Haastattelut
Kara Sprague, HackerOnen toimitusjohtaja – Haastattelusarja
Kara Sprague, HackerOnen toimitusjohtaja, on kokenut teknologiajohtaja, jolla on yli kahden vuosikymmenen kokemus tuotejohtajuudesta, yleisjohdosta ja strategisesta konsultoinnista ohjelmisto- ja tietoturvasektoreilla. Hän aloitti toimitusjohtajan tehtävässä marraskuussa 2024 työskenneltyään F5:llä johtotehtävissä, kuten varatoimitusjohtajana ja tuotejohtajana, joissa hän johti merkittäviä tuote- ja alustahankkeita, sekä aiemmin toimitusjohtajan tehtävissä, joissa hän valvoi suuria yrityksiä. Ennen F5:tä hän työskenteli yli vuosikymmenen osakkaana McKinsey & Companylla neuvoen johtavia teknologiayrityksiä kasvun ja strategian osalta, ja aloitti uransa teknisenä työntekijänä Oraclella. HackerOnen roolinsa lisäksi hän toimii myös Trimble Inc:n hallituksessa.
HackerOne on kyberturvallisuusyritys, joka tunnetaan parhaiten hakkereiden hyödyntämän tietoturvan uraauurtavasta kehittämisestä. Se yhdistää organisaatioita eettisten hakkereiden maailmanlaajuiseen yhteisöön haavoittuvuuksien tunnistamiseksi ja korjaamiseksi ennen kuin niitä voidaan hyödyntää. Alusta tukee yrityksiä ja hallituksia bug bounty -ohjelmien, haavoittuvuuksien paljastamisen, penetraatiotestauksen ja tietoturvatestauspalveluiden avulla, jotka yhdistävät inhimillisen asiantuntemuksen automaatioon ja tekoälypohjaisiin työnkulkuihin. Siirtämällä tietoturvan reaktiivisesta ennakoivaan malliin HackerOnesta on tullut kriittinen osa modernia sovellusten tietoturvapinoa organisaatioille, jotka haluavat vähentää riskejä ja parantaa sietokykyä skaalautuvasti.
Astuit HackerOnen toimitusjohtajan rooliin marraskuussa 2024 työskenneltyäsi vuosikymmeniä johtotehtävissä F5:llä, McKinseyllä, Oraclella ja muissa merkittävissä teknologiayrityksissä. Mikä sai sinut tarttumaan tähän haasteeseen urasi tässä vaiheessa, ja mitkä olivat ensimmäiset prioriteettisi aloittaessasi yrityksen johtamisen?
Olen työskennellyt urani teknologian, strategian ja riskien risteyskohdassa auttaen organisaatioita selviytymään hetkistä, jolloin panokset ovat korkeat ja ympäristö muuttuu nopeasti. HackerOne veti minua puoleensa siksi, että olemme jälleen juuri tällaisessa käännekohdassa tekoälyn muokatessa kyberturvallisuusmaisemaa.
Tietoturva ei ole enää taustatoiminto – se on luottamuksen, resilienssin ja liiketoiminnan nopeuden keskeinen ajuri. Yritykset toimivat nyt syvästi toisiinsa kytkeytyneiden järjestelmien, jatkuvien tietovirtojen ja ennennäkemättömän mittakaavassa automatisoidun päätöksenteon parissa. Tekoäly kiihdyttää innovaatioita, mutta se tuo myös uusia saumoja, riippuvuuksia ja vikatiloja, joita perinteiset tietoturvamallit eivät ole rakentaneet käsittelemään.
Siksi HackerOnen missiolla on juuri nyt niin suuri merkitys. Missiomme on antaa maailmalle mahdollisuus rakentaa turvallisempi internet, ja tekoälyn ohjaamassa maailmassa tämä tehtävä ei ole koskaan ollut kiireellisempi. HackerOne on erilainen, koska yhdistämme maailmanlaajuisen ihmistietoturvatutkijoiden yhteisön alustatietoon löytääksemme ja korjataksemme haavoittuvuuksia ennen kuin hyökkääjät voivat hyödyntää niitä. Tämä ihminen mukana -malli ei ole vain eriytetty – se on olennainen.
