स्टीव टेट, स्काईहाई सिक्योरिटी में चीफ टेक्नोलॉजी ऑफिसर – साक्षात्कार श्रृंखला

स्टीव टेट, स्काईहाई सिक्योरिटी में चीफ टेक्नोलॉजी ऑफिसर, एक अनुभवी कार्यकारी प्रौद्योगिकी नेता हैं जिनके पास साइबर सुरक्षा, रक्षा, वित्तीय सेवाओं और स्वास्थ्य सेवा क्षेत्रों में 25 वर्षों से अधिक का अनुभव है। उन्होंने अगस्त 2024 में स्काईहाई में शामिल होकर कंपनी के सुरक्षा सेवा एज (एसएसई) प्रौद्योगिकी दृष्टि, वास्तुकला और क्लाउड इन्फ्रास्ट्रक्चर रणनीति का नेतृत्व करने के लिए शामिल हुए।

स्काईहाई सिक्योरिटी एक निजी तौर पर आयोजित, क्लाउड-मूल साइबर सुरक्षा कंपनी है जिसका मुख्यालय सैन जोस, कैलिफोर्निया में है, जो एक व्यापक सुरक्षा सेवा एज (एसएसई) प्लेटफ़ॉर्म प्रदान करती है। प्लेटफ़ॉर्म सीएएसबी, सिक्योर वेब गेटवे, ज़ीरो ट्रस्ट प्राइवेट एक्सेस, सीएनएपीपी, डीएलपी और रिमोट ब्राउज़र आइसोलेशन जैसे समाधानों को एकीकृत करता है ताकि डेटा की सुरक्षा सुनिश्चित की जा सके और वेब, क्लाउड, ईमेल और निजी अनुप्रयोगों में सुरक्षित सहयोग सुनिश्चित किया जा सके। वास्तविक समय डेटा सुरक्षा, खतरा रोकथाम और अनुपालन पर ध्यान केंद्रित करते हुए, स्काईहाई सिक्योरिटी 3,000 से अधिक ग्राहकों को विश्व स्तर पर सेवा प्रदान करती है – जिनमें कई फॉर्च्यून 500 कंपनियां और प्रमुख वित्तीय संस्थान शामिल हैं – एक मॉडर्न हाइब्रिड कार्य वातावरण के लिए डिज़ाइन की गई एक स्केलेबल, डेटा-जागरूक वास्तुकला के माध्यम से।

आपने अपना करियर मोबाइल डेटा में शुरू किया और विभिन्न क्षेत्रों में इंजीनियरिंग और नेतृत्व भूमिकाओं में आगे बढ़े – क्या शुरुआती अनुभव ने आपको साइबर सुरक्षा के लिए जुनूनी बनाया और आपको आज जहां हैं वहां पहुंचाया?

जब मैं बीएई सिस्टम में शामिल हुआ, तो मुझे उन अद्भुत टीमों के काम की जानकारी मिली जो सबसे घातक वायरस और मैलवेयर को डीकंपाइल करती हैं ताकि उन्हें बचाव के लिए सीखा जा सके। साइबर अपराध उद्योग का पैमाना और संगठित पेशेवरता वास्तव में एक आंख खोलने वाला था। उदाहरण के लिए, साइबर हमलों के पीछे कोड को कभी-कभी कई राष्ट्र-राज्य अभिनेताओं और आपराधिक संगठनों के विरासत के रूप में देखा जा सकता है। यह किशोरों के बेडरूम में नहीं है, यह एक गंभीर वैश्विक व्यवसाय है। इसके खिलाफ बचाव करना समाज के लिए एक वास्तविक अच्छा है, और मैं इसका हिस्सा बनना चाहता था।

आपने कहा है कि “डिजिटल परिवर्तन समाप्त हो गया है” और हम अब एआई परिवर्तन के युग में प्रवेश कर रहे हैं – आप कंपनी रणनीति और परिणामों के संदर्भ में एक चरण से दूसरे चरण को कैसे अलग करते हैं?

डिजिटल परिवर्तन व्यवसाय प्रक्रियाओं को अधिक कुशल, प्रभावी और ग्राहक के लिए बेहतर अनुभव प्रदान करने के लिए पुनः इंजीनियर करने के बारे में था। एआई परिवर्तन एक व्यवसायिक दृष्टिकोण से同 एक ही लक्ष्य को प्राप्त करने की मांग करता है। मूलभूत अंतर, हालांकि, यह है कि डिजिटल परिवर्तन प्रक्रिया स्वचालन, डेटा एकत्रीकरण और उन्नत डेटा दृश्यीकरण के माध्यम से इसे प्राप्त करता है, जबकि एआई परिवर्तन मूल सामग्री निर्माण, साथी विश्लेषण और स्वायत्त निर्णय लेने के माध्यम से इसे प्राप्त करता है। डिजिटल परिवर्तन मानव निर्णय लेने की प्रक्रियाओं को अनुकूलित और स्ट्रीमलाइन करने का लक्ष्य रखता था। एआई परिवर्तन उनमें से कई को पूरी तरह से समाप्त करने की क्षमता रखता है!

