Ешлі Роуз, засновник і генеральний директор Living Security – Серія інтерв’ю

Ешлі Роуз, засновник і генеральний директор Living Security, – серійний підприємець і інноватор у сфері кібербезпеки, який зосереджується на переосмисленні того, як організації підходять до людського ризику в сфері безпеки. Від моменту заснування компанії у 2017 році вона очолила розробку даних, орієнтованого на поведінку підходу до кібербезпеки, який виходить за рамки традиційної програми підвищення обізнаності та рухається у бік вимірного зменшення ризику та культурних змін. Використовуючи свій досвід у сфері керівництва продуктом та підприємництва, вона допомогла розширити Living Security у швидкозростаючу платформу SaaS, яку використовують підприємства, а також внесла свій внесок у ширшу екосистему кібербезпеки як наставник, радник та захисник ініціатив, таких як Жінки у кібербезпеці.

Living Security – це компанія з кібербезпеки SaaS, яка зосереджується на управлінні людським ризиком, допомагаючи організаціям визначати, вимірювати та зменшувати ризики, пов’язані з поведінкою працівників. Її платформа агрегує поведінкові, ідентифікаційні та загрозливі дані для визначення високоризикових користувачів та надання їм цілевої, реальної навчальної та інтервенційної допомоги, розробленої для запобігання порушенням безпеки до їхнього виникнення. Об’єднуючи аналіз, автоматизацію та привабливі методи навчання, такі як симуляції та ігрові досвіди, компанія дозволяє підприємствам перейти від дотримання вимог безпеки до проактивного, вимірного зменшення ризику по всьому складу працівників.

Ви заснували Living Security у 2017 році після попереднього досвіду створення та розширення споживчих продуктів та роботи у якості власника продукту. Який конкретний момент або розуміння привело вас до зміни сфери діяльності на кібербезпеку та зосередження на людському ризику, і як ця первинна теза витримала випробування часом, коли штучний інтелект стає частиною робочої сили?

У 2017 році більшість організацій розглядали навчання з підвищення обізнаності про безпеку як обов’язковий крок, і це не змінювало поведінку. Переломним моментом стало розуміння того, що якщо людська поведінка призводила до порушення безпеки, то відповідь не могла полягати у більш забуваному навчанні. Дрю Роуз, співзасновник Living Security, очолював програми безпеки та почав гейміфікувати їх, створюючи перші прототипи, які стали кібербезпекою-ескейп-румами. Ми побачили на власні очі, що коли ви робите безпеку досвідченою, люди взаємодіють, вчаться та фактично змінюють поведінку. Це стало основою для Living Security.

Як співзасновники, Дрю та я швидко зрозуміли, що залученість була лише початком. Коли ми розширили ці досвіди у платформу, ми почали бачити закономірності у тому, як люди поводилися, де вони мали труднощі, та де ризик був фактично концентрований. Це викрило велику прогалину: організації не мали реальної видимості людського ризику або того, як його зменшити цілевим чином. Це розуміння привело нас до створення управління людським ризиком, яке полягає у визначенні, вимірюванні та зменшенні ризику на основі індивідуальної поведінки, доступу та загроз, а не лише надання навчання. Коли штучний інтелект стає частиною робочої сили, ця первинна теза лише розширилася: проблема вже не полягає лише у людській поведінці, а у тому, як люди та системи штучного інтелекту взаємодіють. Люди все ще залишаються у центрі, тепер керуючи та розгортаючи агентів штучного інтелекту, що означає, що вам потрібно розширити видимість на цих агентів та зв’язати цей ризик з індивідуумом. Це те, що рухає нашу еволюцію до безпеки робочої сили.

Ви стверджували, що людська помилка є неповним поясненням порушень безпеки. Як організації повинні переосмислити ризик робочої сили сьогодні, коли як людська поведінка, так і дії, керовані штучним інтелектом, внесли свій внесок у поверхню атаки?

Формулювання порушень безпеки як “людської помилки” спрощує проблему та приховує місце справжнього походження ризику. Людський ризик не полягає лише у помилках, а формується комбінацією поведінки, доступу та експозиції до загроз. Деякі працівники мають привілейований доступ до чутливих систем, деякі з них часто стають цілями, а деякі виставляють ризикові поведінки, тому ризик порушень не розподіляється рівномірно. Щоб真正ньо зрозуміти ризик, організації повинні мати видимість того, де ці фактори перетинаються та де існує людський ризик.

