Connect with us

Steve Tait, Chief Technology Officer på Skyhigh Security – Intervjuserie

Intervjuer

Steve Tait, Chief Technology Officer på Skyhigh Security – Intervjuserie

mm
Published
Updated

Steve Tait, Chief Technology Officer på Skyhigh Security, är en erfaren teknisk ledare med över 25 års erfarenhet inom cybersäkerhet, försvar, finansiella tjänster och hälsovård. Han anslöt sig till Skyhigh i augusti 2024 för att leda företagets tekniska vision, arkitektur och molninfrastrukturstrategi för Security Service Edge (SSE).

Skyhigh Security är ett privatägt, molnbaserat cybersäkerhetsföretag med huvudkontor i San Jose, Kalifornien, som erbjuder en omfattande Security Service Edge (SSE)-plattform. Plattformen förenar lösningar som CASB, Secure Web Gateway, Zero Trust Private Access, CNAPP, DLP och Remote Browser Isolation för att skydda data och säkerställa säker samarbete över webb, moln, e-post och privata applikationer. Med fokus på realtidsdataskydd, hotförebyggande och regelefterlevnad servar Skyhigh Security över 3 000 kunder globalt – inklusive många Fortune 500-företag och stora finansiella institutioner – genom en skalbar, data-medveten arkitektur som är utformad för moderna hybridarbetsmiljöer.

Du började din karriär inom mobildata innan du steg upp genom ingenjörs- och ledningsroller inom olika sektorer – vad var den tidiga erfarenheten som formade din passion för cybersäkerhet och ledde dig till där du är idag?

När jag anslöt mig till BAE Systems fick jag insikt i det arbete som de otroliga teamen utförde när de dekomprimerade de mest skadliga virusen och malware för att lära sig hur man kan försvara sig mot dem. Den renodlade skalan och den organiserade professionalismen inom cyberriminaliteten var en riktig ögonöppnare. Till exempel kan koden bakom cyberattacker ibland spåras tillbaka till flera nationella aktörer och kriminella organisationer. Det är inte tonåringar i sovrummen, det är ett allvarligt globalt företag. Att försvara sig mot detta är en verklig god sak för samhället, och jag ville vara en del av det.

Du har uttalat att “digital transformation är över” och att vi nu går in i en era av AI-transformation – hur skiljer du på de två faserna när det gäller företagsstrategi och resultat?

Digital transformation handlade om att använda teknik för att omkonstruera affärsprocesser för att göra dem mer effektiva, effektiva och ge en bättre upplevelse för kunden. AI-transformation från ett affärsperspektiv syftar till att uppnå samma mål. Den grundläggande skillnaden är dock att digital transformation uppnår detta genom processautomatisering, dataaggregering och avancerad datavisualisering, medan AI-transformation uppnår detta genom originalinnehållsskapande, kampanjanalys och autonomt beslutsfattande. Digital transformation syftade till att optimera och strömlinjeforma de mänskliga beslutsprocesserna. AI-transformation har förmågan att eliminera många av dem helt!

Vad anser du är de största organisatoriska utmaningarna som företag möter när de går från klassisk automation till integration av generativ AI?

Nivån av transformation som krävs för att verkligen dra nytta av detta är enorm. Företag kunde – och kanske borde – se helt annorlunda ut om några år. Nu dock, trots all hype, är det fortfarande i sin linda. Den största organisatoriska frågan idag är faktiskt utbildning. Många företag har rullat ut de vanliga “20-minuters” företagsvideor om AI, men det räcker inte. Anställda behöver lära sig hur man kan utnyttja denna teknik, de verkliga risker den presenterar och förstå, även om det bara är en aning, hur den fungerar. På så sätt kan anställda på alla nivåer hjälpa företaget att transformera med tekniken.

I Security Magazine betonade du promptinjektioner och hallucinationer bland de främsta riskerna – vilken hotvektor oroar dig mest, och hur hanterar Skyhigh den?

