थॉर्स्टन डेलब्रॉक, जीजेड+डी के समूह सीएसओ – साक्षात्कार श्रृंखला

थॉर्स्टन डेलब्रॉक, जीजेड+डी के समूह सीएसओ, एक अनुभवी साइबर सुरक्षा कार्यकारी हैं जिनके पास दो दशक से अधिक का अनुभव है जिसमें उद्यम इन्फ्रास्ट्रक्चर, डिजिटल पहचान और महत्वपूर्ण प्रणालियों को सुरक्षित करना शामिल है। 2011 में जीजेड+डी (जी+डी) में कॉर्पोरेट मुख्य सूचना सुरक्षा अधिकारी के रूप में शामिल होने के बाद, उन्होंने वित्त, दूरसंचार और सरकारी बुनियादी ढांचे जैसे उच्च नियंत्रित क्षेत्रों में कंपनी की वैश्विक सुरक्षा रणनीति का नेतृत्व किया है। 2020 में, उन्होंने अपनी भूमिका का विस्तार ग्रुप उपाध्यक्ष, सुरक्षा और सीआईएसओ के प्रमुख के रूप में किया। डेलब्रॉक सूचना सुरक्षा मंच (आईएसएफ) के अध्यक्ष के रूप में भी कार्य करते हैं, जो साइबर सुरक्षा और जोखिम प्रबंधन पर एक प्रमुख वैश्विक प्राधिकरण है, और इन्फिनियोन टेक्नोलॉजीज, कॉमलाइन और टीयूवी सिक्योर आईटी में वरिष्ठ सुरक्षा नेतृत्व भूमिकाएं रखी हैं।

जीजेड+डी (जी+डी) म्यूनिख स्थित एक सुरक्षा टेक कंपनी है जो 1852 में स्थापित एक ऐतिहासिक बैंक नोट प्रिंटर से विकसित हुई है और अब डिजिटल सुरक्षा, वित्तीय प्रौद्योगिकी और मुद्रा बुनियादी ढांचे के समाधानों का एक प्रमुख प्रदाता है। कंपनी तीन मुख्य क्षेत्रों में काम करती है: डिजिटल सुरक्षा, वित्तीय मंच और मुद्रा प्रौद्योगिकी, जो मोबाइल कनेक्टिविटी, डिजिटल पहचान, बैंकिंग प्रणाली, भुगतान मंच और दोनों भौतिक और डिजिटल मुद्राओं को सुरक्षित करने वाली प्रौद्योगिकियां प्रदान करती है। जी+डी दुनिया भर में सरकारों, केंद्रीय बैंकों, वित्तीय संस्थानों और उद्यमों के साथ काम करता है, जिसमें ईएसआईएम, प्रमाणीकरण प्रणाली, डिजिटल भुगतान, साइबर सुरक्षा और केंद्रीय बैंक डिजिटल मुद्राओं (सीबीडीसी) के लिए समाधान प्रदान करना शामिल है। कंपनी खुद को डिजिटल अर्थव्यवस्था के लिए एक विश्वसनीय बुनियादी ढांचा प्रदाता के रूप में स्थापित करती है, जिसमें विश्व स्तर पर 14,000 से अधिक कर्मचारी और महत्वपूर्ण प्रणालियों और वित्तीय पारिस्थितिकी तंत्र को सुरक्षित करने में दशकों का अनुभव है।

आप साइबर सुरक्षा नेतृत्व भूमिकाओं में लगभग तीन दशक बिता चुके हैं, जिसमें टीयूवी सिक्योर आईटी, इन्फिनियोन और अब जीजेड+डी में 15 से अधिक वर्ष शामिल हैं। पारंपरिक उद्यम सुरक्षा जोखिमों से आज की एआई-संचालित साइबर चुनौतियों तक खतरे का परिदृश्य कैसे विकसित हुआ है, और उद्योग की वर्तमान दिशा के बारे में आपको क्या चिंता है?

