Connect with us

Jack Cherkas, Global CISO στην Syntax – Σειρά Συνεντεύξεων

Συνεντεύξεις

Jack Cherkas, Global CISO στην Syntax – Σειρά Συνεντεύξεων

mm
Published

Jack Cherkas, Global CISO στην Syntax, είναι ένας εκτελεστικός της κυβερνοασφάλειας με βαθιά εμπειρία σε cloud ασφάλεια, κυβερνοανθεκτικότητα, αρχιτεκτονική επιχειρήσεων και ασφάλεια AI. Έχει κατέχει υψηλές θέσεις στην Syntax, PwC UK, Kyndryl και IBM, όπου βοήθησε να χτίσει και να κλιμακώσει τις επιχειρησιακές λειτουργίες ασφαλείας, να διαχειριστεί σημαντικές προσπάθειες απόκρισης σε περιστατικά και να αναπτύξει στρατηγικές κυβερνοανθεκτικότητας για μεγάλες επιχειρησιακές περιβάλλοντες. Στην Syntax, ηγείται της παγκόσμιας κυβερνοασφάλειας σε όλο τον κόσμο, επιβλέποντας μια ομάδα από περισσότερους από 65 επαγγελματίες ασφαλείας σε οκτώ χώρες.

Syntax είναι ένας παγκόσμιος πάροχος IT υπηρεσιών και διαχειριζόμενων cloud υπηρεσιών, ειδικευμένος σε αποστολές-κλειδί επιχειρηματικών εφαρμογών, ιδιαίτερα σε περιβάλλοντα SAP και Oracle. Η εταιρεία υποστηρίζει τις οργανώσεις με μετεγκατάσταση cloud, διαχειριζόμενη φιλοξενία, κυβερνοασφάλεια, διαχείριση επιχειρηματικών εφαρμογών και λειτουργίες AI σε υβριδικά και πολλαπλά cloud υποδομές. Το έργο της εστιάζεται στην βοήθεια των επιχειρήσεων να μοντερνοποιήσουν, να ασφαλίσουν και να λειτουργήσουν σύνθετα επιχειρηματικά συστήματα σε κλίμακα.

Έχετε ηγηθεί πρωτοβουλιών κυβερνοασφάλειας σε IBM, Kyndryl, PwC και τώρα Syntax. Πώς έχει εξελιχθεί η προοπτική σας για την ασφάλεια των αναδυόμενων τεχνολογιών όπως το AI, ιδιαίτερα καθώς οι οργανώσεις μεταβαίνουν από πειραματισμούς σε παραγωγή;

Η καριέρα μου έχει ακολουθήσει μια σειρά αναταραχών, κάθε μια από τις οποίες απαιτούσε από την ασφάλεια να跟σει σε ένα νέο έλεγχο. Στην IBM, στις πρώτες μέρες του cloud, η ερώτηση ήταν αν μπορούσαμε να εμπιστευθούμε την υποδομή κάποιου άλλου για να τρέξουμε κρίσιμες για την επιχείρηση εργασίες. Η απάντηση ήταν ένα μοντέλο κοινής ευθύνης και μια γενιά cloud-εγγενών ελέγχων.

Στη συνέχεια ήρθε η εποχή του ransomware. Το NotPetya το 2017 απένειμε εταιρείες σε λίγες ώρες, και η βιομηχανία έμαθε ότι το wormable malware μπορούσε να καταστρέψει παγκόσμιες αλυσίδες εφοδιασμού μέσα σε одну νύχτα. Η απάντηση ήταν η προετοιμασία για το πότε (όχι αν) θα συνέβει ένα κυβερνοεπίθεση, η διαχωριστική τοίχωση δικτύου, οι αμετάβλητοι αντίγραφα ασφαλείας και μια σοβαρή ώθηση στην ταυτότητα.

Κατά τη διάρκεια της θητείας μου στην Kyndryl και PwC, το SaaS μετατράπηκε από το περιθώριο στο κέντρο κάθε ιδιοκτησίας. Οι εργασίες μεταφέρθηκαν έξω από τα κέντρα δεδομένων και πάνω σε κάποιου άλλου στάκ. Η ταυτότητα έγινε το περιθώριο, και η Zero Trust σταμάτησε να είναι ένα διάγραμμα και άρχισε να είναι ένα λειτουργικό μοντέλο.