Oavsiktlig dataexfiltration är den största företagsrisken i volym. Bara från de data vi spårar på Skyhigh såg vi en ökning av data som laddats upp till LLM med en förbluffande 80% under det senaste året. Många gränssnitt fungerar som affärsassistenter och uppmuntrar till att mer och mer information laddas upp. Akten att dela information med en annan person – att ta en fil och zippa för uppladdning till en SFTP-plats för tredjepartsanalys – gör att en anställd stannar upp och tänker på vad de gör och eventuella risker. Det är bara ganska få steg för att göra det och du blir mycket medveten om att du skickar det till någon. Att vara halvvägs genom någon analys med ett AI-verktyg och bara klistra in en block av data i en prompt för AI att ge ett snabbt svar är sekunder av ansträngning, men frågan kvarstår: vart gick datan och hur användes den? På grund av detta ligger Skyhighs huvudfokus på dataskydd för AI-applikationer, särskilt copiloter.

Du har citerat statistik som visar att 94% av AI-applikationer bär LLM-risk och 11% av filer som laddas upp till AI är känsliga – vilka trender ser du i hur företag svarar för att hantera dessa frågor?

Företag använder fortfarande “användarpolicy” och “blockering” som sina primära tekniker, men många företag förblir blinda för mängden AI som används varje dag. Vi ser ett stort intresse för att öka upptäckten, synligheten och utvidga Data Loss Prevention-tekniker till AI, särskilt för stora copilot-applikationer.

Corporate copilots kan komma åt enorma mängder proprietär data – vilka är de mest effektiva strategierna för att förhindra obehörig dataläckage eller missbruk via dessa system?

Det börjar alltid med policy och utbildning. Följande är en kombination av dataetikettering och DLP-tekniker är avgörande. Microsoft AIP-etikettering, till exempel, kan förhindra att konfidentiell data indexeras av MSFT Copilot. I kombination med CASB- och DLP-verktyg kan AIP-etiketter läggas till automatiskt baserat på dataklassificeringar. DLP som utförs på dokument- och promptdata kan säkerställa förhindrande av oavsiktlig datauppladdning.

Du har betonat risken som medborgarutvecklare skapar sina egna applikationer – hur kan företag hitta en balans mellan att främja innovation och säker utveckling?

Det handlar alltid om utbildning. Bara för att någon är en “medborgarutvecklare” betyder det inte att de kan välja bort säkerhetsgrunder som skulle vara en del av standardutbildning för ingenjörer. De behöver inte veta allt som en skicklig programvaruutvecklare kan veta, men grundläggande begrepp som privilegerad åtkomst och horisontell privilegieeskaleringsbegrepp är viktiga när man bygger en applikation. Personligen skulle jag bara aktivera åtkomst till sådana verktyg efter att lämplig utbildning har slutförts. Sedan handlar det om att implementera säkerhetsverktyg för att fånga de oavsiktliga misstagen, vilket kommer tillbaka till tekniker som DLP.

Som CTO på Skyhigh Security, vilket område av AI-riskmitigation – copiloter, medborgarutveckling eller regelefterlevnadsinfrastruktur – prioriterar du för de kommande 12–18 månaderna?

Medvetenhet är avgörande och Skyhigh tillhandahåller redan omfattande Shadow AI-upptäcktsverktyg. Microsoft Copilot och ChatGPT Enterprise är vårt huvudfokus 2025. Vi har redan rullat ut kontroller för båda och vi utvidgar dessa ytterligare under resten av 2025. När vi går in i 2026 ser vi fram emot att vända vår uppmärksamhet mer mot promptkontroll för att säkra mot skadliga prompter, jailbreaking och andra viktiga LLM-risker.

Vad är en genombrott eller förändring som du förutser som kan förändra hur vi tänker om företagssäkerhet i en AI-först-värld?

Agentic AI. Det börjar just, men påverkan är potentiellt enorm. När allt fler av dessa agenter kedjas samman ökar attackvektorerna längs kedjan. Mycket cyberriminalitet “upptäcks” av människor eftersom något inte ser rätt ut. I dessa kedjor av agenter kommer det att vara en verklig utmaning att upptäcka tecken på kompromiss.

Tack för den underbara intervjun, läsare som vill lära sig mer kan besöka Skyhigh Security.

mm

Antoine är en visionär ledare och medgrundare av Unite.AI, driven av en outtröttlig passion för att forma och främja framtiden för AI och robotik. En serieentreprenör, han tror att AI kommer att vara lika omstörtande för samhället som elektricitet, och fångas ofta i extas över potentialen för omstörtande teknologier och AGI. Som en futurist, är han dedikerad till att utforska hur dessa innovationer kommer att forma vår värld. Dessutom är han grundare av Securities.io, en plattform som fokuserar på att investera i banbrytande teknologier som omdefinierar framtiden och omformar hela sektorer.