Connect with us

Jack Cherkas, Global CISO på Syntax – Intervju-serie

Intervjuer

Jack Cherkas, Global CISO på Syntax – Intervju-serie

mm
Published

Jack Cherkas, Global CISO på Syntax, är en cybersäkerhetsexpert med djup erfarenhet av molnsäkerhet, cybersäkerhet, företagsarkitektur och AI-säkerhet. Han har haft ledande roller på Syntax, PwC UK, Kyndryl och IBM, där han hjälpt till att bygga och skala säkerhetsoperationer, hanterat stora incidenter och utvecklat cybersäkerhetsstrategier för stora företagsmiljöer. På Syntax leder han global cybersäkerhet över företagets personal, system, datacenter, hanterade molntjänster och kundorienterade säkerhetserbjudanden, och ansvarar för ett team med över 65 säkerhetsexperter i åtta länder.

Syntax är en global IT-tjänste- och molntjänsteleverantör som specialiserar sig på kritiska företagsapplikationer, särskilt SAP- och Oracle-miljöer. Företaget stödjer organisationer med molnmigration, hanterad hosting, cybersäkerhet, företagsapplikationshantering och AI-aktiverade operationer över hybrid- och multi-molninfrastruktur. Deras arbete fokuserar på att hjälpa företag modernisera, säkra och driva komplexa affärssystem i stor skala.

Du har lett cybersäkerhetsinitiativ på IBM, Kyndryl, PwC och nu Syntax. Hur har din syn på att säkra nya teknologier som AI utvecklats, särskilt när organisationer går från experiment till produktion?

Min karriär har spårat en serie störningar, var och en som kräver att säkerheten håller jämna steg med en ny kontrollpunkt. På IBM i molnets tidiga dagar var frågan om vi kunde lita på någon annans infrastruktur för att köra kritiska arbetsbelastningar. Svaret var ett delat ansvar och en generation molnbaserade kontroller.

Sedan kom ransomware-eran. NotPetya 2017 inaktiverade företag på några timmar, och branschen lärde sig att maskinvara som kunde spridas kunde ta ned globala leverantörskedjor över natten. Svaret var att förbereda sig för när (inte om) en cyberattack skulle ske, nätverkssegmentering, oföränderliga säkerhetskopior och en allvarlig satsning på identitet.

Under min tid på Kyndryl och PwC gick SaaS från kanten till mitten av varje fastighet. Arbetsbelastningar flyttades ut från datacenter och till någon annans stack, identitet blev perimetern och Zero Trust upphörde att vara en diagram och började bli en operativ modell.

Nu på Syntax befinner vi oss i GenAI-vågen, där systemet i sig självt resoneras, genereras och agerar. Varje våg gav oss en ny kontrollpunkt, inte tillräckligt med varning och ett kortare fönster mellan experiment och produktion. Molnet tog år. SaaS tog kvartaler. GenAI tar veckor. CISO:erna som håller jämna steg är de som slutade behandla varje våg som ett undantag och började behandla snabb adoption som den stabila tillståndet.

När organisationer accelererar AI-antagande, hur bedömer du risken att förtroende, inte bara regelefterlevnad, äventyras? Vilka är de tidigaste indikatorerna på att detta börjar hända?

Förtroende är grunden för all bra AI-antagande. De tidigaste indikatorerna finns inte i revisionsrapporten, de finns i operativa signaler. Skugg-AI-distributioner som ingen äger. Inköp som godkänner GenAI-leverantörer utan säkerhetsgranskning. Dataursprung som bryts så fort du frågar var utbildningsdata kom från. AI-agenter som beviljats administratörsbehörighet för att ingen ville sakta ner projektet. När du ser dessa fyra signaler i en organisation, är förtroendet redan på väg att förbrukas snabbare än det tjänas in. Ledningen är vanligtvis den siste som vet.

Många företag antar AI snabbare än de kan säkra den. Vilka är de vanligaste verkliga riskerna du ser idag när styrning ligger efter innovation?

