiplikátor síly pro obránce, jakmile objemy rostou a hrozby se stávají složitějšími.

Hai poskytuje největší efekt tím, že prořezává šum. Zlepšuje třídění a porozumění shrnováním zpráv, identifikací vzorců, ověřováním zjištění a zdůrazňováním problémů, které jsou pravděpodobně nejdůležitější. Náš výzkum ukazuje, že 20 % uživatelů ušetří 6 až 10 hodin týdně, výrazně zkracuje cestu od detekce k spolehlivé nápravě.

Výzkumníci z toho také těží. S více než polovina z nich nyní ve své práci používá umělou inteligenci nebo automatizaciHai jim pomáhá vytvářet silnější důkazy o konceptech, jasnější vysvětlení a konzistentnější validaci.

Jaké nové kategorie zranitelností se objevily v uplynulém roce, kdy podniky agresivněji zavádějí umělou inteligenci ve svých softwarových balíčcích?

S tím, jak se umělá inteligence stává součástí produktů a pracovních postupů, pozorujeme, že se ve významném měřítku objevují nové kategorie zranitelností. V naší nejnovější zprávě o bezpečnosti poháněné hackery se počet platných hlášení o zranitelnostech umělé inteligence meziročně zvýšil o 210 % a téměř 80 % ředitelů CISO nyní zahrnuje aktiva umělé inteligence do bezpečnostního testování. Nejviditelnějším je okamžitá injekce. meziročně vzrostl o více než polovinu, a zůstává jedním z nejběžnějších způsobů, jak útočníci ovlivňují chování modelu. Dále pozorujeme nárůst manipulace s modely, nezabezpečené manipulace s výstupy, otravy dat a slabin spojených s trénovacími daty a správou odpovědí.

Tato rizika jsou obzvláště závažná proto, že neovlivňují pouze systémy – ovlivňují rozhodnutí, pracovní postupy a důvěru zákazníků. Umělá inteligence zavádí cesty k selhání, které tradiční testování plně nepokrývá. S nasazením těchto systémů do produkčního prostředí a jejich stáváním se provozně důležitějším bude specializované a průběžné testování zabezpečení s využitím umělé inteligence stále více zaujímat bezpečnostní programy podniků.

Náš přístup kombinuje automatizaci řízenou umělou inteligencí pro škálování objevování a detekce vzorců s lidskými znalostmi pro odhalování jemných selhání, nových slabin a dopadů na reálný svět – což umožňuje obráncům operovat stejnou rychlostí a rozsahem jako útočníci.

Jak si v tak rozrůstající se globální komunitě výzkumníků udržujete důvěru, kvalitu a spravedlnost a zároveň prosazujete své závazky k rozmanitosti a inkluzi v tak rozsáhlém ekosystému poháněném davy lidí?

Důvěra je základem bezpečnostního modelu poháněného davem a musí být budována záměrně s tím, jak se komunita rozšiřuje. Pro nás to začíná jasnými standardy, konzistentními pobídkami a silnou správou.

Naše komunita se skládá z prověřených bezpečnostních výzkumníků, kteří spolupracují se zákazníky na identifikaci, ověřování a pomoci s nápravou reálných zranitelností v široké škále technologií.

Kvalitu a spravedlnost udržujeme kombinací inteligence platformy s lidským dohledem – ověřujeme zjištění, vynucujeme jednotná pravidla zapojení a odměňujeme výzkumníky na základě jejich dopadu, nikoli zázemí, zeměpisné polohy nebo délky jejich působení. Systémy reputace, transparentní třídění a konzistentní modely vyplácení odměn vytvářejí odpovědnost na obou stranách trhu.

Hluboce nám záleží na úspěchu výzkumníků. Prostřednictvím zaškolení, školení a jasných cest růstu pomáháme novým výzkumníkům budovat dovednosti a důvěryhodnost. Během posledních šesti let... 50 výzkumníků si na naší platformě vydělalo více než 1 milion dolarů – silný signál jak o kvalitě práce, tak o férovosti modelu.

Rozmanitost a inkluze nejsou oddělené iniciativy; jsou jádrem síly ekosystému. Bezpečnostní výzvy jsou globální a rozmanité perspektivy odhalují různé cesty útoku a slepá místa. Výsledkem je důvěryhodná a vysoce výkonná komunita, která se s růstem stává silnější – nikoli fragmentovanější.

Jaká ochranná opatření zavedla společnost HackerOne, aby zajistila, že odhalování zranitelností s pomocí umělé inteligence bude i nadále zodpovědné a vyhne se zaujatosti nebo zneužití?

V celé naší platformě jsou agenti umělé inteligence navrženi tak, aby zlepšili srozumitelnost, ověřovali zjištění a urychlili nápravu – zatímco lidé zůstávají zodpovědní za rozhodnutí týkající se přijetí, závažnosti a reakce.

