Connect with us

Jack Cherkas, Syntax’in Küresel CISO’su – Röportaj Serisi

Röportajlar

Jack Cherkas, Syntax’in Küresel CISO’su – Röportaj Serisi

mm
Published
Updated

Jack Cherkas, Syntax’in Küresel CISO’su, bulut güvenliği, siber dayanıklılık, kurumsal mimari ve AI güvenliği konularında derin deneyime sahip bir siber güvenlik yöneticisidir. Syntax, PwC UK, Kyndryl ve IBM’de üst düzey rollerde bulunmuş ve güvenlik operasyonlarının oluşturulmasına ve ölçeklendirilmesine, büyük olaylara yanıt çabalarının yönetilmesine ve büyük kurumsal ortamlar için siber dayanıklılık stratejilerinin geliştirilmesine yardımcı olmuştur. Syntax’te, şirketin insanları, sistemleri, veri merkezleri, yönetilen bulut hizmetleri ve müşteri odaklı güvenlik teklifleri boyunca küresel siber güvenliği yönetiyor ve sekiz ülkede 65’den fazla güvenlik uzmanından oluşan bir ekibi denetliyor.

Syntax, misyon kritik kurumsal uygulamalara uzmanlaşmış bir küresel IT hizmetleri ve yönetilen bulut sağlayıcısıdır, özellikle SAP ve Oracle ortamları. Şirket, bulut geçişi, yönetilen barındırma, siber güvenlik, kurumsal uygulama yönetimi ve AI destekli operasyonlar gibi hizmetlerle organizasyonları desteklemektedir. Çalışmaları, komplex iş sistemlerini ölçeklenebilir ve güvenli bir şekilde modernize etmeyi, güvence altına almayı ve işletmeyi hedeflemektedir.

IBM, Kyndryl, PwC ve şimdi Syntax’te siber güvenlik girişimlerini yönettiniz. AI gibi ortaya çıkan teknolojileri güvence altına alma perspektifiniz nasıl değişti, özellikle organizasyonlar deneyden üretime geçiş yapıyor?

Kariyerim, güvenliklerin yeni bir kontrol yüzeyine yetişmesi gereken bir dizi bozulmayı izledi. IBM’de bulutun erken günlerinde, soru başkalarının altyapısına güvenip güvenemeyeceğimizdi. Cevap, paylaşılan sorumluluk modeli ve bulut yerel kontrollerin bir nesliydi.

Sonra fidye yazılımları dönemi geldi. 2017’de NotPetya şirketleri saatler içinde devre dışı bıraktı ve endüstri, solucan benzeri kötü amaçlı yazılımların küresel tedarik zincirlerini bir gecede devre dışı bırakabileceğini öğrendi. Yanıt, bir siber saldırı meydana geldiğinde (değil eğer) hazırlanmak, ağ segmentasyonu, değişmez yedekler ve kimlik konusunda ciddi bir baskı oldu.

Kyndryl ve PwC’deki zamanım boyunca, SaaS her mülkün merkezine geçti. İş yükleri veri merkezlerinden çıkıp birinin başka bir yığınına taşındı, kimlik çevre oldu ve Sıfır Güven operating modeli olarak başladı.

Şimdi Syntax’te, GenAI dalgasındayız, burada sistem kendisi akıl yürütür, üretir ve davranır. Her dalga bize yeni bir kontrol yüzeyi, yeterli uyarı vermedi ve deneyle üretim arasındaki pencereyi kısalttı. Bulut yıllar aldı. SaaS çeyrekte aldı. GenAI haftalar alıyor. Güvenliği sürdüren CISO’lar, her dalgayı bir istisna olarak değil, hızlı benimsemeyi sürekli bir durum olarak tedavi edenlerdir.

Organizasyonlar AI benimsemeyi hızlandırırken, güvenin, sadece uyuma değil, tehlikeye düşme riskini nasıl değerlendirirsiniz? Bu tehlikenin başladığına dair en erken işaretler nelerdir?