मुझे लगता है कि मेरे करियर के दौरान मुख्य परिवर्तन गति और प्रभाव है। जब मैंने 1990 के दशक के अंत में सुरक्षा प्रबंधन शुरू किया, तो एक गंभीर सुरक्षा समस्या का अर्थ एक गलत तरीके से कॉन्फ़िगर किया गया फ़ायरवॉल या एक अनपैच्ड सर्वर था, जिसका विस्फोटक क्षेत्र आमतौर पर काफी सीमित था। पिछले तीन दशकों में, मैंने देखा है कि एक एकल उल्लंघन के परिणामस्वरूप संचालन असुविधा से लेकर प्रणालीगत जोखिम तक बढ़ गया है।

और सब कुछ तेज है। हम अधिक प्रणालियों और उच्च बैंडविड्थ के साथ काम कर रहे हैं। आज, इंटरनेट ट्रैफिक का लगभग आधा हिस्सा मानव द्वारा उत्पन्न नहीं होता है – और कुछ अनुमानों के अनुसार, कुल ट्रैफिक का लगभग 40% दुर्भाग्यपूर्ण स्कैन, मैलवेयर और डीडीओएस जैसी दुर्भाग्यपूर्ण गतिविधि से बना है।

एक ही समय में, परिदृश्य बहुत अधिक समेकित और केंद्रीकृत हो गया है। इंटरनेट के मूल डिजाइन दर्शन को लचीलापन और विकेंद्रीकरण खो दिया गया है। इसके परिणामस्वरूप, कुछ केंद्रीय विफलता बिंदुओं पर हमले अब पहले की तुलना में कहीं अधिक विनाशकारी परिणाम हैं। यह आधुनिक आईटी प्रणालियों की स्थापना और संचालन में लगभग कोई त्रुटि के लिए जगह नहीं छोड़ता है। और अब एआई हमलावरों की समयसीमा को और भी तेज कर रहा है।

डारियो अमोडेई की हालिया टिप्पणियों ने उन्नत एआई प्रणालियों को बड़े पैमाने पर सॉफ्टवेयर कमजोरियों की पहचान करने के आसपास के डर को फिर से जगा दिया है। क्या आप मानते हैं कि उद्यम एआई-सहायता प्राप्त विकास की गति को कम आंक रहे हैं जो मौजूदा सुरक्षा प्रक्रियाओं को अभिभूत कर सकता है?

हाँ, मुझे लगता है कि कई उद्यम इस बदलाव की गति को कम आंक रहे हैं। पहले ऐसा लगता था कि एआई दोनों पक्षों – हमलावरों और रक्षकों – को लगभग समान रूप से लाभान्वित करेगा। लेकिन एक चिंताजनक वास्तविकता उभर रही है: एआई ने पूरी तरह से नए साइबर अपराध श्रेणियों का आविष्कार नहीं किया है; इसके बजाय, यह जटिल हमले क्षमताओं को लोकतांत्रिक बना दिया है, जिससे खतरा करने वाले अभिनेता जासूसी, फ़िशिंग में भाषा बाधाओं को समाप्त कर सकते हैं और सॉफ़्टवेयर कमजोरियों की पहचान एक गति और पैमाने पर कर सकते हैं जिसे मानव रक्षकों को अवशोषित करने में संघर्ष होता है।

समस्या यह है कि जबकि एआई ने कमजोरियों की पहचान में एक बड़ा उछाल लाया है, यह अभी तक उसी सीमा तक दूर करने की प्रक्रिया में तैनात नहीं किया गया है। यह एक खतरनाक असंतुलन पैदा करता है। एआई-सहायता प्राप्त कमजोरियों की पहचान रक्षकों को संभालने से ज्यादा काम पैदा कर रही है। यह कुछ वर्षों में बेहतर हो सकता है जब एआई दूर करने के लिए पकड़ में आ जाए, लेकिन अभी यह एक बढ़ती समस्या है।