क्लासिक स्वचालन से जनरेटिव एआई एकीकरण में स्थानांतरण करते समय कंपनियों को संगठनात्मक चुनौतियों का सामना करना पड़ता है – आप सबसे बड़ी चुनौती क्या मानते हैं?

परिवर्तन की आवश्यकता वास्तव में बहुत बड़ी है। व्यवसाय कुछ वर्षों में पूरी तरह से अलग दिख सकता है। अब,尽管 इसके बारे में बहुत शोर है, यह अभी भी अपने शुरुआती दिनों में है। आज सबसे बड़ा संगठनात्मक मुद्दा वास्तव में प्रशिक्षण है। कई कंपनियों ने ’20 मिनट’ का निगमित प्रशिक्षण वीडियो एआई पर रोल आउट किया है, लेकिन यह बस पर्याप्त नहीं है। कर्मचारियों को यह सीखने की आवश्यकता है कि इस प्रौद्योगिकी का लाभ कैसे उठाया जाए, यह जोखिम प्रस्तुत करता है और यह कैसे काम करता है। ताकि सभी स्तरों पर कर्मचारी व्यवसाय को इस प्रौद्योगिकी के साथ परिवर्तित करने में मदद कर सकें।

सिक्योरिटी मैगज़ीन में, आपने प्रॉम्प्ट इंजेक्शन और हॉलुसिनेशन को शीर्ष जोखिमों में से एक के रूप में उजागर किया – आपको सबसे अधिक चिंता कौन सा खतरा है, और स्काईहाई इसे कैसे संबोधित कर रहा है?

अनजाने में डेटा निकासी सबसे बड़ा कॉर्पोरेट खतरा है। स्काईहाई में हमारे द्वारा ट्रैक किए गए डेटा से, हमने पिछले वर्ष में एलएलएम में डेटा अपलोड में 80% की वृद्धि देखी। कई इंटरफ़ेस व्यवसाय सहायकों की तरह काम करते हैं और अधिक और अधिक जानकारी अपलोड करने के लिए प्रोत्साहित करते हैं। किसी फ़ाइल को किसी तीसरे पक्ष के विश्लेषण के लिए एसएफटीपी स्थान पर अपलोड करने के लिए ज़िप करने और किसी व्यक्ति को भेजने के लिए कुछ जानकारी साझा करने से पहले एक कर्मचारी रुक जाता है और सोचता है कि वे क्या कर रहे हैं और कोई संभावित जोखिम है। एआई टूल का उपयोग करके कुछ विश्लेषण करते समय और एआई को त्वरित उत्तर देने के लिए डेटा ब्लॉक को प्रॉम्प्ट में पेस्ट करना कुछ सेकंड का प्रयास है, लेकिन सवाल यह रहता है: डेटा कहाँ गया और इसका उपयोग कैसे किया गया? इसके कारण, स्काईहाई का मुख्य फोकस एआई अनुप्रयोगों के लिए डेटा हानि रोकथाम पर है, विशेष रूप से कोपायलट के लिए।

आपने आंकड़ों का हवाला दिया है कि 94% एआई ऐप्स एलएलएम जोखिम उठाते हैं और 11% फ़ाइलें जो एआई में अपलोड की जाती हैं संवेदनशील हैं – आप व्यवसायों में क्या रुझान देखते हैं जो इन मुद्दों को संबोधित करने के लिए प्रतिक्रिया दे रहे हैं?

व्यवसाय अभी भी “उपयोगकर्ता नीति” और “ब्लॉकिंग” का उपयोग अपनी प्राथमिक तकनीकों के रूप में कर रहे हैं, लेकिन कई व्यवसाय अभी भी एआई की मात्रा से अंधे हैं जो प्रतिदिन उपयोग की जा रही है। हम डिस्कवरी, दृश्यता में वृद्धि और विशेष रूप से प्रमुख कोपायलट अनुप्रयोगों के लिए डेटा हानि रोकथाम तकनीकों के विस्तार में रुचि देखते हैं।

कॉर्पोरेट कोपायलट विशाल मात्रा में प्रोप्राइटरी डेटा तक पहुँच सकते हैं – इन प्रणालियों के माध्यम से अनधिकृत डेटा लीक या दुरुपयोग को रोकने के लिए सबसे प्रभावी रणनीतियाँ क्या हैं?