När styrning ligger efter, händer tre saker, och ingen av dem visar sig som säkerhetsincidenter förrän mycket senare. Först, regulatorisk exponering förvärras tyst: en AI-distribution som bryter mot EU:s AI-lagstiftnings transparenskrav utlöser inte en varning; det visas i en revision två år senare som en bot. Andra, kundförtroendet eroderar i transaktioner du aldrig ser: prospekt väljer konkurrenter som kan bevisa styrning, och din försäljningsteam upptäcker aldrig varför. Tredje, beslutskvaliteten försämras: organisationen fattar fler AI-påverkade beslut men kan inte förklara eller granska dem, och dåliga beslut ackumuleras på platser ingen tittar. Kostnaden för svag AI-styrning är den långsamma erosionen av revision, försäljning och beslutsförmåga, som slutar i en rykteskada.

Från din erfarenhet av att bygga och skala hanterade säkerhetstjänster och SOC-operationer, hur bör organisationer omdefiniera sina säkerhetsmodeller för att hantera AI-drivna system och autonoma beslutsfattanden?

AI är en ny attackvektor, en hotmultiplikator och en kritisk försvarspusselbit, och säkerhetsmodellen måste anpassas för att täcka alla tre samtidigt.

Som en attackvektor blir GenAI-plattformarna själva mål att försvara. Som en hotmultiplikator använder angripare GenAI för att skapa phishing i stor skala, generera exploateringskod, automatisera spaning och upptäcka sårbarheter i maskinens hastighet. Som en försvarspusselbit är samma teknik vänd den andra vägen det enda realistiska svaret: AI-driven triage, automatiserad hotjakt och analystillägg är inte längre valfria; de är hur en SOC håller jämna steg med en AI-förstärkt motståndare. Om de är AI-förstärkta och vi inte är det, förvärras gapet med varje cykel.

Det skapar också en ny aktörstyp som modellen måste styra. På Syntax tänker vi redan på AI-agenter som ansluter sig till organisationskartan, bredvid människor, vilket sätter ribban för hur vi säkrar dem. AI-agenter behöver allt vi ger människor (identitet, rollbaserade behörigheter, aktivitetloggar, beteendemässiga grunder) plus samma inneslutningsmekanismer vi använder på komprometterade konton: möjligheten att inaktivera, isolera och återkalla. Skillnaden är hastighet. Agenter agerar på millisekunder, så dessa mekanismer måste vara omedelbara och automatiserade, inte baksidan av en incidenthanteringsarbetsflöde.

På Syntax har vårt Global Security Operations Center utvecklats så att AI förstärker den mänskliga analysen, medan våra anställda bygger agenter och arbetsflöden inom Syntax GenAI-plattformen, som tillhandahåller färdiga skyddsräcken mot partiskhet, giftighet och kontroller för dataskydd och säkerhet som standard.

Det är omdefinieringen. Försvara AI som ett mål. Distribuera AI som en försvarare. Styra användningen av AI.

Det finns ofta spänning mellan hastighet och kontroll. Hur kan organisationer upprätthålla innovationshastighet samtidigt som de implementerar meningsfulla skydd och räcken för AI-system?

Hastighet och kontroll verkar vara motsatser tills du bygger styrning som följer med projektet snarare än blockerar det. Misstaget är att sätta styrningen vid grinden: en kommitté, ett godkännande, en kvartalsgranskning. När grinden öppnas har teamet antingen gått runt den eller förlorat momentum. Modellen som fungerar är processer omdefinierade med styrning inbyggd. Tydlig och konsekvent kommunikation är startpunkten, följt av förgodkända mönster, förklarade dataflöden och fördefinierade behörighetsmallar. Teamen får hastighet, säkerhetsteam får synlighet och den avvägning alla antar finns visar sig vara en dåligt utformad process. Detta handlar om att balansera säkerhet med innovation mot varje organisations riskaptit.

Du har arbetat med storskaliga cybersäkerhetsstrategier och incidenthantering. Hur förändrar införandet av AI naturen av cyberhot och hur organisationer bör förbereda sig för dem?

AI är på väg att förstärka hoten över olika vektorer. Skala: phishing och spaning i maskinens hastighet mot tusentals mål samtidigt. Sofistikation: deepfake-driven social engineering som besegrar röst- och videoverifiering. Identitet: syntetiska identiteter som passerar identitetskontroller utformade för människor.

För incidenthantering är implikationerna operativa. Du behöver upptäckt som inte förlitar sig på att människor känner igen mönster i mänsklig hastighet. Du behöver verifikationsprotokoll som antar att röst och video kan vara fejkade. Och du behöver incidenthanteringshandböcker som uttryckligen täcker AI-relaterade incidenter, eftersom återställningsstegen inte är desamma som att återställa från en ransomware-händelse.