इसके अलावा, यह बिना लाग-लपेट के नहीं है कि वे कंपनियां जो अपने नवीनतम मॉडलों को साइबर खतरों से बचाव के रूप में पेश कर रही हैं, वे एक ही समय में समस्या का एक हिस्सा को ईंधन दे रही हैं। एआई-सहायता प्राप्त कोडिंग टूल सॉफ़्टवेयर उत्पादन को तेज करते हैं, लेकिन वे अक्सर असुरक्षित, कमजोर कोड का उत्पादन करते हैं – जो हमले की सतह को बढ़ाता है जिसे उनके सुरक्षा उत्पादों का वादा किया जाता है। आर्थिक दृष्टिकोण से, यह शानदार है। सुरक्षा के दृष्टिकोण से, नहीं इतना।

जीजेड+डी में, हम एक संरचित तरीके से एआई के उपयोग का मूल्यांकन करते हैं और उन्हें नियंत्रित तरीके से नहीं बढ़ाते हैं। समस्या एआई के स्वयं में नहीं है – यह इसके तैनाती में शासन की कमी है। यह जीजेड+डी द्वारा आंतरिक रूप से लागू किए गए सिद्धांत के साथ संरेखित है: एआई को न केवल नवाचार की आवश्यकता है, बल्कि संस्थागत मूल्यांकन और अनुमोदन प्रक्रियाओं की भी आवश्यकता है।

कई संगठन एआई को मुख्य रूप से एक रक्षात्मक साइबर सुरक्षा उपकरण के रूप में देखते हैं। आपके दृष्टिकोण से, एआई वर्तमान में उद्यम वातावरण के भीतर सुरक्षा की तुलना में अधिक जोखिम पैदा कर रहा है?

अधिकांश साइबर सुरक्षा टीमें पहले से ही विभिन्न डिग्री पर सुरक्षा घटनाओं का पता लगाने, वर्गीकरण करने, मूल्यांकन करने और त्रुटि के लिए एआई को तैनात करती हैं – और यह आश्चर्यजनक रूप से अच्छा काम करता है।

हालांकि, पूरी तरह से नए जोखिम सामने आ रहे हैं। एआई वास्तुकला में मूल रूप से कमजोरियां व्यापक रूप से चर्चा की जा चुकी हैं और ज्यादातर समझी जा चुकी हैं। हम अब स्थिर कोड को सुरक्षित नहीं कर रहे हैं; हम गैर-निर्धारक प्रणालियों को सुरक्षित कर रहे हैं। यह पूरी तरह से नए खतरे के वेक्टर पेश करता है, जैसे कि प्रॉम्प्ट इंजेक्शन (जहां दुर्भाग्यपूर्ण डेटा एक एलएलएम को अपने गार्डरेल की उपेक्षा करने के लिए बेवकूफ बनाता है), डेटा जहर देने से मॉडल के तर्क को प्रशिक्षण के दौरान भ्रष्ट करने के लिए, और डेटा रिसाव, जहां मॉडल आउटपुट के माध्यम से उद्यम के स्वामित्व वाले डेटा का अनजाने में खुलासा किया जाता है। यह एक शोषण की परिभाषा को मौलिक रूप से बदलता है।

लेकिन हमारी पारंपरिक, अच्छी तरह से अभ्यास की गई रक्षा को भी अनुकूलन करने की आवश्यकता है। कई संगठनों के लिए, यूजर और एंटिटी बिहेवियर एनालिटिक्स (यूबीईए) अभी भी एक अपेक्षाकृत नई अवधारणा है। वास्तव में, कई कंपनियों ने इस दृष्टिकोण को पूरी तरह से अपनाया नहीं है क्योंकि सख्त डेटा गोपनीयता विनियमन, सख्त श्रम कानूनों और श्रमिक परिषद सह-निर्णय अधिकारों के कारण। अब, आधार रेखा बदल गई है और यह अनिश्चित है कि यूबीईए भविष्य में कितनी प्रभावी रहेगी जहां एआई मानव व्यवहार को सीखने और नकल करने में सक्षम है।