Τώρα στην Syntax, βρισκόμαστε στην κυμαία του GenAI, όπου το σύστημα tự.reasons, γεννά και ενεργεί. Κάθε κυμαία μας έδωσε μια νέα επιφάνεια ελέγχου, όχι αρκετό προειδοποιητικό σήμα, και ένα συντομότερο παράθυρο μεταξύ πειραματισμού και παραγωγής. Το cloud πήρε χρόνια. Το SaaS πήρε trimesters. Το GenAI παίρνει εβδομάδες. Οι CISOs που παραμένουν είναι αυτοί που σταμάτησαν να αντιμετωπίζουν κάθε κυμαία ως εξαίρεση και άρχισαν να αντιμετωπίζουν την ταχεία υιοθέτηση ως τη σταθερή κατάσταση.

Όταν οι οργανώσεις επιταχύνουν την υιοθέτηση του AI, πώς αξιολογείτε τον κίνδυνο ότι η εμπιστοσύνη, όχι μόνο η συμμόρφωση, είναι που συμβαίνει; Ποια είναι τα πρώτα σημάδια ότι αυτό αρχίζει να συμβαίνει;

Η εμπιστοσύνη είναι η βάση κάθε καλής υιοθέτησης του AI. Τα πρώτα σημάδια δεν βρίσκονται στην έκθεση ελέγχου, βρίσκονται στα λειτουργικά σήματα. Κρυφές αναπτύξεις AI που κανείς δεν έχει την ιδιοκτησία. Η προμήθεια εγκρίνει προμηθευτές GenAI χωρίς έλεγχο ασφαλείας. Η προέλευση δεδομένων που σπάει τη στιγμή που ζητάτε από πού προέρχονται τα δεδομένα εκπαίδευσης. Πράκτορες AI που έχουν λάβει δικαιώματα διαχειριστή γιατί κανείς δεν ήθελε να επιβραδύνει το έργο. Όταν δείτε αυτά τα τέσσερα σήματα σε μια οργάνωση, η εμπιστοσύνη已经 ξοδεύεται γρηγορότερα από ό,τι κερδίζεται. Η ηγεσία είναι συνήθως η τελευταία που το μαθαίνει.

Πολυάριθμες εταιρείες υιοθετούν το AI πιο γρήγορα από ό,τι μπορούν να το ασφαλίσουν. Ποια είναι τα πιο κοινά πραγματικά рисks που βλέπετε σήμερα όταν η διακυβέρνηση παραμένει πίσω από την καινοτομία;

Όταν η διακυβέρνηση παραμένει πίσω, τρία πράγματα συμβαίνουν, και κανένα από αυτά δεν εμφανίζεται ως περιστατικά ασφαλείας μέχρι πολύ αργότερα. Πρώτον, η εκθεση στους κανονισμούς συσσωρεύεται ήσυχα: μια ανάπτυξη AI που παραβιάζει τις απαιτήσεις διαφάνειας του EU AI Act δεν ενεργοποιεί keinen συναγερμό, αλλά εμφανίζεται σε einen έλεγχο δύο ετών ως πρόστιμο. Δεύτερον, η εμπιστοσύνη του πελάτη εξασθενεί στις συναλλαγές που δεν βλέπετε: οι πελάτες επιλέγουν ανταγωνιστές που μπορούν να αποδείξουν διακυβέρνηση, και η ομάδα πωλήσεων δεν μαθαίνει ποτέ το λόγο. Τρίτον, η ποιότητα της απόφασης εξασθενεί: η οργάνωση λαμβάνει περισσότερες αποφάσεις που επηρεάζονται από το AI, αλλά δεν μπορεί να εξηγήσει ή να ελέγξει, και οι κακές αποφάσεις συσσωρεύονται σε μέρη που κανείς δεν κοιτάζει. Το κόστος της αδύναμης διακυβέρνησης του AI είναι η αργή διάβρωση του ελέγχου, των πωλήσεων και της ποιότητας της απόφασης, που τελικά οδηγεί σε μια ζημιογόνο παραβίαση.

