Connect with us

Jack Cherkas, Syntaxin globaali CISO – Haastattelusarja

Haastattelut

Jack Cherkas, Syntaxin globaali CISO – Haastattelusarja

mm
Published

Jack Cherkas, Syntaxin globaali CISO, on kyberturva-asiantuntija, jolla on syvä kokemus pilviturvallisuudesta, kyberturvallisuudesta, yritysarkkitehtuurista ja tekoälyturvallisuudesta. Hän on toiminut johtotehtävissä Syntaxilla, PwC UK:lla, Kyndryllä ja IBM:llä, jossa hän on auttanut rakentamaan ja skaalaamaan turvallisuusoperaatioita, johtanut suuria vastuuhenkilöiden vastaisia pyrkimyksiä ja kehittänyt kyberturvallisuusstrategioita suurten yritysten ympäristöihin. Syntaxilla hän johtaa globaalia kyberturvallisuutta yhtiön henkilöstölle, järjestelmille, tietokeskuksille, hallituille pilvipalveluille ja asiakaspalvelun turvallisuuspaketteihin, johtaa yli 65 turvallisuusammattilaista kahdeksassa maassa.

Syntax on globaali IT-palvelu- ja hallittu pilvipalveluntarjoaja, joka on erikoistunut kriittisiin yritysohjelmistoihin, erityisesti SAP- ja Oracle-ympäristöihin. Yritys tukee organisaatioita pilvimuutoksessa, hallitussa isännöinnissä, kyberturvallisuudessa, yritysohjelmistojen hallinnassa ja tekoälytoiminnassa hybrid- ja monipilvi-infrastruktuurissa. Sen työ keskittyy auttamaan yrityksiä modernisoimaan, turvallistamaan ja käyttämään monimutkaisia liiketoimintajärjestelmiä laajassa mittakaavassa.

Olet johtanut kyberturvallisuusaloitteita IBM:llä, Kyndryllä, PwC:llä ja nyt Syntaxilla. Miten näkemyksesi uusien teknologioiden, kuten tekoälyn, turvallisuudesta on kehittynyt, erityisesti kun organisaatiot siirtyvät kokeilusta tuotantoon?

Uraani on seurannut useita häiriöitä, joista jokainen on vaatinut turvallisuuden pysymään uuden ohjauspinon mukana. IBM:llä pilven alkuaikoina kysymys oli, voimmeko luottaa jonkun muun infrastruktuuriin kriittisten työkuormien suorittamiseen. Vastaus oli jaettu vastuumalli ja uusi sukupolvi pilvipohjaisia ohjausjärjestelmiä.

Sitten tuli lukituksen aikakausi. NotPetya vuonna 2017 kykeni poistamaan yritykset muutamassa tunnissa, ja teollisuus oppi, että mato-ohjelmisto voi ottaa haltuunsa globaaleja toimintaketjuja yhdessä yössä. Vastaus oli valmistautuminen siihen, mitä tapahtuisi (ei jos), verkon segmentointi, muuttumattomat varmuuskopiot ja vakava panostus identiteettiin.

Kyndryllä ja PwC:llä SaaS siirtyi reunalta keskelle jokaista omaisuutta. Työkuormat siirtyivät tietokeskuksista jonkun muun pinolle, identiteetti muodostui reuna-alueeksi, ja Zero Trust lakkasi olemasta kaavio ja alkoi olla toimintamalli.

Nyt Syntaxilla olemme GenAI-aallon kourissa, jossa järjestelmä itse perustelee, luo ja toimii. Jokainen aalto antoi meille uuden ohjauspinon, ei tarpeeksi varoitusajaa ja lyhyemmän aikavälin kokeilun ja tuotannon välillä. Pilvi vei vuosia. SaaS vei neljännesvuosia. GenAI vie viikkoja. CISO:t, jotka pysyvät mukana, ovat niitä, jotka lopettivat käsittelyn jokaisen aallon poikkeuksena ja alkoivat käsittelynopean omaksumisen vakiintuneena tilana.

Kun organisaatiot nopeuttavat tekoälyn omaksumista, miten arvioit riskiä, että luottamus, ei pelkästään noudattaminen, on vaarantunut? Mitkä ovat varhaisimmat merkit siitä, että tämä on alkanut tapahtua?

