Connect with us

Haastattelut

Nick Kathmann, CISO/CIO at LogicGate – Haastattelusarja

mm
Published
Updated

Nicholas Kathmann on LogicGaten Chief Information Security Officer (CISO), jossa hän johtaa yrityksen tietoturvaohjelmaa, valvoo alustan tietoturva-innovaatioita ja keskustelee asiakkaiden kanssa kyberturvallisuuden riskien hallinnasta. Yli kaksi vuosikymmentä IT-kokemusta ja 18+ vuotta tietoturva-alalla Kathmann on rakentanut ja johtanut tietoturvaoperaatioita sekä pienissä yrityksissä että Fortune 100 -yrityksissä.

LogicGate on riski- ja compliancelähestymisalusta, joka auttaa organisaatioita automatisoimaan ja skaalaamaan hallinto-, riski- ja compliancelähestymisohjelmiaan (GRC). Sen lippulaivatuotteella Risk Cloud® LogicGate mahdollistaa tiimien tunnistaa, arvioida ja hallita riskiä koko yrityksessä mukautettavilla työnkulkuprosesseilla, reaaliaikaisilla näkymillä ja integraatioilla. Alusta tukee laajaa valikoimaa käyttötapoja, mukaan lukien kolmannen osapuolen riski, kyberturvallisuuden compliancen ja sisäisen auditoinnin hallinta, jotta yritykset voivat rakentaa joustavampia ja kestävämpiä riskistrategioita.

Toimit CISO:n ja CIO:n rooleissa LogicGatessa — miten näet AI:n muuttavan näiden roolien vastuita seuraavien 2–3 vuoden aikana?

AI on jo muuttamassa molempia rooleja, mutta seuraavien 2-3 vuoden aikana odotan, että näemme merkittävän Agentic AI:n nousun, jolla on valta uudelleenmuokata, miten käsittelemme liiketoimintaprosesseja päivittäin. Kaikki, mitä normaalisti menisi IT-asiakaspalveluun — kuten salasanojen nollaaminen, sovellusten asentaminen ja muut — voidaan käsitellä AI-agentilla. Toinen kriittinen käyttötapa on AI-agenttien käyttäminen tylsien auditointiarvioiden käsittelemiseen, jotta CISO:t ja CIO:t voivat priorisoida strategkumpaisempia pyynnöitä.

Miten yritykset tulisi lähestyä AI-käyttöönottoa ylläpitäen vahvaa tietoturva-asennetta, kun otetaan huomioon liittovaltion kyberturma- ja sääntelytrendit?

Vaikka näemme sääntelytrendin Yhdysvalloissa, säännökset ovat todellisuudessa voimistumassa EU:ssa. Jos olet monikansallinen yritys, odota joutuvasi noudattamaan maailmanlaajuisia sääntöjä AI:n vastuullisesta käytöstä. Yhdysvalloissa toimiville yrityksille näen, että on olemassa oppimisjakso AI:n omaksumisessa. Mielestäni on tärkeää, että nämä yritykset muodostavat vahvat AI-hallintopolitiikat ja ylläpitävät jonkinlaista ihmisten valvontaa käyttöönotto-prosessissa, varmistaen, ettei mitään mene pieleen.

Mitä ovat suurimmat sokeat kohdat tällä hetkellä AI:n integroimisessa olemassa oleviin tietoturva-arkkitehtuureihin?

Vaikka voi ajatella useita alueita, suurin sokea kohta liittyy siihen, missä data sijaitsee ja mihin se kulkee. AI:n käyttöönotto vain lisää valvontahaasteita tuossa alueessa. Toimittajat ottavat AI-ominaisuuksia tuotteisiinsa, mutta se data ei aina mene suoraan AI-malliin/toimittajaan. Tämä tekee perinteisistä tietoturva-työkaluista, kuten DLP:stä ja verkkoseurannasta, tehokkaasti sokeat.

Olet sanonut, että useimmat AI-hallintastrategiat ovat “paperitiikereitä”. Mitkä ovat toimivan hallintokehyksen ydinaineksia?

Kun sanon “paperitiikereitä”, viittaan nimenomaan hallintastrategioihin, joissa vain pieni tiimi tuntee prosessit ja standardit, eivätkä ne ole voimassa tai edes ymmärretty koko organisaatiossa. AI on hyvin laaja-alainen, vaikuttaen jokaiseen ryhmään ja tiimiin. “Yksi kokoa sopii kaikille” -strategiat eivät toimi. Vahvan hallintokehyksen ydinainekset vaihtelevat, mutta IAPP, OWASP, NIST ja muut neuvontaelimet ovat kehittäneet hyviä kehyksiä arvioinnin määrittämiseksi. Haasteellisin osa on määrittää, milloin vaatimukset koskevat kunkin käyttötapan.

Miten yritykset voivat välttää AI-mallin siirtymisen ja varmistaa vastuullisen käytön ajan myötä ilman liiallista suunnittelua?

Siirtymä ja heikkeneminen on vain osa teknologian käyttöä, mutta AI voi nopeuttaa prosessia merkittävästi. Mutta jos siirtymä muodostuu liian suureksi, korjaavat toimenpiteet ovat tarpeen. Kattava testausstrategia, joka etsii ja mittailee tarkkuutta, harhaa ja muita varoitusmerkkejä, on välttämätöntä ajan myötä. Jos yritykset haluavat välttää harhaa ja siirtymää, heidän on aloitettava varmistamalla, että heillä on työkalut havaitsemaan ja mittaamaan ne.

