แจ็ค เชอร์คาส์ ผู้อำนวยการด้านความมั่นคงระดับโลกที่ Syntax – ซีรีส์สัมภาษณ์

แจ็ค เชอร์คาส์ ผู้อำนวยการด้านความมั่นคงระดับโลกที่ Syntax เป็นผู้บริหารด้านความมั่นคงไซเบอร์ที่มีประสบการณ์อย่างลึกซึ้งในการรักษาความปลอดภัยบนคลาวด์ ความสามารถในการฟื้นตัวจากเหตุการณ์ทางไซเบอร์ สถาปัตยกรรมองค์กร และความมั่นคงด้าน AI เขาเคยดำรงตำแหน่งผู้บริหารระดับสูง tại Syntax, PwC UK, Kyndryl และ IBM โดยช่วยสร้างและขยายการดำเนินงานด้านความมั่นคง จัดการกับเหตุการณ์สำคัญ และพัฒนาแผนการรักษาความปลอดภัยสำหรับสภาพแวดล้อมองค์กรขนาดใหญ่ ที่ Syntax เขานำทีมด้านความมั่นคงระดับโลกที่ครอบคลุมคน สステム ศูนย์ข้อมูล บริการคลาวด์ที่จัดการ และการเสนอขายด้านความปลอดภัยที่มุ่งเน้นลูกค้า โดยมีทีมงานด้านความมั่นคงมากกว่า 65 คนใน 8 ประเทศ

Syntax เป็นผู้ให้บริการด้าน IT และคลาวด์ที่จัดการระดับโลกที่เชี่ยวชาญด้านแอปพลิเคชันระดับองค์กรที่สำคัญ โดยเฉพาะสภาพแวดล้อม SAP และ Oracle บริษัทสนับสนุนองค์กรในการย้ายระบบไปยังคลาวด์ การโฮสต์ที่จัดการ ความมั่นคงไซเบอร์ การจัดการแอปพลิเคชันระดับองค์กร และการดำเนินงานที่ใช้ AI บนโครงสร้างพื้นฐานหลายคลาวด์และไฮบริด การทำงานของบริษัทมุ่งเน้นช่วยให้องค์กรมีความทันสมัย มีความปลอดภัย และดำเนินระบบธุรกิจที่ซับซ้อนในระดับใหญ่

คุณได้นำโครงการริเริ่มด้านความมั่นคงไซเบอร์ที่ IBM, Kyndryl, PwC และตอนนี้ที่ Syntax เมื่อเทียบกับการเดินทางนั้น มุมมองของคุณเกี่ยวกับการรักษาความปลอดภัยเทคโนโลยีที่เกิดขึ้นใหม่ เช่น AI ได้พัฒนาไปอย่างไร โดยเฉพาะอย่างยิ่งเมื่อองค์กรเปลี่ยนจากการทดลองไปสู่การผลิต?

อาชีพของฉันตามรอยการเปลี่ยนแปลงที่ต้องการให้ความมั่นคงตามทันพื้นผิวควบคุมใหม่ๆ ที่ IBM ในช่วงแรกของคลาวด์ คำถามคือว่าเราสามารถไว้วางใจโครงสร้างพื้นฐานของคนอื่นในการรันเวิร์กโหลดที่สำคัญต่อภารกิจหรือไม่ คำตอบคือโมเดลความรับผิดชอบร่วมกันและรุ่นใหม่ของการควบคุมบนคลาวด์

จากนั้นมาถึงยุคของแรนซอมแวร์ NotPetya ในปี 2017 ทำให้บริษัทต่างๆ ล่มในเวลาเพียงไม่กี่ชั่วโมง และอุตสาหกรรมได้เรียนรู้ว่าแมลแวร์ที่สามารถแพร่กระจายได้สามารถทำลายโซ่อุปทานทั่วโลกในเวลากลางคืนได้ การตอบสนองคือการเตรียมพร้อมสำหรับเมื่อ (ไม่ใช่ถ้า) จะเกิดเหตุการณ์ทางไซเบอร์ การแบ่งส่วนเครือข่าย การสำรองข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ และการผลักดันเรื่องของการระบุตัวตนอย่างจริงจัง

ตลอดเวลาที่ฉันอยู่ที่ Kyndryl และ PwC SaaS ได้เปลี่ยนจากขอบเขตลงมาสู่จุดศูนย์กลางของทุกสภาพแวดล้อม โหลดงานย้ายออกจากศูนย์ข้อมูลและเข้าสู่สแต็กของคนอื่น การระบุตัวตนดำรงเป็นขอบเขต และ Zero Trust หยุดเป็นเพียงแผนภาพและเริ่มเป็นแบบจำลองการดำเนินงาน