Držíme se stejných standardů, jaké očekáváme od zákazníků. Naše schopnosti umělé inteligence využíváme interně, neustále je testujeme v reálných pracovních postupech a odměňujeme naši výzkumnou komunitu za identifikaci zranitelností s vysokým dopadem v našich vlastních řešeních. To vytváří úzkou zpětnou vazbu, která včas odhaluje zkreslení, nekonzistenci nebo zneužití.

Vzhledem k tomu, že se umělá inteligence stále více začleňuje do bezpečnostních operací, naším cílem je nastavit laťku, které mohou týmy důvěřovat – založenou na transparentnosti, neustálém testování a lidské odpovědnosti.

120% nárůst zjištěných zranitelností a odměn naznačuje zásadní posuny v oblasti hrozeb. Interpretujete to jako pokrok v detekci, nebo jako známku toho, že se podnikový software stává rizikovějším?

Je to obojí – a o to jde.

Nárůst odráží skutečný pokrok v detekci. Výzkumníci odhalují více akčně proveditelných a vysoce kvalitních slabin a vyšší odměny ukazují, že si podniky cení odhalování a opravování skutečných rizik. Více zjištění automaticky neznamená, že software je rizikovější – znamená to, že expozice je konečně viditelná.

Zároveň se podnikový software stává složitějším a propojenějším. Umělá inteligence, závislosti na třetích stranách a rychlejší cykly vydávání novinek rozšiřují oblast útoku rychleji, než jak byly tradiční kontrolní mechanismy navrženy.

Poučení je jednoduché: riziko je dynamické a bezpečnost musí být také. Nejodolnější organizace předpokládají, že vystavení riziku je nevyhnutelné, a neúnavně se zaměřují na nápravu toho, na čem skutečně záleží.

Co považujete za největší výzvu pro bezpečnostní platformy využívající crowdsourcingu v příštích několika letech, jelikož se umělá inteligence stává schopnější?

Největší výzvou v jakékoli bezpečnostní platformě je udržování signálu a důvěryhodnosti s rostoucí rychlostí a rozsahem.

S tím, jak umělá inteligence snižuje bariéru pro objevování, platformy zaznamenají prudký nárůst objemu automatizovaných a hybridních pracovních postupů. Rizikem není příliš malý počet zjištění – je to šum, který zahlcuje zákazníky, a nesprávně nastavené pobídky narušující důvěru.

Platformy, které uspějí, budou ty, které ověří využitelnost, upřednostní dopad a sladí odměny s výsledky – a zároveň si zachovají silnou správu a lidskou odpovědnost. Budoucnost nespočívá v hledání dalších problémů, ale v rychlejším hledání těch správných a v proměně poznatků v akce dříve, než nastanou obchodní problémy.

Představujete si, že se HackerOne rozšíří nad rámec objevování zranitelností do oblastí, jako je kontinuální monitorování, náprava pomocí umělé inteligence nebo prediktivní modelování hrozeb?

Zaměřujeme se na řešení klíčového problému, kterému podniky čelí: pochopení a omezení skutečných rizik v neustále se měnícím prostředí.

To přirozeně znamená posunout se za hranice zjišťování v daném okamžiku. Již nyní působíme v celém životním cyklu expozice, od vytváření red teamingu kódu a umělé inteligence až po validaci a prioritizaci, a budeme i nadále investovat do funkcí, které zákazníkům pomohou odhalit expozici dříve, rychleji pochopit dopad a dovést nápravu až k uzavření problému.

Umělá inteligence hraje v tomto vývoji ústřední roli – zejména v prioritizaci a zrychlení pracovních postupů – ale vždy s lidskou odpovědností v centru pozornosti. Naší hlavní hvězdou je nepřetržité a praktické zabezpečení, které drží krok s moderními inovacemi.

Vzhledem k tomu, že protivníci stále častěji zavádějí umělou inteligenci, jak plánuje HackerOne udržet si náskok a zajistit, aby se obranné nástroje vyvíjely stejně rychle?

Udržujeme si náskok před našimi protivníky tím, že působíme tam, kde se objevují skutečné útoky. Naše globální výzkumná komunita již testuje techniky založené na umělé inteligenci v reálných prostředích, což nám poskytuje včasný přehled o tom, jak protivníci skutečně fungují.

Tento lidský vhled kombinujeme s automatizací řízenou umělou inteligencí, abychom škálovali vyhledávání, ověřování, stanovování priorit a nápravu. Stejně důležité je, že naši vlastní platformu neustále testujeme pomocí stejných přístupů k red teamingu s umělou inteligencí, které nabízíme zákazníkům.

Cílem není předvídat každý nový útok – jde o vytvoření systému, který se učí rychleji než útočníci. Takto si obranné nástroje udržují krok v prostředí hrozeb řízené umělou inteligencí.

Děkuji za skvělý rozhovor – čtenáři, kteří se chtějí dozvědět více o tom, jak společnost využívá lidské znalosti a zabezpečení založené na umělé inteligenci k pomoci organizacím identifikovat a omezit reálná rizika dříve, než se z nich stane obchodní problém, mohou navštívit HackerOne.