Intervjuer

Elizabeth Nammour, administrerende direktør og grunnlegger av Teleskope – Intervju-serie

mm
Published
Updated

Elizabeth Nammour, administrerende direktør og grunnlegger av Teleskope, er en sikkerhetsingeniør som har blitt grunnlegger, med en karriere som spenner over datasikkerhet, programvareutvikling og innovasjonsroller i noen av verdens største teknologiselskaper. Mens hun arbeidet som senior programvareutvikler med fokus på datasikkerhet i Airbnb, møtte hun den operative utfordringen med å forstå og kontrollere enorme, raskt voksende datasamlinger som var spredt over dusiner av systemer. Denne erfaringen, kombinert med tidligere tekniske og strategiske roller i Amazon og Booz Allen Hamilton, formet hennes perspektiv på hvordan moderne organisasjoner sliter med å styre sensitive data i skala, og til slutt ledet henne til å bygge et selskap som håndterer denne mangelen.

Teleskope er en moderne datasikkerhetsplattform designet for å hjelpe organisasjoner med å kontinuerlig forstå hvor deres data bor, hvordan den brukes, og hvilke risikoer den skaper når miljøene blir mer komplekse. Bygget med utviklere og sikkerhetsteam i mente, legger plattformen vekt på nøyaktig datasynlighet, automatisert feilretting og politikkdrevne kontroller over sky, SaaS og hybridmiljøer. Ved å gå utenom statiske auditor og manuelle prosesser, har Teleskope som mål å gi organisasjoner en praktisk basis for å håndtere datasprengning samtidig som de muliggjør ansvarlig AI-adopter.

Du grunnla Teleskope etter å ha bygget innbyggede datasikkerhetsverktøy i Airbnb for å katalogisere og klassifisere data i enorm skala. Hva var det som overbeviste deg om at dette trengte å være et selskap og ikke et internt prosjekt, og hvordan formede disse tidlige leksjonene din produkttese?

Når jeg fullførte å bygge dette produktet i AirBnB, hadde jeg muligheten til å skrive en artikkel på AirBnB’s blogg kalt “Automatisering av datasikkerhet i skala”. Jeg hadde ikke forventet at noe skulle komme ut av det, men sikkerhetsfellesskapet svarte svært positivt, og jeg begynte å bli kontaktet av praktikere over hele verden. Jeg hadde definitivt et øyeblikk der jeg innsett at så mange delte de samme utfordringene jeg møtte, og at dette produktet var noe markedet virkelig ba om. Jeg la veldig mye vekt på tilbakemeldinger fra likemenn i de tidlige dagene, og selv Teleskope v1.0 var langt bedre enn det jeg først bygde i AirBnB. I dag er vårt produkt større og mer betydningsfullt enn jeg noen gang kunne ha forestilt meg på den tiden.

Din multi-modell klassifiseringspipeline kombinerer tradisjonell ML, formatspesifikke modeller og GenAI-validering. Kan du forklare beslutningslogikken og hvordan du reduserer feilpositive og feilnegative i skala?

Jeg ville definitivt anbefale å lese vår blogg, som jeg skrev sammen med vår leder for Data Science, Ivan, om dataklassifisering. Jeg vil først si at dette er en kunst, like mye som det er en vitenskap. Det er en enorm mengde nuanser – hver gang du finner en sensitiv dataentitet, vil konteksten være unik. Samtidig har datascale gjort dette problemet uendelig mer utfordrende, fordi skanning av petabyte med produksjonsdata tar mye beregningskraft og mye tid. Grunnen til at dette fortsatt regnes som et stort sett uløst problem, er at det er en kombinasjon av disse faktorene.

