Jack Cherkas, Global CISO hos Syntax – Interview Serie

Jack Cherkas, Global CISO hos Syntax, er en cybersecurity-ekspert med dyb erfaring indenfor cloud-sikkerhed, cybersikkerhed, enterprise-arkitektur og AI-sikkerhed. Han har haft seniort stillinger hos Syntax, PwC UK, Kyndryl og IBM, hvor han har hjulpet med at bygge og skala sikkerhedsoperationer, ledet større incidentrespons-bestræbelser og udviklet cybersikkerhedsstrategier for store virksomheds-miljøer. Hos Syntax leder han global sikkerhed på tværs af virksomhedens mennesker, systemer, datacentre, managed cloud-services og kundevendte sikkerhedsydelser, og han har ansvar for et team på over 65 sikkerhedsprofessionelle i otte lande.

Syntax er en global IT-service- og managed cloud-udbyder, der specialiserer sig i mission-kritiske enterprise-applikationer, især SAP- og Oracle-miljøer. Virksomheden understøtter organisationer med cloud-migration, managed hosting, sikkerhed, enterprise-applikationsstyring og AI-aktiverede operationer på tværs af hybrid- og multi-cloud-infrastruktur. Deres arbejde fokuserer på at hjælpe virksomheder med at modernisere, sikre og operere komplekse forretnings-systemer i stor målestok.

Du har ledet cyber-sikkerheds-initiativer hos IBM, Kyndryl, PwC og nu Syntax. Hvordan er din perspektiv på at sikre opdyrkende teknologier som AI udviklet sig, især når organisationer bevæger sig fra eksperimentering til produktion?

Min karriere har fulgt en række afbrud, hvor hver enkelt har krævet, at sikkerheden indhentede en ny kontrolflade. Hos IBM i de tidlige dage af cloud var spørgsmålet, om vi kunne stole på, at en anden persons infrastruktur kunne køre mission-kritiske workloads. Svaret var en fælles ansvarsmodel og en generation af cloud-native kontroller.

Så kom ransomware-æraen. NotPetya i 2017 gjorde, at virksomheder blev inaktiveret på få timer, og branchen lærte, at wormable malware kunne tage ned globale forsyningskæder over natten. Reaktionen var at forberede sig på, når (og ikke hvis) en cyber-angreb ville ske, netværks-segmentering, uændringsdygtige backups og en alvorlig indsats på identitet.

I min tid hos Kyndryl og PwC gik SaaS fra kanten til centrum af hver enkelt ejendom. Workloads flyttede ud af datacentre og på en anden persons stack, identitet blev perimetret, og Zero Trust stoppede med at være en diagram og startede med at være en operativ model.

Nu hos Syntax er vi i GenAI-bølgen, hvor systemet selv resonnerer, genererer og handler. Hver bølge gav os en ny kontrolflade, ikke nok varsel og en kortere vindue mellem eksperimentering og produktion. Cloud tog år. SaaS tog kvartaler. GenAI tager uger. De CISO’er, der holder trit, er dem, der stoppede med at behandle hver bølge som en undtagelse og startede med at behandle hurtig adoption som den faste tilstand.

Når organisationer accelererer AI-adopteringsprocessen, hvordan vurderer du risikoen for, at tillid, og ikke kun overholdelse, kommerpromitteres? Hvad er de tidligste tegn på, at dette er begyndt at ske?

Tillid er grundlaget for enhver god AI-adopteringsproces. De tidligste tegn er ikke i revisionsrapporten, de er i de operationelle signaler. Skygge-AI-installationer, som ingen ejer. Indkøb, der godkender GenAI-udbydere uden sikkerheds-gennemgang. Data-afstamning, der bryder, øjeblikket du spørger, hvor træningsdataen kom fra. AI-agenter, der får administrator-rettigheder, fordi ingen ville sænke projektets tempo. Når du ser disse fire signaler i en organisation, er tilliden allerede ved at blive brugt hurtigere, end den bliver tjent. Ledelsen er som regel den sidste, der ved det.

Mange virksomheder adopterer AI hurtigere, end de kan sikre det. Hvad er de mest almindelige virkelige risici, du ser i dag, når styring ligger efter innovation?

