Девід Маталон, генеральний директор і засновник Venn – Серія інтерв’ю

Девід Маталон, генеральний директор і засновник Venn, – серійний підприємець з довгим досвідом будівництва безпечних корпоративних технологічних платформ, раніше очолював OS33 – одного з перших лідерів у сфері безпечних робочих просторів для фінансових фірм, а також External IT, піонера у сфері хостингу ІТ-сервісів. З Venn він зосереджується на переосмисленні безпеки віддаленої роботи, дозволяючи організаціям приймати модель “приносіть свій пристрій” (BYOD) без жертвування відповідністю або контролем, використовуючи свій глибокий досвід у сфері хмарної інфраструктури, безпеки кінцевих точок та регулювання галузей для вирішення зростаючих проблем розподіленої робочої сили.

Venn – це платформа кібербезпеки та віддаленої роботи, призначена для захисту даних компанії на особистих та необслуговуваних пристроях за допомогою власної технології Blue Border, яка створює безпечну, зашифровану зону на комп’ютері користувача, де програми та дані роботи ізольовані від особистої діяльності. На відміну від традиційної віртуальної інфраструктури робочого столу, Venn дозволяє програмам працювати локально з рідною продуктивністю, одночасно забезпечуючи суворі захист даних та політику відповідності, допомагаючи організаціям зменшити витрати ІТ, швидко інтегрувати віддалених працівників та підтримувати конфіденційність, розділяючи корпоративні та особисті середовища на одному пристрої.

Ви провели понад два десятиліття, будуючи технології для безпечної віддаленої роботи, від запуску Offyx на початку епохи провайдерів застосунків до заснування OS33 та тепер Venn. Які уроки з тих попередніх компаній привели вас до будівництва Venn, і як ці досвіди сформували ідею за Blue Border та вашу бачення безпеки сучасних моделей BYOD?

За останні два десятиліття я мав можливість будувати компанії на різних етапах розвитку віддаленої роботи. В OS33 ми провели роки, доставляючи безпечні віддалені робочі середовища через хостингову інфраструктуру, яка використовувала технологію, подібну до віртуальної інфраструктури робочого столу (VDI). Хоча модель безпеки працювала, ми постійно чули одну й ту ж зворотню зв’язок від клієнтів: досвід використання віддалено хостованих застосунків часто був повільним, складним у підтримці та розчаровуючим для користувачів.

Ця зворотна зв’язок стала переломним моментом. Віддалене хостинг вводило невідворотню затримку та вимагало значної інфраструктури, створюючи операційну складність для ІТ-команд. Ми почали ставити просте питання: що якщо ви можете видалити хостинг з рівня entirely? Замість того, щоб запускати роботу десь інде та передавати її користувачеві, можна безпечно запускати роботу локально на пристрої користувача, одночасно захищаючи корпоративні дані?

Ця думка в кінцевому підсумку привела до Venn та концепції за Blue Border. Замість того, щоб примусово проходити роботу через віддалене хостинг та віртуалізацію, ми створили нову модель, яка дозволяє корпоративним застосункам працювати локально на ноутбуці користувача, одночасно тримаючи компанію даних зашифрованими та захищеними. Навіть на особистому ноутбуці робота залишається ізольованою та захищеною від особистої діяльності.

Інструменти штучного інтелекту поширюються по підприємствам швидше, ніж політики можуть за ними跟ати. З вашої точки зору, чому управління не може跟ати за темпом прийняття штучного інтелекту всередині організацій?

Управління не може跟ати за темпом прийняття штучного інтелекту, оскільки технологія стала повсякденним інструментом майже за одну ніч. За останні кілька років з моменту, коли ChatGPT вибухнув, працівники включили штучний інтелект у свій робочий процес. Вони не чекають офіційного затвердження ІТ; вони вже використовують штучний інтелект, щоб писати швидше, аналізувати інформацію, підсумовувати зустрічі або генерувати код за секунди. У більшості організацій створення політики, юридична перевірка, перевірка безпеки та розгортання ІТ відбувається на значно повільнішому графіку, ніж поведінка користувачів. Це розрив, де управління штучним інтелектом відстає.

Глибша проблема полягає в тому, що багато організацій намагаються застосовувати вчорашню модель контролю до сучасної реальності штучного інтелекту. Традиційне управління було побудовано навколо затвердження або блокування відомого набору застосунків, але штучний інтелект тепер вбудований у браузери, платформи SaaS та навіть операційні системи. Управління повинно еволюціонувати за межі контролю попередньо визначеного набору інструментів та зосередитися на захисті даних, де б вони не перебували, забезпечуючи безпечне робоче середовище та визначення умов, за яких чутливі відомості можуть бути використані безпечно.

