Connect with us

Wawancara

Jack Cherkas, Global CISO di Syntax – Seri Wawancara

mm
Published

Jack Cherkas, Global CISO di Syntax, adalah eksekutif keamanan siber dengan pengalaman mendalam di bidang keamanan cloud, ketahanan siber, arsitektur perusahaan, dan keamanan AI. Ia telah memegang posisi senior di Syntax, PwC UK, Kyndryl, dan IBM, di mana ia membantu membangun dan menskala operasi keamanan, mengelola upaya respons insiden besar, dan mengembangkan strategi ketahanan siber untuk lingkungan perusahaan besar. Di Syntax, ia memimpin keamanan siber global di seluruh perusahaan, termasuk orang, sistem, pusat data, layanan cloud yang dikelola, dan penawaran keamanan yang menghadap pelanggan, dengan mengawasi tim lebih dari 65 profesional keamanan di delapan negara.

Syntax adalah penyedia layanan TI global dan penyedia layanan cloud yang dikelola yang mengkhususkan diri dalam aplikasi perusahaan yang sangat penting, terutama lingkungan SAP dan Oracle. Perusahaan ini mendukung organisasi dengan migrasi cloud, hosting yang dikelola, keamanan siber, manajemen aplikasi perusahaan, dan operasi yang ditenagai AI di seluruh infrastruktur hybrid dan multi-cloud. Fokus kerjanya adalah membantu perusahaan memodernisasi, mengamankan, dan mengoperasikan sistem bisnis yang kompleks dengan skala besar.

Anda telah memimpin inisiatif keamanan siber di IBM, Kyndryl, PwC, dan sekarang Syntax. Sepanjang perjalanan itu, bagaimana perspektif Anda tentang mengamankan teknologi yang muncul seperti AI berkembang, terutama karena organisasi berpindah dari eksperimen ke produksi?

Karir saya telah melacak serangkaian gangguan, masing-masing menuntut keamanan untuk mengejar permukaan kontrol yang baru. Di IBM pada awal hari cloud, pertanyaannya adalah apakah kita bisa mempercayai infrastruktur orang lain untuk menjalankan beban kerja yang sangat penting. Jawabannya adalah model tanggung jawab bersama dan generasi kontrol cloud-native.

Kemudian datang era ransomware. NotPetya pada tahun 2017 melumpuhkan perusahaan dalam hitungan jam, dan industri belajar bahwa malware yang dapat menyebar dapat menghancurkan rantai pasokan global dalam semalam. Responnya adalah mempersiapkan diri untuk saat (bukan jika) serangan siber akan terjadi, segmentasi jaringan, backup yang tidak dapat diubah, dan dorongan serius pada identitas.

Di seluruh waktu saya di Kyndryl dan PwC, SaaS berpindah dari pinggiran ke pusat setiap estate. Beban kerja pindah dari pusat data ke tumpukan orang lain, identitas menjadi perimeter, dan Zero Trust berhenti menjadi diagram dan mulai menjadi model operasional.

Sekarang di Syntax, kita berada dalam gelombang GenAI, di mana sistem itu sendiri bernalar, menghasilkan, dan bertindak. Setiap gelombang memberi kita permukaan kontrol yang baru, tidak cukup peringatan, dan jendela yang lebih singkat antara eksperimen dan produksi. Cloud membutuhkan waktu bertahun-tahun. SaaS membutuhkan waktu beberapa bulan. GenAI membutuhkan waktu beberapa minggu. CISO yang terus memperbarui adalah mereka yang berhenti mengobati setiap gelombang sebagai pengecualian dan mulai mengobati adopsi yang cepat sebagai keadaan yang stabil.

Bagaimana Anda menilai risiko bahwa kepercayaan, bukan hanya kepatuhan, dikompromikan ketika organisasi mempercepat adopsi AI? Apa yang menjadi indikator awal bahwa hal ini mulai terjadi?