Hvor kunsten kommer inn, er i å finne ut hvordan man skal balansere alle kompromissene – hastighet, latency, nøyaktighet, kostnad og bredde (i datasamlinger, filformater, språk osv.). Vi har alltid trodd at svaret må være kreativt og må være multi-modalt. Dette er grunnen til at vi har tatt denne tilnærmingen, ved å kombinere mange av de tilgjengelige klassifiseringsmetodene for å ha en dynamisk og nuanserik tilnærming som, for å sammenfatte det, er bygget for å bruke den letteste metoden mulig, uten å ofre nøyaktighet. Denne dynamiske tilnærmingen lar oss skanne data 10-20 ganger raskere enn verktøy som avhenger av en-size-fits-all LLM, samtidig som vi leverer langt mer nøyaktige resultater enn REGEX eller konvensjonelle kontekstbaserte tilnærmingen.

Du har nylig introdusert Prism, med fokus på forretningsnivåets forståelse av data og GenAI-drevet feilretting. Hva nye bruksområder låser dette opp i forhold til elementnivåets PII-oppdaging, og hvordan beskytter du mot hallucinasjon i feilrettingshandlinger?

Når jeg først satte ut å håndtere utfordringen med dataklassifisering og -beskyttelse, var min fokus på å redusere faktiske feilpositive resultater. For eksempel, hvordan kan vi sikre at minst 95% av tiden når vi flagger noe som et personnummer, det faktisk er et personnummer. For noen år siden ville selv 80% nøyaktighet over forskjellige dataelementtyper vært en forbedring.

Men ved å arbeide tett med våre kunder i løpet av det siste året, ble det klart at “støyen” som teamene er overveldet av, ikke bare skyldes uaktuelle dataentitetsklassifiseringer (den tradisjonelle “feilpositive”). Støyen er ofte like mye om å bli overveldet av irrelevante varsler som det er om å få feil varsler. Hva Prism gjør, er at det låser opp vår evne til å vurdere mye mer kontekst – ikke bare “hva er denne dataen” eller “hvem har tilgang til denne filen”, men også “hva er denne filen i praksis”. Ved å kombinere dette med informasjon vi kan innhente om hva en gitt forretning faktisk gjør og bryr seg om, kan vi levere et produkt som tilpasser seg hver enkelt bedrifts forskjellige definisjoner av “sensitive” data.

Det å fange denne nivået av nuanse er en ekte game-changer. Å lagre hundrevis av personnummer i en Google Doc i din personlige drive, for eksempel, kan være en stor risiko og en overtredelse av din datapolicy. Men å ha en mappe i en sikker HR-drive full av dine ansattes lønnssedler? Det er forventet atferd. Sikkerhetsteam ønsker å bli varslet om det først, men å få en varsel for hver enkelt ansatts lønnsseddel, lagret korrekt, er bare støy. Å forstå hvor og i hvilken kontekst sensitive data bor, krever mer enn bare en dataentitetsmodell.

Vi arbeider med et multinasjonalt kjemiselskap, Chevron Philips Chemicals. Denne forretningen ville aldri kjøpe et personvernsverktøy eller et standard DSPM, fordi de ikke ser persondata som en prioritet. Hva de bryr seg om, er imidlertid immaterielle rettigheter i form av proprietære kjemiske formler. Ved å kunne kondensere essensen av en dokument til en liste over klargjorte etiketter, kan vi ikke bare oppdage unike sensitive elementer, men også finne eksempler på disse dataene som er i “feil” steder. Ved å kombinere denne konteksten med vår automatiske feilretting, kan vi deretter iverksette handlinger for å arkivere, slette, redigere eller flytte disse filene til deres riktige plassering. Ingen i datasikkerhetsmarkedet gjør denne typen arbeid.

Teleskope fremhever kontinuerlig oppdaging på tvers av multi-sky, on-prem og tredjepartssystemer – inkludert skyggedata. Hva ser en “fullstendig kart” ut som, og hvor raskt kan du avdekke ukjente lagringssteder i en grønnfelt-utplassering?

