Mark Nicholson, Lider ds. Modernizacji Cyberbezpieczeństwa w Deloitte w USA – Seria Wywiadów: Powrót do rozmowy

Mark Nicholson, Lider ds. Modernizacji Cyberbezpieczeństwa w Deloitte w USA, jest Partnerem w Deloitte z ponad dwudziestoletnim doświadczeniem na styku cyberbezpieczeństwa, sztucznej inteligencji i ryzyka przedsiębiorstwa. Prowadzi inicjatywy Cyber AI oraz strategię komercyjną dla praktyki cyberbezpieczeństwa Deloitte, pomagając dużym organizacjom modernizować ich ramy bezpieczeństwa i dostosowywać inwestycje cybernetyczne do ewoluującego krajobrazu ryzyka. Przed dołączeniem do Deloitte współtworzył i pełnił funkcję COO w firmie Vigilant, Inc., zajmującej się doradztwem w zakresie bezpieczeństwa informacji, skupiającej się na analizie zagrożeń i monitorowaniu złośliwych zdarzeń. Jego wcześniejsza kariera w rolach sprzedaży i rozwoju biznesu w wielu firmach technologicznych zapewniła solidne podstawy zarówno w technicznych, jak i komercyjnych aspektach cyberbezpieczeństwa.

Deloitte jest jedną z największych na świecie firm świadczących usługi profesjonalne, oferującą audyt, konsulting, podatki i doradztwo organizacjom z niemal każdej branży. Jej praktyka cyberbezpieczeństwa koncentruje się na pomaganiu przedsiębiorstwom w poruszaniu się po coraz bardziej złożonych środowiskach zagrożeń, jednocześnie umożliwiając transformację cyfrową dzięki technologiom takim jak sztuczna inteligencja. Firma świadczy usługi obejmujące strategię cybernetyczną, odporność, zarządzanie ryzykiem i bezpieczeństwo przedsiębiorstwa, pozycjonując cyberbezpieczeństwo zarówno jako funkcję ochronną, jak i strategiczny czynnik umożliwiający innowacje i wzrost.

Jest to kontynuacja poprzedniego wywiadu opublikowanego w 2025 roku.

Byłeś zaangażowany w cyberbezpieczeństwo od wczesnych dni nowoczesnego monitorowania zagrożeń, w tym współtworzyłeś Vigilant i pomagałeś wprowadzić na rynek wczesne możliwości zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) oraz analizy zagrożeń. W jaki sposób ewolucja od tych wczesnych systemów monitorowania do dzisiejszych platform obrony cybernetycznej napędzanych przez AI zmieniła sposób, w jaki organizacje wykrywają zagrożenia i na nie reagują?

Kiedy po raz pierwszy zaczęliśmy budować platformy monitorowania we wczesnych dniach SIEM, kluczowym wyzwaniem było zebranie danych w jednym miejscu i nadanie im sensu. Pamiętam, jak analitycy każdego ranka drukowali dzienniki zapór ogniowych i ręcznie je przeglądali, próbując znaleźć anomalie. Nawet w miarę dojrzewania SIEM istniał problem skali. Prędkość działania człowieka nie mogła równać się z ogromną liczbą wykrywanych zdarzeń. Pomimo użycia automatyzacji, cyberobrońcy wciąż mieli problem z korelacją danych i analityką, nieustannie mozoląc się nad tworzeniem nowych reguł, często w odpowiedzi na niepowodzenia monitorowania.

Jedną z nadziei jest to, że AI zmieni tę dynamikę w fundamentalny sposób. Poza wdrażaniem zdolności agentowych do automatyzacji operacji bezpieczeństwa poziomu 1, AI obiecuje pomóc w przesunięciu wykrywania i reagowania z fazy „po fakcie” znacznie bliżej do „w trakcie zdarzenia”, wykorzystując dynamiczne strojenie maszynowe algorytmów monitorowania. W niektórych przypadkach organizacje cybernetyczne będą również nabierać komfortu, pozwalając AI na inicjowanie działań naprawczych.

Ale trudna część nie znika, tylko się przesuwa. W miarę jak systemy stają się bardziej autonomiczne i złożone, zaufanie i obserwowalność stają się polem bitwy: Co robi system, dlaczego to robi i skąd wiemy, że nie został zmanipulowany? Szansa związana z AI jest ogromna, ale podnosi również stawkę, gdy środowisko działa z prędkością maszyny.

Zauważyłeś, że AI umożliwia przeciwnikom automatyzację rekonesansu, generowanie exploitów i przyspieszenie cykli ataków. W praktycznych terminach, jak bardzo AI skompresowała czas między odkryciem podatności a jej wykorzystaniem?

Historycznie często istniało okno między odkryciem podatności a jej wykorzystaniem. Z pewnością istniała pilna potrzeba działania, ale generalnie, chyba że padło się ofiarą ataku zero-day, był czas na zrozumienie zagrożenia, załatanie i złagodzenie, zanim napastnik mógł wdrożyć exploity na dużą skalę. AI praktycznie zlikwidowała to okno.

Przeciwnicy mogą zautomatyzować rekonesans, ciągle skanować w poszukiwaniu ekspozycji i używać narzędzi wspieranych przez AI, aby przyspieszyć części rozwoju exploitów i targetowania. W wielu przypadkach to, co kiedyś rozgrywało się przez tygodnie, może teraz skompresować się do godzin, a w wysoce zautomatyzowanych scenariuszach może być szybsze, niż większość programów bezpieczeństwa jest zbudowana, aby sobie z tym poradzić.