Luottamus on tekoälyn hyväksymisen perusta. Varhaisimmat merkit eivät ole tarkastusraportissa, vaan toiminnalliset signaalit. Varjo-tekolyhdyntöjä, joita kukaan ei omista. Hankinnat hyväksyvät GenAI-toimittajat ilman turvallisuuden tarkastusta. Datapolun katkeaminen, kun kysyt, mistä koulutusdata tuli. Tekoälyagentit, joille on myönnetty pääkäyttäjän oikeudet, koska kukaan ei halunnut hidastaa projektia. Kun näet nämä neljä signaalia yhdessä organisaatiossa, luottamus on jo kulutettu nopeammin kuin se on ansaittu. Johtajuus on yleensä viimeinen, joka saa tietää.

Monet yritykset omaksuvat tekoälyä nopeammin kuin he voivat turvata sitä. Mitkä ovat yleisimpiä todellisia riskejä, joita näet tänään, kun hallinto jää innovaation jälkeen?

Kun hallinto jää, tapahtuu kolme asiaa, eikä niistä kukaan näy turvallisuusvaarana, kunnes myöhemmin. Ensinnäkin, sääntelyn altis riski kasvaa hiljalleen: tekoälykäyttöönotto, joka rikkoo EU:n tekoälylain avoimuuden vaatimukset, ei laukaista hälytintä; se näkyy tarkastusraportissa kahden vuoden kuluttua sakona. Toiseksi, asiakkaan luottamus heikkenee transaktioissa, joita et näe: asiakkaat valitsevat kilpailijoita, jotka voivat osoittaa hallinnon, ja myyntitiimisi ei koskaan tiedä, miksi. Kolmanneksi, päätösten laatu heikkenee: organisaatio tekee enemmän tekoälyvaikutteisia päätöksiä, mutta ei voi selittää tai tarkastaa niitä, ja huonot päätökset kertyvät paikkoihin, joissa kukaan ei ole katselemassa. Heikkojen tekoälyhallinnon kustannus on hitaasti heikkenevä tarkastus, myynti ja päätösten laatu, mikä lopulta johtaa mainettomaan tietoturvarikkoonsa.

Kokemuksestasi johtaa ja skaalata hallittuja turvallisuuspaketteja ja SOC-operaatioita, miten tekoälyn käyttöönotto muuttaa kybertuhkaa ja sitä, miten organisaatioiden tulisi valmistautua niihin?

Tekoäly on kiihdyttämässä uhkia eri vektoreilla. Mitat: Phishing ja tutkimus koneen nopeudella tuhansiin kohteisiin samanaikaisesti. Monimutkaisuus: syvä väärennys, joka voittaa äänen ja videon todennuksen. Identiteetti: syntetiset identiteetit, jotka läpäisevät identiteettitarkastukset, jotka on suunniteltu ihmisille.

Turvalouhauksen osalta vaikutukset ovat operatiivisia. Tarvitset havaintoja, jotka eivät riipu siitä, tunnustavatko ihmiset kuvioita ihmisen nopeudella. Tarvitset vahvistusprotokollia, jotka olettaa, että ääni ja video voidaan väärentää. Ja tarvitset toimintasuunnitelmat, jotka käsittelevät nimenomaisesti tekoälyyn liittyviä tapahtumia, koska palautusohjeet eivät ole samat kuin palauttaminen lukituksen tapahtumasta.

Syntaxilla mitä “turvallinen suunnittelulla” tekoäly tarkoittaa monimutkaisessa, todellisessa yritysympäristössä?

Syntaxilla se tarkoittaa innovaation ja turvallisuuden tasapainoa GenAI-alustan omaksumisen kautta, jossa on sisäänrakennettuja varotoimia, hyväksyttyjä, rajoitettuja ja kiellettyjä GenAI-palveluja ja sovelluksia, malleja ja alustoja, ja ajamalla turvallisuuden ensin -kulttuuria tekoälyhallinnon kautta. Globaali turvallisuusorganisaatiomme tarkoittaa asettamista liiketoiminnan mahdollistajaksi, ei estäjäksi, tukeakseen liiketoimintaa strategisten etuoikeuksien kanssa samalla, kun suojellaan Syntaxia riskien mukaan.