Når styring ligger efter, sker der tre ting, og ingen af dem viser sig som sikkerhedsincidenser, før meget senere. Først kompenserer regulatorisk eksponering stille: en AI-installation, der krænker EU’s AI-acts gennemsigtigheds-krav, udløser ikke en alarm; det viser sig i en revision to år senere som en bøde. Anden, kunde-tilliden æder sig langsomt i transaktioner, du aldrig ser: potentielle kunder vælger konkurrenter, der kan bevise styring, og din salgs-team finder aldrig ud af, hvorfor. Tredje, beslutningskvaliteten forringes: organisationen tager flere AI-påvirkede beslutninger, men kan ikke forklare eller gennemgå dem, og dårlige beslutninger akkumulerer på steder, ingen kigger. Omkostningerne ved svag AI-styring er den langsomme erosion af revision, salg og beslutningskvalitet, der ender i en skadelig krænkelse.

Fra din erfaring med at bygge og skala managed sikkerhedsydelser og SOC-operationer, hvordan skal organisationer omdefinere deres sikkerhedsmodeller for at håndtere AI-drevne systemer og autonome beslutninger?

AI er en ny angrebsvektor, en trussel-forstærker og et kritisk forsvarspuzzel-stykke, og sikkerhedsmodellen må tilpasse sig for at dække alle tre på samme tid.

Som en angrebsvektor bliver GenAI-platformene selv mål at forsvare. Som en trussel-forstærker bruger angriberne GenAI til at udarbejde phishing i stor målestok, generere exploit-kode, automatisere rekognoscering og opdage sårbarheder i maskin-hastighed. Som et forsvarspuzzel-stykke er den samme teknologi vendt den anden vej den eneste realistiske løsning: AI-drevet triage, automatiseret trussel-jagt og analyst-forbedring er ikke længere valgfrie; de er, hvordan en SOC holder trit med en AI-forstærket modstander. Hvis de er AI-forstærket og vi ikke er, kompenserer gapet med hver enkelt cyklus.

Dette skaber også en ny aktør-type, som modellen må styre. Hos Syntax tænker vi allerede på AI-agenter som en del af organisations-skemaet, sammen med mennesker, hvilket sætter standarden for, hvordan vi sikrer dem. AI-agenter har brug for alt, hvad vi giver menneskelige brugere (identitet, rolle-baseret tilladelser, aktivitets-log, adfærds-mæssige standarder) plus de samme indholds-hegn, vi bruger på kompromitterede konti: evnen til at deaktivere, isolere og tilbagekalde. Forskellen er hastighed. Agenter handler i millisekunder, så disse hegn må være øjeblikkelige og automatiserede, ikke bagenden af en incident-respons-workflow.

Hos Syntax har vores Global Security Operations Center udviklet sig, så AI-forstærker den menneskelige analyst, mens vores medarbejdere bygger agenter og arbejdsgange inden for Syntax GenAI-platformen, som giver guardrails mod bias, giftighed og kontroller for data-integritet og sikkerhed som standard.

Dette er omdefineringen. Forsvar AI som et mål. Udrul AI som en forsvarer. Styre brugen af AI.

Der er ofte spænding mellem hastighed og kontrol. Hvordan kan organisationer fastholde innovationshastighed, mens de samtidig implementerer meningsfuld tilsyn og guardrails for AI-systemer?

Hastighed og kontrol ser ud som modsætninger, indtil du bygger styring, der rejser med projektet i stedet for at blokere det. Fejlen er at placere styring ved porten: en komité, en godkendelse, en kvartals-gennemgang. Inden porten åbner, har teamet enten gået rundt om den eller tabt momentum. Modellen, der fungerer, er processer gendefineret med styring indbygget. Klare og konsekvente kommunikation er startpunktet, efterfulgt af forudgodkendte mønstre, forudklarede data-flows og foruddefinerede tilladelse-skabeloner. Teamene får hastighed, sikkerheds-teamene får synlighed, og den afvejning, alle antager eksisterer, viser sig at være en dårligt designed proces. Dette handler om at balancere sikkerhed med innovation mod hver organisations risiko-appetit.

Du har arbejdet med storstilede cybersikkerhedsstrategier og incident-respons. Hvordan ændrer introduktionen af AI naturen af cyber-trusler og den måde, organisationer skal forberede sig på dem?

AI er turbo-ladende truslerne på tværs af forskellige vektorer. Størrelse: phishing og rekognoscering i maskin-hastighed mod tusinder af mål samtidig. Sophistication: deepfake-drevet social engineering, der besejrer stemme- og video-verifikation. Identitet: syntetiske identiteter, der passerer identitetskontroller designet for mennesker.

