Connect with us

Джек Черкас, Глобальный CISO в Syntax – Интервью

Интервью

Джек Черкас, Глобальный CISO в Syntax – Интервью

mm
Published

Джек Черкас, Глобальный CISO в Syntax, является кибербезопасным исполнительным директором с глубоким опытом в области облачной безопасности, киберустойчивости, корпоративной архитектуры и безопасности ИИ. Он занимал старшие должности в Syntax, PwC UK, Kyndryl и IBM, где помогал создавать и масштабировать операции по безопасности, руководил крупными усилиями по реагированию на инциденты и разрабатывал стратегии киберустойчивости для крупных корпоративных сред. В Syntax он руководит глобальной кибербезопасностью во всей компании, включая людей, системы, центры данных, управляемые облачные услуги и предложения по безопасности, взаимодействующим с клиентами, руководя командой из более чем 65 специалистов по безопасности в восьми странах.

Syntax – это глобальный поставщик ИТ-услуг и управляемых облачных услуг, специализирующийся на критически важных корпоративных приложениях, в частности на средах SAP и Oracle. Компания поддерживает организации в облачной миграции, управляемом хостинге, кибербезопасности, управлении корпоративными приложениями и операциях с помощью ИИ на гибридной и многооблачной инфраструктуре. Ее работа направлена на то, чтобы помочь предприятиям модернизировать, защитить и эксплуатировать сложные бизнес-системы в крупном масштабе.

Вы возглавляли инициативы по кибербезопасности в IBM, Kyndryl, PwC и теперь в Syntax. Как изменилось ваше представление о защите новых технологий, таких как ИИ, особенно когда организации переходят от экспериментов к производству?

Моя карьера прошла через ряд нарушений, каждый из которых требовал от безопасности догнать новую поверхность контроля. В IBM в начале эпохи облака вопросом было, можем ли мы доверять инфраструктуре кого-то другого для запуска критически важных рабочих нагрузок. Ответом было модель совместной ответственности и поколение облачных контролей.

Затем наступила эпоха вымогательского ПО. NotPetya в 2017 году вывела из строя компании за несколько часов, и отрасль узнала, что червеподобное вредоносное ПО может вывести из строя глобальные цепочки поставок за одну ночь. Ответом было подготовка к тому, что (а не если) произойдет кибератака, сегментация сетей, неизменяемые резервные копии и серьезный толчок к идентификации.

На протяжении всего моего времени в Kyndryl и PwC SaaS перешла от края к центру каждого имущества. Рабочие нагрузки переместились из центров данных и на стек кого-то другого, идентификация стала периметром, а Zero Trust перестала быть диаграммой и начала быть моделью эксплуатации.

Теперь в Syntax мы находимся в волне GenAI, где система сама рассуждает, генерирует и действует. Каждая волна дала нам новую поверхность контроля, недостаточно предупреждения и более короткое окно между экспериментом и производством. Облако заняло годы. SaaS заняла кварталы. GenAI занимает недели. CISO, которые поспевают, – это те, кто перестал рассматривать каждую волну как исключение и начал рассматривать быструю адаптацию как стабильное состояние.

Когда организации ускоряют внедрение ИИ, как вы оцениваете риск того, что доверие, а не только соблюдение требований, компрометируется? Какие являются самыми ранними индикаторами того, что это начинает происходить?

Доверие является основой любого хорошего внедрения ИИ. Самые ранние индикаторы не в аудиторском отчете, они в операционных сигналах. Теневые развертывания ИИ, которыми никто не владеет. Закупки, одобряющие поставщиков GenAI без проверки безопасности. Происхождение данных, которое ломается в тот момент, когда вы спрашиваете, откуда взялись обучающие данные. Агенты ИИ, которым предоставлены права администратора, потому что никто не хотел замедлить проект. Когда вы видите эти четыре сигнала в одной организации, доверие уже тратится быстрее, чем оно зарабатывается. Руководство обычно последним узнает.

Многие компании принимают ИИ быстрее, чем могут обеспечить его безопасность. Какие являются наиболее распространенными реальными рисками, которые вы видите сегодня, когда управление отстает от инноваций?