On kasvava kertomus siitä, että turvallisuus ja noudattaminen eivät ole enää esteitä, vaan kasvun mahdollistajia. Mitä on muutettava kulttuurisesti ja toiminnallisesti, jotta organisaatiot voivat todella omaksua tämän mentaliteetin?

Suurin muutos on se, miltä menestys näyttää. Turvallisuustiimit on mitattu vuosikymmenien ajan siitä, mitä ei ole tapahtunut: ei uhkia, ei tapahtumia, ei tarkastuslöydöksiä. Tämä mittari palkitsee sanomalla ei. Tiimit, jotka toimivat mahdollistajina, mittaavat jotain muuta: kauppoja, joita voitettiin, koska ohjaus oli osoitettavissa, laukaisuja, jotka osuivat päivämäärään, koska turvallisuus selkiytti tietä, ja innovaatioita, jotka siirtyivät hallinnon kautta eivätkä sen ympäri.

Toiminnallisesti se vaatii prosesseja, joissa on sisäänrakennettu hallinto, parittain aktiivisen mahdollistamisen, kuten GenAI-alustamme, joka tekee turvalliseksi helpomman tien, ja saatavilla olevan GenAI-koulutuksen ja ohjelmien, kuten AI-mestari-aloitteen.

Kulttuuri seuraa sitä, mitä kannustat ja mitä mahdollistat. Muuta sitä, mitä palkitset, varusta ihmiset oikeilla työkaluilla ja oikealla koulutuksella oikeaan aikaan, ja muuta sitä, mitä he tekevät. Tämä on matka, jota Syntax on aloittamassa.

Kun tekoäly on yhä enemmän upotettu yritysten työnkulkuun, miten CISO:t voivat tehdä yhteistyötä tekoälyjohtajien, data-tieteilijöiden ja tuotetiimien kanssa, jotta voidaan taata vastuu tekoälyjärjestelmiä kohtaan ilman edistymisen hidastamista?

CISO, joka odottaa kutsua, on myöhässä. CISO, joka saapuu ajoissa, käytännöllisine kuvin eikä vain linjauksellisilla vastalauseilla, muodostuu kumppaniksi, jota tekoälyprojektit todella haluavat pöydän ääreen. Käytännössä se tarkoittaa yhteisiä suunnittelusessioita tekoälytiimien kanssa, turvallisuuden hyväksyntiä, jotka sijaitsevat toiminnallisten hyväksynnän rinnalla eikä niiden jälkeen, ja avoimen oven politiikkaa. Tämä muuttaa keskustelun “ei”-osastosta “kyllä, mutta” – tai “ei, mutta” -kumppaniksi, joka on halukas ja yhteistyökykyinen liiketoiminnan parissa.

Katsoen eteenpäin, uskotko, että näemme standardoidun globaalin kehyksen tekoälyhallinnolle, vai tarvitsevatko organisaatiot rakentaa oman sisäisen luottamuksen arkkitehtuurin riippumatta sääntelystä?

Molemmat, järjestyksessä. Näemme vaiheittaisen yhdenmukaisuuden muutamassa alueellisessa kehyksessä, EU:n tekoälylain ensin, muiden seuraten paikallisen variation kanssa. Emme näe yhtä maailmanlaajuista standardia tässä vuosikymmenessä geopolitiikan hajaantumisen vuoksi. Organisaatiot joutuvat tekemään kahta asiaa rinnan: noudattamaan kehystä, joka koskee heidän suurinta markkinaa, ja ajamaan sisäistä luottamuksen arkkitehtuuria, joka ylittää heikoimman kehyksen. Sisäinen arkkitehtuuri on tärkeämpää kuin ulkoinen standardi, koska sääntelijät liikkuvat hitaasti eivätkä uhkat. Yritykset, jotka rakentavat sisäisen luottamuksen arkkitehtuurin nyt, tulevat viettämään seuraavan vuosikymmenen sanomalla “me jo teemme niin” jokaiselle uudelle sääntelijälle, joka saapuu.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Syntax:lla.

mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.