आगे बढ़ने पर, क्या यूबीईए मानव व्यवहार और स्वचालित हमलों के बीच अंतर करने में सक्षम होगी, या एक हानिरहित एआई एजेंट और एक दुर्भाग्यपूर्ण एक के बीच बताने में सक्षम होगी? ऐसे उत्पाद हैं जो वादा करते हैं कि वे ऐसा कर सकते हैं, लेकिन आमतौर पर यह वास्तविक, काम करने वाले वास्तविक प्रदर्शन से विपणन वादों तक पहुंचने में कुछ समय लगता है। हमें उसे संबोधित करने के लिए नए अवधारणाओं की आवश्यकता होगी।

जैसा कि आप सूचना सुरक्षा मंच के अध्यक्ष के रूप में करते हैं, आप वैश्विक उद्यमों में सुरक्षा नेताओं के साथ जुड़ते हैं। क्या सीआईएसओ एआई-जनित कोड गुणवत्ता के बारे में अधिक चिंतित हो रहे हैं, या बड़ा मुद्दा सुरक्षित बड़े कोडबेस के परिचालन बोझ है?

दोनों मुद्दे वास्तविक हैं, लेकिन वे अलग तरह से उतरते हैं। एआई-जनित कोड गुणवत्ता एक वास्तविक चिंता है। एआई द्वारा उत्पादित कोड अक्सर साफ दिखता है लेकिन इसमें सूक्ष्म तर्क दोष, असुरक्षित डिफ़ॉल्ट या पुस्तकालयों का दुरुपयोग हो सकता है जो क्योंकि वे यथार्थवादी दिखते हैं उन्हें पकड़ना मुश्किल है। सीआईएसओ इस बारे में सही ढंग से चिंतित हैं।

लेकिन आईएसएफ सदस्य संगठनों में सुरक्षा विशेषज्ञों के साथ मेरी बातचीत में, जोरदार चेतावनी परिचालन है: यह कोड की मात्रा है जो कमजोरियों को ले जा सकती है और इसलिए जांच की आवश्यकता है।

मैं अपने सहकर्मियों से लगातार सुनता हूं कि निर्भरता समस्या अब एक परिभाषित बोझ बन गई है। बाहरी घटकों और तृतीय-पक्ष पुस्तकालयों पर भारी निर्भरता का अर्थ है कि प्रत्येक निर्भरता को सावधानीपूर्वक ट्रैक, प्रबंधित और निरंतर रूप से पैच किया जाना चाहिए। कोड में लेकिन साथ ही टूल चेन में, संभवतः विभिन्न क्लाउड वातावरण में। यह पहले से ही एक महत्वपूर्ण चुनौती थी। एआई-सहायता प्राप्त विकास अब इसे बढ़ा रहा है। न कि因为 समस्या का स्वभाव बदल गया है, बल्कि इसलिए कि पैमाना विस्फोट हो गया है। अधिक कोड, तेजी से उत्पादित, अधिक निर्भरताओं के साथ, अधिक भंडार में।

इसलिए यदि मुझे प्राथमिकता देनी होगी: कोड गुणवत्ता एक हल करने योग्य इंजीनियरिंग समस्या है – बेहतर टूलिंग, सख्त समीक्षा, विकास पाइपलाइन में सख्त गार्डरेल। सुरक्षित रूप से बढ़ते कोडबेस और इसके फैलते निर्भरता श्रृंखला का परिचालन बोझ अधिक संरचनात्मक, अधिक लगातार चुनौती है। यही वह जगह है जहां वास्तविक दबाव है, और यही वह है जो वरिष्ठ सीआईएसओ चर्चाओं में बार-बार आता है।

जीजेड+डी डिजिटल पहचान, भुगतान बुनियादी ढांचे, ईएसआईएम प्रौद्योगिकी और केंद्रीय बैंक डिजिटल मुद्राओं जैसे उच्च संवेदनशील क्षेत्रों में काम करता है। एआई युग में महत्वपूर्ण बुनियादी ढांचे की सुरक्षा पारंपरिक उद्यम प्रणालियों की सुरक्षा से कैसे भिन्न है?

