์ธํฐ๋ทฐ
Syntax์ ๊ธ๋ก๋ฒ CISO์ธ Jack Cherkas – ์ธํฐ๋ทฐ ์๋ฆฌ์ฆ
Jack Cherkas, Syntax의 글로벌 CISO는 클라우드 보안, 사이버 복원력, 엔터프라이즈 아키텍처, AI 보안에 대한 깊은 경험을 가진 사이버 보안 전문가입니다. 그는 Syntax, PwC UK, Kyndryl, IBM에서 선임 역할을 수행했으며, 보안 운영을 구축하고 확장하고, 주요 사건 대응 노력을 관리하고, 대규모 엔터프라이즈 환경을 위한 사이버 복원력 전략을 개발했습니다. Syntax에서 그는 회사의 사람들, 시스템, 데이터 센터, 관리형 클라우드 서비스, 고객向け 보안 제품에 대한 글로벌 사이버 보안을 책임지고 있으며, 8개국에 걸친 65명 이상의 보안 전문가를 이끌고 있습니다.
Syntax는 미션 크리티컬 엔터프라이즈 애플리케이션, 특히 SAP 및 Oracle 환경을 전문으로 하는 글로벌 IT 서비스 및 관리형 클라우드 제공업체입니다. 이 회사는 클라우드 마이그레이션, 관리형 호스팅, 사이버 보안, 엔터프라이즈 애플리케이션 관리, AI를 사용한 운영을 포함한 하이브리드 및 멀티 클라우드 인프라를 통해 조직을 지원합니다. 이 회사의 작업은 기업이 복잡한 비즈니스 시스템을 대규모로 현대화하고, 보안하고, 운영하는 것을 도와주는 데 중점을 두고 있습니다.
IBM, Kyndryl, PwC, Syntax에서 사이버 보안 이니셔티브를领导한 경험을 바탕으로, AI와 같은 새로운 기술을 보안하는 관점은 어떻게 진화했나요? 특히, 조직이 실험에서 생산으로 이동할 때는 어떻게 해야 하나요?
私の 경력은 일련의 중단을 따라갔으며, 각 중단마다 보안이 새로운 제어 표면에 따라가야 했습니다. IBM의 초기 클라우드 시대에는 다른 사람의 인프라에서 미션 크리티컬 워크로드를 실행할 수 있는지에 대한 질문이었습니다.答案은 공유 책임 모델과 클라우드 네이티브 제어의 한 세대였습니다.
그런 다음 랜섬웨어 시대가 왔습니다. 2017년 NotPetya는 몇 시간 안에 회사들을 무력화시켰고, 산업은 웜 가능한 멀웨어가 글로벌 공급망을 밤새 무력화시킬 수 있다는 것을 배웠습니다. 대응은 사이버 공격이 발생할 때(아니면 발생할 때) 준비하는 것이었습니다. 네트워크 분할, 변경 불가능한 백업, 심각한 身分 認証 推進이었습니다.
Kyndryl과 PwC에서私の 시간 동안, SaaS는 모든 재산의 가장자리에서 중심으로 이동했습니다. 워크로드는 데이터 센터에서 다른 사람의 스택으로 이동했고, 身分은 周囲이되었고, Zero Trust는 다이어그램에서 운영 모델로 바뀌었습니다.
Syntax에서 우리는現在 GenAI 波에 있습니다. 여기서 시스템 자체가 이유를 제공하고, 생성하고, 행동합니다. 각 波는 새로운 제어 표면을 제공했으며, 충분한 경고가 없으며, 실험과 생산 사이의 시간 창이 짧아졌습니다. 클라우드는 몇 년이 걸렸습니다. SaaS는 몇 분기가 걸렸습니다. GenAI는 몇 주가 걸립니다. 따라서 CISO들은 각 波를 예외로 취급하는 것을 중단하고 빠른 채택을 안정적인 상태로 취급하는 것입니다.
조직이 AI를 채택할 때, 신뢰가 아니라 규정 준수를 위반하는 위험이 있는 경우 어떻게 평가하나요? 이러한 위험이 발생하기 시작하는 초기 지표는 무엇인가요?
신뢰는 좋은 AI 채택의 기초입니다. 초기 지표는 감사 보고서에 있지 않습니다. 운영 신호에 있습니다. 아무도 소유하지 않는 그림자 AI 배포. 보안 검토 없이 GenAI 벤더를 승인하는 조달. 데이터 계보가 깨지는 순간 훈련 데이터가 어디에서 왔는지 묻는 순간. AI 에이전트에 관리자 권한을 부여하는 이유는 프로젝트를 느리게 하지 않으려는 것입니다. 조직에서 이러한 네 가지 신호가 하나로 나타나면 신뢰는 이미 빠르게 소비되고 있습니다. 리더십은通常 最後에 알게 됩니다.
많은 회사에서 AI를 보안보다 빠르게 채택하고 있습니다. 보안이 혁신보다 뒤처질 때 실제로 발생하는 가장 일반적인 위험은 무엇인가요?
