ธอร์สเทน เดลบรูค, ซีเอสโอของ Giesecke+Devrient – ซีรีส์สัมภาษณ์

ธอร์สเทน เดลบรูค, ซีเอสโอของ Giesecke+Devrient, เป็นนักบริหารด้านความมั่นคงทางไซเบอร์ที่มีประสบการณ์มากกว่าสองทศวรรษในการรักษาความปลอดภัยของโครงสร้างพื้นฐานองค์กร, อัตลักษณ์ดิจิทัล, และระบบที่สำคัญ ตั้งแต่เข้าร่วม Giesecke+Devrient (G+D) ในปี 2011 ในตำแหน่ง Corporate Chief Information Security Officer, เขาได้นำยุทธศาสตร์ด้านความปลอดภัยของบริษัททั่วโลกในภาคส่วนที่มีการควบคุมอย่างเข้มงวด รวมถึงการเงิน, โทรคมนาคม, และโครงสร้างพื้นฐานของรัฐบาล ในปี 2020, เขาได้ขยายบทบาทของเขาเป็น Group Vice President, Head of Security and CISO เดลบรูคยังดำรงตำแหน่งเป็น Chairman of the Information Security Forum (ISF), หน่วยงานชั้นนำระดับโลกด้านความมั่นคงทางไซเบอร์และการบริหารความเสี่ยง, และ曾ดำรงตำแหน่งผู้นำด้านความปลอดภัยที่ Infineon Technologies, COMLINE, และ TÜV Secure iT

Giesecke+Devrient (G+D) เป็นบริษัท SecurityTech ที่มีฐานอยู่ที่มิวนิก ซึ่งพัฒนาจากบริษัทพิมพ์ธนบัตรที่ก่อตั้งในปี 1852 เป็นซัพพลายเออร์หลักของโซลูชันด้านความปลอดภัยดิจิทัล, เทคโนโลยีการเงิน, และโครงสร้างพื้นฐานด้านสกุลเงิน บริษัทดำเนินงานในสามส่วนหลัก: Digital Security, Financial Platforms, และ Currency Technology โดยมีเทคโนโลยีที่รักษาความปลอดภัยการเชื่อมต่อแบบมือถือ, อัตลักษณ์ดิจิทัล, ระบบธนาคาร, แพลตฟอร์มการชำระเงิน, และสกุลเงินแบบกายภาพและดิจิทัล G+D ทำงานร่วมกับรัฐบาล, ธนาคารกลาง, สถาบันการเงิน, และองค์กรทั่วโลก รวมถึงการให้บริการสำหรับ eSIM, ระบบการยืนยันตัวตน, การชำระเงินดิจิทัล, ความมั่นคงทางไซเบอร์, และสกุลเงินดิจิทัลของธนาคารกลาง (CBDCs) บริษัทมีตำแหน่งตัวเองเป็นผู้ให้บริการโครงสร้างพื้นฐานที่เชื่อถือได้สำหรับเศรษฐกิจดิจิทัล โดยมีพนักงานมากกว่า 14,000 คนในระดับโลกและมีประสบการณ์หลายทศวรรษในการรักษาความปลอดภัยของระบบที่สำคัญและระบบนิเวศทางการเงิน

คุณได้ใช้เวลาเกือบสามทศวรรษในบทบาทผู้นำด้านความมั่นคงทางไซเบอร์ที่ครอบคลุม TÜV Secure iT, Infineon, และ Giesecke+Devrient มาแล้วกว่า 15 ปี พื้นที่ภัยคุกคามได้พัฒนาไปอย่างไรตั้งแต่ความเสี่ยงด้านความปลอดภัยขององค์กรแบบดั้งเดิมไปสู่ความท้าทายด้านไซเบอร์ที่ขับเคลื่อนด้วย AI ในปัจจุบัน และสิ่งใดที่ทำให้คุณกังวลมากที่สุดเกี่ยวกับทิศทางปัจจุบันของอุตสาหกรรม?