Багато компаній намагаються вирішити проблему, обмежуючи або забороняючи інструменти генерації штучного інтелекту. Чому ви вважаєте, що цей підхід не працює на практиці, і які непередбачені ризики безпеки він може створити?

Заборони не працюють, оскільки вони ігнорують реальність того, як люди працюють. Працівники знайдуть способи використовувати інструменти штучного інтелекту незалежно від офіційного затвердження. Це створює “тіньовий” штучний інтелект, або несанкціоноване використання інструментів, особистих облікових записів, робочих процесів копіювання-вставлення та взаємодій у браузері, які можуть відбуватися поза затвердженим наглядом. Компанія тоді втрачає видимість, ставлячи свою чутливу інформацію під ризик.

У багатьох випадках обмежувальні політики можуть збільшити ризик, а не зменшити його. Коли працівники не можуть використовувати ці інструменти безпечно, вони часто знаходять обхідні шляхи. Чутлива компанія даних може опинитися у інструментах, які ІТ або команди безпеки не контролюють. Кращий підхід полягає не у забороні заради заборони, а у забезпечення безпечного використання шляхом ізоляції, контролю даних та встановлення чітких обмежень, які дозволяють бізнесу рухатися вперед без експозиції критичної інформації.

Можливості штучного інтелекту все частіше інтегруються безпосередньо у повсякденні застосунки, а не існують як окремі інструменти. Як ця зміна змінює спосіб, яким команди безпеки повинні думати про моніторинг та контроль експозиції даних?

Ця зміна значна, оскільки вона розбиває стару ментальну модель “рискованого застосунку проти затвердженого застосунку”. Якщо штучний інтелект вбудований у електронну пошту, CRM, конференції, редагування документів та пошук, то експозиція даних вже не пов’язана з тим, чи відкрив користувач окремий інструмент штучного інтелекту. Це пов’язано з тим, які дані доступні всередині застосунку, який контекст штучний інтелект може бачити, та чи відбувається ця взаємодія всередині безпечного робочого середовища.

Як результат, команди безпеки повинні зосередитися на захисті даних, а не на повному контролі пристрою. Фокус повинен бути на ізоляції робочих сесій, контролі копіювання/вставлення та завантаження, де це доречно, запобіганні витоку між особистим та бізнес-контекстами та забезпечення того, щоб чутлива інформація залишалася всередині захищеного середовища.

Технологія Blue Border Venn ізолює робочі застосунки та дані локально на пристрої користувача замість того, щоб покладатися на традиційну віртуальну інфраструктуру робочого столу. Як ця архітектура фундаментально змінює модель безпеки кінцевих точок для віддаленої роботи?

Blue Border фундаментально змінює модель безпеки кінцевих точок, рухаючись за межі ідеї про те, що безпека вимагає або повного контролю пристрою, або віртуалізованого робочого столу. Традиційна VDI забезпечує безпеку, хостуючи роботу віддалено та передавши її користувачеві. Blue Border забезпечує безпеку роботи безпосередньо на пристрої користувача, створюючи ІТ-контрольовану безпечну зону, де застосунки працюють локально, а компанія даних залишається ізольованою та захищеною.

Результатом є інша модель безпеки для віддаленої роботи, де компанії можуть забезпечувати захист навколо самої роботи без видачі комп’ютерів компанії або примушування користувачів мати справу із затримкою та.latency, які походять від хостингу робочого столу у хмарі.

З точки зору безпеки архітектури це зсуває модель з контролю всієї кінцевої точки або централізації протоколів безпеки до захисту самого робочого середовища, де воно перебуває. Blue Border забезпечує, що чутлива інформація ніколи не залишає захищене локальне середовище та забезпечує політику всередині цього кордону. Це запобігає витоку на особисту сторону пристрою. Як результат, користувачі можуть насолоджуватися рідною продуктивністю обчислення та застосунків, а також можуть використовувати особистий пристрій з будь-якого місця у світі, на відміну від обов’язкового пристрою компанії.

Багато організацій борються з балансом між конфіденційністю працівників та корпоративним наглядом, коли працівники використовують особисті пристрої. Як команди безпеки можуть захистити чутливу інформацію без створення відчуття спостереження?

Ключем є захист роботи, а не особистої діяльності. Працівники зрозуміло незручні, коли заходи безпеки можуть поширюватися на їхні особисті файли, повідомлення, історію браузера чи особисті застосунки. На пристрої BYOD довіра має значення. Якщо компанія не може чітко пояснити, де починається та закінчується її видимість, працівники будуть вважати гірше.