जीजेड+डी में, हम उन्हीं मूलभूत जिम्मेदारियों का सामना करते हैं जो किसी भी संगठन को सुरक्षा के प्रति गंभीर होने की आवश्यकता होती है। हालांकि, हमारे मानक असाधारण रूप से उच्च हैं, और त्रुटि के लिए बहुत कम जगह है। हमें यह जानने के लिए जागरूक किया जाता है कि हमारे बुनियादी ढांचे में एक सुरक्षा घटना का एक सामान्य उद्यम में से एक की तुलना में बहुत व्यापक परिणाम हो सकता है – जो कि हमारे साइबर सुरक्षा जोखिम के प्रति हमारी भूख को असाधारण रूप से कम बनाता है।

जहां एआई हमारे लिए जटिलता जोड़ता है वह हमारे परिचालन वास्तुकला में है। हमारे कई उच्च-सुरक्षा घटक, विशेष रूप से वे जो भुगतान प्रणाली, डिजिटल पहचान या केंद्रीय बैंकों के लिए उत्पादों से जुड़े हुए हैं, उच्च मूल्य संपत्ति हैं और सख्त प्रमाणीकरण और सुरक्षा आवश्यकताओं के अधीन हैं। इन घटकों को विकसित, परीक्षण और संचालित किया जाना चाहिए अलग-अलग वातावरण में, जो कि शुद्ध रूप से तार्किक पृथक्करण से लेकर पूरी तरह से वायु-अवरुद्ध नेटवर्क तक होता है जिसमें कोई बाहरी कनेक्टिविटी नहीं होती है।

यह पहले से ही एआई से पहले मांग वाला था, लेकिन अब संगठन हर जगह अपने विकास और परिचालन कार्य प्रवाह में एआई-सहायता प्राप्त उपकरणों को एकीकृत कर रहे हैं। जो उपकरण आमतौर पर क्लाउड कनेक्टिविटी, बड़े पैमाने पर डेटा एक्सेस और निरंतर मॉडल अपडेट पर निर्भर करते हैं। ऐसे वातावरण के साथ इसका सामंजस्य करना जहां एक नेटवर्क केबल को गलत पोर्ट में प्लग करना एक गंभीर नीति उल्लंघन होगा, एक बहुत ही वास्तविक इंजीनियरिंग और शासन चुनौती है।

यह हमें अपने एआई एकीकरण के बारे में बहुत जानबूझकर होने के लिए मजबूर करता है। हम केवल सही एआई मॉडल का चयन नहीं कर रहे हैं, हम बुनियादी ढांचे के स्तर पर रणनीतिक निर्णय ले रहे हैं कि क्या इन उपकरणों को स्थानीय रूप से तैनात किया जाना चाहिए या क्लाउड के माध्यम से उपयोग किया जाना चाहिए।

क्या आप उम्मीद करते हैं कि उद्यमों को अंततः एआई-जनित कोड को तैनाती से पहले अलग मान्यता और प्रमाणीकरण प्रक्रियाओं से गुजरने की आवश्यकता होगी?

मुझे नहीं लगता कि निर्णायक मानदंड यह होना चाहिए कि कोड मानव या एआई द्वारा लिखा गया था या नहीं। निर्णायक मानदंड जोखिम है। लेकिन एआई-जनित कोड को निश्चित रूप से प्रोवेनेंस, ट्रेसबिलिटी और सख्त समीक्षा की आवश्यकता होगी, विशेष रूप से नियंत्रित या उच्च सुरक्षा वाले वातावरण में।

खतरे की मॉडलिंग, सुरक्षित कोडिंग नीतियां और विकास टूलचेन में एसएएसटी टूल्स को शामिल करना आज पहले से ही मानक अभ्यास है, और टूल्स स्वाभाविक रूप से एआई-संवर्धित हो रहे हैं। इसके अलावा, विकास टीमों को सावधानीपूर्वक यह ट्रैक करना चाहिए कि कौन से कार्य सुरक्षा महत्वपूर्ण या नियंत्रित, उच्च संवेदनशील घटकों से संबंधित हैं। उसके अलावा, अंतर्निहित निर्भरताओं को彻底 रूप से समझा जाना चाहिए और निरंतर परीक्षण किया जाना चाहिए।