Когда управление отстает, три вещи происходят, и ни одна из них не появляется как инцидент безопасности до тех пор, пока не пройдет много времени. Во-первых, регулирующее воздействие накапливается тихо: развертывание ИИ, которое нарушает требования к прозрачности Закона ИИ ЕС, не запускает сигнал тревоги; оно появляется в аудите через два года в виде штрафа. Во-вторых, доверие клиентов подрывается в транзакциях, которые вы никогда не видите: потенциальные клиенты выбирают конкурентов, которые могут доказать управление, и ваша команда продаж никогда не узнает, почему. В-третьих, качество принятия решений ухудшается: организация принимает больше решений, влияющих на ИИ, но не может объяснить или проверить их, и плохие решения накапливаются в местах, где никто не смотрит. Стоимость слабого управления ИИ – это медленная эрозия аудита, продаж и качества принятия решений, заканчивающаяся репутационным нарушением.

Из вашего опыта построения и масштабирования управляемых услуг безопасности и операций SOC, как должны организации пересмотреть свои модели безопасности, чтобы справиться с системами и автономным принятием решений на основе ИИ?

ИИ – это новый вектор атаки, умножитель угроз и важная часть защитной головоломки, и модель безопасности должна адаптироваться, чтобы покрыть все три одновременно.

Как вектор атаки, платформы GenAI сами становятся целями, которые необходимо защитить. Как умножитель угроз, атакующие используют GenAI для создания фишинга в крупном масштабе, генерации кода эксплойта, автоматизации разведки и обнаружения уязвимостей на скорости машины. Как защитная часть, та же технология, повернутая в другую сторону, является единственным реалистичным ответом: защита ИИ, автоматизированная охота за угрозами и дополнение аналитиков больше не являются необязательными; они являются тем, как SOC поддерживает темп с противником, дополненным ИИ. Если они дополнены ИИ, а мы нет, разрыв накапливается с каждым циклом.

Это также создает новый тип актора, которого модель должна регулировать. В Syntax мы уже думаем об агентах ИИ как о присоединении к оргструктуре, наряду с людьми, что задает планку для того, как мы их защищаем. Агентам ИИ необходимы все, что мы даем человеческим пользователям (идентификация, ролевые разрешения, журналы действий, поведенческие базовые показатели) плюс те же рычаги сдерживания, которые мы используем для компрометированных учетных записей: возможность отключить, изолировать и отозвать. Разница в том, что агенты действуют за миллисекунды, поэтому эти рычаги должны быть немедленными и автоматизированными, а не концом рабочего процесса реагирования на инциденты.

В Syntax наш Глобальный центр операций безопасности эволюционирует так, чтобы ИИ дополнял человеческого аналитика, а наши сотрудники строят агентные рабочие процессы и агентов внутри платформы Syntax GenAI, которая предоставляет готовые ограничители против предвзятости, токсичности и контроля за конфиденциальностью и безопасностью данных по умолчанию.

Это и есть переосмысление. Защищать ИИ как цель. Развертывать ИИ как защитника. Регулировать использование ИИ.

Часто существует напряжение между скоростью и контролем. Как могут организации поддерживать инновационную скорость, одновременно реализуя значимый надзор и ограничители для систем ИИ?

Скорость и контроль кажутся противоположными, пока вы не построите управление, которое движется вместе с проектом, а не блокирует его. Ошибка заключается в том, чтобы поставить управление на ворота: комитет, подписание, квартальный обзор. К тому времени, когда ворота открываются, команда либо обошла их, либо потеряла импульс. Модель, которая работает, – это процессы, переопределенные с управлением, включенным в них. Ясная и последовательная связь – это начало, за которым следуют предварительно утвержденные шаблоны, предварительно очищенные потоки данных и предварительно определенные шаблоны разрешений. Команды получают скорость, команды безопасности получают видимость, а компромисс, который все предполагают, оказывается плохо спроектированным процессом. Это все о балансировании безопасности с инновациями против аппетита к риску каждой организации.

Вы работали над крупномасштабными стратегиями киберустойчивости и реагирования на инциденты. Как введение ИИ меняет природу киберугроз и то, как организации должны готовиться к ним?