ตอนนี้ที่ Syntax เรากำลังอยู่ในช่วงคลื่นของ GenAI ซึ่งระบบตัวเองให้เหตุผล สร้างและดำเนินการ แต่ละคลื่นให้พื้นผิวควบคุมใหม่ ไม่มีการเตือนล่วงหน้า และช่วงเวลาที่สั้นลงระหว่างการทดลองและการผลิต คลาวด์ต้องใช้เวลาหลายปี SaaS ใช้เวลาหลายไตรมาส GenAI ใช้เวลาเพียงไม่กี่สัปดาห์ CISO ที่สามารถตามทันคือคนที่หยุดรักษาแต่ละคลื่นเป็นข้อยกเว้นและเริ่มรักษาการนำรับอย่างรวดเร็วเป็นสถานะที่คงที่

เมื่อองค์กรเร่งการนำ AI มาใช้ คุณประเมินความเสี่ยงว่าความไว้วางใจ ไม่ใช่แค่การปฏิบัติตามกฎระเบียบเท่านั้น ที่กำลังถูกทำลายอย่างไร อะไรคือสัญญาณแรกที่บ่งบอกว่าสิ่งนี้เริ่มเกิดขึ้น?

ความไว้วางใจเป็นพื้นฐานของการนำ AI มาใช้ที่ดี สัญญาณแรกไม่อยู่ในรายงานการตรวจสอบ แต่อยู่ในสัญญาณการดำเนินงาน การใช้งาน AI ที่ไม่มีใครรับผิดชอบ การจัดซื้อจัดจ้างผู้ให้บริการ AI โดยไม่มีการตรวจสอบด้านความปลอดภัย การสืบสานข้อมูลที่ขาดตอนเมื่อคุณถามถึงที่มาของข้อมูลฝึกอบรม ตัวแทน AI ที่ได้รับสิทธิ์การบริหารเพราะไม่มีใครต้องการชะลอโครงการ เมื่อคุณเห็นสัญญาณเหล่านี้สี่สัญญาณในองค์กรหนึ่ง ความไว้วางใจกำลังถูกใช้ไปเร็วกว่าที่ได้รับ คุณนำทีมมักเป็นคนสุดท้ายที่รู้

หลายบริษัทนำ AI มาใช้เร็วกว่าที่พวกเขาสามารถรักษาความปลอดภัยได้ อะไรคือความเสี่ยงในโลกแห่งความเป็นจริงที่คุณเห็นอยู่ทุกวันนี้เมื่อการกำกับดูแลช้ากว่าการนวัตกรรม?

เมื่อการกำกับดูแลช้าสามสิ่งเกิดขึ้น และไม่มีสิ่งใดปรากฏเป็นเหตุการณ์ทางความปลอดภัยจนกว่าจะผ่านไปนาน การเสี่ยงด้านกฎระเบียบสะสมอย่างเงียบๆ การใช้งาน AI ที่ละเมิดข้อกำหนดความโปร่งใสของ EU AI Act ไม่ได้กระตุ้นการเตือน แต่ปรากฏในรายงานการตรวจสอบสองปีต่อมาในฐานะค่าปรับ สอง การเสื่อมถอยของความไว้วางใจของลูกค้าในธุรกรรมที่คุณไม่เห็น ผู้ที่มีแนวโน้มจะเลือกคู่แข่งที่สามารถพิสูจน์การกำกับดูแลได้ และทีมขายของคุณไม่เคยรู้ว่าทำไม สาม คุณภาพการตัดสินใจเสื่อมถอย องค์กรตัดสินใจที่มีอิทธิพลจาก AI มากขึ้น แต่ไม่สามารถอธิบายหรือตรวจสอบได้ และการตัดสินใจที่ไม่ดีสะสมในสถานที่ที่ไม่มีใครดู ต้นทุนของการกำกับดูแล AI ที่อ่อนแอคือการกัดเซาะอย่างช้าๆ ของการตรวจสอบ การขาย และคุณภาพการตัดสินใจ ซึ่งสิ้นสุดด้วยการละเมิดชื่อเสียงที่ทำลายล้าง

จากประสบการณ์ของคุณในการสร้างและขยายบริการด้านความมั่นคงที่จัดการและปฏิบัติการ SOC อย่างไร องค์กรควรคิดใหม่เกี่ยวกับแบบจำลองความปลอดภัยเพื่อรับมือกับระบบและกระบวนการตัดสินใจอัตโนมัติที่ขับเคลื่อนด้วย AI?

