Ciaran Martin, İngiltere’nin Ulusal Siber Güvenlik Merkezi’ni (NCSC) kurdu ve 2013’ten 2020’ye kadar ilk CEO’su olarak görev yaptı.
Üç siyasi partide doğrudan beş başbakan ve çeşitli kıdemli bakanlarla çalışan ve HM Hazine ve Kabine Ofisi’nde ve GCHQ’da üst düzey görevlerde bulunan seçkin bir eski memurdur.
Bugün, Oxford Üniversitesi’nin Blavatnik Hükümet Okulu’nda profesör ve Oxford’daki Hertford College’da bir lisans ve okuduğu tarihti.
Aynı zamanda İngiltere’de Cybercx’in başkanı ve Sans Ciso Enstitüsü başkanı Paladin Capital genel müdürü ve Garrison Technology ve Red Sift’in danışmanıdır.
Bu ayki InfoSecurity Europe Show’daki bir oturum sırasında, şimdi Oxford’daki Blavatnik Okulu tarafından yapay zekanın (AI) saldırganlar ve defansörler arasında kaba bir siber güvenlik dengesini bozabileceği hakkında yayınlanan bir makaleye gizlice göz attı.
Bu dengenin tarihsel olarak üç prensip tarafından yönetildiğini savunuyor. Birincisi, insan güvenliğinin risk altında olduğu bilgisayar sistemleri, hava trafik kontrol sistemlerinde olduğu gibi başarısızlıklara sahip olma eğilimindedir. İkincisi, en tehlikeli yeteneklerin Soğuk Savaş sırasında SSCB ve ABD liderlerinde olduğu gibi, rasyonalite ve tırmanma riskinin bir duygusu olan en yetenekli aktörlerin elinde kalması. Üçüncüsü, Gelişmiş Kodu Bad için kullanabiliyorsanız, normalde iyi (ofset) için kullanabilirsiniz. Bunların ikincisi ve üçüncüsü yapay zeka (AI) ile en azından onun tartışmasıdır.
Makalenin bir précisinde, “Dijital güvenlik dengesi, siber uzayın neden bir zarar, yarışma, ancak bugüne kadar felaketin bir yer olarak kaldığını anlamak istersek yararlı bir kavramdır. Bu şekilde kalabilir, ancak yıllar boyunca sürekli bir çaba ve akıllı policating gerektirir.
Infosec’teki Computer Weekly ile konuşmada bu ve diğer konular hakkında daha fazla ayrıntıya girdi. Aşağıda, bunun sıkıştırılmış ve düzenlenmiş bir versiyonu.
Güvenliğimiz için en büyük tehdidin, şirketlerin siber esnekliğe yatırım yapmaya istekli olmadığıdır mı?
Bu görüşe sempati duyuyorum, ama şirketler üzerinde bir balta işi yapmayacağım. Bence şirketlerin genel olarak rasyonel davranmaya çalıştıklarını düşünüyorum.
Söyleyeceğim ilk şey, geçmişte gittikçe daha fazla felaket olacağı çok fazla hype vardı. Bir anlamda bu, insanların oturup fark ettikleri, özellikle büyük işletmeler vb. Öte yandan, yanlışlıkla biraz bebekleştiğini düşünüyorum. Soğuk savaş sırasında siz ve ben büyüdüğümüzde, nükleer Armagedon tehdidi konusunda endişelenmiş olabiliriz.
AI’nın size sihirli yeni araçlar verdiğini sanmıyorum. Ama yetenek savaşı açısından iyimserim. Bence siber güvenlikte yapay zekanın işleri daha iyi hale getirmesi için büyük bir potansiyel var
Ciaran Martin, Blavatnik Hükümet Okulu, Oxford Üniversitesi
Ama aynı zamanda, bu konuda yapabileceğimiz bir şey olmadığını biliyorduk. Ve eğer bu büyük siber risk ve benzeri söyleniyorsa, “Bekle, bu konuda ne yapabilirim? Bu yüzden hükümete vergi ödüyorum” diye düşünüyorsunuz.