Відповідно організації повинні вийти за рамки моделей, заснованих на обізнаності, та переосмислити ризик робочої сили як спільну, оперативну проблему, яка охоплює як людський ризик, так і дії, керовані штучним інтелектом. Це означає зосередження уваги на безперервній видимості того, як робота виконується, розуміння того, де ризик концентрується, та застосування цілевих, реальних інтервенцій по всій гібридній робочій силі, а не лікування ризику як ізольованих помилок користувачів.

Інструменти штучного інтелекту зараз складають код, обробляють робочі потоки та навіть приймають рішення. На якому етапі системи штучного інтелекту перестають бути інструментами та починають розглядатися як частина робочої сили з точки зору безпеки?

Системи штучного інтелекту перестають бути лише інструментами та починають розглядатися як частина робочої сили в момент, коли вони починають діяти всередині підприємств. На цьому етапі вони вводять ризик тим же чином, що й працівники: через дії, які вони здійснюють, дозволи, з якими вони діють, та дані, до яких вони мають доступ. Зміна для організацій полягає у визнанні того, що агенти штучного інтелекту не є лише шарами продуктивності – вони оперативними учасниками, та їм потрібно керувати, моніторити та захищати поряд з людськими користувачами у рамках єдиної моделі ризику робочої сили.

Як організації повинні підходити до управління, коли ризик вже не обмежується працівниками, а поширюється на агентів штучного інтелекту, які діють з різним рівнем автономності та доступу?

Організації повинні вийти за рамки політики управління та розглядати його як безперервний, поведінково-орієнтований процес, який застосовується як до людей, так і до агентів штучного інтелекту. Більшість організацій вже мають політики штучного інтелекту, але прогалина полягає у виконанні та видимості, особливо коли працівники приймають інструменти поза санкціонованими середовищами, а системи штучного інтелекту діють з різним рівнем доступу.

Ефективне управління починається з чіткого визначення прийнятного використання на основі ролі та доступу до даних, але воно також вимагає реальної допомоги, інтегрованої у робочі потоки, та безперервного вимірювання, щоб організації могли бачити, де ризик виникає, та адаптуватися. В кінцевому підсумку, управління повинно відображати, як робота відбувається сьогодні: по всій гібридній робочій силі, де люди та системи штучного інтелекту приймають рішення, мають доступ до даних та вводять ризик.

Living Security зосереджувалася сильно на моделях безпеки, керованих поведінкою. Як ця філософія перекладається, коли деякі поведінки походять від систем штучного інтелекту, а не від людей?

Підхід Living Security, орієнтований на поведінку, природно розширюється на штучний інтелект, оскільки увага завжди була не лише на тому, хто створює ризик, а на тому, як ризик вводиться через дії. Чи це людина, чи система штучного інтелекту, ризик з’являється у поведінці, доступі до даних, діях, які здійснюються всередині робочих потоків, та рішеннях, які приймаються. Коли системи штучного інтелекту беруть на себе більше оперативної відповідальності, та сама модель застосовується: організації повинні мати видимість цих поведінок, разом з можливістю спрямовувати та інтервенувати в реальному часі.

Це що призвело до розробки Livvy, штучного інтелекту, який живить платформу Living Security – застосовуючи передбачувану інтелект та безперервний моніторинг по всій діяльності людей та штучного інтелекту. Замість того, щоб розглядати штучний інтелект як окремий виклик, це дозволяє більш уніфікований підхід, де поведінка, людська чи машинна, безперервно вимірюється, спрямовується та керується у рамках єдиної моделі ризику робочої сили.

Багато організацій усе ще покладаються на періодичне навчання з підвищення обізнаності про безпеку. Чому ця модель розбивається у сучасних середовищах, і що виглядає真正ньо адаптивний, даних-орієнтований підхід на практиці?

Періодичне навчання з підвищення обізнаності про безпеку розбивається, оскільки воно було створене для статичної поверхні загроз та припускає, що ризик можна зменшити через загальне навчання. На практиці більшість інцидентів походять від повсякденної оперативної поведінки, а не відсутності навчання, та ризик часто концентрується серед невеликої частини користувачів. Більш адаптивний, даних-орієнтований підхід зосереджується на безперервному визначенні того, де ризик фактично існує, та наданні цілевої, реальної допомоги у робочому потоці – зсуваючи фокус від завершення навчання до вимірного зменшення ризику.

Ваша платформа підкреслює кількісну оцінку людського ризику за допомогою реальних даних. Які найважливіші сигнали організації повинні відстежувати сьогодні, щоб зрозуміти ризик динамічно, а не ретроспективно?

