Rozhovory

Thorsten Delbrouck, Group CSO ve společnosti Giesecke+Devrient – rozhovor

mm
Publikováno

Thorsten Delbrouck, Group CSO ve společnosti Giesecke+Devrient, je zkušený cybersecurity manažer s více než dvacetiletou zkušeností v oblasti zabezpečení podnikové infrastruktury, digitálních identit a kritických systémů. Od svého příchodu do Giesecke+Devrient (G+D) v roce 2011 jako Corporate Chief Information Security Officer vedl společnost globální bezpečnostní strategii v высокoregulovaných odvětvích, včetně financí, telekomunikací a vládní infrastruktury. V roce 2020 rozšířil svou roli na Group Vice President, Head of Security a CISO. Delbrouck také působí jako předseda Information Security Forum (ISF), předního globálního autority pro kybernetickou bezpečnost a řízení rizik, a zastával seniorní bezpečnostní manažerské role ve společnostech Infineon Technologies, COMLINE a TÜV Secure iT.

Giesecke+Devrient (G+D) je mnichovská globální SecurityTech společnost, která se vyvinula z historické bankovní tiskárny založené v roce 1852 na významného poskytovatele digitální bezpečnosti, finančních technologií a řešení pro měnovou infrastrukturu. Společnost operuje ve třech hlavních segmentech: Digitální bezpečnost, Finanční platformy a Měnová technologie, dodává technologie, které zabezpečují mobilní konektivitu, digitální identity, bankovní systémy, platební platformy a fyzické i digitální měny. G+D spolupracuje s vládami, centrálními bankami, finančními institucemi a podniky po celém světě, včetně řešení pro eSIM, autentizační systémy, digitální platby, kybernetickou bezpečnost a Centrální bankovní digitální měny (CBDC). Společnost se позиcionuje jako důvěryhodný poskytovatel infrastruktury pro digitální ekonomiku, s více než 14 000 zaměstnanci po celém světě a desetiletími zkušeností v oblasti zabezpečení kritických systémů a finančních ekosystémů.

Vy jste strávil téměř tři desetiletí v kybernetických bezpečnostních rolích, od TÜV Secure iT, Infineon, až po více než 15 let ve společnosti Giesecke+Devrient. Jak se změnil bezpečnostní prostředí od tradičních podnikových bezpečnostních rizik k dnešním AI-poháněným kybernetickým výzvám a co vás nejvíce znepokojuje o současném směru odvětví?

Myslím, že hlavní změna během mé kariéry je rychlost a dopad. Když jsem začal s bezpečnostním managementem na konci 90. let, vážný bezpečnostní problém znamenal špatně nakonfigurovanou firewall nebo nenapatchovaný server, rozsah poškození byl obvykle poměrně omezený. Během posledních tří desetiletí jsem viděl, jak se důsledky jedné bezpečnostní mezery změnily z provozní nepříjemnosti na systémové riziko.

A všechno je rychlejší. Pracujeme s více systémy a vyššími propustkami. Dnes je podle odhadů téměř polovina veškerého internetového provozu generována lidmi – a podle některých odhadů asi 40 % celkového provozu tvoří škodlivá aktivita, jako jsou škodlivé skeny, malware a DDoS.

V同 době se krajina stala silně konsolidovanou a koncentrovanou. Původní designový filozofie internetu, založený na redundanci a decentralizaci, byl ztracen. V důsledku toho mají útoky zaměřené na několik centrálních bodů selhání daleko závažnější důsledky, než tomu bylo dříve. To prakticky nezbavuje prostor pro chyby při nastavení a provozu moderních IT systémů. A nyní AI ještě více zkracuje časové osy útočníků.

Nedávné komentáře Daria Amodeiho opětovně vzbudily obavy kolem pokročilých AI systémů, které identifikují softwarové zranitelnosti ve velkém měřítku. Domníváte se, že podniky podceňují, jak rychle může AI-pomocný vývoj přetížit stávající bezpečnostní procesy?

Ano, myslím, že mnoho podniků podceňuje rychlost této změny. Zpočátku se zdálo, že AI bude prospěšný pro obě strany, útočníky i obránce, přibližně stejně. Ale znepokojivá realita se objevuje: AI nevytvořil zcela nové kategorie kybernetických zločinů; místo toho demokratizoval sofistikované útočné schopnosti, umožnil útočníkům automatizovat průzkum, eliminovat jazykové bariéry v phishingu a objevovat softwarové zranitelnosti v rychlosti a rozsahu, které lidské obránci těžko absorbují.

Problém je, že zatímco AI vyvolal obrovský nárůst identifikace zranitelností, dosud není nasazen ve stejném rozsahu v procesu nápravy. To vytváří nebezpečnou nerovnováhu. AI-pomocná identifikace zranitelností jednoduše produkuje více práce, než obránci mohou zvládnout. To se může zlepšit za několik let, jakmile AI pro nápravu dožene, ale目前 je to rostoucí problém.

Mnohé organizace považují AI primárně za defenzivní kybernetickou bezpečnostní nástroj. Z vašeho pohledu, kde AI目前 vytváří více rizik než ochrany uvnitř podnikových prostředí?

Většina kybernetických bezpečnostních týmů již nasazuje AI do různých stupňů pro detekci, klasifikaci, hodnocení a triáž bezpečnostních událostí – a funguje to pozoruhodně dobře.