Από την εμπειρία σας στη δημιουργία και την κλιμάκωση των διαχειριζόμενων υπηρεσιών ασφαλείας και των λειτουργιών SOC, πώς αλλάζει η εισαγωγή του AI τη φύση των κυβερνοαπειλών και τον τρόπο με τον οποίο οι οργανώσεις πρέπει να προετοιμαστούν για αυτές;

Το AI επιταχύνει τις απειλές σε διάφορους διαύλους. Κλίμακα: phishing και αναγνώριση σε ταχύτητα μηχανής κατά χιλιάδων στόχων ταυτόχρονα. Σοφιστικέ: deepfake-κίνητο κοινωνικό μηχανισμό που νικά την επαλήθευση φωνής και βίντεο. Ταυτότητα: συνθετικές ταυτότητες που περνούν τα έλεγχα ταυτότητας που σχεδιάστηκαν για ανθρώπους.

Για την απόκριση σε περιστατικά, οι επιπτώσεις είναι λειτουργικές. Χρειάζεστε ανίχνευση που δεν βασίζεται σε ανθρώπους που αναγνωρίζουν μοτίβα σε ανθρώπινη ταχύτητα. Χρειάζεστε πρωτόκολλα επαλήθευσης που υποθέτουν ότι η φωνή και το βίντεο μπορούν να είναι ψεύτικα. Και χρειάζεστε βιβλία απόκρισης σε περιστατικά που καλύπτουν ρητά τα περιστατικά που σχετίζονται με το AI, γιατί τα βήματα ανάκτησης δεν είναι τα ίδια με την ανάκτηση από ένα περιστατικό ransomware.

Στην Syntax, τι σημαίνει “ασφαλής-από-σχεδιασμού” AI σε ένα σύνθετο, πραγματικό επιχειρηματικό περιβάλλον;

Στην Syntax σημαίνει ισορροπία καινοτομίας και ασφαλείας, μέσω της υιοθέτησης της πλατφόρμας GenAI με ενσωματωμένα φράγματα, των εγκεκριμένων, περιορισμένων και απαγορευμένων υπηρεσιών και εφαρμογών GenAI, και της προώθησης ενός πολιτισμού ασφαλείας πρώτα μέσω του Γραφείου Διακυβέρνησης AI. Για την Παγκόσμια Οργάνωση Ασφαλείας, σημαίνει να θέσουμε τον εαυτό μας ως ενabler για την επιχείρηση, όχι ως μπλοκερ, υποστηρίζοντας την επιχείρηση με τις στρατηγικές προτεραιότητές της ενώ προστατεύουμε την Syntax σύμφωνα με την αντοχή μας.

Υπάρχει μια αυξανόμενη αφήγηση ότι η ασφάλεια και η συμμόρφωση δεν είναι πλέον μπλοκερς αλλά ενabler της ανάπτυξης. Τι πρέπει να αλλάξει πολιτιστικά και λειτουργικά για τις οργανώσεις να ενσωματώσουν πραγματικά αυτή τη στάση;

Η μεγαλύτερη μεταβολή είναι τι σημαίνει επιτυχία. Οι ομάδες ασφαλείας έχουν μετρηθεί για δεκαετίες με βάση τι δεν συνέβη: keine παραβιάσεις, keine περιστατικά, keine ευρήματα ελέγχου. Αυτό το μέτρο ανταμείβει το να λέει όχι. Οι ομάδες που λειτουργούν ως ενabler μετρούν κάτι διαφορετικό: συμφωνίες που κερδήθηκαν γιατί οι έλεγχοι ήταν επίδειξη, εκκινήσεις που έφτασαν στην ημερομηνία τους γιατί η ασφάλεια καθάρισε το μονοπάτι, και καινοτομίες που μετακινήθηκαν μέσω διακυβέρνησης αντί να την περιφρουρήσουν.

Λειτουργικά, χρειάζεται διαδικασίες που αναδιαμορφώνονται με διακυβέρνηση ενσωματωμένη, σε συνδυασμό με ενεργό ενίσχυση όπως η πλατφόρμα GenAI που κάνει το ασφαλές το εύκολο μονοπάτι, και προσιτές εκπαιδεύσεις και προγράμματα AI, όπως η πρωτοβουλία AI Champions.