ฉันคิดว่าการเปลี่ยนแปลงหลักตลอดอาชีพการงานของฉันคือความเร็วและผลกระทบ เมื่อฉันเริ่มจัดการความปลอดภัยในช่วงปลายทศวรรษ 1990 ปัญหาด้านความปลอดภัยที่รุนแรงหมายถึงการกำหนดค่าไฟร์วอลล์ที่ไม่ถูกต้องหรือเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดต, พื้นที่ที่ได้รับผลกระทบโดยทั่วไปถูกจำกัดไว้ ในช่วงสามทศวรรษที่ผ่านมา ฉันเห็นว่าผลที่ตามมาของการละเมิดความปลอดภัยเพียงครั้งเดียวเติบโตจากความไม่สะดวกในการดำเนินงานไปสู่ความเสี่ยงของระบบ

และทุกสิ่งที่เร็วกว่า เรากำลังจัดการกับระบบและแบนด์วิธที่สูงกว่า ปัจจุบัน แทบจะไม่มีการจราจรบนอินเทอร์เน็ตที่เกิดจากมนุษย์ – และตามการประมาณการบางอย่าง ประมาณ 40% ของการจราจรทั้งหมดประกอบด้วยกิจกรรมที่เป็นอันตราย เช่น การสแกนแบบมุ่งร้าย, มัลแวร์, และ DDoS

ในเวลาเดียวกัน พื้นที่ได้กลายเป็นแบบรวมศูนย์และกระจุกตัวมากขึ้น ปรัชญาการออกแบบอินเทอร์เน็ตแบบเดิมที่มีการกระจายและความซ้ำซ้อนได้หายไป ในผลที่ตามมา การโจมตีที่มุ่งเป้าไปที่จุดความล้มเหลวเพียงไม่กี่จุดมีผลกระทบมากกว่าที่เคยเป็นมา ซึ่งทำให้เกิดพื้นที่ที่ไม่มีข้อผิดพลาดในการตั้งค่าและดำเนินระบบ IT ในยุคสมัยใหม่ และตอนนี้ AI ก็ย่นระยะเวลาของผู้โจมตีให้สั้นลงอีก

ความคิดเห็นล่าสุดจาก Dario Amodei ได้ทำให้เกิดความกลัวใหม่เกี่ยวกับระบบ AI ที่สามารถระบุจุดอ่อนด้านซอฟต์แวร์ในระดับใหญ่ คุณเชื่อว่าองค์กรต่างๆ กำลังประเมินความเร็วของการเปลี่ยนแปลงนี้ต่ำเกินไปหรือไม่?

ใช่ ฉันเชื่อว่าหลายองค์กรกำลังประเมินความเร็วของการเปลี่ยนแปลงนี้ต่ำเกินไป ในตอนแรก ดูเหมือนว่า AI จะเป็นประโยชน์ต่อทั้งผู้โจมตีและผู้ป้องกันอย่างเท่าเทียมกัน แต่ความเป็นจริงที่น่ากังวลกำลังเกิดขึ้น: AI ไม่ได้สร้างประเภทใหม่ของอาชญากรรมทางไซเบอร์ แต่ได้ทำให้ความสามารถในการโจมตีที่ซับซ้อนเป็นประชาธิปไตย โดยช่วยให้ผู้โจมตีสามารถอัตโนมัติในการสืบสวน, ขจัดข้อจำกัดด้านภาษาในการฟิชชิ่ง, และค้นหาจุดอ่อนด้านซอฟต์แวร์ในความเร็วและขนาดที่ผู้ป้องกันมนุษย์กำลังดิ้นรนในการดูดซับ

ปัญหาอยู่ที่ว่าในขณะที่ AI ได้สร้างการเพิ่มขึ้นอย่างมากในการค้นหาจุดอ่อน แต่ก็ยังไม่ได้ถูกนำไปใช้ในกระบวนการแก้ไขในระดับเดียวกัน ซึ่งสร้างความไม่สมดุลนี้ การค้นหาจุดอ่อนที่ได้รับการช่วยเหลือจาก AI กำลังสร้างงานมากกว่าที่ผู้ป้องกันสามารถจัดการได้