Організації повинні зосередитися на поведінці, ідентифікації та доступі, а також на експозиції до загроз, сигналах, які відображають, як ризик створюється та де він концентрується по всій робочій силі. Це тепер також поширюється на штучний інтелект, включаючи інструменти, які працівники використовують, дозволи, які ці системи мають, та те, як вони конфігуруються чи запускаються. Самі по собі ці сигнали є корисними, але справжня цінність полягає у тому, як вони поєднуються, щоб розповісти історію про ризик.

Наприклад, фінансовий директор, який має доступ до фінансових систем, не використовує багатофакторну аутентифікацію, використовує інструменти штучного інтелекту, пов’язані з чутливими даними, та активно стає цілею фішингових кампаній, представляє зовсім інший рівень ризику, ніж менеджер з розвитку бізнесу з обмеженим доступом та нижчою експозицією. Ризик не полягає лише у тому, що хтось робить, а у тому, до чого вони мають доступ, системах, які діють від їхнього імені, та тому, як часто вони стають цілями. Коли ви можете бачити ці фактори разом, ви можете зрозуміти, де порушення найімовірніше трапиться, та вжити дії в реальному часі, чи то попереджаючи окрему особу, чи то пріоритизуючи інтервенцію для цієї групи.

Штучний інтелект створює нові уразливості, але він також використовується оборонно. Де баланс зміщується, та чи рухаємося ми до чисто-позитивного чи чисто-негативного впливу безпеки від штучного інтелекту?

Штучний інтелект робить обидва: розширює поверхню атаки, а також покращує те, як організації виявляють та реагують на ризик. З одного боку, він дозволяє більш складним робочим потокам та автономним діям, які можуть вводити нові уразливості; з іншого боку, він дозволяє командам з безпеки аналізувати поведінку у масштабі та діяти швидше. Де баланс приземляється, залежить від того, як організації адаптуються. Наразі багато з них усе ще доганяють видимість та управління, особливо коли штучний інтелект використовується способами, яких вони не повністю відображають. У довгостроковій перспективі це може бути чисто-позитивним, але лише якщо організації будуть розглядати штучний інтелект як частину робочої сили та застосовувати той самий рівень моніторингу, спрямовування та контролю, який вони застосовують до людського ризику.

Не всі працівники чи системи штучного інтелекту створюють рівний ризик. Як організації повинні пріоритизувати інтервенцію без створення тертя чи надмірного спостереження?

Не весь ризик є рівним, та лікування його як рівного створює тертя. Ключем є зосередитися на тому, де ризик фактично концентрується – оскільки приблизно 10% користувачів створюють 73% ризику – та застосовувати цілеву інтервенцію саме там, а не по всій робочій силі. Це означає використання поведінкових, доступних та експозиційних даних для пріоритизації того, хто та що потребує уваги, та надання допомоги у робочому потоці, а не накладання додаткових контролю. Виконано правильно, це зменшує тертя, роблячи безпечний шлях найлегшим для виконання, а не збільшуючи спостереження по всім.

Якщо ми прискоримо час на п’ять років, то чим буде робота безпеки, та що більшість організацій усе ще недооцінюють сьогодні?

Якщо ми прискоримо час на п’ять років, робота безпеки буде визначатися тим, наскільки добре організації зможуть зрозуміти та керувати ризиком по всій робочій силі, включаючи людей та агентів штучного інтелекту, які діють разом. Це не буде про періодичне навчання чи статичні контролю; це буде про безперервну видимість, реальну оцінку ризику та можливість діяти динамічно, коли поведінка, доступ та загрози змінюються. Люди все ще будуть у центрі, але вони будуть керувати та розширювати себе через штучний інтелект, що означає, що безпека повинна враховувати обидва.

Що більшість організацій усе ще недооцінюють, то це те, що вже існує прогалина видимості людського ризику сьогодні, а штучний інтелект посилює її. Багато думають, що у них є стратегія штучного інтелекту, але насправді вони не мають видимості ні людей, ні інструментів, які ці люди використовують. Перший крок полягає у розумінні людського ризику, поведінки, доступу та експозиції до загроз. Другий крок полягає у розширенні цієї видимості на агентів штучного інтелекту, яких працівники використовують, які є такими самими потужними та ризикованими, як і доступ та рішення, які люди дають їм. Без цієї основи організації не лише відстають від штучного інтелекту, а діють з зростаючими сліпими плямами по всій робочій силі.

Дякую за велике інтерв’ю. Читачам, які бажають дізнатися більше, слід відвідати Living Security.