Адаптация методов безопасности к новому ландшафту угроз

Сара Даффер:
Итак, я без промедления перейду к делу. Мы знаем, что вы оба отвечаете за безопасность в Amazon и AWS, соответственно. Расскажите немного о тех механизмах, которые вы используете, чтобы поддерживать актуальность?

Стив Шмидт:
Конечно. Думаю, нам следует начать с того, что все предприятия разные, и это очевидно для всех присутствующих. Но когда вы управляете такой крупной организацией, как Amazon, различия между бизнес-операциями в пределах одной компании могут удивлять. Некоторые наши организации крайне нетерпимы к риску, а другие в определенных обстоятельствах гораздо смелее ищут границы возможностей. Это зависит от характера бизнеса, от обрабатываемых данных и от многих других факторов. Кроме того, мы обнаружили, что для компании в целом необходим единый набор метрик, который позволит получить базовое представление о действиях сотрудников с точки зрения безопасности. Для каждой организации составляется индивидуальная или специализированная отчетность с информацией о рисках и о предпочтениях в плане управления данными, которые им доверяют клиенты, собственной информацией и так далее.

При этом единая отчетность остается важнейшим компонентом, который дает нам целостное представление. Она позволяет нам говорить на одном языке при общении с кем угодно, от генерального директора компании Энди Джесси до любого уровня ниже. Мы очень быстро понимаем, как обстоят дела в любой части организации по сравнению с другой, и, что самое главное, выявляем проблемные места, в которых мы недостаточно хорошо анализируем ситуацию, потому что мы получаем сведения о возможностях улучшения в той или иной части организации по сравнению с другой. И, без лишней скромности, все наши руководители стремятся к лидерству. Поэтому унифицированные отчеты, в которых могут сравнить себя с коллегами, мотивируют их действовать так, как нам и нужно. Это помогает сосредоточить действия людей в правильном направлении.

Крис Бетц:
Скажем так, не люблю называть себя нетерпимым, но в AWS не существует никакой терпимости к риску. Поэтому мы одна из тех организаций, которые уделяют много внимания специфичным для бизнеса метрикам. Даже в пределах AWS такие подходы хорошо себя проявляют, поскольку конкуренция и ее применение в разных организациях имеют огромную силу. Мы должны быть очень тесно связаны с бизнесом и понимать, что AWS относится к рискам не так терпимо, как некоторые другие. Нужно понять наши интересы и убедиться, что используемые бизнес-метрики хорошо коррелируют с бизнесом и отражены в наших процессах бизнес-аналитики.

Сара Даффер:
Стив, вы упомянули разговоры с генеральным директором Энди Джесси. Как вы общаетесь с генеральным директором и советом директоров по вопросам безопасности?

Стив Шмидт:
Общение с генеральным директором, а точнее с генеральными директорами, поскольку у нас в Amazon есть несколько генеральных директоров, должно соответствовать общим методам работы организации. Например, Крис еженедельно встречается с генеральным директором AWS, потому что в его зоне ответственности сверхвысокая частота контроля по вопросам безопасности. Это связано с тем, что мы должны очень быстро реагировать на угрозы и анализировать изменения в окружающей среде. Мы должны быть готовы соответствующим образом корректировать наши ответные меры с учетом того, как устроен окружающий нас мир. Мы также работаем с Дагом Херрингтоном, который является генеральным директором по магазинам, но с учетом специфики его сферы там обычно немного другая частота контроля, например ежемесячный обзор или что-то в этом роде.

Энди Джесси предпочитает присутствовать на ежеквартальных специальных совещаниях по проверке безопасности. Поэтому каждый квартал мы предоставляем ему как набор общих показателей и отчетов, которые достаточно стабильны, так и особый раздел нашего отчета, который постоянно меняется. Мы называем его текущей ситуацией и выделяем в нем, какие изменения в окружающей среде на данный момент наиболее значимы для нас. Чем отличается мышление россиян по сравнению с китайцами? Как они атакуют компании? Какие новые методы используются для создания проблем, как мы реагируем на них или как готовимся к ним?