Bence ikinci şey – kişisel veriler gerçekten önemli olsa da, hırsızlığı ve kötüye kullanımı ciddi zararlara yol açabilir – bir şeyleri dengelemeliyiz. Şirketlerin yasaya itaat ettiği ve şimdiye kadar yasal dengenin veri koruması konusunda çok zahmetli ve hizmet kesintisinde çok hafif, dayanıklılık konusunda çok zahmetli olduğu bir ülkede yaşıyoruz.
Bence esnekliği daha fazla teşvik etmeliyiz. Marks ve Spencer iyi bir örnektir. Onlar siber saldırıya kadar gerçekten iyi iş yapan iyi yönetilen bir şirket. Siber söz konusu olduğunda aniden aptal veya ihmalkar değiller. Biraz daha derine bakmalısın. Onların teşvikleri nelerdir? Onlara ne yapmaları söylendi? Yasal olarak öncelik vermek için ne zorunlu kılınırlar? Ve şimdi düşünüyoruz: esneklik kral.
Sunumunuzda, AI’nın ‘güvenlik dengesi’ olarak adlandırdığınız şeyin kararsız olduğu anlamına geldiğini söylediğiniz izlenimini aldım. Bu doğru mu?
AI’nın size sihirli yeni araçlar verdiğini sanmıyorum. Büyük kırmızı düğmeler hakkında uçakları ve tüm bu şeyleri getirebilen çok fazla hype var. Gerçekten bu şekilde çalışmıyor. AI sizi oraya götürmez, ancak yaptığı şey, oldukça yıkıcı ve kötü bir şey yapmak için girişin maliyetini ve diğer engelleri büyük ölçüde azaltmaktır.
Ama yetenek savaşı açısından iyimserim. Bence siber güvenlikte yapay zekanın işleri daha iyi hale getirmesi için büyük bir potansiyel var. Güvenlik açığı taramasında, örneğin, baddies güvenlik açığı taraması yapar, böylece sömürebilirler [vulnerabilities]Goodies bunu yapabilmeleri için yaparlar. Ve genel olarak, bu bizim lehimize çıkmalı.
Ama bu insanlara gelmiyor mu? Hükümetteki siber güvenlik profesyonellerinin üçte biri gibi bir şey yüklenicilerdir, çünkü memurlara özel sektörde kazanabilecekleri para türünü işe almak ve ödemekte gerçek bir sorun vardır.
Geçmişim bana bu sorunun lüks bir yorumunu veriyor çünkü GCHQ insanları tutmada çok iyiydi. Microsoft veya Crowdstrike maaşları ödemiyorlardı, ancak onlara biraz daha fazla ödeme yaptılar ve görev onları iyi ve motive etti. Teşvik eden [a cyber security professional] İş ve emeklilik veya HMRC gibi büyük bir ödeme departmanına girmek biraz farklı olacak.
Bunu söyledikten sonra, insanların gerçekten önemli olduğunu düşünüyorum. Ama her şeyden önce, kullanıcı olarak insanlar çok önemlidir ve onlara kontrol etmek için mantıklı ve anlamlı şeyler vermeye çalışmalıyız ve onlardan Rusları kendi başlarına alabilmelerini istememeliyiz.
Ama aynı zamanda Cassandra’nın beceriler konusunda çok olma eğilimi olduğunu düşünüyorum. NCSC’yi kurarken işe yaramayacağına dair uyarıldım çünkü organizasyonda veya ekonomide yeterli beceri yoktu. Ama orada harika insanlar ve yeniden canlandırılabilir insanlar var. O kadar çok ninjaya ihtiyacın yok. Katmanlara ihtiyacınız var. Hükümette ve bazı büyük şirketlerde seçkin savunma birimlerine ihtiyacınız var. İyi kurumsal siber savunmalara ihtiyacımız var. Siber meraklı bir işgücüne ve temel bilgileri nasıl yapacağımızı bilmek için ihtiyacımız var.
Genellikle NCSC’nin temel bir değişimi temsil ettiği söylenir. Bu neydi ve geçişti?