Güven, iyi bir AI benimsemesinin temelidir. En erken işaretler denetim raporunda değil, operasyonel sinyallerdedir. Gölge AI dağıtımları kimsenin sahibi değil. Güvenlik incelemesi olmadan GenAI satıcılarını onaylayan satın alma. Veri kökeni nereden geldiğini sorduğunuz anda kırılan veri kökeni. AI ajanlarına kimse projeyi yavaşlatmak istemediği için yönetici izinleri verildi. Bir organizasyonda bu dört işareti görürseniz, güven daha hızlı harcanıyor demektir. Liderlik genellikle son öğrenenlerdir.

Çok sayıda şirket AI’ı güvence altına alabileceklerinden daha hızlı benimsemektedir. Bugün, yenilik hızını korurken AI sistemleri için anlamlı denetim ve güvenlik önlemlerini uygulamak için en yaygın gerçek dünya risklerini nasıl görüyorsunuz?

Yönetişim geride kalırsa, üç şey olur ve hiçbiri güvenlik olayları olarak görünmez, çok sonra ortaya çıkar. İlk olarak, düzenleyici maruziyet sessizce birikir: AI dağıtımı AB AI Yasası’nın şeffaflık gereksinimlerini ihlal eder, ancak alarm vermez, iki yıl sonra bir denetimde ceza olarak ortaya çıkar. İkincisi, müşteri güveni görülmeyen işlemlerde aşınır: potansiyel müşteriler, yönetişim kanıtlatabilen rakipleri seçer ve satış ekibiniz nedenini asla öğrenmez. Üçüncüsü, karar kalitesi bozulur: organizasyon AI ile etkilenen daha fazla karar alır, ancak açıklamak veya denetlemek mümkün değildir ve kötü kararlar kimsenin bakmadığı yerlerde birikir. Zayıf AI yönetiminin maliyeti, denetim, satış ve karar kalitesinin yavaş aşınmasıdır ve sonunda itibarını zedeleyen bir ihlalle sonuçlanır.

Yönetilen güvenlik hizmetleri ve SOC operasyonlarını oluşturup ölçeklendirirken edindiğiniz deneyime dayanarak, AI destekli sistemleri ve otonom karar vermeyi ele almak için güvenlik modellerini nasıl yeniden düşünmelidir?

AI, bir saldırı vektörü, tehdit çarpanı ve kritik bir savunma parçası olarak güvenlik modelini kapsayacak şekilde uyarlanmalıdır.

Bir saldırı vektörü olarak, GenAI platformları kendileri savunulacak hedefler haline gelir. Bir tehdit çarpanı olarak, saldırganlar GenAI’ı kullanarak büyük ölçekli oltalama, sömürme kodu oluşturma, otomatik keşif yapma ve makine hızında zafiyetleri keşfetme için kullanıyorlar. Bir savunma parçası olarak, aynı teknoloji diğer yöne çevrildiğinde, gerçekçi bir cevap değildir; SOC’un AI ile güçlendirilmiş bir düşmana yetişmek için nasıl çalıştığı budur: AI destekli triaj, otomatik tehdit avı ve analist artırma artık isteğe bağlı değildir; bunlar SOC’un AI ile güçlendirilmiş bir düşmana yetişmenin yoludur. Eğer onlar AI ile güçlendirilmiş ve biz değilsek, açıklık her döngüde birikir.

Bu, modelin yönetmesi gereken yeni bir aktör tipini de oluşturur. Syntax’te, AI ajanlarını org şemasına, insanlarla birlikte katılıyormuş gibi düşünüyoruz, bu da onları nasıl güvence altına alacağımızı belirler. AI ajanlarına, insan kullanıcılarımıza verdiğimiz her şeye (kimlik, rol tabanlı izinler, etkinlik günlükleri, davranışsal referanslar) ihtiyacımız var, ayrıca tehlikeye açık hesaplar için kullandığımız aynı kapsama seviyelerine ihtiyacımız var: devre dışı bırakma, izole etme ve iptal etme yetenekleri. Fark, hızdır. Ajanlar milisaniyeler içinde hareket eder, bu nedenle bu seviyelerin anlık ve otomatik olması, bir olay yanıt akışının arkasında değil, gerekir.