규제가 뒤처질 때 세 가지 일이 발생하며, 모두 보안 사건으로 나타나지 않습니다. 첫째, 규제 노출이 조용히 누적됩니다. EU AI 법의 투명성 요구사항을 위반하는 AI 배포는 경보를 발동하지 않습니다. 2년 후 감사에서 벌금으로 나타납니다. 둘째, 고객 신뢰가 거래에서 사라집니다. 경쟁자가 거버넌스를 입증할 수 있는 경우 판매 팀은 이유를 알지 못합니다. 셋째, 의사 결정 품질이 저하됩니다. 조직은 더 많은 AI 기반 의사 결정을 하지만 설명하거나 감사할 수 없습니다. 나쁜 의사 결정은 아무도 보지 않는 곳에서 누적됩니다. 약한 AI 거버넌스의 비용은 감사, 판매, 의사 결정 품질의 느린 침식으로 끝나는 명성 손상되는 침해입니다.
관리형 보안 서비스 및 SOC 운영을 구축하고 확장하는 경험을 바탕으로, 조직은 AI 기반 시스템 및 자율적 의사 결정을 처리하기 위해 보안 모델을 어떻게 재고해야 하나요?
AI는 새로운 공격 벡터입니다. 위협을 증폭시키는 요소입니다. 그리고 중요한 방어 퍼즐 조각입니다. 보안 모델은 모두를 동시에 다루도록 적응해야 합니다.
공격 벡터로, GenAI 플랫폼 자체가 방어해야 할 대상이 됩니다. 위협을 증폭시키는 요소로, 공격자는 GenAI를 사용하여 대규모 피싱, 악성 코드 생성, 자동화된 정찰, 기계 속도의 취약점 발견을 수행합니다. 방어 퍼즐 조각으로, 같은 기술을 반대로 사용하는 것이 현실적인答案입니다. AI 기반 트라이어지, 자동화된 위협 헌팅, 분석가 보강은 더 이상 선택이 아닙니다. SOC가 AI를 증강한 적을 따라가기 위한 방법입니다. 그들이 AI를 증강시키고 우리는 증강시키지 않는다면, 격차는 매 사이클마다 누적됩니다.
그것은 또한 모델이 관리해야 하는 새로운 액터 유형을 생성합니다. Syntax에서 우리는 이미 AI 에이전트를 조직도에 인간과 함께 추가하는 것으로 생각합니다. 그것은 우리가 그것들을 어떻게 보안할지에 대한 기준을 설정합니다. AI 에이전트는 인간 사용자에게 제공하는 모든 것을 필요로 합니다(身分, 역할 기반 권한, 활동 로그, 행동 기준선) 및 취약한 계정에 대한 동일한 포함 레버(비활성화, 분리, 철회)를 제공해야 합니다. 차이점은 속도입니다. 에이전트는 밀리초 안에 행동합니다. 그러므로 이러한 레버는 후반부의 사건 대응 워크플로우가 아니라 즉시적이고 자동화되어야 합니다.
Syntax에서 우리의 글로벌 보안 운영 센터는 인간 분석가를 보완하는 AI를 발전시키고 있습니다. 우리의 직원들은 Syntax GenAI 플랫폼 내에서 에이전트 워크플로우와 에이전트를 구축하고 있습니다. 이는 기본적으로 편향, 유해성, 데이터 개인 정보 보호 및 보안을 위한 가드레일을 제공합니다.
그것이 재고입니다. AI를 대상으로 방어합니다. AI를 방어자로 배치합니다. AI 사용을 관리합니다.
조직은 AI 시스템에 대한 의미 있는 감독과 가드레일을 구현하면서도 혁신 속도를 유지할 수 있나요? 어떻게 해야 하나요?
속도와 제어가 반대되는 것처럼 보이지만, 규정 준수를 프로젝트와 함께 이동하는 거버넌스를 구축하면 그렇지 않습니다. 오류는 게이트에 거버넌스를 두는 것입니다. 위원회, 승인, 분기별 검토. 게이트가 열리면 팀은 이미 그것을 우회하거나 모멘텀을 잃었습니다. 작동하는 모델은 규정 준수가 구축된 프로세스입니다. 명확한 의사 소통은 시작점입니다. 그 다음은 사전 승인된 패턴, 사전 승인된 데이터 흐름, 사전 정의된 권한 템플릿입니다. 팀은 속도를 얻습니다. 보안 팀은 가시성을 얻습니다. 모든人が 가정하는 트레이드오프는 잘設計되지 않은 프로세스입니다. 이것은 모두 보안과 혁신을 조직의 위험 감수성과 균형을 이루는 것입니다.
큰 규모의 사이버 복원력 전략과 사건 대응에 대한 경험을 바탕으로, AI의 도입은 사이버 위협의 본질과 조직이 그것에 대비해야 하는 방식을 어떻게 변경하나요?
AI는 다양한 벡터를 통해 위협을 가속화합니다. 규모: 대규모 피싱과 정찰. 복잡성: 음성 및 비디오 확인을 격파하는 딥페이크 기반의 사회 공학. 身分: 인간을 위한 身分 확인을 통과하는 합성 身分.
