Connect with us

Interviews

Nick Kathmann, CISO/CIO bij LogicGate – Interview Serie

mm
Published
Updated

Nicholas Kathmann is de Chief Information Security Officer (CISO) bij LogicGate, waar hij het informatiebeveiligingsprogramma van het bedrijf leidt, innovaties op het gebied van platformbeveiliging bewaakt en met klanten samenwerkt aan het beheersen van cyberbeveiligingsrisico’s. Met meer dan twee decennia ervaring in IT en 18+ jaar in cybersecurity, heeft Kathmann beveiligingsoperaties opgezet en geleid bij kleine bedrijven en Fortune 100-ondernemingen.

LogicGate is een platform voor risico- en compliancebeheer dat organisaties helpt om hun governance-, risico- en complianceprogramma’s (GRC) te automatiseren en op te schalen. Met hun vlaggenschipproduct, Risk Cloud®, stelt LogicGate teams in staat om risico’s over de hele onderneming te identificeren, te beoordelen en te beheren met aanpasbare workflows, real-time inzichten en integraties. Het platform ondersteunt een breed scala aan gebruikscases, waaronder derderisico’s, cybersecurity-compliance en intern auditbeheer, waardoor bedrijven meer agile en veerkrachtige risicestrategieën kunnen opbouwen.

U dient zowel als CISO als CIO bij LogicGate — hoe ziet u AI de verantwoordelijkheden van deze rollen transformeren in de komende 2-3 jaar?

AI transformeert deze rollen al, maar in de komende 2-3 jaar denk ik dat we een grote toename zullen zien in Agentic AI die de kracht heeft om onze manier van omgaan met bedrijfsprocessen op dagelijkse basis te herdefiniëren. Alles wat normaal gesproken naar een IT-helpdesk zou gaan — zoals wachtwoorden resetten, applicaties installeren en meer — kan worden afgehandeld door een AI-agent. Een andere kritieke gebruikscase zal zijn het gebruik van AI-agents om saaie auditbeoordelingen af te handelen, waardoor CISO’s en CIO’s prioriteit kunnen geven aan meer strategische verzoeken.

Met federale cyberontslagen en dereguleringstrends, hoe moeten ondernemingen AI-implementatie benaderen terwijl ze een sterke beveiligingspositie behouden?

Terwijl we in de VS een trend van deregulering zien, worden de regels in de EU daadwerkelijk versterkt. Dus, als u een multinationale onderneming bent, moet u anticiperen op het moeten voldoen aan mondiale regelgevingsvereisten voor het verantwoorde gebruik van AI. Voor bedrijven die alleen in de VS opereren, denk ik dat er een leerperiode is in termen van AI-adoptie. Ik denk dat het belangrijk is voor die ondernemingen om sterke AI-governancebeleid te vormen en enige menselijke toezicht te behouden in het implementatieproces, om ervoor te zorgen dat niets uit de hand loopt.

Wat zijn de grootste blinde vlekken die u vandaag ziet als het gaat om het integreren van AI in bestaande cybersecurity-kaders?

Terwijl er een paar gebieden zijn waar ik aan kan denken, is de meest impactvolle blinde vlek waar uw gegevens zijn gelegen en waar ze worden doorgestuurd. De introductie van AI zal alleen maar meer toezicht op dat gebied tot een uitdaging maken. Leveranciers maken AI-functies mogelijk in hun producten, maar die gegevens gaan niet altijd rechtstreeks naar het AI-model/leverancier. Dat maakt traditionele beveiligingshulpmiddelen zoals DLP en webmonitoring effectief blind.

U hebt gezegd dat de meeste AI-governancestrategieën “papieren tijgers” zijn. Wat zijn de kerningredienten van een governancekader dat daadwerkelijk werkt?

Wanneer ik “papieren tijgers” zeg, bedoel ik specifiek governancestrategieën waar alleen een klein team de processen en normen kent en die niet worden afgedwongen of zelfs begrepen binnen de hele organisatie. AI is zeer invasief, wat betekent dat het elke groep en elk team beïnvloedt. “One size fits all”-strategieën zullen niet werken. De kerningredienten van een sterk governancekader variëren, maar IAPP, OWASP, NIST en andere adviesorganen hebben vrij goede kaders voor het bepalen van wat moet worden geëvalueerd. Het moeilijkste deel is het bepalen wanneer de vereisten van toepassing zijn op elk gebruikscase.

Hoe kunnen bedrijven AI-modeldrift en -degradatie vermijden en verantwoord gebruik waarborgen zonder hun beleid te over-engineeren?

Drift en degradatie zijn gewoon onderdeel van het gebruik van technologie, maar AI kan dit proces aanzienlijk versnellen. Maar als de drift te groot wordt, zijn corrigerende maatregelen nodig. Een uitgebreide teststrategie die zoekt naar en meet nauwkeurigheid, vooroordelen en andere rode vlaggen is noodzakelijk over tijd. Als bedrijven bias en drift willen vermijden, moeten ze beginnen met het waarborgen dat ze de juiste tools hebben om dit te identificeren en te meten.

Wat is de rol van changelogs, beperkte beleidsupdates en real-time feedbackloops bij het behouden van agile AI-governance?