Syntax’te, Küresel Güvenlik Operasyon Merkezimiz, AI’ın insan analistini güçlendirdiği şekilde evrimleşirken, çalışanlarımız Syntax GenAI Platformu içinde ajantik iş akışları ve ajanlar oluşturuyor, bu da varsayılan olarak güvence altına alınmış, önyüklü güvenlik ve veri gizliliği için koruyucu önlemler sunuyor.

Bu, yeniden düşünme budur. AI’ı bir hedef olarak savunun. AI’ı bir savunucu olarak dağıtın. AI kullanımını yönetin.

Hız ve kontrol arasında genellikle bir gerilim vardır. Organizasyonlar, anlamlı denetim ve güvenlik önlemlerini uygularken nasıl inovasyon hızını sürdürebilir?

Hız ve kontrol, projenin önünde değil, birlikte ilerlediğinde zıtlar gibi görünür. Hata, governansı kapıda koymaktır: bir komite, bir onay, bir çeyreklik inceleme. Kapı açıldığında, ekip ya onu atlamış ya da momentumunu kaybetmiştir. Çalışan model, governansı projenin bir parçası olarak yeniden tanımlamaktır. Açık ve tutarlı iletişim, önceden onaylanmış kalıplar, önceden onaylanmış veri akışları ve önceden tanımlanmış izin şablonları ile başlar. Ekiplere hız, güvenlik ekiplerine görünürlük sağlar ve herkesin varsaydığı ticaret, kötü tasarlanmış bir süreçtir. Bu, güvenlik ile inovasyonu her organizasyonun risk iştahına karşı dengelemektir.

AI, işletme akışlarına giderek daha fazla entegre olurken, CISO’lar AI liderleri, veri bilimcileri ve ürün ekipleri ile birlikte çalışarak ilerlemeyi yavaşlatmadan hesap verebilirlik nasıl sağlayabilir?

CISO, davet bekleyerek geç kalacaktır. CISO, pratik kalıplarla değil, politika itirazlarıyla değil, erken gelir ve masada olur. Bu, AI ekipleri ile ortak tasarım oturumları, güvenlik onaylarının fonksiyonel onaylarla birlikte değil, onlardan sonra gelmesi, ve açık kapı politikası anlamına gelir. Bu, “Hayır Departmanı”ndan “Evet, ancak” veya “Hayır, ancak” olarak işbirlikçi bir ortak olarak konuşmayı değiştirir.

Gelecekte, AI yönetişimi için standardize edilmiş bir küresel çerçeve görecek misiniz, yoksa organizasyonlar düzenleme olmadan kendi iç güven mimarilerini oluşturmak zorunda kalacaklar mı?

Her ikisi de, bu sırayla. AB AI Yasası ile başlayan birkaç bölgesel çerçevenin aşama aşama birleşmesini göreceğiz, diğerleri yerel varyasyonlarla takip edecek. Bu on yıl içinde tek bir küresel standart görmeyeceğiz, çünkü jeopolitik parçalanma var. Bu nedenle, organizasyonlar iki şeyi paralel olarak yapacaklar: en büyük pazarlarına uygulanan çerçeveyle uyumlu olacaklar ve en zayıf çerçevenin ötesinde bir iç güven mimarisi çalıştıracaklar. İç mimari, dış standarttan daha önemli, çünkü düzenleyiciler yavaş hareket ediyor ve tehditler değil. İç güven mimarilerini şimdi oluşturan şirketler, her yeni düzenleyiciye “zaten bunu yapıyoruz” diyecek.

Harika röportaj için teşekkür ederiz, daha fazla öğrenmek isteyen okuyucular Syntax‘i ziyaret edebilir.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.