Ensimmäisestä päivästä lähtien keskityin kolmeen prioriteettiin: agenttialustamme ominaisuuksien laajentamiseen, tutkijayhteisöömme investoimiseen sekä luottamuksen syventämiseen asiakkaiden ja kumppaneiden kanssa. Tämä tarkoittaa tekoälyn hyödyntämisen skaalaamista, Hain kehittämistä apupilotista koordinoiduksi tekoälyagenttien tiimiksi, joka auttaa organisaatioita jatkuvasti priorisoimaan, validoimaan ja korjaamaan riskejä nopeammin, sekä HackerOne Coden käynnistämistä ohjelmistojen suojaamiseksi aikaisemmassa kehitysvaiheessa. Nykyään yli 90 % asiakkaistamme käyttää Haita työnsä nopeuttamiseen haavoittuvuuksien validoinnissa ja korjaamisessa.
Toimintaympäristö muuttuu nopeasti, mutta meidän painopisteemme on jatkuva: hillitse riskiä ennen kuin se määrittelee sinua. HackerOnella se tarkoittaa jatkuvan, käytännöllisen ja modernin innovaation tahtiin rakennetun turvallisuuden luomista.
HackerOne on nähnyt sekä 200 prosentin kasvun penetraatiotestauksessa ja tekoälyn red teaming -hyökkäyksissä että strategisen siirtymän kohti jatkuvaa uhkien hallintaa. Miten nämä trendit muokkaavat yrityksenne pitkän aikavälin visiota, ja mitä tämä vauhti viestii yritysturvallisuuden tulevaisuudesta?
Näkemämme ei ole piikki – se on nollaus. 200 prosentin nousu penetraatiotestauksessa ja tekoälyn red teaming -hyökkäyksissä vahvistaa, että ajankohtainen tietoturva ei yksinkertaisesti pysy nykyaikaisten yritysten muutosten vauhdissa.
Tämä todellisuus muovaa pitkän aikavälin visiotamme jatkuvasta uhkien hallinnasta koko elinkaaren ajan – koodista ja pilvestä tekoälyjärjestelmiin. Tekoälyn kiihdyttäessä sekä innovaatioita että hyökkäysnopeutta, haasteena ei ole haavoittuvuuksien löytäminen; kyse on hyödynnettävissä olevien kohtien todistamisesta, tärkeimpien asioiden priorisoinnista ja niiden nopeasta korjaamisesta. Rakennamme alustaa, joka yhdistää jatkuvan testauksen, autonomisen validoinnin, älykkään priorisoinnin ja inhimillisen asiantuntemuksen juuri tämän saavuttamiseksi.
Yritysjohtajille viesti on selvä: tietoturvasta on tulossa jatkuva liiketoiminnan ala, ei säännöllinen tarkastus. Yritykset, jotka menestyvät paremmin, tunnistavat riskit aikaisemmin, toimivat nopeammin ja hallitsevat altistumista ennen kuin niistä tulee liiketoimintaongelma. Tämä muutos määrittelee yritysten tietoturvan tulevaisuuden.
Miten tekoälyjärjestelmäsi Hai integroituu haavoittuvuuksien löytämisen työnkulkuun, ja missä se tarjoaa tutkijoille ja asiakkaille eniten vipuvaikutusta?
Hai on koordinoitu tekoälyagenttien tiimi, joka on upotettu suoraan haavoittuvuuksien hallinnan työnkulkuun analysoimaan ja kontekstualisoimaan jatkuvasti havaintoja auttaakseen organisaatioita priorisoimaan, validoimaan ja korjaamaan riskejä nopeammin. Se toimii raportin koko elinkaaren ajan ja toimii puolustajien voimakerroimena, kun volyymit kasvavat ja uhat monimutkaistuvat.