AI เป็นเวกเตอร์การโจมตีใหม่ ตัวคูณภัยคุกคาม และชิ้นส่วนป้องกันที่สำคัญ และแบบจำลองความปลอดภัยต้องปรับให้ครอบคลุมทั้งสามสิ่งนี้ในเวลาเดียวกัน

ในฐานะเวกเตอร์การโจมตี แพลตฟอร์ม GenAI เองกลายเป็นเป้าหมายที่ต้องป้องกัน ในฐานะตัวคูณภัยคุกคาม ผู้โจมตีใช้ GenAI เพื่อสร้างการฟิชชิ่งขนาดใหญ่ สร้างโค้ดการเอ็กซ์พลอยต์ อัตโนมัติการสอดแนม และค้นหาจุดอ่อนในความเร็วของเครื่อง ในฐานะชิ้นส่วนป้องกัน เทคโนโลยีเดียวกันที่หันไปทางอื่นเป็นคำตอบที่สมจริงเท่านั้น การไตร่ตรองด้วย AI การล่าภัยคุกคามอัตโนมัติ และการเพิ่มประสิทธิภาพนักวิเคราะห์ไม่ใช่ทางเลือกอีกต่อไป แต่เป็นวิธีที่ SOC ติดตามกับศัตรูที่ได้รับการเพิ่มประสิทธิภาพจาก AI หากพวกเขาได้รับการเพิ่มประสิทธิภาพจาก AI และเราก็ไม่เช่นนั้น ช่องว่างจะเพิ่มขึ้นทุกๆ รอบ

สิ่งนี้สร้างประเภทนักแสดงใหม่ที่แบบจำลองต้องควบคุม ที่ Syntax เราเริ่มคิดถึงตัวแทน AI ว่าเป็นส่วนหนึ่งของแผนผังองค์กร ร่วมกับมนุษย์ ซึ่งตั้งมาตรฐานว่าเราจะรักษาความปลอดภัยให้พวกมันอย่างไร ตัวแทน AI ต้องการทุกสิ่งที่เรามอบให้ผู้ใช้ (การระบุตัวตน สิทธิ์ตามบทบาท บันทึกกิจกรรม ฐานการดำเนินงาน) บวกกับเครื่องมือควบคุมที่เรามอบให้บัญชีที่ถูกบุกรุก การปิดการใช้งาน การแยกออก และการเพิกถอน ความแตกต่างคือความเร็ว ตัวแทนกระทำการในไม่กี่มิลลิวินาที ดังนั้นเครื่องมือเหล่านั้นต้องเร็วทันใจและอัตโนมัติ ไม่ใช่ส่วนหลังของกระบวนการรับมือเหตุการณ์

ที่ Syntax ศูนย์ปฏิบัติการความปลอดภัยระดับโลกของเราได้วิวัฒนาการเพื่อให้ AI เพิ่มประสิทธิภาพให้กับนักวิเคราะห์มนุษย์ ในขณะที่พนักงานของเราสร้างการทำงานของตัวแทนและตัวแทนภายในแพลตฟอร์ม GenAI ของ Syntax ซึ่งมีการป้องกันแบบเริ่มต้นสำหรับการเลือกปฏิบัติ ความเป็นพิษ และการควบคุมความเป็นส่วนตัวและความปลอดภัย

นั่นคือการคิดใหม่ ป้องกัน AI ในฐานะเป้าหมาย ใช้ AI ในฐานะผู้ป้องกัน ควบคุมการใช้ AI

มักมีความตึงเครียดระหว่างความเร็วและควบคุม องค์กรสามารถรักษาความเร็วในการนวัตกรรมได้อย่างไร ในขณะเดียวกันก็ยังใช้การกำกับดูแลและเครื่องมือควบคุมที่มีความหมายสำหรับระบบ AI?

ความเร็วและควบคุมดูเหมือนเป็นสิ่งที่ตรงกันข้ามจนกว่าคุณสร้างการกำกับดูแลที่เดินทางพร้อมกับโครงการ ไม่ใช่การปิดกั้น มีข้อผิดพลาดที่วางการกำกับดูแลที่ประตู: คณะกรรมการ การอนุมัติ การทบทวนรายไตรมาส เมื่อประตูเปิดทีมได้ไปรอบๆ มันหรือเสียโมเมนตัม แล้ว

