Connect with us

Intervjuer

Jack Cherkas, Global CISO i Syntax – Intervju-serie

mm
Published

Jack Cherkas, Global CISO i Syntax, er en cybersecurity-ekspert med dypt erfaring fra sky Sikkerhet, cyber-resilience, enterprise-arkitektur og AI-sikkerhet. Han har hatt seniort stillinger i Syntax, PwC UK, Kyndryl og IBM, der han hjalp til å bygge og skalerer sikkerhetsoperasjoner, håndterte større hendelser og utviklet cyber-resilience-strategier for store bedrifter. I Syntax leder han global sikkerhet over hele selskapets mennesker, systemer, data-sentre, managed cloud-tjenester og kunde-orienterte sikkerhetstilbud, og overvåker et team på over 65 sikkerhetsfagfolk i åtte land.

Syntax er en global IT-tjeneste- og managed cloud-leverandør som spesialiserer seg på kritiske bedriftsapper, særlig SAP- og Oracle-miljøer. Selskapet støtter organisasjoner med sky-migrering, managed hosting, sikkerhet, bedriftsprogramvare-håndtering og AI-aktiverede operasjoner over hybrid- og multi-cloud-infrastruktur. Deres arbeid fokuserer på å hjelpe bedrifter å modernisere, sikre og operere komplekse forretnings-systemer i stor skala.

Du har ledet cybersikkerhets-initiativer i IBM, Kyndryl, PwC og nå Syntax. Hvordan har din perspektiv på å sikre nye teknologier som AI utviklet seg, særlig når organisasjoner går fra eksperimentering til produksjon?

Min karriere har fulgt en rekke disrupteringer, hver med krav om at sikkerheten måtte holde tritt med en ny kontrollflate. I IBM i de tidlige dagene med sky, var spørsmålet om vi kunne stole på noen andres infrastruktur for å kjøre kritiske arbeidsbelastninger. Svaret var et delt ansvar-modell og en generasjon med sky-naturlige kontroller.

Så kom ransomware-æraen. NotPetya i 2017 lammet selskaper på få timer, og industrien lærte at wormable malware kunne ta ned globale leverandørkjeder over natten. Responsen var å forberede seg på når (ikke om) en cyber-angrep ville skje, nettverks-segmentering, uforanderlige backups og en alvorlig fokus på identitet.

I løpet av min tid i Kyndryl og PwC, gikk SaaS fra kanten til sentrum av hver eiendom. Arbeidsbelastninger flyttet ut av data-sentre og inn på noen andres stack, identitet ble periferien, og Zero Trust sluttet å være et diagram og begynte å bli en operasjonsmodell.

Nå i Syntax, er vi i GenAI-bølgen, der systemet selv grunner, genererer og handler. Hver bølge ga oss en ny kontrollflate, ikke nok varsel, og en kortere vindu mellom eksperimentering og produksjon. Sky tok år. SaaS tok kvartaler. GenAI tar uker. CISO-ene som holder tritt er de som sluttet å behandle hver bølge som en unntak og begynte å behandle rask adopsjon som en stabil tilstand.

Når organisasjoner akselerer AI-adoptsjon, hvordan vurderer du risikoen for at tillit, ikke bare overholdelse, blir kompromittert? Hva er de tidligste indikatorene på at dette begynner å skje?

Tillit er grunnlaget for all god AI-adoptsjon. De tidligste indikatorene er ikke i revisjonsrapporten, de er i operative signaler. Skygge-AI-utplasseringer som ingen eier. Innkjøp godkjenner GenAI-leverandører uten sikkerhetsgjennomgang. Data-avstamning som bryter så fort du spør hvor treningsdataene kom fra. AI-agenter gitt admin-tilganger fordi ingen ville bremse prosjektet. Når du ser disse fire signalene i én organisasjon, er tillit allerede blitt brukt raskere enn den tjenes inn. Ledelsen er vanligvis den siste som vet.

Mange selskaper adopterer AI raskere enn de kan sikre det. Hva er de vanligste virkelige risikoene du ser i dag når styring ligger etter innovasjon?