Hai tarjoaa suurimman vipuvaikutuksen poistamalla kohinan. Se parantaa triage-luokittelua ja ymmärrystä tiivistämällä raportteja, tunnistamalla säännönmukaisuuksia, validoimalla löydöksiä ja korostamalla todennäköisimmin merkityksellisiä kysymyksiä. Tutkimuksemme osoittaa, että 20 % käyttäjistä säästää 6–10 tuntia viikossa, lyhentää merkittävästi matkaa havaitsemisesta varmaan korjaavaan toimenpiteeseen.
Myös tutkijat hyötyvät. yli puolet heistä käyttää nyt tekoälyä tai automaatiota työssäänHai auttaa heitä tuottamaan vahvempia käsitteiden oikeellisuustodisteita, selkeämpiä selityksiä ja johdonmukaisempaa validointia.
Mitä uusia haavoittuvuuksien luokkia on ilmaantunut viimeisen vuoden aikana, kun yritykset ottavat tekoälyä käyttöön aggressiivisemmin kaikissa ohjelmistopinoissaan?
Tekoälyn integroituessa tuotteisiin ja työnkulkuihin, näemme uusien haavoittuvuusluokkien syntyvän merkittävässä mittakaavassa. Viimeisimmässä Hacker-Powered Security Report -raportissamme pätevien tekoälyhaavoittuvuusraporttien määrä kasvoi 210 % edellisvuodesta, ja lähes 80 % tietoturvajohtajista sisällyttää nyt tekoälyresurssit tietoturvatestien piiriin. Nopea injektio on ollut näkyvintä, kasvanut yli puolella vuodella vuodentakaisesta, ja se on edelleen yksi yleisimmistä tavoista, joilla hyökkääjät vaikuttavat mallin toimintaan. Näemme myös kasvua mallin manipuloinnissa, turvattomassa tulosteen käsittelyssä, datamyrkytyksessä ja koulutusdataan ja vastausten hallintaan liittyvissä heikkouksissa.
Näistä riskeistä tekee erityisen merkittäviä se, että ne eivät vaikuta pelkästään järjestelmiin – ne vaikuttavat päätöksiin, työnkulkuihin ja asiakkaiden luottamukseen. Tekoäly tuo mukanaan vikapolkuja, joita perinteinen testaus ei täysin kata. Kun näitä järjestelmiä otetaan käyttöön tuotannossa ja niistä tulee toiminnallisesti kriittisempiä, omistautuneesta ja jatkuvasta tekoälytietoturvatestauksesta tulee yhä keskeisempi osa yritysten tietoturvaohjelmia.
Lähestymistapamme yhdistää tekoälypohjaisen automaation skaalautuvaan etsimiseen ja kaavojen havaitsemiseen ihmisen asiantuntemukseen paljastaakseen hienovaraisia vikoja, uusia heikkouksia ja reaalimaailman vaikutuksia – jolloin puolustajat voivat toimia samalla nopeudella ja mittakaavassa kuin hyökkääjät.
Kun maailmanlaajuinen tutkijayhteisö laajenee, miten ylläpidätte luottamusta, laatua ja oikeudenmukaisuutta samalla, kun edistätte sitoutumistanne monimuotoisuuteen ja osallisuuteen näin suuressa joukkoistetun ekosysteemin sisällä?
Luottamus on joukkopohjaisen turvallisuusmallin perusta, ja sitä on rakennettava tietoisesti yhteisön skaalautuessa. Meille se alkaa selkeistä standardeista, johdonmukaisista kannustimista ja vahvasta hallinnosta.
Yhteisömme koostuu tarkastetuista tietoturvatutkijoista, jotka tekevät yhteistyötä asiakkaiden kanssa tunnistaakseen, validoidakseen ja auttaakseen korjaamaan todellisia haavoittuvuuksia monissa eri teknologioissa.
Ylläpidämme laatua ja oikeudenmukaisuutta yhdistämällä alustatiedon ihmisen valvontaan – validoimalla havainnot, valvomalla yhdenmukaisia osallistumissääntöjä ja palkitsemalla tutkijoita vaikutuksen, ei taustan, maantieteellisen sijainnin tai vakituisen työsuhteen perusteella. Mainejärjestelmät, läpinäkyvä prioriteettijärjestys ja johdonmukaiset palkkiomallit luovat vastuuta markkinoiden molemmille puolille.