“Fullstendig” er et vanskelig ord her – i virkeligheten er det en målstang som stadig flytter seg, selv dag for dag. Det er så vanskelig å håndtere datasprengning. Vårt mål har alltid vært at Teleskope skal eksistere hvor våre kunders data eksisterer. Vi er i realiteten et integrasjonsbasert produkt på mange måter – vi har bygget dusinvis av proprietære datakoblinger for å kunne krype, skanne og klassifisere data over en rekke SaaS-verktøy, skydatalagre og on-premisesystemer. De fleste kunder starter med noen koblinger som de ser på som høyest risiko, eller hvor de har minst synlighet, så i virkeligheten er vi sjelden overalt et selskap har data. Likevel, innen hver enkelt datakilde, er vi stadig på jakt etter nye kontoer, tabeller, nye blokker, filer, meldinger osv. Så hvor vi er, finner vi data, nye og gamle, i nær sanntid.

For AI-sikkerhet og -styring, hvordan sporer du avstamning mellom treningsdatasett, modeller, forespørsler og utdata for revisjon?

Vi har virkelig tre kjernemåter å støtte AI-sikkerhet og -styring på. Først og fremst er vår evne til å anvende vår klassifiserings- og feilrettingsteknologi på data i bevegelse via våre API-er. Når selskaper genererer eller forbereder datasett for å trene sine egne modeller, trenger de en måte å sikre at data er fritt for personlige eller andre sensitive data. Så vi kobler rett inn i en datapipeline og kan rense datasett mens de flyttes eller kopieres inn i et treningssett, og sikre at modellene aldri er i fare for å utgi sensitive data.

Personvern og samsvar: du hevder kontinuerlig overvåking og automatisk kartlegging til rammer og reguleringer. Hvordan holder du kartene oppdatert når lover utvikler seg, og hvor tilpassbare er kontrollene for forskjellige regioner eller forretningsenheter?

Ærlig talt, har vår fokus faktisk skiftet bort fra å boke av og mot å forstå hva våre kunder bryr seg om. I noen tilfeller ønsker de å kartlegge 100% til de nyeste reguleringene som kommer ut, og vi overvåker stadig disse endringene og inkorporerer dem i vårt produkt. Men, ærlig talt, er de fleste selskaper så langt unna fra å være i stand til å være i samsvar med disse lovene fullt ut, at vi må møte dem der de er og sikre at vi kan få dem fra punkt A til B til C før vi bekymrer oss om å komme til Z. Måten vi gjør dette på, er ved å først forstå hva samsvar betyr for det enkelte selskapet (igjen, et produksjonsselskap kan kanskje ikke se noe som GDPR som en stor bekymring), og sikre at vi kan forme produktet rundt deres spesifikke risikoprofiler og behov.

GenAI-adopter: hvordan bruker kundene Teleskope for å lage “sikre inndata” og “sikre utdata” uten å nedgrave utviklerhastighet? Er det noen mønster du anbefaler?

Kunder integrerer Teleskopes Redact API i sine trenings- og inferenserpipelines for å sikre at sensitive data aldri flyter til generative AI-modeller. Redigeringsprosessen er abstrahert bort fra utviklere, og bevarer utviklerhastigheten ved å utføre redigering før inferens og gjenoppretting av data deretter.

Ser fremover, har du snakket om en helhetlig “agens” datasikkerhetsplattform med autonom feilretting. Hva vil være milepælene som signaliserer at industrien er klar for fullt autonom datasikkerhet?

Vi vet til en viss grad at industrien er klar for dette. Andre områder av cybersikkerhet, som SOC, har allerede vist en fullstendig skifte mot agens AI som et middel for å skalerer kapasiteten til sikkerhetsteam. Vi har en kø av kunder som ber om å være designpartnere for dette arbeidet, så vi vet at mange selskaper føler den samme smerten av å måtte fortsatt manuelt triage, etterforske, komme til en avgjørelse og deretter iverksette, bare for å løse en enkelt billett. Vi har absolutt overbevisning om at dette er der markedet er på vei, og vi er bestemt på å lede denne skiftningen.

Takk for det flotte intervjuet, lesere som ønsker å lære mer, kan besøke Teleskope.

mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.