For incident-respons er implikationerne operationelle. Du har brug for detection, der ikke afhænger af, at mennesker genkender mønstre i menneske-hastighed. Du har brug for verifikations-protokoller, der antager, at stemme og video kan være falske. Og du har brug for incident-respons-playbooks, der eksplicit dækker AI-relaterede incidenter, fordi gensvar-trinnene ikke er de samme som gensvaret på et ransomware-begivenhed.

Hos Syntax, hvad ser “sikkerhed fra design” AI ud som i et komplekst, virkeligt enterprise-miljø?

Hos Syntax betyder det at balancere innovation og sikkerhed gennem adoption af vores GenAI-platform med indbyggede guardrails, vores godkendte, begrænsede og forbudte GenAI-tjenester og -applikationer, modeller og platforme, og at drive en sikkerheds-først-kultur gennem vores AI-styringskontor. For vores Global Security-organisation betyder det at positionere os som en aktiverer for forretningsudviklingen, ikke en blokerer, og at støtte forretningsudviklingen med dens strategiske prioriteter, mens vi beskytter Syntax i overensstemmelse med vores risiko-appetit.

Der er en voksende narrativ, at sikkerhed og overholdelse ikke længere er blokerere, men drivere af vækst. Hvad skal ændre sig kulturelt og operationelt for, at organisationer kan virkelig omfavne den mindset?

Den største ændring er, hvad succes ser ud som. Sikkerheds-teamene er blevet målt i årtier på, hvad der ikke skete: ingen datakrænkelser, ingen incidenter, ingen revisions-fund. Denne måling belønner at sige nej. Team, der fungerer som aktiverere, måler noget andet: handler, der blev vundet, fordi kontroller var demonstrerbare, lanceringer, der ramte deres dato, fordi sikkerhed ryddede vejen, og innovationer, der gennemgik styring i stedet for omkring den.

Operationelt kræver det processer gendefineret med styring indbygget, parret med aktiv aktivering som vores GenAI-platform, der gør sikkerhed den nemmeste vej, og tilgængelige GenAI-uddannelse og programmer, som vores AI-Champions-initiativ.

Kultur følger, hvad du incentiviserer og hvad du aktiverer. Ændr, hvad du belønner, udstyr mennesker med de rigtige værktøjer og den rigtige træning på det rigtige tidspunkt, og du ændrer, hvad de gør. Dette er rejsen, Syntax er på.

Med AI, der stadig mere indlejres i enterprise-arbejdsgange, hvordan skal CISO’er samarbejde med AI-ledere, data-videnskabsmænd og produkt-team for at sikre ansvarlighed uden at bremse fremgangen?

CISO’en, der venter på at blive inviteret, kommer til at være forsinket. CISO’en, der viser sig tidligt med praktiske mønstre i stedet for politik-objektioner, bliver partneren, som AI-projekter virkelig ønsker at have ved bordet. I praksis betyder det fælles design-sessioner med AI-team, sikkerheds-godkendelser, der sidder ved siden af funktionelle i stedet for efter dem, og en åben dør-politik. Dette ændrer samtalen fra at være “Departementet for Nej” til “Ja, men” eller “Nej, men” som en villig og samarbejdende partner for forretningsudviklingen.

Settende blikket fremad, tror du, vi vil se en standardiseret global ramme for AI-styring, eller skal organisationer bygge deres egne interne tillids-arkitekturer uanset regulering?

Begge dele, i den rækkefølge. Vi vil se faseret konvergens på et lille antal regionale rammer, EU’s AI-akt først, andre følger med lokale variationer. Vi vil ikke se en global standard i denne årti på grund af geopolitisk fragmentering. Så organisationer vil ende med at gøre to ting på samme tid: overholde rammen, der gælder for deres største marked, og køre en intern tillids-arkitektur, der overgår hvilken som helst ramme, der er svag. Den interne arkitektur betyder mere end den eksterne standard, fordi regulatorer bevæger sig langsomt, og trusler gør ikke. Virksomhederne, der bygger interne tillids-arkitekturer nu, vil bruge det næste årti på at sige “vi gjorde allerede det” til hver ny regulator, der ankommer.

Tak for det store interview, læsere, der ønsker at lære mere, skal besøge Syntax.