Olemme vahvasti sitoutuneet tutkijoiden menestykseen. Perehdytyksen, koulutuksen ja selkeiden kasvupolkujen avulla autamme uusia tutkijoita rakentamaan taitojaan ja uskottavuuttaan. Viimeisten kuuden vuoden aikana 50 tutkijaa on ansainnut yli miljoona dollaria kukin alustallamme — voimakas signaali sekä työn laadusta että mallin oikeudenmukaisuudesta.
Monimuotoisuus ja osallisuus eivät ole erillisiä aloitteita, vaan ne ovat ekosysteemin vahvuuden ydin. Turvallisuushaasteet ovat globaaleja, ja erilaiset näkökulmat nostavat esiin erilaisia hyökkäyspolkuja ja sokeita pisteitä. Tuloksena on luotettava ja tehokas yhteisö, joka vahvistuu – ei pirstaloituu – kasvaessaan.
Mitä suojatoimia HackerOne on ottanut käyttöön varmistaakseen, että tekoälyn avusteinen haavoittuvuuksien havaitseminen pysyy vastuullisena ja välttää puolueellisuutta tai väärinkäyttöä?
Alustamme tekoälyagentit on suunniteltu parantamaan selkeyttä, validoimaan havaintoja ja nopeuttamaan korjaavia toimia – samalla kun ihmiset pysyvät vastuussa hyväksyntää, vakavuutta ja reagointia koskevista päätöksistä.
Noudatamme samoja standardeja kuin asiakkaillamme. Käytämme tekoälyominaisuuksiamme sisäisesti, testaamme niitä jatkuvasti todellisissa työnkuluissa ja palkitsemme tutkijayhteisöämme omien ratkaisujemme merkittävien haavoittuvuuksien tunnistamisesta. Tämä luo tiiviin takaisinkytkentäsilmukan, jonka avulla vinoumat, epäjohdonmukaisuudet tai väärinkäytökset voidaan havaita varhaisessa vaiheessa.
Tekoälyn yleistyessä osaksi turvallisuustoimintoja tavoitteemme on asettaa rima, johon tiimit voivat luottaa – läpinäkyvyyden, jatkuvan testauksen ja inhimillisen vastuun pohjalta.
Haavoittuvuuksien löydösten ja palkkioiden 120 prosentin nousu viittaa merkittäviin muutoksiin uhkakuvassa. Tulkitsetko tämän havaitsemisen edistymisenä vai merkkinä siitä, että yritysohjelmistoista on tulossa riskialttiimpia?
Se on molempia – ja siinäpä se pointti onkin.
Nousu heijastaa todellista edistystä havaitsemisessa. Tutkijat paljastavat enemmän toimintakelpoisia ja laadukkaita heikkouksia, ja lisääntyneet palkkiot osoittavat, että yritykset arvostavat todellisten riskien esiin nostamista ja korjaamista. Useammat löydökset eivät automaattisesti tarkoita, että ohjelmisto on riskialttiimpi – ne tarkoittavat, että altistuminen on vihdoin näkyvää.
Samaan aikaan yritysohjelmistoista tulee yhä monimutkaisempia ja toisiinsa kytkeytyneempiä. Tekoäly, kolmannen osapuolen riippuvuudet ja nopeammat julkaisusyklit laajentavat hyökkäyspinta-alaa nopeammin kuin perinteisten hallintakeinojen on tarkoitus käsitellä.
Yhteenveto on yksinkertainen: riski on dynaaminen, ja turvallisuudenkin on oltava. Resilientimmät organisaatiot olettavat altistumisen olevan väistämätöntä ja keskittyvät väsymättä korjaamaan sitä, millä on oikeasti merkitystä.
Mikä on mielestäsi joukkoistettujen tietoturva-alustojen suurin haaste seuraavien vuosien aikana tekoälyn kehittyessä tehokkaammaksi?