Вы также упомянули совет директоров. Наш совет директоров относительно уникален. Многие советы директоров предпочитают поручать надзор за своей структурой безопасности либо комитету по аудиту, либо комитету по рискам, что более типично для финансовый учреждений. Компания Amazon решила создать специальный подкомитет, посвященный исключительно безопасности, поэтому у нас есть три члена совета директоров, которые занимаются исключительно вопросами безопасности. Мы встречаемся с ними на регулярной основе. Они получают ежеквартальный отчет о том, что происходит с Amazon, и анализируют все наши направления деятельности. Члены совета директоров сообщают нам, что они хотели бы сосредоточиться на нескольких направлениях, на их выбор. Для нас это своего рода рулетка, то есть каждый раз приоритизируются разные направления.

Здесь также есть раздел отчета о текущей ситуации, в самом низу, потому что нам важны общие интересы: где мы находимся, куда направляемся, что меняется вокруг нас и как нужно развиваться. И я уверен, что очень короткая задержка между изменениями в мире и получением советом директоров информации о том, как мы справляемся с этими изменениями, очень важна для нашей способности обеспечивать надлежащую защиту клиентов в будущем.

Сара Даффер:
Крис, есть что добавить?

Крис Бетц:
Еще три мысли. Во-первых, в беседах как с Энди, так и с другими генеральными директорами, и вообще в AWS, я особо ценю то, что эти беседы никогда не рассматриваются изолированно друг от друга. Это не просто беседа нескольких человек с генеральным директором. В процессе участвуют и генеральный директор, и вся команда руководителей, потому что не бывает полностью изолированных событий. Здесь чрезвычайно важно обеспечить, чтобы вся организация была в курсе обсуждения и активно участвовала в них как до, так и в процессе наших встреч. Во-вторых, в AWS есть не только совет директоров, но и совет Amazon. Это позволяет нам использовать такой механизм, как ежеквартальное глубокое обсуждение вопросов безопасности и связанных с ними вопросов по рискам, чтобы поддерживать обсуждение этих вопросов и наличие правильных систем управления.

И третья мысль: я общался со множеством советов директоров, и все они невероятно разные. Думаю, во многом это обусловлено человеческим аспектом, личностными характеристиками, а где-то и характером бизнеса. Поэтому я считаю, что для директора по информационной безопасности или ответственного за технологии для взаимодействия с советом директоров крайне важно, по моему опыту, хорошо понять стиль работы совет директоров по другим областям. Как руководство думает о бизнесе и что говорит о себе? Какой язык вам лучше использовать? Учитывайте любой контекст, потому что разговоры о безопасности «в вакууме» бесполезны. Всегда важна именно безопасность в контексте бизнеса. И в-третьих, убедитесь, что вы понимаете свою аудиторию. Разные люди в советах директоров обладают совершенно разными навыками. Вы должны донести свои идеи до каждого из них.

Так что независимо от того, кто вы – ответственный за информационные технологии, участвующий в обсуждениях по вопросам безопасности, или непосредственно директор по информационной безопасности – залогом успешного разговора для вас будет понимание аудитории, состава совета директоров, мнения бизнеса о себе и взаимосвязей между безопасностью и технологиями.

Стив Шмидт:
Я хочу дополнить то, что только что сказал Крис. Самая большая ошибка, которую мы видим в разговорах новых руководителей со своим руководством или высшим руководством компании, например с советом директоров, – это чрезмерное внимание к техническим вопросам, особенно в сфере безопасности. Важнейшим критерием будет ваша способность донести точку зрения до собеседника из числа членов совета директоров. Как сказал Крис, нам нужно общаться в контексте бизнеса. Если у вас есть критическая уязвимость с оценкой CVSS 9,86 или вроде того – им это не понятно. Зато понятна возможность для злоумышленника получить доступ к информации наших клиентов, которая станет ее следствием, и высокая вероятность такого события в течение следующих 60 дней. В ответ на это членам совета директоров проще принять какие-то решения, а не просто сказать: «Звучит страшно». Думаю, что именно контекстуализация, это невероятно важно.

