نیکلاس کاتمن مدیر ارشد امنیت اطلاعات (CISO) در Logicgate است ، جایی که وی برنامه امنیت اطلاعاتی شرکت را رهبری می کند ، بر نوآوری های امنیتی پلتفرم نظارت می کند و با مشتریان در مدیریت ریسک امنیت سایبری درگیر می شود. کاتمان با بیش از دو دهه تجربه در فناوری اطلاعات و 18+ سال در امنیت سایبری ، عملیات امنیتی را در مشاغل کوچک و شرکت های ثروت 100 ساخته و رهبری کرده است.
منطق یک بستر ریسک و انطباق است که به سازمانها کمک می کند تا برنامه های مدیریت ، ریسک و انطباق (GRC) خود را به صورت خودکار انجام دهند. Logicgate از طریق محصول پرچمدار خود ، Risk Cloud® ، تیم ها را قادر می سازد تا با گردش کار قابل تنظیم ، بینش در زمان واقعی و ادغام ، ریسک را در سراسر شرکت شناسایی ، ارزیابی و مدیریت کنند. این پلتفرم از طیف گسترده ای از موارد استفاده ، از جمله ریسک شخص ثالث ، انطباق امنیت سایبری و مدیریت حسابرسی داخلی پشتیبانی می کند و به شرکت ها کمک می کند تا استراتژی های ریسک چابک و انعطاف پذیر بیشتری ایجاد کنند
شما به عنوان CISO و CIO در Logicgate خدمت می کنید – چگونه می بینید که هوش مصنوعی مسئولیت این نقش ها را در 2-3 سال آینده تغییر می دهد؟
هوش مصنوعی در حال حاضر هر دو نقش را تغییر می دهد ، اما در 2-3 سال آینده ، من فکر می کنم شاهد افزایش عمده ای در AI عامل هستیم که قدرت این را دارد که مجدداً نحوه برخورد با فرآیندهای تجاری را به صورت روزانه مجدداً تصور کند. هر چیزی که معمولاً به میز IT کمک می کند – مانند تنظیم مجدد رمزهای عبور ، نصب برنامه ها و موارد دیگر – توسط یک عامل هوش مصنوعی قابل کنترل است. یکی دیگر از موارد مهم استفاده ، استفاده از عوامل هوش مصنوعی برای انجام ارزیابی های حسابرسی خسته کننده ، به CISO و CIO اجازه می دهد تا درخواست های استراتژیک تری را در اولویت قرار دهند.
با اخراج سایبر فدرال و روند مقررات زدایی ، چگونه باید شرکت ها ضمن حفظ یک وضعیت امنیتی قوی ، به استقرار AI نزدیک شوند؟
در حالی که ما شاهد یک روند مقررات زدایی در ایالات متحده هستیم ، مقررات در واقع در اتحادیه اروپا تقویت می شوند. بنابراین ، اگر شما یک شرکت چند ملیتی هستید ، پیش بینی کنید که نیاز به الزامات نظارتی جهانی در مورد استفاده مسئول از AI داشته باشید. برای شرکت هایی که فقط در ایالات متحده فعالیت می کنند ، می بینم که یک دوره یادگیری از نظر پذیرش هوش مصنوعی وجود دارد. من فکر می کنم برای این شرکت ها مهم است که سیاست های حاکمیتی قوی AI را تشکیل دهند و برخی از نظارت های انسانی را در روند استقرار حفظ کنند ، و اطمینان حاصل کنند که هیچ چیز سرکش نیست.
بزرگترین نقاط نابینا که امروز می بینید وقتی می خواهید هوش مصنوعی را در چارچوب های امنیت سایبری موجود ادغام کنید؟
در حالی که چند زمینه وجود دارد که می توانم به آنها فکر کنم ، تأثیرگذارترین نقطه کور جایی است که داده های شما در آن قرار دارد و در آنجا در حال گذر است. معرفی هوش مصنوعی فقط در آن منطقه نظارت بیشتری خواهد کرد. فروشندگان ویژگی های هوش مصنوعی را در محصولات خود فعال می کنند ، اما این داده ها همیشه به طور مستقیم به مدل/فروشنده AI نمی روند. این ابزارهای امنیتی سنتی مانند DLP و نظارت بر وب را به طور مؤثر کور می کند.