แบบจำลองที่ทำงานคือกระบวนการที่ถูกกำหนดใหม่ด้วยการกำกับดูแลที่ถูกอบเข้าไป การสื่อสารที่ชัดเจนและสม่ำเสมอเป็นจุดเริ่มต้น ตามด้วยรูปแบบที่ได้รับการอนุมัติล่วงหน้า การไหลของข้อมูลที่ได้รับการอนุมัติ และเทมเพลตสิทธิ์ที่กำหนดไว้ล่วงหน้า ทีมงานได้รับความเร็ว ทีมงานด้านความปลอดภัยได้รับการมองเห็น และการแลกเปลี่ยนที่ทุกคนถือว่ามีอยู่นั้นกลายเป็นกระบวนการที่ออกแบบไม่ดี สิ่งนี้ทั้งหมดเกี่ยวกับการสร้างสมดุลระหว่างความปลอดภัยและนวัตกรรมเทียบกับความอยากได้ความเสี่ยงขององค์กร

คุณได้ทำงานเกี่ยวกับกลยุทธ์ด้านความสามารถในการฟื้นตัวจากเหตุการณ์ทางไซเบอร์และการรับมือเหตุการณ์อย่างไร การแนะนำ AI มาเปลี่ยนแปลงธรรมชาติของภัยคุกคามทางไซเบอร์และวิธีที่องค์กรควรเตรียมพร้อมสำหรับพวกมัน?

AI กำลังเพิ่มความเร็วให้กับภัยคุกคามทั่วเวกเตอร์ต่างๆ ความเร็ว: การฟิชชิ่งและการสอดแนมในความเร็วของเครื่องพร้อมกับเป้าหมายหลายพันแห่ง ความซับซ้อน: การสร้างสื่อทางสังคมที่ใช้เทคนิคการปลอมแปลงลึกที่เอาชนะการยืนยันตัวตนเสียงและวิดีโอ การระบุตัวตน: ตัวตนเทียมที่ผ่านการตรวจสอบตัวตนสำหรับมนุษย์

สำหรับการรับมือเหตุการณ์ ผลกระทบเป็นเชิงปฏิบัติการ คุณต้องการการตรวจจับที่ไม่พึ่งพาการรับรู้รูปแบบของมนุษย์ในความเร็วของมนุษย์ คุณต้องการโพรโทคอลการยืนยันที่ถือว่าเสียงและวิดีโอค Counterfeited ได้ และคุณต้องการหนังสือเล่นการรับมือเหตุการณ์ที่ครอบคลุมเหตุการณ์ที่เกี่ยวข้องกับ AI โดยเฉพาะ เนื่องจากขั้นตอนการฟื้นตัวไม่เหมือนกับการฟื้นตัวจากเหตุการณ์ทางไซเบอร์

ที่ Syntax “การออกแบบที่มีความปลอดภัย” ของ AI ในสภาพแวดล้อมองค์กรที่ซับซ้อนที่แท้จริงมีลักษณะอย่างไร?

ที่ Syntax หมายถึงการสร้างสมดุลระหว่างนวัตกรรมและความปลอดภัยผ่านการนำแพลตฟอร์ม GenAI ที่มีการป้องกันแบบเริ่มต้น บริการและแอปพลิเคชัน GenAI ที่ได้รับการอนุมัติและจำกัด และการส่งเสริมวัฒนธรรมความปลอดภัยอันดับแรกผ่านสำนักงานกำกับดูแล AI ของเรา สำหรับองค์กรความปลอดภัยระดับโลกของเรา หมายถึงการวางตัวเองในฐานะผู้อำนวยความสะดวกให้กับธุรกิจ ไม่ใช่ผู้ขัดขวางการสนับสนุนธุรกิจด้วยลำดับความสำคัญเชิงกลยุทธ์ ในขณะเดียวกันก็ปกป้อง Syntax ตามความอยากได้ความเสี่ยงของเรา

มีเรื่องราวที่เพิ่มขึ้นว่าความปลอดภัยและการปฏิบัติตามกฎระเบียบไม่ใช่ผู้ขัดขวางการเติบโตอีกต่อไป แต่เป็นผู้อำนวยความสะดวกให้กับการเติบโต สิ่ง gìต้องเปลี่ยนแปลงทางวัฒนธรรมและเชิงปฏิบัติการเพื่อให้องค์กรมุมมองนี้?