Сара Даффер:
Вы оба очень часто общаетесь с клиентами. О каких трудностях или проблемах в сфере безопасности они вам сообщают? И как AWS помогает нашим клиентам в этой сфере?

Стив Шмидт:
Первым пунктом следует назвать искусственный интеллект. Конечно, многие задают такие вопросы: «Как соблюдать безопасность?» «Как использовать искусственный интеллект ответственно?» «Как гарантировать, что доступ к имеющейся информации будет предоставлен правильно и тогда, когда это нужно, а когда не нужно – запрещен?» Когда мы общаемся с клиентами, я прежде всего спрашиваю: «Сколько в вашей компании приложений, использующих генеративный искусственный интеллект? Знаете ли вы о них? Можете ли регулярно контролировать этот показатель?» Большинство людей говорят: «Ну да, мы посчитали в прошлом месяце, в прошлом квартале...» или что-то в этом роде. И знаете что? Разработчики вносят изменения гораздо быстрее. Нам пришлось выстраивать новые внутренние процессы, которые контролируют каждое обращение разработчиков к системам генеративного искусственного интеллекта с корпоративных ноутбуков или с любого другого оборудования, которое используется в нашей в компании.

Это позволяет нам контролировать происходящее и предоставлять нашим специалистам по безопасности приложений информацию, которая помогает им отслеживать ситуацию для каждого конкретного сервиса. Когда мы недавно впервые это проверили и начали отслеживать, мы пришли с докладом к Энди и сказали: «Итак, в настоящее время в компании работает или создается более тысячи приложений с использованием генеративного искусственного интеллекта». В ответ был шокированный взгляд: «Что? Это такая шутка?» Но нет, мы не шутили. Более того, этот показатель растет очень быстрыми темпами. С одной стороны, это здорово, потому что подтверждает нацеленность наших разработчиков на будущее, а с другой – вынуждает наших специалистов постоянно следить за разработчиками и проверять, все ли они делают разумно, уместно и так далее. Но первым шагом стало получение информации и создание структуры для обеспечения прозрачности на самом низком уровне.

Крис Бетц:
Следующий разговор, который очень часто у меня повторяется, посвящен уже существующим возможностям AWS: люди интересуются, как они могут быть одновременно такими безопасными и экономичными? Люди не хотят тратить время и силы на те аспекты, по которым уже существуют решения или ведется активная деятельность. В результате мы часто переходим к обсуждению архитектур и элементов управления: как правильно организовать работу людей и как реализовать простые и удобные элементы управления в нужном масштабе. Поэтому я понимаю, что в наших внутренних разговорах стала регулярной тема о том, как обеспечить создание простых систем безопасности в нужном масштабе для таких клиентов. Еще одно направление, которому мы в последнее время уделяем очень много обсуждений, – это аналитика угроз. Разные компании и разные поставщики облачных услуг по-разному относятся к аналитике угроз.

Наш подход заключается в том, чтобы сделать аналитику угроз неотъемлемой частью общей системы. Поэтому мы много говорили об этом, ведь в прошлом эта тема почти не затрагивалась, а клиентам важно знать, чего следует ожидать. У нас есть целый ряд поставщиков аналитики угроз, ловушек и датчиков, которые ежедневно собирают данные. К примеру, только ловушки для хакеров собирают более 100 миллионов взаимодействий каждый день. Эти технологии и эти данные объединяются с данными от других датчиков из таких систем, как Sonaris, что позволяет нам действовать. О наших ответных действиях клиентам даже не нужно ничего знать.

Мы способны защитить их от различных атак мгновенно, как только обнаружим новый вредоносный адрес. Плохой трафик даже не попадает в клиентские системы. Например, в прошлом году мы отклонили более 24 миллиардов попыток получить список корзин S3 и более 2,6 триллиона попыток обнаружить уязвимые сервисы в EC2. Если же мы не можем предоставить вам такую защиту, например если нет нужной степени точности, то есть возможность подключить дополнительные инструменты, например GuardDuty. Так что с сотрудниками службы безопасности я обсуждаю такой аспект: как они могут применить уже встроенные технологии, чтобы обеспечить прозрачную защиту и предоставлять дополнительную информацию для работы служб безопасности.