شما گفته اید که بیشتر استراتژی های مدیریت هوش مصنوعی “ببرهای کاغذی” هستند. ترکیبات اصلی یک چارچوب حاکمیتی که در واقع کار می کند چیست؟
وقتی می گویم “ببرهای کاغذی” ، من به طور خاص به استراتژی های حاکمیتی اشاره می کنم که فقط یک تیم کوچک فرایندها و استانداردها را می داند ، و آنها در سراسر سازمان اجرا نمی شوند و حتی درک نمی شوند. هوش مصنوعی بسیار گسترده است ، به این معنی که هر گروه و هر تیم را تحت تأثیر قرار می دهد. استراتژی های “یک اندازه متناسب با همه” کار نمی کنند. یک تیم مالی که ویژگی های AI را در ERP خود اجرا می کند با یک تیم محصول که یک ویژگی AI را در یک محصول خاص اجرا می کند ، متفاوت است و این لیست همچنان ادامه دارد. ترکیبات اصلی یک چارچوب حاکمیت قوی متفاوت است ، اما IAPP ، OWASP ، NIST و سایر نهادهای مشاوره ای چارچوب های بسیار خوبی برای تعیین آنچه باید ارزیابی کنند دارند. سخت ترین قسمت این است که چه زمانی مورد نیاز برای هر مورد استفاده اعمال می شود.
چگونه شرکت ها می توانند از رانش مدل AI جلوگیری کنند و از زمان استفاده مسئولیت پذیر بدون مهندسی بیش از حد سیاست های خود اطمینان حاصل کنند؟
رانش و تخریب فقط بخشی از استفاده از فناوری است ، اما هوش مصنوعی می تواند روند را به میزان قابل توجهی تسریع کند. اما اگر رانش خیلی بزرگ شود ، اقدامات اصلاحی مورد نیاز خواهد بود. یک استراتژی آزمایشی جامع که به دنبال و اندازه گیری دقت ، تعصب و سایر پرچم های قرمز به مرور زمان ضروری است. اگر شرکت ها می خواهند از تعصب و رانش خودداری کنند ، باید با اطمینان از داشتن ابزاری برای شناسایی و اندازه گیری آن ، شروع کنند.
چه نقشی باید ChangeLogs ، به روزرسانی های محدود سیاست و حلقه های بازخورد در زمان واقعی در حفظ حاکمیت AI چابک بازی کند؟
در حالی که آنها در حال حاضر برای کاهش ریسک و مسئولیت ارائه دهنده نقش دارند ، حلقه های بازخورد در زمان واقعی توانایی مشتریان و کاربران را برای انجام حاکمیت هوش مصنوعی مختل می کند ، به ویژه اگر تغییرات در مکانیسم های ارتباطی بیش از حد اتفاق بیفتد.
چه نگرانی هایی در مورد تعصب هوش مصنوعی و تبعیض در تحریریه یا امتیاز دهی به اعتبار دارید ، به خصوص با “خرید اکنون ، پرداخت بعداً” (BNPL)؟
سال گذشته ، من با یک محقق AI/ML در یک بانک بزرگ و چند ملیتی صحبت کردم که در مدل های خطر خود با AI/LLMS آزمایش کرده بود. این مدل ها ، حتی اگر در مجموعه داده های بزرگ و دقیق آموزش دیده باشند ، تصمیمات واقعاً تعجب آور و پشتیبانی نشده ای را برای تأیید یا انکار تحریریه می دانند. به عنوان مثال ، اگر کلمات “اعتبار عالی” در یک متن چت یا ارتباط با مشتریان ذکر شده باشد ، مدل ها به طور پیش فرض وام را انکار می کنند – صرف نظر از اینکه مشتری آن را گفته است یا کارمند بانک آن را گفته است. اگر AI به آن اعتماد شود ، بانک ها به نظارت و پاسخگویی بهتر نیاز دارند و باید این “شگفتی ها” به حداقل برسد.
شما در مورد چگونگی حسابرسی یا ارزیابی الگوریتم هایی که تصمیمات بالایی می گیرند-و چه کسی باید پاسخگو باشد ، چیست؟
این به مدل آزمایش جامع باز می گردد ، جایی که لازم است به طور مداوم الگوریتم/مدل ها را در حد امکان نزدیک به زمان واقعی آزمایش و معیار کند. این می تواند دشوار باشد ، زیرا خروجی مدل ممکن است نتایج مطلوبی داشته باشد که به انسان برای شناسایی فضای باز نیاز دارد. به عنوان نمونه بانکی ، مدلی که تمام وام ها را مسطح می کند ، دارای ریسک بزرگی خواهد بود ، زیرا وام های صفر که تحت تأثیر آن قرار می گیرد ، همیشه به طور پیش فرض خواهد بود. در این حالت ، سازمانی که مدل/الگوریتم را پیاده سازی می کند ، باید مسئول نتیجه مدل باشد ، دقیقاً مانند آنها اگر انسان تصمیم می گرفتند.