ИИ ускоряет угрозы по разным векторам. Масштаб: фишинг и разведка на скорости машины против тысяч целей одновременно. Сложность: социальная инженерия на основе глубоких фейков, которая обманывает проверку голоса и видео. Идентификация: синтетические идентификаторы, которые проходят проверку идентификации, предназначенную для людей.

Для реагирования на инциденты последствия операционные. Вам нужна детекция, которая не полагается на людей, распознающих закономерности на скорости человека. Вам нужны протоколы верификации, которые предполагают, что голос и видео могут быть подделаны. И вам нужны книги реагирования на инциденты, которые явно охватывают инциденты, связанные с ИИ, потому что шаги восстановления не такие же, как при восстановлении после атаки вымогательского ПО.

В Syntax, что такое “безопасность по умолчанию” ИИ в сложной, реальной корпоративной среде?

В Syntax это означает балансирование инноваций и безопасности посредством принятия нашей платформы GenAI с включенными ограничениями, наших утвержденных, ограниченных и запрещенных услуг и приложений GenAI, моделей и платформ, а также стимулирование культуры безопасности в первую очередь через наш офис управления ИИ. Для нашей глобальной организации безопасности это означает позиционирование себя как поддержку бизнеса, а не блокировку, поддержку бизнеса в его стратегических приоритетах, одновременно защищая Syntax в соответствии с нашим аппетитом к риску.

Существует растущий нарратив о том, что безопасность и соблюдение требований больше не являются блокаторами, а энаблерами роста. Что должно измениться культурно и операционно, чтобы организации действительно приняли этот подход?

Самое большое изменение – это то, что представляет собой успех. Команды безопасности измерялись десятилетиями по тому, что не произошло: нет нарушений, нет инцидентов, нет результатов аудита. Этот показатель вознаграждает за то, что говорят “нет”. Команды, которые работают как энаблеры, измеряют что-то другое: сделки, выигранные потому, что контроли были демонстрируемыми, запуски, которые попали в срок, потому что безопасность очистила путь, и инновации, которые прошли через управление, а не вокруг него.

Операционно это требует процессов, переопределенных с управлением, включенным в них, в сочетании с активным энаблингом, таким как наша платформа GenAI, которая делает безопасность более простым путем, и доступным образованием и программами ИИ, такими как наша инициатива ИИ-чемпионов.

Культура следует тому, что вы стимулируете и что вы энаблируете. Измените то, что вы вознаграждаете, оснастите людей правильными инструментами и правильной подготовкой в правильное время, и вы измените то, что они делают. Это путь, который Syntax проходит.

С учетом того, что ИИ все больше внедряется в корпоративные рабочие процессы, как должны CISO сотрудничать с лидерами ИИ, учеными и командами по продуктам, чтобы обеспечить подотчетность без замедления прогресса?

CISO, который ждет приглашения, будет поздно. CISO, который появляется рано, с практическими шаблонами, а не с возражениями против политики, становится партнером, которого проекты ИИ действительно хотят за столом. На практике это означает совместные сеансы проектирования с командами ИИ, подписи безопасности, которые находятся рядом с функциональными, а не после них, и открытую дверную политику. Это меняет разговор от “Департамента нет” к “Да, но” или “Нет, но” как готовый и сотрудничающий партнер для бизнеса.

Оглядываясь вперед, считаете ли вы, что мы увидим стандартизированную глобальную основу для управления ИИ или организации должны построить свои собственные внутренние архитектуры доверия, независимо от регулирования?

Оба, в этом порядке. Мы увидим фазовую конвергенцию на небольшое количество региональных рамок, Закон ИИ ЕС сначала, другие будут следовать с местными вариациями. Мы не увидим один глобальный стандарт в этом десятилетии из-за геополитической фрагментации. Итак, организации будут делать две вещи параллельно: соблюдать рамку, которая применяется к их крупнейшему рынку, и работать над внутренней архитектурой доверия, которая превышает любую рамку, которая является самой слабой. Внутренняя архитектура имеет больше значения, чем внешний стандарт, потому что регулирующие органы движутся медленно, а угрозы не движутся. Компании, которые строят внутренние архитектуры доверия сейчас, будут тратить следующее десятилетие, говоря “мы уже делаем это” каждому новому регулирующему органу, который прибудет.

Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить Syntax.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.