जैसा कि हमेशा, यह नीति और प्रशिक्षण से शुरू होता है। इसके बाद, डेटा लेबलिंग और डीएलपी तकनीकों का संयोजन महत्वपूर्ण है। माइक्रोसॉफ्ट एआईपी लेबलिंग, उदाहरण के लिए, एमएसएफटी कोपायलट द्वारा संवेदनशील डेटा को अनुक्रमित होने से रोक सकता है। सीएएसबी और डीएलपी टूल्स के साथ संयोजन में, एआईपी लेबल्स को स्वचालित रूप से डेटा वर्गीकरण के आधार पर जोड़ा जा सकता है। डीएलपी डॉक्यूमेंट और प्रॉम्प्ट डेटा पर किया जा सकता है ताकि अनजाने में डेटा अपलोड को रोका जा सके।

आपने जोर देकर कहा है कि नागरिक विकासकर्ता अपने स्वयं के अनुप्रयोगों को बनाने का जोखिम प्रस्तुत करते हैं – कंपनियां नवाचार को बढ़ावा देने और सुरक्षित विकास को सुनिश्चित करने के बीच संतुलन कैसे बना सकती हैं?

यह हमेशा प्रशिक्षण पर वापस आता है। सिर्फ इसलिए कि कोई ‘नागरिक विकासकर्ता’ है, इसका मतलब यह नहीं है कि वे सुरक्षा मूलभूत बातों से छूट सकते हैं जो एक मानक सॉफ्टवेयर इंजीनियर का हिस्सा हो सकती हैं। उन्हें सब कुछ जानने की जरूरत नहीं है जो एक कुशल सॉफ्टवेयर इंजीनियर जानता है, लेकिन मूलभूत概念 जैसे कि विशेषाधिकार प्राप्त पहुँच और क्षैतिज विशेषाधिकार एस्केलेशन महत्वपूर्ण हैं जब कोई अनुप्रयोग बनाया जा रहा हो। व्यक्तिगत रूप से, मैं केवल उपयुक्त प्रशिक्षण पूरा होने के बाद ही ऐसे टूल तक पहुँच की अनुमति दूंगा। फिर यह सुरक्षा टूलिंग को लागू करने के बारे में है ताकि अनजाने में गलतियों को पकड़ा जा सके, जो डीएलपी जैसी तकनीकों पर वापस आता है।

स्काईहाई सिक्योरिटी के सीटीओ के रूप में, आप अगले 12-18 महीनों में कोपायलट, नागरिक डेव, या अनुपालन बुनियादी ढांचे के क्षेत्र में एआई-जोखिम मितIGATION को प्राथमिकता देंगे?

जागरूकता महत्वपूर्ण है और स्काईहाई पहले से ही व्यापक शैडो एआई खोज टूलिंग प्रदान करता है। माइक्रोसॉफ्ट कोपायलट और चैटजीपीटी एंटरप्राइज़ हमारे मुख्य फोकस हैं 2025 में। हमने दोनों पर नियंत्रण पहले ही रोल आउट कर दिए हैं और हम 2025 के शेष भाग में इन्हें और विस्तारित कर रहे हैं। जैसे ही हम 2026 में आगे बढ़ते हैं, हम प्रॉम्प्ट नियंत्रण पर अधिक ध्यान केंद्रित करने जा रहे हैं ताकि दुर्भाग्यपूर्ण प्रॉम्प्ट, जेलब्रेकिंग और अन्य प्रमुख एलएलएम जोखिमों के खिलाफ सुरक्षित किया जा सके।

आपको एक ऐसा ब्रेकथ्रू या बदलाव दिखाई देता है जो एआई-पहले विश्व में उद्यम सुरक्षा के बारे में हमारी सोच को पूरी तरह से बदल सकता है?

एजेंटिक एआई। यह अभी शुरू हो रहा है, लेकिन प्रभाव संभावित रूप से बहुत बड़ा है। जैसे ही अधिक और अधिक एजेंट श्रृंखला में जुड़ते हैं, हमले के वेक्टर श्रृंखला में बढ़ जाते हैं। बहुत सारे साइबर अपराध “स्पॉट” होते हैं क्योंकि मानवों द्वारा कुछ सही नहीं लगता है। इन एजेंटों की श्रृंखला में संकेतों की समझ कैसे की जाए, यह एक वास्तविक चुनौती होगी।

साक्षात्कार के लिए धन्यवाद, पाठक जो अधिक जानना चाहते हैं उन्हें स्काईहाई सिक्योरिटी पर जाना चाहिए।