และนอกจากนี้ ยังไม่สมเหตุสมผลที่บริษัทที่นำเสนอโมเดล AI ใหม่ๆ ของตนเองว่าเป็นทางออกจากภัยคุกคามทางไซเบอร์ ในขณะเดียวกันก็เป็นส่วนหนึ่งของปัญหา บริษัทเหล่านี้กำลังขับเคลื่อนการผลิตซอฟต์แวร์ที่เร็วขึ้น แต่ผลลัพธ์มักจะเป็นโค้ดที่มีความเสี่ยงและเปราะบาง – ทำให้พื้นที่โจมตีเพิ่มขึ้น ซึ่งเป็นสิ่งที่ผลิตภัณฑ์ด้านความปลอดภัยของตนเองสัญญาว่าจะลดลง

ที่ G+D เราประเมินกรณีการใช้งาน AI ในลักษณะที่มีโครงสร้างผ่าน AI Board และไม่ขยายสเกลโดยไม่มีการควบคุม ปัญหาไม่ใช่ AI เอง แต่เป็นความขาดการกำกับดูแลในการใช้งาน AI นี่สอดคล้องกับหลักการที่ G+D ใช้ภายใน: AI ต้องการไม่เพียงแต่นวัตกรรม แต่ยังต้องการกระบวนการประเมินและการอนุมัติที่มีการสถาปนา

หลายองค์กรมองเห็น AI เป็นเครื่องมือรักษาความปลอดภัยทางไซเบอร์เป็นหลัก ในมุมมองของคุณ AI กำลังสร้างความเสี่ยงมากกว่าการปกป้องภายในสภาพแวดล้อมองค์กรอย่างไร?

ทีมความปลอดภัยทางไซเบอร์ส่วนใหญ่กำลังใช้ AI ในระดับหนึ่งแล้วสำหรับการตรวจจับ, การจัดประเภท, การประเมิน, และการไตร่ตรองเหตุการณ์ด้านความปลอดภัย – และมันทำงานได้อย่างน่าประทับใจ

อย่างไรก็ตาม ความเสี่ยงใหม่ๆ กำลังเกิดขึ้นพร้อมกับประโยชน์เหล่านี้ จุดอ่อนที่เป็นธรรมชาติในโครงสร้าง AI เองได้รับการอภิปรายและเข้าใจกันอย่างกว้างขวางแล้ว เราไม่ได้รักษาความปลอดภัยโค้ดแบบคงที่อีกต่อไป; เรากำลังรักษาความปลอดภัยระบบที่ไม่แน่นอน ซึ่งนำเสนอเวกเตอร์ภัยคุกคามใหม่ๆ เช่น การฉีดข้อมูลที่เป็นอันตราย (ที่ข้อมูลที่เป็นอันตรายหลอกลวงโมเดล LLM ให้ละเลยรั้วของมัน), การปนเปื้อนข้อมูลเพื่อทำลายตรรกะของโมเดลระหว่างการฝึก, และการรั่วไหลของข้อมูล ซึ่งทำให้ข้อมูลที่เป็นกรรมสิทธิ์ขององค์กรถูกเปิดเผยผ่านเอาต์พุตของโมเดล

และกลยุทธ์ป้องกันแบบดั้งเดิมของเราต้องปรับตัวตามไปด้วย สำหรับหลายองค์กร, การวิเคราะห์พฤติกรรมผู้ใช้และหน่วยงาน (UEBA) ยังคงเป็นแนวคิดที่ค่อนข้างใหม่ ในความเป็นจริง, บริษัทหลายแห่งยังไม่ได้นำแนวทางนี้ไปใช้เนื่องจากกฎระเบียบด้านความเป็นส่วนตัวของข้อมูล, กฎหมายแรงงานที่เข้มงวด, และสิทธิในการเข้าถึงข้อมูลของสภาแรงงาน

การดำเนินการต่อ, จะ UEBA มีความสามารถในการแยกแยะพฤติกรรมของมนุษย์จากการโจมตีแบบอัตโนมัติหรือไม่ หรือบอกได้ว่าเอเย่นต์ AI ที่ดีหรือไม่ดี? มีผลิตภัณฑ์ที่สัญญาว่าจะทำเช่นนั้น แต่โดยทั่วไปแล้วต้องใช้เวลาในการเปลี่ยนจากคำสัญญาในการตลาดไปสู่ประสิทธิภาพที่แท้จริงในสถานการณ์จริง

ในฐานะประธานของ Information Security Forum คุณมีส่วนร่วมในการสนทนากับผู้นำด้านความปลอดภัยจากองค์กรหลักๆ ทั่วโลก คุณคิดว่า CISOs กำลังกังวลเกี่ยวกับคุณภาพของโค้ดที่สร้างโดย AI หรือไม่ หรือปัญหาที่ใหญ่กว่าคือภาระการปฏิบัติงานในการรักษาความปลอดภัยของฐานโค้ดที่ใหญ่ขึ้นอย่างเป็นเลขชี้กำลัง?