Når styring ligger etter, skjer tre ting, og ingen av dem viser seg som sikkerhets hendelser før mye senere. Først, regulatorisk eksponering akselerer stille: en AI-utplassering som bryter EU AI-aktenes transparenskrav, utløser ikke en alarm; det viser seg i en revisjon to år senere som en bot. Andre, kunde-tillit erosjonerer i transaksjoner du aldri ser: potensielle kunder velger konkurrenter som kan bevise styring, og din salgsavdeling finner aldri ut hvorfor. Tredje, beslutningskvalitet forringes: organisasjonen tar flere AI-påvirkede beslutninger, men kan ikke forklare eller gjennomgå dem, og dårlige beslutninger akkumuleres på steder ingen ser på. Kostnaden av svak AI-styring er den langsomme erosjonen av revisjon, salg og beslutningskvalitet, som ender i en skadelig brudd.

Fra din erfaring med å bygge og skalerer managed sikkerhetstjenester og SOC-operasjoner, hvordan bør organisasjoner omdefinere sine sikkerhetsmodeller for å håndtere AI-drevne systemer og autonome beslutninger?

AI er en ny angrepsvektor, en trussel-forsterker og et kritisk forsvarspuzzel-stykke, og sikkerhetsmodellen må tilpasse seg for å dekke alle tre samtidig.

Som en angrepsvektor blir GenAI-plattformene selv mål å forsvare. Som en trussel-forsterker bruker angriperne GenAI for å lage phishing i stor skala, generere utnyttelseskod, automatisere rekognosering og oppdage sårbarheter i maskin-hastighet. Som et forsvarspuzzel-stykke er den samme teknologien vendt den andre vei det eneste realistiske svaret: AI-drevet triage, automatisert trussel-jakt og analyst-forbedring er ikke lenger valgfrie; de er hvordan en SOC holder tritt med en AI-forsterket motstander. Hvis de er AI-forsterket og vi ikke er, akselererer gapet med hver syklus.

Dette skaper også en ny aktør-type modellen må styre. I Syntax tenker vi allerede på AI-agenter som en del av organisasjonskartet, sammen med mennesker, hvilket setter standarden for hvordan vi sikrer dem. AI-agenter trenger alt vi gir menneskelige brukere (identitet, rolle-basert tilgang, aktivitet-logg, atferdsmessig baseline) pluss de samme innskrenkningene vi bruker på kompromitterte kontoer: evnen til å deaktivere, isolere og tilbakekalle. Forskjellen er hastighet. Agenter handler i millisekunder, så disse innskrenkningene må være umiddelbare og automatiserte, ikke bakenden av en hendelsesrespons-arbeidsflyt.

I Syntax har vårt Global Security Operations Center utviklet seg for å la AI-forbedre den menneskelige analisten, mens våre ansatte bygger agenter og arbeidsflyter innen Syntax GenAI-plattformen, som gir guardrails mot bias, giftighet og kontroll for data-sikkerhet og -privatitet som standard.

Dette er omdefineringen. Forsvar AI som et mål. Utvikle AI som en forsvarer. Styre bruk av AI.

Det finnes ofte spenning mellom hastighet og kontroll. Hvordan kan organisasjoner opprettholde innovasjons-hastighet samtidig som de implementerer meningsfull overvåking og guardrails for AI-systemer?

Hastighet og kontroll ser ut som motsetninger til du bygger styring som reiser med prosjektet i stedet for å blokkere det. Feilen er å plassere styring ved porten: en komité, en godkjenning, en kvartalsvis gjennomgang. Når porten åpnes, har teamet enten gått rundt den eller tapt momentum. Modellen som fungerer er prosesser omdefinert med styring integrert. Klar og konsekvent kommunikasjon er utgangspunktet, fulgt av forhånds-godkjente mønster, forhånds-klarede data-flows og forhånds-definerte tillgangs-mal. Teamene får hastighet, sikkerhets-teamene får oversikt, og byttet alle antar eksisterer, viser seg å være en dårlig designet prosess. Dette handler om å balansere sikkerhet med innovasjon mot hver organisasjons risiko-appetitt.

Du har arbeidet med stor-skala cyber-resilience-strategier og hendelsesrespons. Hvordan endrer introduksjonen av AI naturen til cyber-trusler og hvordan organisasjoner bør forberede seg på dem?

AI akselererer truslene over forskjellige vektorer. Skala: phishing og rekognosering i maskin-hastighet mot tusenvis av mål samtidig. Sophistication: deepfake-drevet sosial ingenjørkunst som beseirer stemme- og video-verifisering. Identitet: syntetiske identiteter som passerer identitetskontroller designet for mennesker.