Ale zcela nová rizika se objevují vedle těchto výhod. Zranitelnosti vlastní AI architektuře jsou již široce diskutovány a většinou pochopitelné. Nyní již nezabezpečujeme statický kód; zabezpečujeme nedeterministické systémy. To zavádí zcela nová ohrožení, jako je prompt injection (kde škodlivá data oklamou LLM, aby ignorovala svá ochranná opatření), data poisoning pro znečištění logiky modelu během tréninku a data leakage, kde jsou podnikové údaje náhodně vystaveny prostřednictvím výstupů modelu. To fundamentálně mění definici exploitu.

Jako předseda Information Security Forum komunikujete s bezpečnostními manažery napříč velkými globálními podniky. Jsou CISO více znepokojeni kvalitou AI-generovaného kódu nebo větší operační zátěží zabezpečení exponenciálně větších kódových základů?

Obojí jsou skutečné problémy, ale dopadají jinak. Kvalita AI-generovaného kódu je skutečnou znepokojením. Kód, který AI produkuje, často vypadá čistě, ale může nést jemné logické chyby, nezabezpečené výchozí hodnoty nebo zneužité knihovny, které jsou obtížněji odhalitelné právě proto, že vypadají uvěřitelně. CISO jsou právem znepokojeni tím.

Ale v mých rozhovorech s bezpečnostními odborníky napříč ISF členskými organizacemi je hlasitější alarm operační: je to obrovský objem kódu, který by mohl nést zranitelnosti a proto potřebuje být zkontrolován.

Giesecke+Devrient operuje napříč vysoce citlivými sektory, včetně digitální identity, plateb, bankovní infrastruktury, eSIM technologie a centrálních bankovních digitálních měn. Jak se liší zabezpečení kritické infrastruktury v AI éře ve srovnání s ochranou tradičních podnikových systémů?

U G+D čelíme stejným základním odpovědnostem jako každá organizace, která bere bezpečnost vážně. Naše standardy jsou však výjimečně vysoké a okraj pro chyby je velmi malý. Jsme si vědomi, že bezpečnostní incident v naší infrastruktuře má daleko širší důsledky než porušení v typické podnikové síti – a proto je naše chuť k bezpečnostnímu riziku výjimečně nízká.

Podniky po celém světě závodí v implementaci digitálních identifikačních systémů, CBDC a propojené infrastruktury. Jak jste znepokojen, že AI-poháněné kybernetické hrozby mohou předehnat regulační a národní bezpečnostní připravenost?

Regulační rámce, jako je NIS2 a Kybernetický zákon, tlačí věci správným směrem, ale regulace je nakonec pouze jedním kusem puzzle. Regulace záleží na celkovém systému, ale nemůžeme předpokládat, že vydání pravidel okamžitě řeší problém. Společnosti stále musí implementovat směrnice, udržovat své systémy trvale zabezpečené a mít pevné pochopení své bezpečnostní krajiny a cílů ochrany, neustále je rafinovat a udržovat je v souladu.

Někteří odborníci popisují pokročilé AI modely jako „kybernetické zbraně“, zatímco jiní argumentují, že takové označení je přehnané. Z vašeho pohledu, co lidé chybí v reálných rizicích, která představují pokročilé AI systémy?

Co lidé chybí, je předpoklad, že kybernetické konflikty následují logiku fyzické války. Že dostatečně silná zbraň nakonec prolomí jakoukoli obranu. Velká část „kybernetické zbraně“ rámcování si vypůjčuje z tohoto kinetického myšlení: větší dělo poráží silnější zeď, chytřejší raketa poráží rychlejší letadlo. Ale kybernetika nefunguje takto.

Úspěšný kybernetický útok téměř nikdy nezískává úspěch prostřednictvím hrubé převažující síly. Úspěch získá prostřednictvím využití mezery: špatné konfigurace, nenapatchované zranitelnosti, lidské chyby, slabé odkazy v dodavatelském řetězci. AI nemění tuto fundamentální dynamiku. AI pouze urychluje a snižuje náklady na hledání těchto mezer. To je vážný problém, ale je to zcela jiný problém než „nepřemožitelná zbraň“ narativ.

Podívejte se dopředu, domníváte se, že největší kybernetická hrozba z AI přijde ze sofistikovaných státních útoků, autonomního využívání ve velkém měřítku, vnitřního zneužití, zranitelností dodavatelského řetězce nebo něčeho, na co se odvětví dosud dostatečně nevěnuje?

Předpovědět budoucnost bezpečnosti je vždy zvláště obtížné. Státní útoky, autonomní využívání, vnitřní zneužití, zranitelnosti dodavatelského řetězce – všechna tato jsou skutečná a rostoucí hrozby, a já by je nezanedbával. Ale domnívám se, že všechny tyto jsou důsledky, ne kořenové příčiny. Úspěch těchto hrozeb závisí na tom, zda obránci již nemohou držet krok, bez ohledu na důvod: zranitelnost nemusí být dosud veřejně známa, patch nemusí být dosud k dispozici nebo pracovní zátěž může být příliš vysoká.

Děkuji za skvělý rozhovor, čtenáři, kteří si chtějí přečíst více, by měli navštívit Giesecke+Devrient.

mm

Antoine je vizionářský líder a spoluzakladatel Unite.AI, který je poháněn neotřesitelnou vášní pro formování a propagaci budoucnosti umělé inteligence a robotiky. Jako sériový podnikatel věří, že umělá inteligence bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, že vypráví o potenciálu disruptivních technologií a AGI.

As a futurist, je zasvěcen zkoumání toho, jak tyto inovace budou tvarovat náš svět. Kromě toho je také zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinují budoucnost a přetvarují celé sektory.