ทั้งสองปัญหาเป็นจริง แต่พวกมันลงจอดต่างกัน คุณภาพของโค้ดที่สร้างโดย AI เป็นเรื่องที่น่ากังวลจริงๆ โค้ดที่ AI สร้างมักจะดูสะอาดแต่สามารถมีข้อบกพร่องทางตรรกะที่ซับซ้อน, ค่าปริยายที่ไม่ปลอดภัย, หรือการใช้ไลบรารีที่ไม่เหมาะสมซึ่งยากต่อการตรวจจับเพราะดูเหมือนว่าจะเป็นไปได้

CISOs กังวลเกี่ยวกับเรื่องนี้อย่างแท้จริง

สิ่งที่ฉันได้ยินอย่างต่อเนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยจากองค์กรสมาชิก ISF คือ ปัญหาเรื่องการขึ้นอยู่กับส่วนประกอบภายนอกและไลบรารี่ของบุคคลที่สาม ซึ่งหมายความว่าทุกๆ การพึ่งพาต้องได้รับการติดตาม, จัดการ, และติดตั้งแพตช์อย่างรอบคอบ

ไม่ว่าจะเป็นโค้ดหรือในเครื่องมือเชน, และอาจจะข้ามสภาพแวดล้อมคลาวด์ต่างๆ ด้วย ซึ่งเคยเป็นความท้าทายที่สำคัญมาก่อน AI แล้ว การพัฒนาที่ช่วยเหลือโดย AI ก็เพิ่มสเกลขึ้น ไม่ใช่เพราะปัญหาเปลี่ยนแปลงไป แต่เพราะขนาดที่เพิ่มขึ้น: โค้ดมากขึ้น, ผลิตเร็วขึ้น, มีการพึ่งพามากขึ้น, และข้ามที่เก็บข้อมูลหลายแห่ง

ดังนั้น หากฉันต้องจัดลำดับความสำคัญ: คุณภาพของโค้ดเป็นปัญหาทางวิศวกรรมที่สามารถแก้ไขได้ – เครื่องมือที่ดีกว่า, การทบทวนอย่างเข้มงวด, รั้วที่เข้มงวดมากขึ้นในสายงานพัฒนา ปัญหาในการปฏิบัติงานในการรักษาความปลอดภัยของฐานโค้ดที่ใหญ่ขึ้นและโซ่การอาศัยพึ่งพาที่กระจายออกไปคือความท้าทายที่ยั่งยืนและกว้างขึ้น นั่นคือที่ที่แรงกดดันจริงๆ อยู่ และนั่นคือสิ่งที่เกิดขึ้นซ้ำๆ ในการอภิปรายระดับสูงของ CISO

Giesecke+Devrient ดำเนินงานในภาคส่วนที่มีความละเอียดอ่อนสูง รวมถึงอัตลักษณ์ดิจิทัล, การชำระเงิน, โครงสร้างพื้นฐานด้านการธนาคาร, เทคโนโลยี eSIM, และสกุลเงินดิจิทัลของธนาคารกลาง การรักษาความปลอดภัยโครงสร้างพื้นฐานที่สำคัญแตกต่างอย่างไรในยุค AI เมื่อเทียบกับการปกป้องระบบองค์กรแบบดั้งเดิม?