Bu konuda yüksek falutin almak için, bunun tarihine tekrar bakarsanız, Bletchley Park’tan, bilgi işlem ve bilgisayar güvenliğinden, her iki tarafta, kaçak avcı ve oyun koruyucusu, büyük küresel güçlerin ve hükümetlerin korunmasıydı ve bu – “kripto savaşları”, hepsi.
Şimdi, GCHQ 1919’dan beri bir güvenlik görevi gördü. Ancak bu, İngiltere’nin askeri ve zeka sırlarını korumakla ilgiliydi – bunlar kimsenin umurunda olduğu tek sırlardı. Ancak kitlesel dijitalleşme ile açıklığa geçiş var. Cep telefonlarına erişimi olmayan bir binada bir ekonomiyi dikenli telin arkasından koruyamazsınız. Sadece yapamazsın. İnsanlarla iletişim kuramazsınız, onlara tavsiye veremezsiniz, bir olaya cevap veremezsiniz.
İkinci şey biraz daha aktivist olmaktı. Kamu-özel ortaklıkları ve bilgi paylaşımı konusunda çok fazla pasiflik vardı. Yani, gizliden açıktı ve pasife aktif.
Jeremy Fleming’i gördüm [the former director of GCHQ] Mart ayında Palo Alto Networks ‘Ignite London etkinliğinde konuşuyor. AI avantajının saldırgan ile olduğuna inandıklarını ve daha fazla oynaklıkla, siber güvenlik profesyonellerinin daha temkinli olma eğiliminde olan bir siber güvenlik uzmanlarından aldığı bir saman anketinden şaşırdı. Ancak, teknoloji dağıtımının yüksek bir hızının devam etmesi ve kuruluşların çevik olması koşuluyla, hala ‘avantajın savunmacı ile olduğu konusunda geniş bir iyimserdi’ idi. Bundan ne yapıyorsun? Muhtemelen sürprizinin ulusal güvenlik konusundaki geçmişi nedeniyle miydi?
Ona genel olarak katılıyorum. Bu konuda kötümserlik eğilimi var. Nesnel olarak, kim avantajı var? Söylemek için henüz çok erken [the Chinese prime minister] Zhou Enlai’nin söylediği söyleniyor [about the French Revolution].
Ama ikincisi, böyle olmak zorunda değil. Kötülerin ne avantajları var? Temel olarak, pervasızlık ve etik eksikliği. Yapmaya hazır olmayabileceğimiz şeyler yapmaya hazırlar ve zarar vermek istiyorlar. Yani onlar için farklı bir hesap. Ama avantajlarımız nelerdir? Öncelikle, hukukun üstünlüğünün istikrarı ve inovasyonu turbo şarj eden pazar ekonomileri. Bu teknolojinin hiçbirini inşa etmediler. Sadece diğer insanların teknolojisiyle aldatıyorlar.
Bunların çoğu ekonomi ve iş iklimi ile ilgilidir. Ve ülkenin düzenlemesi ve duruşu. İnsanları güvenliği ciddiye almaya teşvik ediyor musunuz? Ve eğer yaparsanız, o zaman büyük bir İngiliz şirketi şöyle diyecektir: “İyiyiz, patlıyoruz, bu güvenlik işinden biraz endişeliyiz, bu yüzden satın alacağız. Ve orada bir pazar var, o zaman kazanacağız. Bu işe yaramayacaksa, o zaman kazanacaklar.
Ve bizim için, Jeremy ile ortak paylaşacağım İngiltere’de, beş gözünde yaygın olan GCHQ’daki kaçak avcı ve oyun koreçi modeli var, ancak Kıta Avrupa’da yaygın değil: yani saldırganların ve savunucuların birbirinden öğrenebilmeleri için aynı yerde olmaları ve benzeri. GCHQ öncelikle bir yabancı istihbarat dijital casusluk ajansıdır, ancak benim için NCSC’de ve selefi bedeninde CESG’de çalışan insanların çoğu korumaya odaklanmıştır.
Aynı şekilde, teknoloji inşa eden insanlar, Microsoft’ta olduğu gibi onu güvence altına alabilen kişilerdir. Ve [at US defence level]tasarımla güvenli bu yönetim tarafından tutuluyor ve bundan memnunum.