Kepercayaan adalah fondasi dari setiap adopsi AI yang baik. Indikator awal tidak ada di laporan audit, mereka ada di sinyal operasional. Penerapan AI yang tidak tercatat yang tidak dimiliki oleh siapa pun. Pengadaan yang menyetujui vendor GenAI tanpa tinjauan keamanan. Garis keturunan data yang rusak saat Anda bertanya dari mana data pelatihan berasal. Agen AI yang diberi izin admin karena tidak ada yang ingin memperlambat proyek. Ketika Anda melihat empat sinyal tersebut dalam satu organisasi, kepercayaan sudah mulai habis lebih cepat daripada yang diperoleh. Kepemimpinan biasanya yang terakhir mengetahuinya.

Banyak perusahaan yang mengadopsi AI lebih cepat daripada yang mereka bisa amankan. Apa yang menjadi risiko nyata yang paling umum yang Anda lihat hari ini ketika tata kelola tertinggal di belakang inovasi?

Ketika tata kelola tertinggal, tiga hal terjadi, dan tidak ada yang muncul sebagai insiden keamanan sampai kemudian. Pertama, paparan regulasi berkompilasi dengan sunyi: penerapan AI yang melanggar persyaratan transparansi EU AI Act tidak memicu alarm; itu muncul dalam audit dua tahun kemudian sebagai denda. Kedua, kepercayaan pelanggan melemah dalam transaksi yang tidak pernah Anda lihat: calon pelanggan memilih pesaing yang dapat membuktikan tata kelola, dan tim penjualan Anda tidak pernah mengetahui mengapa. Ketiga, kualitas keputusan memburuk: organisasi membuat keputusan yang lebih dipengaruhi AI tetapi tidak dapat menjelaskannya atau memeriksanya, dan keputusan yang buruk menumpuk di tempat yang tidak ada yang melihatnya. Biaya tata kelola AI yang lemah adalah erosi lambat audit, penjualan, dan kualitas keputusan, yang berakhir dengan pelanggaran yang merusak reputasi.

Dari pengalaman Anda membangun dan menskala layanan keamanan yang dikelola dan operasi SOC, bagaimana organisasi harus memikirkan kembali model keamanan mereka untuk menangani sistem yang digerakkan AI dan pengambilan keputusan otonom?

AI adalah vektor serangan baru, pengganda ancaman, dan potongan puzzle pertahanan yang kritis, dan model keamanan harus beradaptasi untuk menutupi ketiganya pada saat yang sama.

Sebagai vektor serangan, platform GenAI itu sendiri menjadi target untuk dibela. Sebagai pengganda ancaman, penyerang menggunakan GenAI untuk membuat phishing dengan skala besar, menghasilkan kode eksploit, mengotomatisasi pengintaian, dan menemukan kerentanan dengan kecepatan mesin. Sebagai potongan puzzle pertahanan, teknologi yang sama yang diputar ke arah lain adalah jawaban yang realistis: triase yang digerakkan AI, pemburuan ancaman yang otomatis, dan pengayaan analis tidak lagi opsional; mereka adalah cara SOC untuk mempertahankan kecepatan dengan musuh yang diperkuat AI. Jika mereka diperkuat AI dan kita tidak, celahnya berkompilasi dengan setiap siklus.

Hal itu juga menciptakan jenis aktor baru yang harus diatur oleh model. Di Syntax, kita sudah memikirkan agen AI sebagai bergabung dengan bagan organisasi, di samping manusia, yang menetapkan batang untuk bagaimana kita mengamankannya. Agen AI memerlukan semua yang kita berikan kepada pengguna manusia (identitas, izin berbasis peran, log aktivitas, baseline perilaku) plus tuas penahanan yang sama yang kita gunakan pada akun yang dikompromikan: kemampuan untuk menonaktifkan, mengisolasi, dan mencabut. Perbedaannya adalah kecepatan. Agen bertindak dalam milidetik, sehingga tuas tersebut harus segera dan otomatis, bukan bagian belakang alur kerja respons insiden.