با توجه به شرکت های بیشتری که به بیمه سایبری نیاز دارند ، چگونه ابزارهای هوش مصنوعی هم چشم انداز خطر و هم بیمه خود را تغییر می دهند؟
ابزارهای هوش مصنوعی در انتشار مقادیر زیادی از داده ها و یافتن الگوهای یا روندها بسیار عالی هستند. از طرف مشتری ، این ابزارها در درک خطر واقعی سازمان و مدیریت آن خطر نقش مؤثر خواهند داشت. از طرف The Underwriter ، این ابزارها در یافتن ناسازگاری ها و سازمان هایی که به مرور زمان نابالغ می شوند ، مفید خواهند بود.
چگونه شرکت ها می توانند از هوش مصنوعی استفاده کنند تا ریسک سایبری را کاهش دهند و شرایط بهتری را در بازار بیمه امروز مذاکره کنند؟
امروز ، بهترین راه برای اهرم هوشی برای کاهش ریسک و مذاکره در مورد شرایط بهتر بیمه ، فیلتر کردن نویز و حواس پرتی ها ، به شما در تمرکز بر مهمترین خطرات کمک می کند. اگر این خطرات را به روشی جامع کاهش دهید ، نرخ بیمه سایبری شما باید پایین بیاید. خیلی راحت است که از حجم خطرات بسیار زیاد غرق شوید. هنگام تمرکز روی مهمترین موارد ، می تواند تأثیر بسیار بیشتری داشته باشد.
چند مرحله تاکتیکی برای شرکت هایی که می خواهند هوش مصنوعی را با مسئولیت پذیری اجرا کنند ، توصیه می کنید – اما نمی دانید از کجا شروع کنید؟
ابتدا باید درک کنید که موارد استفاده شما چیست و نتایج مورد نظر را مستند کنید. همه می خواهند هوش مصنوعی را پیاده سازی کنند ، اما مهم است که ابتدا به اهداف خود فکر کنید و از آنجا به عقب کار کنید – چیزی که فکر می کنم بسیاری از سازمان ها با آنها مبارزه می کنند. هنگامی که درک خوبی از موارد استفاده خود داشته باشید ، می توانید در مورد چارچوب های مختلف هوش مصنوعی تحقیق کنید و بدانید که کدام یک از کنترل های قابل استفاده برای موارد استفاده و اجرای شما مهم است. حاکمیت قوی هوش مصنوعی نیز برای کاهش ریسک و کارآیی بسیار مهم است زیرا اتوماسیون فقط به اندازه ورودی داده های آن مفید است. سازمان هایی که از هوش مصنوعی استفاده می کنند باید این کار را با مسئولیت پذیری انجام دهند ، زیرا شرکا و چشم انداز سؤالات سختی راجع به گسترش و استفاده از هوش مصنوعی می پرسند. عدم دانستن پاسخ می تواند به معنای از دست دادن معاملات تجاری باشد ، که مستقیماً بر خط پایین تأثیر می گذارد.
اگر مجبور بودید بزرگترین خطر امنیتی مربوط به هوش مصنوعی را پنج سال از این زمان پیش بینی کنید ، چه خواهد بود-و چگونه می توانیم امروز آماده کنیم؟
پیش بینی من این است که از آنجا که AI عامل در فرایندها و برنامه های تجاری بیشتری قرار دارد ، مهاجمان درگیر کلاهبرداری و سوءاستفاده برای دستکاری آن عوامل در ارائه نتایج مخرب خواهند شد. ما قبلاً این موضوع را با دستکاری نمایندگان خدمات به مشتری مشاهده کرده ایم و در نتیجه معاملات و بازپرداختهای غیرمجاز انجام شده است. بازیگران تهدید از ترفندهای زبانی برای دور زدن سیاست ها و دخالت در تصمیم گیری عامل استفاده کردند.
با تشکر از شما برای مصاحبه عالی ، خوانندگانی که مایل به کسب اطلاعات بیشتر هستند باید بازدید کنند منطقبشر