ที่ G+D เรามีหน้าที่รับผิดชอบหลักเดียวกันกับองค์กรใดๆ ที่ให้ความสำคัญกับความปลอดภัยอย่างจริงจัง อย่างไรก็ตาม, มาตรฐานของเราคือสูงมาก และขอบเขตในการผิดพลาดนั้นเล็กมาก เรารู้ว่าเหตุการณ์ด้านความปลอดภัยภายในโครงสร้างพื้นฐานของเรามีผลกระทบกว้างขวางมากกว่าการละเมิดในองค์กรทั่วไป – ซึ่งเป็นเหตุผลที่ความเสี่ยงด้านความปลอดภัยของเรานั้นต่ำมาก

ที่ที่ AI เพิ่มความซับซ้อนให้กับเราคือในโครงสร้างการปฏิบัติงานเอง ส่วนประกอบที่มีความปลอดภัยสูงของเราส่วนใหญ่ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับระบบการชำระเงิน, อัตลักษณ์ดิจิทัล, หรือผลิตภัณฑ์สำหรับธนาคารกลาง ต้องถูกพัฒนา, ทดสอบ, และดำเนินการในสภาพแวดล้อมที่แยกจากกัน

ซึ่งรวมถึงการแยกทางตรรกะไปจนถึงเครือข่ายที่ไม่มีการเชื่อมต่อภายนอกใดๆ ซึ่งเคยเป็นเรื่องที่ท้าทายมาก่อน AI แต่ตอนนี้ องค์กรทั่วโลกกำลังรวมเครื่องมือที่ช่วยเหลือโดย AI เข้ากับสายงานพัฒนาและปฏิบัติการของตน ซึ่งมักจะพึ่งพาการเชื่อมต่อคลาวด์, การเข้าถึงข้อมูลขนาดใหญ่, และการอัปเดตแบบอย่างต่อเนื่อง

การปรองดองสิ่งนี้กับสภาพแวดล้อมที่แม้แต่การเสียบสายแลนเข้ากับพอร์ตที่ไม่ถูกต้องจะเป็นการละเมิดนโยบายอย่างรุนแรงนั้น เป็นความท้าทายด้านวิศวกรรมและธรรมาภิบาลที่แท้จริง

ทำให้เรา ต้องตัดสินใจอย่างรอบคอบเกี่ยวกับการรวม AI ของเรา ไม่ใช่แค่เลือกโมเดล AI ที่ถูกต้อง แต่ยังต้องตัดสินใจเชิงกลยุทธ์ระดับโครงสร้างพื้นฐานเกี่ยวกับว่าเครื่องมือเหล่านี้จำเป็นต้องถูกใช้ในท้องถิ่นหรือสามารถใช้ได้ผ่านคลาวด์

เรากำลังเห็นการนำ AI ที่ช่วยพัฒนาโค้ดและการพัฒนาอัตโนมัติไปใช้อย่างรวดเร็ว คุณคาดหวังว่าองค์กรจะกำหนดให้โค้ดที่สร้างโดย AI ต้องผ่านกระบวนการตรวจสอบและรับรองแยกต่างหากก่อนการนำไปใช้หรือไม่?

ฉันไม่คิดว่าเกณฑ์ที่ตัดสินควรเป็นเพียงว่าโค้ดถูกเขียนโดยมนุษย์หรือ AI เกณฑ์ที่ตัดสินควรเป็นเรื่องของความเสี่ยง แต่โค้ดที่สร้างโดย AI จะต้องมีการสืบย้อน, การติดตาม, และการตรวจสอบอย่างเข้มงวดในสถานการณ์ที่มีการควบคุมหรือความปลอดภัยสูง

การสร้างแบบจำลองภัยคุกคาม, นโยบายการเขียนโค้ดที่ปลอดภัย, และการรวมเครื่องมือ SAST เข้ากับสายงานพัฒนานั้นเป็นแนวปฏิบัติที่ดีในปัจจุบัน และเครื่องมือเหล่านี้ก็เป็นแบบที่ได้รับการปรับปรุงด้วย AI ด้วย

นอกจากนี้ ทีมพัฒนาต้องติดตามอย่างรอบคอบว่าฟังก์ชันใดที่มีความสำคัญต่อความปลอดภัยหรือเป็นส่วนหนึ่งของส่วนประกอบที่มีการควบคุมหรืออ่อนไหวสูง