Di Syntax, Pusat Operasi Keamanan Global kami telah berkembang sehingga AI melengkapi analis manusia, sementara karyawan kami membangun alur kerja agen dan agen di dalam Platform GenAI Syntax, yang menyediakan pengamanan bawaan terhadap bias, toksisitas, dan kontrol untuk privasi data dan keamanan secara default.

Itulah pemikiran ulang. Bela AI sebagai target. Terapkan AI sebagai pembela. Atur penggunaan AI.

Bagaimana organisasi dapat mempertahankan kecepatan inovasi sambil menerapkan pengawasan dan pengamanan yang berarti untuk sistem AI?

Kecepatan dan kontrol tampak seperti lawan sampai Anda membangun tata kelola yang bepergian dengan proyek daripada memblokirnya. Kesalahan itu adalah meletakkan tata kelola di gerbang: komite, persetujuan, tinjauan triwulanan. Ketika gerbang terbuka, tim telah menghindarinya atau kehilangan momentum. Model yang berhasil adalah proses yang didefinisikan ulang dengan tata kelola yang dimasukkan. Komunikasi yang jelas dan konsisten adalah titik awal, diikuti oleh pola yang disetujui sebelumnya, aliran data yang disetujui sebelumnya, dan template izin yang didefinisikan sebelumnya. Tim mendapatkan kecepatan, tim keamanan mendapatkan visibilitas, dan pertukaran yang diasumsikan semua orang ada ternyata menjadi proses yang dirancang dengan buruk. Ini semua tentang menyeimbangkan keamanan dengan inovasi melawan nafsu organisasi.

Anda telah bekerja pada strategi ketahanan siber skala besar dan respons insiden. Bagaimana pengenalan AI mengubah sifat ancaman siber dan cara organisasi harus mempersiapkannya?

AI mempercepat ancaman di seluruh vektor. Skala: phishing dan pengintaian dengan kecepatan mesin melawan ribuan target secara bersamaan. Kemampuan: teknik rekayasa sosial yang digerakkan deepfake yang mengalahkan verifikasi suara dan video. Identitas: identitas sintetis yang lulus pemeriksaan identitas yang dirancang untuk manusia.

Untuk respons insiden, implikasinya adalah operasional. Anda memerlukan deteksi yang tidak bergantung pada pengenalan pola manusia dengan kecepatan manusia. Anda memerlukan protokol verifikasi yang menganggap suara dan video dapat dipalsukan. Dan Anda memerlukan buku panduan respons insiden yang secara eksplisit mencakup insiden yang terkait AI, karena langkah-langkah pemulihan tidak sama dengan pemulihan dari peristiwa ransomware.

Di Syntax, apa yang dimaksud dengan “desain yang aman” AI di lingkungan perusahaan yang kompleks dan nyata?

Di Syntax itu berarti menyeimbangkan inovasi dan keamanan, melalui adopsi Platform GenAI kami dengan pengamanan yang dimasukkan, Layanan & Aplikasi GenAI yang disetujui, dibatasi, dan dilarang, dan menggerakkan budaya keamanan pertama melalui Kantor Tata Kelola AI kami. Untuk Organisasi Keamanan Global kami, itu berarti memposisikan diri sebagai pengaktif bisnis, bukan penghalang, mendukung bisnis dengan prioritas strategis mereka sambil melindungi Syntax sesuai dengan nafsu kami.

Ada narasi yang berkembang bahwa keamanan dan kepatuhan tidak lagi menjadi penghalang, tetapi pengaktif pertumbuhan. Apa yang harus berubah secara budaya dan operasional agar organisasi benar-benar menerima mindset tersebut?