Стив Шмидт:
Здесь есть очень интересные данные, и я хочу подкрепить ваше замечание об аналитике угроз. Аналитика угроз – невероятно хрупкая вещь. Большинство людей даже не задумываются о том, что в Интернете около 23 % IP-пространства изменяется примерно каждые три минуты. Это означает, что использование аналитики угроз недельной, месячной или более давности приводит к очень, очень, очень большому отставанию. И отмечу еще пару аспектов, которые подтверждают необходимость немедленно принимать меры при получении любой новой аналитики угроз. Когда мы открываем в Интернете новую ловушку для хакеров, злоумышленники обнаруживают ее меньше чем за 90 секунд (всего 90 секунд!) и пытаются воспользоваться уязвимостью менее, чем через три минуты. Это важно в таких ситуациях, когда разработчик вам скажет: «Да ладно, я просто открою доступ к корзине из Интернета, все в порядке. Никто же не знает, что она там есть». Три минуты – это весь ваш запас до того момента, как возникнет реальная проблема. Поэтому важно получать актуальные сведения из надежной ленты аналитики угроз и быть готовым быстро реагировать на эти сведения. Что еще более важно, в этом процессе не должен участвовать человек. Убедитесь, что все выполняется автоматически.

Крис Бетц:
Хорошо сказано.

Сара Даффер:
Я перейду к теме, которая мне очень близка: в мире постоянно меняющихся нормативных требований, стандартных сертификатов и всего прочего очень непросто сохранять контроль за соответствием, эволюцией соответствия. Крис, не могли бы вы немного рассказать о том, как AWS решает вопрос соответствия требованиям в огромном масштабе?

Крис Бетц:
Мы очень часто это обсуждаем.

Сара Даффер:
Да, это так.

Крис Бетц:
Для начала скажу, что одним факторов, которые имеют огромную важность для обеспечения соответствия требованиям в больших масштабах, является необходимость начинать работу с надежной основы. О безопасности нужно думать с позиции конструктивной безопасности, то есть сделать безопасность неотъемлемой частью всего процесса разработки. Это даст вам хороший старт еще до того, как вы начнете думать о нормативно-правовом регулировании или соблюдении требований. Если все сделать идеально, соблюдение требований станет логичным побочным эффектом такой работы по обеспечению безопасности. И, честно говоря, большинство регулирующих органов хотят именно этого.

Для них соответствие требованиям означает обеспечение вашей безопасности. Поэтому очень важно разработать такую программу безопасности, которая фокусируется на безопасности и способна продемонстрировать, то есть доказать соответствие требованиям. Третий обязательный элемент: недостаточно просто включить соответствие требованиям в процессы безопасности, нужно еще уметь продемонстрировать и подтвердить это. Поэтому возможность собрать данные воедино, сделать их доступными и понятными для других людей невероятно важна. И для этого потребуется инженерная работа. Я бы сказал, что это выгодная инвестиция, но вы проводите в этом мире больше времени, чем я, поэтому мне интересно узнать и ваше мнение.

Сара Даффер:
Что ж, сейчас я много слышу вопросов от клиентов о программах ответственного использования ИИ и о том, как их быстро внедрить. По сути здесь, учитывая столь стремительное развитие, речь идет о возможности отказаться от концепции соответствия требованиям, которая отражает лишь состояние на конкретный момент, дает слишком поляризованную оценку и сосредоточена только на том, соблюдаем ли мы некоторые правила и положения, например Закон ЕС об искусственном интеллекте. И можно быстро преобразовать эту программу в настрой на гарантию безопасности и возможность предоставить определенный уровень уверенности в качестве, надежности и эффективности механизмов соответствия нормативным требованиям, которые мы смогли проиллюстрировать. Так как нам это сделать?