På Syntax, vad betyder “säkerhet vid design” AI i en komplex, verklig företagsmiljö?

På Syntax betyder det att balansera innovation och säkerhet genom antagande av vår GenAI-plattform med inbyggda skyddsräcken, våra godkända, begränsade och förbjudna GenAI-tjänster och -appar, modeller och plattformar, och att driva en säkerhetsförst-kultur genom vår AI-styrningsenhet. För vår Global Security-organisation betyder det att positionera oss som en möjliggörare för affären, inte en blockerare, och stödja affären med dess strategiska prioriteringar samtidigt som vi skyddar Syntax i enlighet med vår riskaptit.

Det finns en växande berättelse om att säkerhet och regelefterlevnad inte längre är hinder för tillväxt, utan möjliggörare. Vad måste förändras kulturellt och operativt för att organisationer ska kunna anta den här mentaliteten?

Den största förändringen är vad som utgör framgång. Säkerhetsteam har mätts i decennier efter vad som inte hände: inga intrång, inga incidenter, inga revisionsfynd. Den måttstocken belönar att säga nej. Team som fungerar som möjliggörare mäter något annat: affärer som vunnits för att kontroller var demonstrerbara, lanseringar som nådde sin datum för att säkerheten bana väg, och innovationer som flyttade genom styrning snarare än runt den.

Operativt behöver det processer omdefinierade med styrning inbyggd, parat med aktiv möjliggörande som vår GenAI-plattform som gör säkerhet till den enklare vägen, och tillgänglig GenAI-utbildning och program, som vår AI-champions-initiativ.

Kulturen följer vad du inciterar och vad du möjliggör. Ändra vad du belönar, utrusta människor med rätt verktyg och rätt utbildning i rätt tid, och du ändrar vad de gör. Detta är resan som Syntax genomgår.

När AI alltmer integreras i företagsarbetsflöden, hur bör CISO:er samarbeta med AI-ledare, dataforskare och produktteam för att säkerställa ansvar utan att sakta ner framstegen?

CISO:n som väntar på att bli inbjuden kommer att vara sen. CISO:n som dyker upp tidigt, med praktiska mönster snarare än policyinvändningar, blir den partner som AI-projekt verkligen vill ha vid bordet. I praktiken betyder det gemensamma designsessioner med AI-team, säkerhetsgodkännanden som sitter bredvid funktionella snarare än efter dem, och en öppen dörrpolicy. Detta ändrar samtalet från att vara “Avdelningen för nej” till “Ja, men” eller “Nej, men” som en villig och samarbetsvillig partner för affären.

Om man ser framåt, tror du att vi kommer att se en standardiserad global ram för AI-styrning, eller kommer organisationer att behöva bygga sina egna interna förtroendearkitekturer oavsett reglering?

Båda, i den ordningen. Vi kommer att se en fasvis konvergens mot ett fåtal regionala ramverk, EU:s AI-lagstiftning först, andra följer med lokal variation. Vi kommer inte att se en enda global standard under detta decennium på grund av geopolitisk fragmentering. Så organisationer kommer att göra två saker parallellt: följa ramverket som gäller för deras största marknad och köra en intern förtroendearkitektur som överträffar vilket ramverk som är svagast. Den interna arkitekturen är viktigare än den externa standarden, eftersom regulatorer rör sig långsamt och hot inte gör det. Företagen som bygger interna förtroendearkitekturer nu kommer att tillbringa nästa decennium med att säga “vi gör redan det” till varje ny regulator som anländer.

Tack för det underbara samtalet, läsare som vill lära sig mer kan besöka Syntax.

mm

Antoine är en visionär ledare och medgrundare av Unite.AI, driven av en outtröttlig passion för att forma och främja framtiden för AI och robotik. En serieentreprenör, han tror att AI kommer att vara lika omstörtande för samhället som elektricitet, och fångas ofta i extas över potentialen för omstörtande teknologier och AGI. Som en futurist, är han dedikerad till att utforska hur dessa innovationer kommer att forma vår värld. Dessutom är han grundare av Securities.io, en plattform som fokuserar på att investera i banbrytande teknologier som omdefinierar framtiden och omformar hela sektorer.