Connect with us

Steve Tait, Chief Technology Officer bij Skyhigh Security – Interview Serie

Interviews

Steve Tait, Chief Technology Officer bij Skyhigh Security – Interview Serie

mm
Published
Updated

Steve Tait, Chief Technology Officer bij Skyhigh Security, is een ervaren executive technology leider met meer dan 25 jaar ervaring in cybersecurity, defensie, financiële dienstverlening en de gezondheidszorgsector. Hij trad in augustus 2024 toe tot Skyhigh om de technologische visie, architectuur en cloud-infrastructuurstrategie van het bedrijf voor Security Service Edge (SSE) te leiden.

Skyhigh Security is een particulier bedrijf, een cloud-native cybersecuritybedrijf met hoofdkantoor in San Jose, Californië, dat een uitgebreid Security Service Edge (SSE)-platform aanbiedt. Het platform combineert oplossingen zoals CASB, Secure Web Gateway, Zero Trust Private Access, CNAPP, DLP en Remote Browser Isolation om gegevens te beschermen en veilige samenwerking te garanderen over web, cloud, e-mail en privé-toepassingen. Met een focus op realtime-gegevensbescherming, bedreigingspreventie en compliance, serveert Skyhigh Security meer dan 3.000 klanten wereldwijd – waaronder veel Fortune 500-bedrijven en grote financiële instellingen – via een schaalbare, data-aware architectuur die is ontworpen voor moderne hybride werkomgevingen.

U bent uw carrière begonnen in mobiele gegevens voordat u door verschillende sectoren heen opklom via ingenieurs- en leiderschapsrollen – welke vroege ervaring heeft uw passie voor cybersecurity gevormd en u naar uw huidige positie gebracht?

Toen ik bij BAE Systems kwam, kreeg ik inzicht in het werk van de geweldige teams die de meest kwaadaardige virussen en malware decompileren om te leren hoe ze zich ertegen kunnen verdedigen. De enorme omvang en georganiseerde professionaliteit van de cybercrime-industrie was een echte openbaring. Bijvoorbeeld, de code achter cyberinbraken kan soms zijn afkomstig van meerdere nationale actoren en criminele organisaties. Het gaat niet om tieners in slaapkamers, het is een serieus wereldwijd bedrijf. Verdedigen tegen dit soort bedreigingen is een echte bijdrage aan de samenleving, en ik wilde daar deel van uitmaken.

U heeft verklaard dat “digitale transformatie voorbij is” en we nu een tijdperk van AI-transformatie ingaan – hoe onderscheidt u deze fasen in termen van bedrijfsstrategie en resultaten?

Digitale transformatie ging over het gebruik van technologie om bedrijfsprocessen efficiënter, effectiever en klantvriendelijker te maken. AI-transformatie vanuit een bedrijfsperspectief streeft naar het bereiken van hetzelfde doel. Het fundamentele verschil is echter dat digitale transformatie dit bereikt door procesautomatisering, gegevensaggregatie en geavanceerde gegevensvisualisatie, terwijl AI-transformatie dit bereikt door originele inhoudscreatie, companionanalyse en autonome besluitvorming. Digitale transformatie was gericht op het optimaliseren en stroomlijnen van menselijke besluitvormingsprocessen. AI-transformatie heeft de mogelijkheid om veel van deze processen geheel te elimineren!

Wat zijn volgens u de grootste organisatorische uitdagingen waarmee bedrijven te maken krijgen bij de overgang van klassieke automatisering naar het integreren van generatieve AI?

Het niveau van transformatie dat nodig is om echt van deze technologie te profiteren, is enorm. Bedrijven zouden – en misschien moeten – over een paar jaar totaal anders kunnen zijn. Nu echter, ondanks de hype, is het nog in de kinderschoenen. Het grootste organisatorische probleem vandaag is eigenlijk training. Veel bedrijven hebben de gebruikelijke ’20-minuten’ corporate trainingvideo over AI uitgerold, maar dat is simpelweg niet genoeg. Medewerkers moeten leren hoe ze deze technologie kunnen gebruiken, de echte risico’s die het met zich meebrengt en begrijpen, al is het maar een beetje, hoe het werkt. Zo kunnen medewerkers op alle niveaus helpen om het bedrijf te transformeren met de technologie.

In Security Magazine hebt u promptinjecties en hallucinaties genoemd als belangrijkste risico’s – welke bedreigingsvector maakt u het meest bezorgd, en hoe gaat Skyhigh deze aanpakken?