Більш сильна модель – це та, яка створює чітке робоче середовище для бізнес-діяльності та застосовує заходи безпеки лише всередині цього кордону. Це дає організації можливість захистити корпоративні дані, одночасно надаючи працівникам впевненість, що їхня особиста діяльність не спостерігається чи керується. Конфіденційність та безпека не повинні бути у конфлікті, якщо архітектура спроєктована для їхнього чіткого розділення.

Віддалена робота та команди на основі контрактів зробили середовища BYOD майже невідворотними. Які найбільші ризики безпеки пов’язані з необслуговуваними пристроями сьогодні?

Найбільший ризик полягає в тому, що необслуговувані пристрої стирають кордон між особистою та бізнес-діяльністю. На одному й тому ж пристрої користувач може мати відкриті робочі застосунки поряд з особистою електронною поштою, споживчими інструментами штучного інтелекту, застосунками обміну повідомленнями, сервісами обміну файлами та недовіряними розширеннями браузера. Без безпечного роздільного шару стає дуже легко для чутливої інформації бути скопійованою, закешованою, завантаженою, захопленою з екрана чи експонованою через канали, які компанія не контролює. Для організацій, які підлягають правилам щодо безпеки даних, це величезний ризик.

Агенти штучного інтелекту та автоматизовані робочі процеси починають взаємодіяти безпосередньо з корпоративними застосунками та даними. Які нові ризики безпеки ці автономні системи вводять?

Автономні системи вводять інший клас ризику, оскільки вони не тільки генерують контент, а й можуть діяти. Агенти штучного інтелекту, пов’язані з корпоративними системами, можуть отримувати або переміщувати дані, оновлювати записи, запускати робочі процеси чи взаємодіяти зовні. Це розширює радіус дії помилки, неправильної конфігурації або компрометованої ідентичності значно за межі того, що ми бачимо у пасивних помічниках штучного інтелекту.

Це також створює нові питання про доступ, довіру та підзвітність. Які дані агент може отримувати? Під яких умов він може діяти? Як ця діяльність реєструється, обмежується та переглядається? Команди ІТ та безпеки повинні ставитися до агентів штучного інтелекту не як до функцій програмного забезпечення, а як до привілейованих цифрових акторів. Це означає застосування принципів, таких як мінімальні привілеї, сегментація, ізоляція сесій та сильна аудитабельність, з самого початку.

Як організації інтегрують генеративний штучний інтелект у інструменти продуктивності, системи підтримки клієнтів та внутрішні робочі процеси, які види експозиції чутливої інформації вас найбільш турбують?

Використання генеративного штучного інтелекту на робочому місці розмиває кордон між особистими та компанією даними. Працівники часто отримують доступ до зовнішніх інструментів під час роботи з компанією інформацією, що робить легко для чутливої інформації, такої як записи клієнтів, внутрішні документи, вихідний код або фінансову інформацію, потрапити у зовнішні середовища. Коли корпоративні дані протікають через особисті контексти або необслуговувані пристрої, компанії втрачають видимість та контроль над тим, куди ця інформація йде, як вона зберігається та хто в кінцевому підсумку до неї може отримати доступ. Коли штучний інтелект стає частиною повсякденних робочих процесів, організації повинні звернути увагу на цей розмитий кордон, забезпечуючи захист компанією даних навіть тоді, коли робота відбувається на особистих пристроях.

Оглядаючи майбутнє, як ви бачите розвиток безпеки кінцевих точок, коли штучно-інтелектні робочі процеси стають більш поширеними у розподіленій та віддаленій робочій силі?

Безпека кінцевих точок повинна стати значно більш адаптивною, контекстно-обізнаною та орієнтованою на робоче середовище. У минулому дизайн безпеки кінцевих точок припускав керований пристрій, визначений офісний периметр та відносно стабільний набір бізнес-застосунків. Майбутнє розподілене, штучно-інтелектне та все частіше автономне. Безпека повинна слідувати самій роботі, де б вона не відбувалася, без припущення повного контролю над пристроєм або блокування продуктивності.

Переможна модель буде тією, яка поєднує сильну роздільність між пристроєм та чутливими даними, контекстно-обізнані засоби контролю доступу та архітектуру, яка зберігає чіткий кордон між роботою та особистою діяльністю. Організаціям потрібні середовища, де працівники, контрактори та штучно-інтелектні робочі процеси можуть працювати продуктивно, але всередині контрольованих обмежень, які захищають дані за проектом. Компанії, які успішно впроваджують штучний інтелект, не будуть тим, хто намагається сповільнити прийняття штучного інтелекту; вони будуть тим, хто робить безпечне впровадження можливим у масштабі.

Дякуємо за велике інтерв’ю. Читачам, які бажають дізнатися більше, рекомендуємо відвідати Venn.