และนอกเหนือจากนั้น, Economics จะต้องมีบทบาทสำคัญในอนาคต ปัจจุบัน, ราคาของโทเค็นจากผู้ให้บริการ AI หลักไม่ครอบคลุมต้นทุน การให้บริการแบบอุดหนุนนี้ไม่ยั่งยืนในระยะยาว เมื่อต้นทุนการนำ AI ไปใช้ในกระบวนการทำงานขององค์กรมีการปรับให้สูงขึ้นเพื่อสะท้อนถึงค่าใช้จ่ายด้านโครงสร้างพื้นฐานที่แท้จริง, เราจะต้องเผชิญกับปัญหา

เมื่อนั้น, อุตสาหกรรมจะต้องเปลี่ยนไปสู่โมเดลที่เล็ก, ท้องถิ่น, และสร้างขึ้นเพื่อวัตถุประสงค์เฉพาะ การฝึกโมเดลเหล่านี้สำหรับการใช้งานเฉพาะจะเป็นกลยุทธ์ที่สำคัญในการบรรเทาปัญหาในการเพิ่มขึ้นของต้นทุน

และสำหรับหมวดหมู่ที่มีความต้องการด้านความปลอดภัยสูงสุด, การกำกับดูแลของมนุษย์จะยังคงเป็นข้อกำหนดที่จำเป็น และนั่นคือที่ที่ความท้าทายอยู่: การใช้ความสามารถของมนุษย์ที่มีจำนวนจำกัดอย่างมีประสิทธิภาพที่สุด

ระบบ AI สามารถระบุจุดอ่อนได้เร็วกว่าผู้วิเคราะห์มนุษย์ แต่การแก้ไขยังคงต้องอาศัยการทำงานของมนุษย์ องค์กรกำลังเข้าใกล้จุดที่การบริหารจัดการแพตช์ต้องเป็นอัตโนมัติหรือไม่?

ใช่, การจัดการแพตช์อัตโนมัติไม่ใช่สิ่งฟุ่มเฟือยอีกต่อไป แต่เป็นความจำเป็นในการปฏิบัติงาน ปริมาณจุดอ่อนในปัจจุบันเพียงพอที่จะเกินความสามารถในการไตร่ตรองของมนุษย์

อย่างไรก็ตาม, ฉันเชื่อว่าการนำไปใช้จะต้องเป็นไปตามแนวทางที่เป็นขั้นตอนและเชิงปฏิบัติ สำหรับสภาพแวดล้อมที่ไม่ใช่แบบสำคัญ, การอัตโนมัติเต็มรูปแบบน่าจะเป็นไปได้โดยสิ้นเชิง โดยมีการป้องกันที่เหมาะสม

การแก้ไขอัตโนมัติในระบบที่มีผลกระทบสูงและสำคัญจะยังคงเป็นเรื่องที่ยากต่อการนำไปใช้สำหรับอนาคตอันใกล้

สิ่งนี้ต้องการการดูแลบ้านอย่างรอบคอบและต่อเนื่องอย่างมาก การทำงานที่แท้จริงไม่ใช่สิ่งที่ยาก แต่เป็นระบบที่กว้างขึ้น การตัดสินใจอย่างมีข้อมูลเป็นไปได้เฉพาะเมื่อระบบทั้งหมดสนับสนุนมัน

และดังเดิม, ในบริบทที่มีความละเอียดอ่อนสูง, ความมั่นคงที่ควบคุมและความเร็วสูงต้องไปด้วยกัน สิ่งนี้เป็นส่วนที่ยาก – และส่วนที่ส่วนใหญ่ขององค์กรยังไม่พร้อม

รัฐบาลทั่วโลกกำลังเร่งนำระบบอัตลักษณ์ดิจิทัล, สกุลเงินดิจิทัลของธนาคารกลาง, และโครงสร้างพื้นฐานที่เชื่อมต่อไปใช้ คุณกังวลเกี่ยวกับภัยคุกคามทางไซเบอร์ที่ขับเคลื่อนด้วย AI ที่อาจตามหลังความพร้อมด้านกฎระเบียบและความมั่นคงของชาติหรือไม่?