การเปลี่ยนแปลงที่ใหญ่ที่สุดคือสิ่งที่ความสำเร็จดูเหมือน ทีมงานด้านความปลอดภัยถูกวัดมาหลายทศวรรษจากสิ่งที่ไม่เกิดขึ้น: ไม่มีการละเมิด ไม่มีเหตุการณ์ ไม่มีการพบเห็นในการตรวจสอบ สิ่งนี้ให้รางวัลกับการพูดว่า “ไม่” ทีมงานที่ดำเนินการในฐานะผู้อำนวยความสะดวกวัดสิ่งที่แตกต่าง: ข้อตกลงที่ชนะเพราะการควบคุมสามารถแสดงได้ การเปิดตัวที่ถูกกำหนดเวลาที่ความปลอดภัยชัดเจน และนวัตกรรมที่ผ่านการกำกับดูแลมากกว่าการเดินไปรอบๆ มัน

เชิงปฏิบัติการ ต้องมีการกำหนดกระบวนการใหม่พร้อมการกำกับดูแลที่ถูกอบเข้าไป บวกกับการอำนวยความสะดวกอย่างแข็งขัน เช่น แพลตฟอร์ม GenAI ของเรา ที่ทำให้ความปลอดภัยเป็นทางเลือกที่ง่ายกว่า และการศึกษาและการฝึกอบรม AI ที่เข้าถึงได้ เช่น โครงการ AI Champions ของเรา

วัฒนธรรมติดตามสิ่งที่คุณให้รางวัลและให้อุปกรณ์แก่ผู้คน Change สิ่งที่คุณให้รางวัล อุปกรณ์คนด้วยเครื่องมือที่ถูกต้องและการฝึกอบรมที่ถูกต้องในเวลาที่เหมาะสม และคุณเปลี่ยนสิ่งที่พวกเขาทำ นี่คือการเดินทางที่ Syntax กำลังดำเนินอยู่

เมื่อ AI ถูกฝังอยู่ในเวิร์กโฟลว์ขององค์กร CISO ควรทำงานร่วมกับหัวหน้า AI นักวิทยาศาสตร์ข้อมูลและทีมผลิตภัณฑ์อย่างไรเพื่อให้แน่ใจว่ามีความรับผิดชอบโดยไม่ชะลอความก้าวหน้า?

CISO ที่รอการเชิญชวนจะสาย CISO ที่มาถึงเร็วพร้อมรูปแบบที่ใช้ได้จริงมากกว่าข้อโต้แย้งนโยบาย กลายเป็นหุ้นส่วนที่โครงการ AI ต้องการที่โต๊ะ ในทางปฏิบัติ หมายถึงการออกแบบร่วมกับทีม AI การอนุมัติด้านความปลอดภัยที่นั่งอยู่ข้างๆ การอนุมัติเชิงฟังก์ชันมากกว่าหลังพวกเขา และนโยบายประตูเปิด ทีมงานเปลี่ยนบทสนทนาจาก “กรมไม่” เป็น “ใช่ แต่” หรือ “ไม่ แต่” ในฐานะหุ้นส่วนที่เต็มใจและร่วมมือกับธุรกิจ

เมื่อมองไปข้างหน้า คุณเชื่อว่าเราจะเห็นกรอบการกำกับดูแล AI ที่เป็นมาตรฐานทั่วโลกหรือไม่ หรือองค์กรจะต้องสร้างโครงสร้างความไว้วางใจภายในของตนเองโดยไม่คำนึงถึงกฎระเบียบ?

ทั้งสองอย่างในลำดับนั้น เราจะเห็นการรวมกันของกรอบการกำกับดูแลระดับภูมิภาคไม่กี่กรอบ โดยมี EU AI Act เป็นคนแรก และคนอื่นๆ ที่ตามมาโดยมีการปรับให้เหมาะสมในท้องถิ่น เราจะไม่เห็นมาตรฐานทั่วโลกในทศวรรษนี้เนื่องจากการแบ่งกระจายทางภูมิรัฐศาสตร์ ดังนั้น องค์กรจะทำสิ่งสองอย่างพร้อมๆ กัน: การปฏิบัติตามกรอบการกำกับดูแลที่ใช้กับตลาดหลักที่สุดของตน และการดำเนินโครงสร้างความไว้วางใจภายในที่เกินกว่ากรอบการกำกับดูแลที่อ่อนแอที่สุด โครงสร้างภายในมีความสำคัญมากกว่ามาตรฐานภายนอก เพราะผู้กำกับดูแลเคลื่อนไหวช้าๆ และภัยคุกคามไม่เช่นนั้น องค์กรที่สร้างโครงสร้างความไว้วางใจภายในตอนนี้จะใช้เวลาทศวรรษหน้าในการพูดว่า “เราทำแบบนั้นแล้ว” กับผู้กำกับดูแลใหม่ทุกคน

ขอขอบคุณสำหรับสัมภาษณ์ที่ยอดเยี่ยม ผู้อ่านสามารถเรียนรู้เพิ่มเติมได้ที่ Syntax.