Onopzettelijke gegevensuitstroom is verreweg de grootste bedrijfsbedreiging in termen van volume. Alleen al vanuit de gegevens die we bij Skyhigh volgen, zagen we een toename van 80% in gegevens die naar LLM’s zijn geüpload in het afgelopen jaar. Veel interfaces werken als bedrijfsassistenten en moedigen aan om steeds meer informatie te uploaden. Het delen van informatie met iemand – een bestand zippen en uploaden naar een SFTP-locatie voor derdepartijanalyse – zorgt ervoor dat een medewerker stilstaat bij wat hij doet en de potentiële risico’s. Het is best een paar stappen om dit te doen en je wordt je erg bewust van het feit dat je het naar iemand stuurt. Halfweg een analyse met een AI-hulpmiddel en gewoon een blok gegevens plakken in een prompt voor AI om een snel antwoord te geven, is een kwestie van seconden, maar de vraag blijft: waar zijn die gegevens naartoe gegaan en hoe zijn ze gebruikt? Daarom ligt de focus van Skyhigh vooral op gegevensverliespreventie voor AI-toepassingen, met name voor copilots.

U heeft statistieken genoemd die aantonen dat 94% van de AI-toepassingen LLM-risico’s met zich meebrengen en 11% van de bestanden die naar AI worden geüpload, gevoelig zijn – welke trends ziet u in hoe bedrijven reageren om deze kwesties aan te pakken?

Bedrijven gebruiken nog steeds “gebruikersbeleid” en “blokkeren” als hun belangrijkste technieken, maar veel bedrijven blijven blind voor de hoeveelheid AI die elke dag wordt gebruikt. We zien veel interesse in het vergroten van de ontdekking, zichtbaarheid en het uitbreiden van Data Loss Prevention-technieken naar AI, met name voor grote copilot-toepassingen.

Bedrijfscopilots kunnen toegang krijgen tot enorme hoeveelheden propriëtaire gegevens – wat zijn de meest effectieve strategieën om ongeautoriseerde gegevenslekkage of misbruik via deze systemen te voorkomen?

Het begint altijd met beleid en training. Vervolgens zijn een combinatie van gegevenslabeling en DLP-technieken essentieel. Microsoft AIP-labeling, bijvoorbeeld, kan voorkomen dat vertrouwelijke gegevens worden geïndexeerd door MSFT Copilot. In combinatie met CASB- en DLP-hulpmiddelen kunnen AIP-labels automatisch worden toegevoegd op basis van gegevensclassificaties. DLP uitgevoerd op document- en promptgegevens kan de voorkoming van onbedoelde gegevensupload garanderen.

U heeft benadrukt het risico dat burgerontwikkelaars hun eigen toepassingen creëren – hoe kunnen bedrijven een balans vinden tussen het stimuleren van innovatie en het garanderen van veilige ontwikkeling?

Het komt altijd terug op training. Alleen omdat iemand een ‘burgerontwikkelaar’ is, betekent dit niet dat ze kunnen kiezen voor het ontwijken van beveiligingsfundamenten die deel zouden uitmaken van de standaardengineerstraining. Ze hoeven niet alles te weten wat een ervaren software-engineer zou weten, maar basisconcepten van privileged toegang en horizontale privilege-escalatie zijn belangrijke concepten bij het bouwen van een toepassing. Persoonlijk zou ik alleen toegang tot dergelijke hulpmiddelen toestaan na afgeronde geschikte training. Vervolgens gaat het over het implementeren van beveiligingshulpmiddelen om onopzettelijke fouten te vangen, wat terugkomt op technieken zoals DLP.

Als CTO van Skyhigh Security, welk gebied van AI-risicobeperking – copilots, burgerontwikkelaars of compliance-infrastructuur – prioriteert u voor de komende 12-18 maanden?

Bewustzijn is essentieel en Skyhigh biedt al uitgebreide Shadow AI-ontdekkingshulpmiddelen. Microsoft Copilot en ChatGPT Enterprise zijn onze belangrijkste focus in 2025. We hebben al controlemaatregelen voor beide ingevoerd en we breiden deze verder uit in de rest van 2025. Naarmate we 2026 ingaan, richten we ons meer op promptcontrole om te beschermen tegen kwaadaardige prompts, jailbreaking en andere belangrijke LLM-risico’s.

Wat is één doorbraak of verschuiving die u voorziet die de manier waarop we denken over bedrijfsbeveiliging in een AI-geleide wereld volledig kan veranderen?

Agente AI. Het is net begonnen, maar de impact kan enorm zijn. Naarmate meer en meer van deze agenten samenketenen, nemen de aanvalsvectoren toe langs de keten. Veel cybercrime wordt “gespot” door mensen omdat iets niet goed lijkt. In deze ketens van agenten zal het lastig zijn om tekenen van compromissen te herkennen.

Related Topics:
mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.