กรอบการทำงานด้านกฎระเบียบ เช่น NIS2 และ Cyber Resilience Act กำลังผลักดันสิ่งต่างๆ ไปในทิศทางที่ถูกต้อง แต่กฎระเบียบเป็นเพียงส่วนหนึ่งของปัญหาเท่านั้น องค์กรต่างๆ ยังคงต้องนำแนวทางเหล่านี้ไปใช้, รักษาความปลอดภัยของระบบให้ถาวร, และรักษาความเข้าใจที่ดีเกี่ยวกับภัยคุกคามและเป้าหมายการป้องกันของตนอย่างต่อเนื่อง

ฉันมีความหวังอย่างระมัดระวัง โดยมีเงื่อนไขว่าองค์กรไม่ควรปฏิบัติตามการปฏิบัติตามกฎระเบียบเป็นทางเลือกแทนความปลอดภัยที่แท้จริง การจัดการความปลอดภัยที่ทันสมัยไม่ควรรอการกำกับดูแล หากอะไร, การปฏิบัติที่ดีที่สุดในโลกแห่งความเป็นจริงควรไหลเข้าสู่การกำกับดูแล ไม่ใช่ในทางกลับกัน

ในโดเมนที่มีความปลอดภัยสูง เช่น อัตลักษณ์ดิจิทัลและโครงสร้างพื้นฐานด้านการชำระเงิน, การเตรียมพร้อมในการปฏิบัติงานไม่ใช่เรื่องที่ได้รับประกัน G+D ไม่เพียงแต่เป็นผู้จัดหาสินค้าเท่านั้น แต่ยังเป็นพันธมิตรในการสนทนาสำหรับธนาคารกลางและรัฐบาลทั่วโลก G+D ยังเป็นผู้มีส่วนร่วมอย่างแข็งขันในการปกป้องโครงสร้างพื้นฐานดิจิทัลที่สำคัญๆ – ตัวอย่างเช่นผ่าน Secunet ในฐานะพันธมิตรด้าน IT ความมั่นคงแห่งสหพันธรัฐเยอรมนี

ผู้เชี่ยวชาญบางคนอธิบายระบบ AI ที่ซับซ้อนเป็น “อาวุธทางไซเบอร์” ในขณะที่คนอื่นๆ แย้งว่าการอธิบายดังกล่าวเกินจริง จากมุมมองของคุณ, สิ่งใดที่ผู้คนเข้าใจผิดเกี่ยวกับความเสี่ยงในโลกแห่งความเป็นจริงที่ระบบ AI ขอบเขตนำเสนอ?

สิ่งที่ผู้คนเข้าใจผิดคือสมมติฐานที่ว่าความขัดแย้งทางไซเบอร์เป็นไปตามตรรกะของสงครามทางกายภาพ ว่าอาวุธที่มีพลังเพียงพอจะพังทลายผ่านการป้องกันใดๆ ได้ ส่วนใหญ่ของการอธิบาย “อาวุธไซเบอร์” ยืมมาจากความคิดแบบกายภาพ: ปืนใหญ่ที่ใหญ่กว่าชนะกำแพงที่หนากว่า, ขีปนาวุธที่ฉลาดกว่าชนะเครื่องบินที่เร็วกว่า แต่ไซเบอร์ไม่ทำงานในลักษณะนั้น

การโจมตีทางไซเบอร์ที่ประสบความสำเร็จเกือบจะไม่เคยสำเร็จผ่านการบังคับด้วยกำลังที่เข้มข้น การโจมตีทางไซเบอร์สำเร็จโดยการค้นหาและใช้ประโยชน์จากช่องโหว่: การกำหนดค่าที่ไม่ถูกต้อง, จุดอ่อนที่ไม่ได้รับการอัปเดต, ข้อผิดพลาดของมนุษย์, หรือจุดอ่อนในโซ่การอุปทาน AI ไม่ได้เปลี่ยนแปลงพลวัตพื้นฐานนี้ มันทำให้การค้นหาช่องโหว่เหล่านั้นเร็วขึ้นและถูกกว่า และลดขีดความสามารถที่จำเป็นในการใช้ประโยชน์จากช่องโหว่เหล่านั้น