Miten muutoslokit, rajoitetut käyttäytymissäännöt ja reaaliaikaiset palautusilmapiirit tulisi osallistua joustavan AI-hallinnan ylläpitämiseen?

Vaikka ne pelaavat roolia tällä hetkellä riskin vähentämiseksi ja vastuun minimoinnille toimittajalle, reaaliaikaiset palautusilmapiirit haittaavat asiakkaiden ja käyttäjien kykyä suorittaa AI-hallintaa, erityisesti jos viestintämekanismin muutokset tapahtuvat liian usein.

Mitä huolenaiheita sinulla on AI-harhan ja syrjinnän suhteen esimerkiksi luottoarviointiin tai luottoluokituksiin, erityisesti “Osta nyt, maksa myöhemmin” (BNPL) -palveluissa?

Viime vuonna puhuin AI/ML-tutkijan kanssa suurella, monikansallisella pankilla, joka oli kokeillut AI/LLM:ää riskimalleissaan. Mallit, vaikka ne oli koulutettu suurilla ja tarkoilla tietojoukoilla, tekivät todella yllättäviä, tuevia päätöksiä luottojen myöntämiseen tai eväämiseen. Esimerkiksi, jos sanat “hyvä luotto” mainittiin chat-transkriptissä tai asiakaspalvelun kanssa käydyssä viestintässä, mallit hylkäsivät lainan oletusarvoisesti — riippumatta siitä, sanoi asiakas sen vai pankin työntekijä.

Miten meidän tulisi auditioida tai arvioida algoritmeja, jotka tekevät korkean panoksen päätöksiä — ja kuka tulisi olla vastuussa?

Tämä liittyy takaisin kattavaan testausmalliin, jossa on välttämätöntä jatkuva testaus ja vertailu algoritmia/malleja mahdollisimman lähellä reaaliaikaa. Tämä voi olla haasteellista, koska mallin tulosteilla voi olla toivottuja tuloksia, joita ihmiset tarvitsevat tunnistamaan poikkeamat. Esimerkiksi pankkitoiminnassa malli, joka hylkää kaikki lainat, on hyvä riskiarvio, koska mikään laina, jonka se myöntää, ei koskaan jää maksamatta. Tuossa tapauksessa organisaation, joka ottaa mallin/algorytmin käyttöön, tulisi olla vastuussa mallin tuloksesta, aivan kuten he olisivat, jos ihmiset tekisivät päätöksen.

Miten yritykset voivat hyödyntää AI:ta vähentämään kyberturvallisuuden riskiä ja neuvotella parempia ehtoja tänään kyber-vakuutusmarkkinoilla?

Tänään paras tapa hyödyntää AI:ta riskin vähentämiseksi ja parempien vakuutusehtojen neuvotteluun on suodattaa melu ja häiriöt pois, jotta voit keskittyä tärkeimpiin riskeihin. Jos vähennät näitä riskejä kattavalla tavalla, kyber-vakuutusmaksusi tulisi laskea. On liian helppo ajautua ylivoimaiseen määrään riskejä. Älä jää jumiin yrittäessäsi käsitellä jokaista yksittäistä ongelmaa, kun keskittyminen kriittisimpiin voi vaikuttaa paljon enemmän.

Mitä ovat muutamia taktisia askelia, joita suosittelisit yrityksille, jotka haluavat ottaa AI:n vastuullisesti käyttöön — mutta eivät tiedä, mihin suuntaan mennä?

Ensinnäkin on tärkeää ymmärtää, mitkä ovat käyttötapsi ja dokumentoida toivottuja tuloksia. Jokainen haluaa ottaa AI:n käyttöön, mutta on tärkeää ajatella ensin tavoitteita ja työskennellä taaksepäin siitä — jotain, minkä uskon monien organisaatioiden kamppailevan tänään. Kun sinulla on hyvä ymmärrys käyttötavoista, voit tutkia eri AI-kehyksiä ja ymmärtää, mitkä sovellettavat ohjaimet ovat tärkeitä käyttötapsi ja käyttöönottoasi varten. Vahva AI-hallinta on myös liiketoiminnan kannalta kriittistä riskien vähentämiseksi ja tehokkuuden vuoksi, koska automaatio on vain yhtä hyvä kuin sen syöttävä data. Organisaatioiden on käytettävä AI:ta vastuullisesti, koska kumppanit ja asiakkaat esittävät vaikeita kysymyksiä AI:n leviämisestä ja käytöstä. Jos et tiedä vastausta, se voi tarkoittaa liiketoiminnan menettämistä, mikä vaikuttaa suoraan tulokseen.

Jos sinun pitäisi ennustaa suurin AI-liittyvä tietoturvariski viiden vuoden kuluttua — mitä se olisi, ja miten voimme valmistautua siihen tänään?

Ennustani on, että kun Agentic AI:ta rakennetaan enemmän liiketoimintaprosesseihin ja sovelluksiin, hyökkääjät osallistuvat petoksiin ja väärinkäyttöön manipuloidakseen näitä agenteja toimittamaan vahingollisia tuloksia. Olemme jo nähneet tämän asiakaspalveluagenttien manipuloinnissa, josta on seurannut laittomia kauppoja ja hyvityksiä. Uhka-aktöörit käyttivät kieli-trikkejä ohittamaan käytäntöjä ja vaikuttamaan agentin päätöksentekoon.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla LogicGaten sivustolla.

Related Topics:
mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.