अर्थशास्त्र अंततः एक महत्वपूर्ण भूमिका निभाएगा। अभी तक, प्रमुख एआई प्रदाताओं से टोकन मूल्य निर्धारण लागत को कवर नहीं करता है। प्रमुख एआई प्रदाता बाजार हिस्सेदारी सुरक्षित करने के लिए आश्चर्यजनक बुनियादी ढांचे और अनुमान के घाटे को अवशोषित कर रहे हैं। एक सब्सिडी वाला मॉडल जो दीर्घकालिक रूप से आर्थिक रूप से अस्थिर है। जब कॉर्पोरेट कार्य प्रवाह में एआई की तैनाती की वास्तविक बुनियादी ढांचे की लागत को समायोजित किया जाएगा, तो हमें एक समस्या होगी। उस बिंदु पर, उद्योग को छोटे, स्थानीय और विशिष्ट मॉडलों की ओर स्थानांतरित करने की आवश्यकता होगी। लक्षित उपयोग के मामलों के लिए इन छोटे मॉडलों को प्रशिक्षित करना एक महत्वपूर्ण रणनीति होगी ताकि गंभीर लागत वृद्धि को कम किया जा सके।

और सबसे सुरक्षित श्रेणियों के लिए, मानव पर्यवेक्षण अनिवार्य रहेगा और यही वह चुनौती है: सीमित मानव क्षमता का उपयोग कुशलता से करना।

एआई सिस्टम अब मानव विश्लेषकों की तुलना में बहुत तेजी से कमजोरियों की पहचान कर सकते हैं, लेकिन दूर करना अभी भी मानव कार्य प्रवाह पर निर्भर करता है। क्या उद्यमों को अब पैच प्रबंधन को स्वचालित करने की आवश्यकता है?

हाँ, स्वचालित पैच प्रबंधन अब एक विलासिता नहीं है – यह एक परिचालन आवश्यकता है। आज कमजोरियों की मात्रा मानव त्रुटि क्षमता से अधिक है।

हालांकि, मुझे लगता है कि वास्तविक तैनाती को एक स्तरित, व्यावहारिक दृष्टिकोण का पालन करने की आवश्यकता है। मानक, गैर-महत्वपूर्ण वातावरण के लिए, पूर्ण स्वचालन पूरी तरह से प्राप्त करने योग्य होना चाहिए, बशर्ते सही गार्डरेल जगह में हों। महत्वपूर्ण, उच्च प्रभाव वाली प्रणालियों में पूरी तरह से स्वचालित दूर करना, जबकि निश्चित रूप से आवश्यक, शायद आने वाले भविष्य में कठिन होगा।

यही वह जगह है जहां मूल बातें वास्तव में महत्वपूर्ण हैं। उन दोनों श्रेणियों के बीच अंतर सीधा लगता है, लेकिन व्यवहार में यह एक बड़ी मात्रा में सटीक, विस्तृत और सतत घर के काम की मांग करता है ताकि जटिल वातावरण को विभिन्न दृष्टिकोणों के साथ साफ और स्वचालित तरीके से संचालित किया जा सके। यह काम करने के लिए आसान है।

वास्तविक चुनौती जैसा कि अक्सर होता है, प्रक्रिया के यांत्रिक निष्पादन में नहीं है – यह पूरे सिस्टम में है। बुद्धिमान निर्णय लेना केवल तभी संभव है जब पूरा सिस्टम इसका समर्थन करता है। पैच प्रबंधन को काफी अधिक चतुर और तेज होने की आवश्यकता है – केवल अधिक स्वचालित नहीं।