Suurin haaste millä tahansa tietoturva-alustalla on signaalin ja luottamuksen ylläpitäminen nopeuden ja skaalautuvuuden kasvaessa.
Tekoälyn madaltaessa löydösten kynnystä, alustojen määrä kasvaa merkittävästi automatisoiduista ja hybridi-työnkuluista. Riskinä ei ole liian vähäiset löydökset – kyse on siitä, että melu ylikuormittaa asiakkaita ja huonosti kohdistetut kannustimet murentavat luottamusta.
Menestyviä alustoja ovat ne, jotka validoivat hyödynnettävyyttä, priorisoivat vaikuttavuutta ja yhdenmukaistavat palkkiot tulosten kanssa – samalla säilyttäen vahvan hallinnon ja inhimillisen vastuuvelvollisuuden. Tulevaisuudessa ei ole kyse uusien ongelmien löytämisestä, vaan oikeiden ongelmien nopeammasta löytämisestä ja näkemysten muuttamisesta toiminnaksi ennen kuin liiketoimintaongelmia ehtii syntyä.
Näetkö HackerOnen laajentavan toimintaansa haavoittuvuuksien löytämisen ulkopuolelle esimerkiksi jatkuvaan valvontaan, tekoälypohjaiseen korjaavaan toimintaan tai ennakoivaan uhkien mallintamiseen?
Keskitymme ratkaisemaan yritysten kohtaaman ydinongelman: ymmärtämään ja hallitsemaan todellisia riskejä jatkuvasti muuttuvissa ympäristöissä.
Tämä luonnollisesti tarkoittaa siirtymistä ajankohtaisesta havaitsemisesta pidemmälle. Toimimme jo nyt koko altistumisen elinkaaren ajan koodin ja tekoälyn red teaming -yhteistyöstä validointiin ja priorisointiin, ja jatkamme investoimista ominaisuuksiin, jotka auttavat asiakkaita näkemään altistumisen aikaisemmin, ymmärtämään vaikutukset nopeammin ja viemään korjaavat toimenpiteet loppuun.
Tekoälyllä on keskeinen rooli tässä kehityksessä – erityisesti priorisoinnissa ja työnkulun nopeuttamisessa – mutta ihmisen vastuu on aina keskiössä. Pohjantähtemme on jatkuva, käytännöllinen tietoturva, joka pysyy modernin innovaation vauhdissa.
Kun vastustajat ottavat tekoälyä yhä enemmän käyttöön, miten HackerOne aikoo pysyä edellä ja varmistaa, että puolustustyökalut kehittyvät yhtä nopeasti?
Pysymme vastustajiemme edellä toimimalla siellä, missä todelliset hyökkäykset tapahtuvat. Maailmanlaajuinen tutkijayhteisömme testaa jo tekoälypohjaisia tekniikoita oikeissa ympäristöissä, mikä antaa meille varhaisen käsityksen siitä, miten vastustajat todellisuudessa toimivat.
Yhdistämme tämän inhimillisen näkemyksen tekoälypohjaiseen automaatioon skaalataksemme löytämistä, validointia, priorisointia ja korjaavia toimenpiteitä. Yhtä tärkeää on, että testaamme omaa alustaamme jatkuvasti käyttämällä samoja tekoälyn Red Teaming -menetelmiä, joita tarjoamme asiakkaillemme.
Tavoitteena ei ole ennustaa jokaista uutta hyökkäystä – tarkoituksena on rakentaa järjestelmä, joka oppii nopeammin kuin hyökkääjät. Näin puolustustyökalut pysyvät tekoälyn ohjaamassa uhkakuvassa mukana.
Kiitos loistavasta haastattelusta – lukijat, jotka haluavat tietää lisää siitä, miten yritys hyödyntää ihmisten asiantuntemusta ja tekoälypohjaista tietoturvaa auttaakseen organisaatioita tunnistamaan ja hallitsemaan reaalimaailman riskejä ennen kuin niistä tulee liiketoimintaongelma, voivat vierailla osoitteessa HackerOne.