Perubahan terbesar adalah apa yang terlihat seperti kesuksesan. Tim keamanan telah diukur selama dekade berdasarkan apa yang tidak terjadi: tidak ada pelanggaran, tidak ada insiden, tidak ada temuan audit. Metrik itu menghargai mengatakan tidak. Tim yang beroperasi sebagai pengaktif mengukur sesuatu yang berbeda: kesepakatan yang dimenangkan karena kontrol yang dapat dibuktikan, peluncuran yang mencapai tanggalnya karena keamanan membersihkan jalan, dan inovasi yang bergerak melalui tata kelola daripada menghindarinya.

Secara operasional, itu memerlukan proses yang didefinisikan ulang dengan tata kelola yang dimasukkan, dipasangkan dengan pengaktifan aktif seperti Platform GenAI kami yang membuat aman menjadi jalur yang lebih mudah, dan pendidikan AI yang dapat diakses dan program, seperti inisiatif AI Champions kami.

Budaya mengikuti apa yang Anda dorong dan apa yang Anda aktifkan. Ubah apa yang Anda hargai, lengkapi orang dengan alat yang tepat dan pelatihan yang tepat pada waktu yang tepat, dan Anda mengubah apa yang mereka lakukan. Ini adalah perjalanan yang diambil Syntax.

Bagaimana CISO harus berkolaborasi dengan pemimpin AI, ilmuwan data, dan tim produk untuk memastikan akuntabilitas tanpa memperlambat kemajuan?

CISO yang menunggu untuk diundang akan terlambat. CISO yang datang lebih awal, dengan pola yang praktis daripada keberatan kebijakan, menjadi mitra yang sebenarnya ingin ada di meja. Dalam prakteknya, itu berarti sesi desain bersama dengan tim AI, persetujuan keamanan yang duduk di samping persetujuan fungsional daripada setelahnya, dan kebijakan pintu terbuka. Ini mengubah percakapan dari menjadi “Departemen Tidak” menjadi “Ya, tetapi” atau “Tidak, tetapi” sebagai mitra yang mau dan kolaboratif untuk bisnis.

Menghadap ke depan, apakah Anda percaya kita akan melihat kerangka tata kelola AI global yang standar, atau apakah organisasi harus membangun arsitektur kepercayaan internal mereka sendiri terlepas dari peraturan?

Keduanya, dalam urutan itu. Kita akan melihat konvergensi bertahap pada sejumlah kerangka regional kecil, EU AI Act pertama, diikuti oleh yang lain dengan variasi lokal. Kita tidak akan melihat satu standar global dalam dekade ini karena fragmentasi geopolitik. Jadi, organisasi akan berakhir melakukan dua hal secara paralel: mematuhi kerangka yang berlaku untuk pasar terbesar mereka dan menjalankan arsitektur kepercayaan internal yang melebihi standar yang paling lemah. Arsitektur internal lebih penting daripada standar eksternal, karena regulator bergerak lambat dan ancaman tidak. Perusahaan yang membangun arsitektur kepercayaan internal sekarang akan menghabiskan dekade berikutnya mengatakan “kami sudah melakukannya” kepada setiap regulator baru yang datang.

Terima kasih atas wawancara yang luar biasa, pembaca yang ingin mempelajari lebih lanjut harus mengunjungi Syntax.

mm

Antoine adalah seorang pemimpin visioner dan mitra pendiri Unite.AI, didorong oleh semangat yang tak tergoyahkan untuk membentuk dan mempromosikan masa depan AI dan robotika. Seorang wirausaha serial, ia percaya bahwa AI akan sama-sama mengganggu masyarakat seperti listrik, dan sering tertangkap berbicara tentang potensi teknologi mengganggu dan AGI.

As a futurist, ia berdedikasi untuk mengeksplorasi bagaimana inovasi ini akan membentuk dunia kita. Selain itu, ia adalah pendiri Securities.io, sebuah platform yang fokus pada investasi di teknologi-teknologi canggih yang mendefinisikan kembali masa depan dan membentuk kembali seluruh sektor.