For hendelsesrespons er implikasjonene operative. Du trenger deteksjon som ikke avhenger av mennesker som gjenkjenner mønster i menneske-hastighet. Du trenger verifiserings-protokoller som antar at stemme og video kan bli forfalsket. Og du trenger hendelsesrespons-spillere som eksplisitt dekker AI-relaterte hendelser, fordi gjenopprettings-trinnene ikke er de samme som gjenoppretting fra et ransomware-hendelse.

I Syntax, hva betyr “sikkerhet ved design” AI i en kompleks, virkelig verden-entreprise-miljø?

I Syntax betyr det å balansere innovasjon og sikkerhet, gjennom adopsjon av vår GenAI-plattform med innbygde guardrails, våre godkjente, begrensede og forbudte GenAI-tjenester og -apper, modeller og plattformer, og driving en sikkerhets-først-kultur gjennom vårt AI-styringskontor. For vårt Global Security-organisasjon betyr det å posisjonere oss som en aktør for bedriften, ikke en blokkering, støtter bedriften med sine strategiske prioriteringer samtidig som vi beskytter Syntax i tråd med vår risiko-appetitt.

Det finnes en voksende narrativ om at sikkerhet og overholdelse ikke lenger er blokkeringer, men akseleratorer for vekst. Hva må endre seg kulturelt og operativt for at organisasjoner virkelig kan omfavne denne holdningen?

Den største endringen er hva suksess ser ut som. Sikkerhets-teamene har blitt målt i tiår etter hva som ikke skjedde: ingen brudd, ingen hendelser, ingen revisjonsfunn. Denne metrikken belønner å si nei. Teamene som opererer som akseleratorer måler noe annet: avtaler vunnet fordi kontroller var demonstrerbare, lanseringer som traff datoene sine fordi sikkerheten ryddet vei, og innovasjoner som beveget seg gjennom styring i stedet for rundt den.

Operativt trenger det prosesser omdefinert med styring integrert, kombinert med aktiv akselerasjon som vår GenAI-plattform som gjør sikkerhet den enkle vei, og tilgjengelig GenAI-utdanning og programmer, som vår AI-ambassadør-initiativ.

Kultur følger hva du incentiviserer og hva du aktiverer. Endre hva du belønner, utrust mennesker med riktige verktøy og riktig trening på riktig tid, og du endrer hva de gjør. Dette er reisen Syntax er i ferd med å foreta.

Når AI stadig mer blir integrert i bedrifts-arbeidsflyter, hvordan bør CISO-er samarbeide med AI-ledere, data-vitenskapsmenn og produkt-team for å sikre ansvarlighet uten å bremse fremgangen?

CISO-en som venter på å bli invitert, kommer til å være forsinket. CISO-en som viser seg tidlig, med praktiske mønster i stedet for politiske innvendinger, blir partneren som AI-prosjektene virkelig ønsker å ha ved bordet. I praksis betyr det felles design-sesjoner med AI-teamene, sikkerhets-godkjenninger som sitter ved siden av funksjonelle i stedet for etter dem, og en åpen dør-politikk. Dette endrer samtalen fra å være “Departementet for nei” til “Ja, men” eller “Nei, men” som en villig og samarbeidende partner for bedriften.

Ser fremover, tror du vi kommer til å se en standardisert global ramme for AI-styring, eller må organisasjoner bygge sine egne interne tillits-arkitekturer uavhengig av regulering?

Begge deler, i den rekkefølgen. Vi kommer til å se en fasevis konvergens mot en liten mengde regionale rammer, EU AI-akten først, andre følger med lokale variasjoner. Vi kommer ikke til å se en global standard i dette tiåret på grunn av geopolitisk fragmentering. Derfor kommer organisasjoner til å gjøre to ting parallelt: å overholde rammen som gjelder for deres største marked og å kjøre en intern tillits-arkitektur som overstiger hvilken som helst ramme som er svakest. Den interne arkitekturen betyr mer enn den eksterne standarden, fordi regulatorer beveger seg langsomt og trusler ikke gjør det. Selskapene som bygger interne tillits-arkitekturer nå, kommer til å tilbringe det neste tiåret med å si “vi gjør allerede det” til hver ny regulator som ankommer.

Takk for det flotte intervjuet, lesere som ønsker å lære mer, kan besøke Syntax.

mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.