और, जैसा कि हमेशा, संवेदनशील संदर्भों में, नियंत्रित स्थिरता और उच्च वेग एक साथ जाने चाहिए। यह तनाव है जो कठिन हिस्सा है – और यह वह हिस्सा है जिसके लिए अधिकांश संगठन अभी तक तैयार नहीं हैं।

दुनिया भर की सरकारें डिजिटल पहचान प्रणाली, सीबीडीसी और जुड़े हुए बुनियादी ढांचे को लागू करने की दौड़ में हैं। क्या आप चिंतित हैं कि एआई-संचालित साइबर खतरे नियामक और राष्ट्रीय सुरक्षा तैयारी को पार कर सकते हैं?

नियामक ढांचे जैसे एनआईएस 2 और साइबर रेजिलिएंस एक्ट चीजों को सही दिशा में धकेल रहे हैं, लेकिन नियामक केवल पूरे प्रणाली के लिए मायने रखता है, हम यह मान नहीं सकते कि एक नियम जारी करने से समस्या तुरंत हल हो जाती है। कंपनियों को अभी भी दिशानिर्देशों को लागू करने की आवश्यकता है, अपनी प्रणालियों को स्थायी रूप से सुरक्षित रखें, और अपने खतरे के परिदृश्य और सुरक्षा लक्ष्यों की ठोस समझ बनाए रखें, उन्हें निरंतर रूप से परिष्कृत करें और उन्हें संरेखित रखें।

मैं सावधानी से आशावादी हूं, बशर्ते संगठन नियामक अनुपालन को वास्तविक सुरक्षा के प्रतिस्थापन के रूप में नहीं मानते हैं। और आधुनिक सुरक्षा प्रबंधन नियामक की प्रतीक्षा नहीं करता है। यदि कुछ भी हो, तो यह इसके विपरीत होना चाहिए: वास्तविक दुनिया का सर्वोत्तम अभ्यास नियामक में प्रवाहित होना चाहिए, इसके विपरीत नहीं।

उच्च सुरक्षा डोमेन जैसे डिजिटल पहचान और भुगतान बुनियादी ढांचे में परिचालन तैयारी दी जाने वाली नहीं है। जीजेड+डी न केवल एक आपूर्तिकर्ता है, बल्कि दुनिया भर के केंद्रीय बैंकों और सरकारों के लिए एक संवाद भागीदार भी है। जीजेड+डी सिक्यूनेट के माध्यम से महत्वपूर्ण डिजिटल बुनियादी ढांचे की सुरक्षा में भी सक्रिय रूप से शामिल है – जो जर्मन संघीय गणराज्य के लिए आईटी सुरक्षा भागीदार है।

कुछ विशेषज्ञ उन्नत एआई मॉडल को “साइबर हथियार” के रूप में वर्णित करते हैं, जबकि अन्य तर्क देते हैं कि यह फ्रेमिंग अतिरंजित है। आपके दृष्टिकोण से, लोग एआई प्रणालियों द्वारा प्रस्तुत वास्तविक दुनिया के जोखिमों के बारे में क्या गलत समझते हैं?

लोग जो गलत समझते हैं वह यह मान लेना है कि साइबर संघर्ष भौतिक युद्ध के तर्क का पालन करते हैं। कि एक पर्याप्त रूप से शक्तिशाली हथियार अंततः किसी भी रक्षा को भंग कर देगा। साइबर हथियारों के “फ्रेमिंग” का अधिकांश हिस्सा उसी जड़ता वाले दृष्टिकोण से उधार लिया गया है: बड़ा तोपखाना मोटी दीवार को हराता है, स्मार्ट मिसाइल तेजी से विमान को हराती है। लेकिन साइबर ऐसा नहीं है।