Ο πολιτισμός ακολουθεί τι ενισχύετε και τι επιτρέπετε. Αλλάξτε τι ανταμείβεται, εξοπλίστε τους ανθρώπους με τα σωστά εργαλεία και την σωστή εκπαίδευση στην σωστή στιγμή, και αλλάξτε τι κάνουν. Αυτή είναι η πορεία που αναλαμβάνει η Syntax.

Με το AI να ενσωματώνεται όλο και περισσότερο στις ροές εργασίας της επιχείρησης, πώς πρέπει οι CISOs να συνεργάζονται με τους ηγέτες του AI, τους επιστήμονες δεδομένων και τις ομάδες προϊόντων για να διασφαλίσουν την ευθύνη χωρίς να επιβραδύνουν την πρόοδο;

Ο CISO που περιμένει να τον καλέσουν θα είναι αργός. Ο CISO που εμφανίζεται νωρίς, με πρακτικά μοτίβα αντί για αντιρρήσεις πολιτικής, γίνεται ο συνεργάτης που οι ομάδες του AI πραγματικά θέλουν στο τραπέζι. Στην πράξη, αυτό σημαίνει συνεδρίες σχεδιασμού με τις ομάδες AI, έλεγχοι ασφαλείας που καθίστανται δίπλα στα λειτουργικά αντί να τους ακολουθούν, και μια ανοιχτή πολιτική πόρτας. Αυτό αλλάζει τη συζήτηση από το να είναι το “Τμήμα του Όχι” στο “Ναι, αλλά” ή “Όχι, αλλά” ως ένας πρόθυμος και συνεργάτης για την επιχείρηση.

Κοιτάζοντας μπροστά, πιστεύετε ότι θα δούμε ένα стандαρδικό παγκόσμιο πλαίσιο για τη διακυβέρνηση του AI, ή οι οργανώσεις θα πρέπει να χτίσουν τις δικές τους εσωτερικές αρχιτεκτονικές εμπιστοσύνης ανεξάρτητα από τον κανονισμό;

Και τα δύο, με τη σειρά. Θα δούμε μια σταδιακή σύγκλιση σε ένα μικρό αριθμό περιφερειακών πλαισίων, το EU AI Act πρώτα, και άλλα να ακολουθούν με τοπικές παραλλαγές. Δεν θα δούμε ένα παγκόσμιο πρότυπο σε αυτή τη δεκαετία λόγω της γεωπολιτικής κατακερματισμού. Έτσι, οι οργανώσεις θα κάνουν δύο πράγματα παράλληλα: θα συμμορφώνονται με το πλαίσιο που ισχύει για την μεγαλύτερη αγορά τους και θα τρέχουν μια εσωτερική αρχιτεκτονική εμπιστοσύνης που υπερβαίνει το πιο αδύναμο πλαίσιο. Η εσωτερική αρχιτεκτονική έχει περισσότερη σημασία από το εξωτερικό πρότυπο, γιατί οι κανονιστές κινούνται αργά και οι απειλές δεν το κάνουν. Οι εταιρείες που χτίζουν εσωτερικές αρχιτεκτονικές εμπιστοσύνης τώρα θα περάσουν την επόμενη δεκαετία λέγοντας “ήδη το κάνουμε” σε κάθε νέο κανονιστή που έρχεται.

Ευχαριστούμε για τη μεγάλη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα μπορούν να επισκεφθούν την Syntax.

mm

Ο Antoine είναι ένας οραματιστής ηγέτης και συνιδρυτής του Unite.AI, οδηγείται από μια αμετάβλητη страсть για το σχήμα και την προώθηση του μέλλοντος του AI και της ρομποτικής. Ένας σειριακός επιχειρηματίας, πιστεύει ότι το AI θα είναι τόσο διαταρακτικό για την κοινωνία όσο η ηλεκτρική ενέργεια, και συχνά πιάνεται να μιλάει για το δυναμικό των διαταρακτικών τεχνολογιών και του AGI.

Ως futurist, είναι αφοσιωμένος στο να εξερευνήσει πώς αυτές οι καινοτομίες θα σχήματίσουν τον κόσμο μας. Επιπλέον, είναι ο ιδρυτής του Securities.io, μια πλατφόρμα που επικεντρώνεται στις επενδύσεις σε τεχνολογίες που αναedefinουν το μέλλον και ανασχήματίσουν ολόκληρους τομείς.