사건 대응을 위해, 그 영향은 작동적입니다. 인간의 속도로 패턴을 인식하지 않는 감지기가 필요합니다. 음성 및 비디오가 위조될 수 있다고 가정하는 확인 프로토콜이 필요합니다. 그리고 AI 관련 사건을 명시적으로 다루는 사건 대응 플레이북이 필요합니다. 그 이유는 복구 단계가 랜섬웨어 이벤트에서 복구하는 것과 다르기 때문입니다.
Syntax에서 “보안으로 디자인된” AI는 실제로 복잡한 엔터프라이즈 환경에서 어떻게 보나요?
Syntax에서 그것은 혁신과 보안을 균형을 이루는 것을 의미합니다. 우리의 GenAI 플랫폼을 채택함으로써, 가드레일이 구축된 우리의 승인된, 제한된, 금지된 GenAI 서비스 및 앱, 모델 및 플랫폼, 그리고 우리의 보안 우선 문화를 구축하는 우리의 AI 거버넌스 오피스를 통해입니다. 우리의 글로벌 보안 조직에서는 비즈니스에 대한 전략적 우선순위를 지원하는 동시에 우리의 위험 감수성과 일치하는 Syntax를 보호하는 것을 의미합니다.
보안과 규정 준수가 더 이상 성장의 장애물이 아니라 성장의 촉진자라는 이야기가 점점 더 많아지고 있습니다. 조직이 이러한 마음가짐을真正로 받아들이기 위해서는 무엇이 변경되어야 하나요?
가장 큰 변화는 성공이 무엇인지에 대한 것입니다. 보안 팀은 수십 년 동안 발생하지 않은 것에 대해 측정되었습니다. 침해, 사건, 감사 결과가 없었습니다. 그 지표는 아니오라고 말하는 것을 보상합니다. 팀이 허용자로 작동하는 경우, 다른 것을 측정합니다. 규제가 가능한 제어를 통해 거래가 이뤄졌을 때, 보안이 경로를 개척했을 때, 혁신이 거버넌스를 통해 이동했을 때.
작동적으로, 그것은 규정 준수가 구축된 프로세스와 함께 작동하는 것입니다. 또한 보안이 더 쉬운 경로를 만드는 활발한 허용과 같은 우리의 GenAI 플랫폼, 그리고 우리의 AI 챔피언 이니셔티브와 같은 접근 가능한 GenAI 교육 및 프로그램이 필요합니다.
문화는 무엇을 강조하고 무엇을 허용하는지에 따라 따릅니다. 무엇을 보상하는지 변경하고, 사람들을 올바른 도구와 올바른 훈련으로 장비하고, 올바른 시간에 제공하면, 무엇을 하는지 변경합니다. 이것이 Syntax가 진행 중인 여정입니다.
엔터프라이즈 워크플로에 AI가 점점 더 통합됨에 따라, CISO는 AI 리더, 데이터 과학자, 제품 팀과 어떻게 협력하여 책임을 지면서도 진행을 늦추지 않도록 해야 하나요?
CISO가 초대되기를 기다리는 경우에는 늦게 됩니다. CISO가 정책적 반대가 아닌 실제 패턴으로 먼저 나타나는 경우, 프로젝트에 실제로 원하는 파트너가 됩니다. 실제로는 AI 팀과의 공동 디자인 세션, 보안 승인이 기능적인 승인과 함께 앉아 있는 경우, 그리고 개방적인 문책 정책입니다. 이것은 “아니오” 부서에서 “예, 그러나” 또는 “아니오, 그러나”로 협력적인 파트너로 대화하는 방식을 변경합니다.
미래를 내다보면, 글로벌 AI 거버넌스 프레임워크가 표준화될 것이라고 생각하나요? 아니면 조직은 규제와 관계없이 내부 신뢰 아키텍처를 구축해야 할까요?
둘 다, 순서대로. 우리는 지역별 프레임워크의 작은 수에 대한 점진적인 수렴을 볼 것입니다. EU AI 법이 먼저이고, 다른 지역은 지역별 변형으로 따를 것입니다. 우리는 이 십년 안에 하나의 글로벌 표준을 볼 수 없습니다. 지리 정치적 분열로 인해 vậy입니다. 따라서 조직은 두 가지를 동시에 수행할 것입니다. 적용되는 가장 큰 시장의 프레임워크를 준수하고, 외부 표준보다 내부 신뢰 아키텍처를 구축할 것입니다. 내부 아키텍처는 외부 표준보다 더 중요합니다. 규제 기관은 느리게 움직이고, 위협은 그렇지 않습니다. 내부 신뢰 아키텍처를 구축하는 회사들은 다음 십년 동안 새로운 규제 기관이 도착할 때마다 “우리는 이미 그렇게 하고 있습니다”라고 말할 것입니다.
멋진 인터뷰 감사합니다. 더 많은 것을 배우고 싶은 독자는 Syntax를 방문해야 합니다.