एक सफल साइबर हमला लगभग कभी भी बल के माध्यम से सफल नहीं होता है। यह एक अंतराल का फायदा उठाकर सफल होता है: एक गलत कॉन्फ़िगरेशन, एक अनपैच्ड कमजोरी, एक मानव त्रुटि, एक कमजोर कड़ी în श्रृंखला में। एआई इस मूलभूत गतिविधि को नहीं बदलता है। यह उन अंतरालों की खोज को तेज और सस्ता बनाता है, और उनका फायदा उठाने के लिए कौशल के स्तर को कम करता है। यह एक गंभीर समस्या है, लेकिन यह एक अलग समस्या है।

वास्तविक जोखिम यह नहीं है कि एआई एक ऐसा आक्रामक क्षमता बनाता है जो किसी भी रक्षा को रोक नहीं सकता है। वास्तविक जोखिम यह है कि एआई दशकों से हमारे साथ संघर्ष करने वाली सामान्य कमजोरियों का शोषण तेजी से और पैमाने पर करता है – जो हमारी उन्हें बंद करने की क्षमता से अधिक है।

एआई को साइबर हथियार के रूप में फ्रेमिंग करना इससे विचलित करता है। यह एक हथियार दौड़ मानसिकता को प्रोत्साहित करता है जब वास्तव में जो आवश्यक है वह बेहतर परिचालन स्वच्छता, तेजी से दूर करने और अधिक लचीली वास्तुकला है। खतरा एक नए सुपर-हथियार नहीं है। यह पुराने अंतराल हैं, नए गति पर शोषित। तो हाँ, एआई को साइबर हथियार के रूप में फ्रेमिंग करना एक महत्वपूर्ण अतिशयोक्ति है।

आगे देखते हुए, क्या आप मानते हैं कि एआई से सबसे बड़ा साइबर सुरक्षा खतरा जटिल राष्ट्र-राज्य हमलों, स्वचालित शोषण के पैमाने पर, अंदरूनी दुरुपयोग, आपूर्ति श्रृंखला कमजोरियों से आएगा, या कुछ ऐसा जिस पर उद्योग अभी तक पर्याप्त ध्यान नहीं दे रहा है?

सुरक्षा के भविष्य की भविष्यवाणी करना हमेशा विशेष रूप से कठिन होता है। राष्ट्र-राज्य हमले, स्वचालित शोषण, अंदरूनी दुरुपयोग, आपूर्ति श्रृंखला समझौता – सभी वास्तविक और बढ़ते खतरे हैं, और मैं उनमें से किसी को भी खारिज नहीं करूंगा। लेकिन मैं तर्क दूंगा कि वे सभी परिणाम हैं, न कि मूल कारण। वे तब सफल होते हैं जब रक्षक अब और नहीं रख सकते हैं, चाहे कारण कुछ भी हो।

और वह अंतिम पहलू है जहां मैं शीर्ष जोखिम को देखता हूं, दो से तीन साल दूर: सुरक्षा टीमों को कार्यभार से अभिभूत किया जा रहा है।

वर्तमान और उभरते विषय – नियामक, संप्रभुता, जटिल क्लाउड बुनियादी ढांचे और इसके साथ आने वाली सभी चीजें – पहले से ही पतले फैले हुए टीमों पर उतरते हैं जो पहले से ही अलर्ट त्रुटि, घटना प्रतिक्रिया, फ़िशिंग विश्लेषण, कमजोरियों और पैच प्रबंधन, प्रलेखन, लेखा परीक्षा और रिपोर्टिंग से दबे हुए हैं। एआई द्वारा जोड़ा गया कार्यभार वह हो सकता है जो ऊंट की पीठ तोड़ देता है। सिवाय इसके कि यह बहुत अधिक है कि यह केवल एक तिनका है।

और वर्तमान वैश्विक आर्थिक स्थिति को देखते हुए, यह सब संगठनों को वास्तविक लागत दबाव के तहत मार रहा है, पूरे बोर्ड में। यदि यह बहुत अच्छी तरह से प्रबंधित नहीं किया जाता है, तो यह अंततः बहुत अधिक हो जाएगा।

धन्यवाद महान साक्षात्कार के लिए, पाठक जो अधिक जानना चाहते हैं उन्हें जीजेड+डी पर जाना चाहिए।