Terwijl ze nu een rol spelen om risico’s en aansprakelijkheid voor de aanbieder te verminderen, hinderen real-time feedbackloops de mogelijkheid van klanten en gebruikers om AI-governance uit te voeren, vooral als veranderingen in communicatiemechanismen te vaak voorkomen.

Wat zijn uw zorgen over AI-vooringenomenheid en discriminatie bij onderhandse leningen of kredietbeoordeling, met name met “Koop nu, betaal later” (BNPL)-diensten?

Vorig jaar sprak ik met een AI/ML-onderzoeker bij een grote, multinationale bank die had geëxperimenteerd met AI/LLM’s in hun risicomodellen. De modellen, zelfs wanneer getraind op grote en nauwkeurige datasets, zouden verrassende, onondersteunde beslissingen nemen om onderhandse leningen al dan niet goed te keuren. Als AI wordt vertrouwd, hebben banken beter toezicht en aansprakelijkheid nodig, en die “verrassingen” moeten worden geminimaliseerd.

Wat is uw mening over hoe we algoritmes moeten auditen of beoordelen die hoge inzet beslissingen nemen — en wie moet verantwoordelijk worden gehouden?

Dit gaat terug naar het uitgebreide testmodel, waarbij het noodzakelijk is om de algoritme/modellen continu te testen en te benchmarken in zo veel mogelijk real-time. Dit kan moeilijk zijn, omdat de modeloutput gewenste resultaten kan hebben die door mensen moeten worden geïdentificeerd. Als een bankvoorbeeld, een model dat alle leningen platweg afwijst, zal een geweldige risicobeoordeling hebben, omdat geen enkele lening die het onderhandselegt ooit in gebreke zal blijven. In dat geval moet de organisatie die het model/algoritme implementeert, verantwoordelijk worden gehouden voor de uitkomst van het model, net zoals ze dat zouden doen als mensen de beslissing zouden nemen.

Met meer ondernemingen die cyberverzekeringen vereisen, hoe vormen AI-hulpmiddelen zowel het risicolandschap als de verzekeringsexacte zelf?

AI-hulpmiddelen zijn geweldig in het verspreiden van grote hoeveelheden gegevens en het vinden van patronen of trends. Aan de klantzijde zullen deze hulpmiddelen instrumenteel zijn in het begrijpen van het werkelijke risico van de organisatie en het beheersen van dat risico. Aan de kant van de verzekeraar zullen deze hulpmiddelen nuttig zijn bij het vinden van inconsistenties en organisaties die onvolwassen worden over tijd.

Hoe kunnen bedrijven AI gebruiken om proactief cyberrisico’s te verminderen en betere voorwaarden te onderhandelen in de huidige verzekeringsmarkt?

Vandaag is de beste manier om AI te gebruiken voor het verminderen van risico’s en het onderhandelen over betere verzekeringsvoorwaarden om ruis en afleiding te filteren, waardoor u zich kunt concentreren op de meest belangrijke risico’s. Als u die risico’s op een uitgebreide manier vermindert, zouden uw cyberverzekeringspremies moeten dalen. Het is te gemakkelijk om overweldigd te raken door het enorme volume aan risico’s. Ga niet te veel moeite doen om elk klein probleem aan te pakken wanneer het focussen op de meest kritieke onderdelen een veel grotere impact kan hebben.

Wat zijn een paar tactische stappen die u aanbeveelt voor bedrijven die AI op een verantwoorde manier willen implementeren — maar weten niet waar ze moeten beginnen?

Ten eerste moet u uw gebruikscases begrijpen en de gewenste resultaten documenteren. Iedereen wil AI implementeren, maar het is belangrijk om eerst aan uw doelen te denken en van daaruit terug te werken — iets waarvan ik denk dat veel organisaties vandaag de dag worstelen. Zodra u een goed begrip heeft van uw gebruikscases, kunt u de verschillende AI-kaders onderzoeken en begrijpen welke van de toepasselijke controles ertoe doen voor uw gebruikscases en implementatie. Sterke AI-governance is ook zakelijk kritiek, voor risicobeheer en efficiëntie, aangezien automatisering alleen zo nuttig is als de ingevoerde gegevens. Organisaties die AI gebruiken, moeten dit op een verantwoorde manier doen, aangezien partners en prospects moeilijke vragen stellen over AI-sprawl en -gebruik. Het niet weten van het antwoord kan betekenen dat u zakenkansen mist, wat rechtstreeks van invloed is op de onderste regel.

Als u de grootste AI-gerelateerde beveiligingsrisico’s over vijf jaar moet voorspellen — wat zou het zijn — en hoe kunnen we ons vandaag al voorbereiden?

Mijn voorspelling is dat, naarmate Agentic AI meer in bedrijfsprocessen en -toepassingen wordt geïntegreerd, aanvallers fraude en misbruik zullen plegen om die agenten te manipuleren en kwaadaardige resultaten te bereiken. We hebben dit al gezien met de manipulatie van klantenserviceagenten, waardoor ongeautoriseerde deals en restituties ontstonden. Bedreigingsactoren gebruikten taaltrucs om beleid te omzeilen en de besluitvorming van de agent te verstoren.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten LogicGate bezoeken.

Related Topics:
mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.