ความเสี่ยงที่แท้จริงไม่ใช่ว่า AI จะสร้างความสามารถในการโจมตีที่ไม่สามารถหยุดยั้งได้ซึ่งไม่มีการป้องกันใดๆ ที่สามารถต้านทานได้ ความเสี่ยงที่แท้จริงคือ AI จะเร่งและขยายการแสวงหาประโยชน์จากจุดอ่อนทั่วไป – จุดอ่อนเดียวกับที่เราต่อสู้มาหลายทศวรรษ – ด้วยความเร็วที่เกินความสามารถของเราในการปิดมัน

การอธิบาย AI เป็นอาวุธไซเบอร์ทำให้สิ่งนี้เบี่ยงเบนไป มันส่งเสริมความคิดของการแข่งขันอาวุธเมื่อจริงๆ แล้วที่ต้องการคือการดูแลการปฏิบัติงานที่ดีขึ้น, การแก้ไขที่เร็วขึ้น, และโครงสร้างพื้นฐานที่ยืดหยุ่นมากขึ้น ความเสี่ยงไม่ใช่อาวุธใหม่ที่มีพลังมาก มันคือช่องโหว่เก่าๆ ที่ถูกใช้ประโยชน์ในความเร็วใหม่

เมื่อมองไปข้างหน้า คุณคิดว่าภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดจาก AI จะมาจากการทโจมตีของประเทศที่มีความซับซ้อน, การแสวงหาประโยชน์อัตโนมัติในระดับใหญ่, การใช้ภายในที่ไม่เหมาะสม, จุดอ่อนในโซ่การอุปทาน, หรือสิ่งที่อุตสาหกรรมยังไม่ให้ความสนใจเพียงพอ?

การคาดการณ์อนาคตของความปลอดภัยเป็นสิ่งที่ยากเสมอ การโจมตีของประเทศ, การแสวงหาประโยชน์อัตโนมัติ, การใช้ภายในที่ไม่เหมาะสม, การบุกรุกโซ่การอุปทาน – ทั้งหมดนี้เป็นภัยคุกคามที่แท้จริง และฉันไม่ลบหลู่ใดๆ ออกไป แต่ฉันจะโต้แย้งว่าทั้งหมดนี้เป็นผลที่ตามมา, ไม่ใช่สาเหตุของปัญหา

พวกมันประสบความสำเร็จเมื่อผู้ป้องกันไม่สามารถตามทัน, ไม่ว่าจะเป็นเพราะเหตุผลใดก็ตาม: จุดอ่อนที่ยังไม่เป็นที่รู้จัก, แพตช์ที่ยังไม่มีอยู่, หรือภาระงานที่สูงเกินไป

และนั่นคือที่ที่ฉันเห็นความเสี่ยงที่ใหญ่ที่สุดเมื่อมองไปข้างหน้า 2-3 ปี: ทีมความปลอดภัยที่ถูกครอบงำโดยภาระงาน

ทุกหัวข้อที่กำลังเกิดขึ้น – การกำกับดูแล, อธิปไตย, โครงสร้างพื้นฐานคลาวด์ที่ซับซ้อน, และทุกสิ่งที่มาพร้อมกับพวกมัน – ล้วนลงมาอยู่ที่ทีมที่ถูกยืดเหยียดแล้วด้วยการไตร่ตรองการแจ้งเตือน, การตอบสนองต่อเหตุการณ์, การวิเคราะห์ฟิชชิ่ง, การจัดการจุดอ่อน, การติดตั้งแพตช์, ระเบียบปฏิบัติ, และการรายงาน

การเพิ่มภาระงานที่เพิ่มขึ้นจากทุกสิ่งนี้อาจเป็นเส้นสุดท้ายที่ทำให้แคมเมลแตก

และเมื่อพิจารณาสถานการณ์เศรษฐกิจโลกในปัจจุบัน, ทุกสิ่งนี้กำลังตกกระทบองค์กรภายใต้แรงกดดันด้านต้นทุนที่แท้จริงทั่วทุกด้าน หากไม่ได้รับการจัดการอย่างดีมาก, สิ่งนี้จะกลายเป็นมากเกินไปในที่สุด

ขอบคุณสำหรับการสัมภาษณ์ที่ยอดเยี่ยม ผู้อ่านสามารถเยี่ยมชม Giesecke+Devrient เพื่อเรียนรู้เพิ่มเติม