Довольно часто это реализуется через технические стандарты. Например, стандарт ISO 42001 позволяет организациям продемонстрировать клиентам соблюдение ответственных методов работы с искусственным интеллектом при разработке и развертывании, а затем согласовать все это с системами управления. Как же вам убедиться, что организация выполняет то, чего вы от нее ожидаете, и как доложить высшему руководству и совету директоров о том, как вы используете ответственный подход к искусственному интеллекту? И самое главное, при этом нужно взаимодействовать с разработчиками так, чтобы не отвлекать их от работы и не замедлять инновации. Но у вас есть возможность соответствовать таким высоким требованиям, не теряя темпа развития.

Сара Даффер:
Теперь немного сменим тему, Стив, я иду к тебе. Довольно часто разговор о безопасности уводит нас все глубже в обсуждение новых технологий и грядущих изменений в мире. Но в любом случае угроза исходит от конкретных субъектов, и это всегда люди. Мне бы хотелось немного больше услышать о том, как вы относитесь к человеческому аспекту в отрасли кибербезопасности.

Стив Шмидт:
Конечно. Если кто-то еще не в курсе, компьютерная безопасность, информационная безопасность, кибербезопасность и любые другие названия этой сущности не относятся к техническим проблемам. Проблема всегда в человеке. Еще давным-давно, занимаясь контрразведывательной работой в ФБР, я понял одну важную вещь: моя работа, причем интересная работа, – это поиск шпионов, но для их появления есть важная причина. У них есть мотивация. В мире шпионажа это обычно деньги, идеология, принуждение или эго. Это же справедливо и в мире кибербезопасности. Людей интересуют деньги. Такой злоумышленник использует программы-вымогатели. Или идеология. Сюда относятся традиционные спецслужбы государств, которые собирают разведывательные данные или готовятся к активным действиям. В этой сфере есть новый мотив: влияние, то есть возможность определенным образом влиять на мысли людей, менять их мнение и провоцировать события в мире. Еще есть эго. Так хакер-дилетант, который мечтает стать самым известным и крутым на свете, на пути к этому устраивает DDoS-атаку.

Почему же нам важно знать причины и мотивы, по которым эти люди так поступают? Потому что то поможет нам понять, какими инструментами они обладают, какими возможностями могут воспользоваться, какова будет их следующая цель, насколько для них допустим риск и боятся ли они быть пойманными. Например, опасаются ли они агентов ФБР у своих дверей или это для них совершенно не страшно, потому что они сидят в подвале в Белоруссии или в другом подобном месте? Нам приходится работать с факторами такого спектра, чтобы понять, что нужно делать в роли защитников и как создавать системы, не позволяющие подобным людям получить желаемый доступ.

Интересно, что аналогичные рассуждения применяются и к нашим собственным сотрудникам. Наши сотрудники, как правило, руководствуются благими намерениями. Они хотят поступать правильно, помогать другим и так далее. Но давайте смотреть правде в глаза – они тоже люди. Иногда у них возникают проблемы с деньгами. Иногда им не нравится развитие текущих событий. Иногда у них просто плохой день. Это означает, что мы, как защитники, должны быть готовы понять, что и почему они делают, и как нам не позволить им делать то, чего делать не следует.

Но основным фактором, влияющим на кибербезопасность и сотрудников компании, является корпоративная культура. Культура безопасности в компании – это то, что может улучшить или разрушить ее. Все мы видели в новостях, что происходит, когда культура безопасности хромает. В итоге получается так, что представители национальных государств постоянно врываются в организацию и используют ее в своих интересах. Почему? Потому что людей в компании неправильно оценивали или неправильно мотивировали.

Они не были заинтересованы в защите ваших данных или информации. Их цель состояла в чем-то другом. Поэтому мы развиваем собственную культуру, которая основана на том, что любой разработчик в моей компании обязан, во-первых, быть в физической безопасности, а во-вторых, защищать данные своих клиентов. Именно это позволяет им принимать правильные решения каждый раз, когда они в течение дня что-то выбирают. «Может быть, сделать так? Или наоборот? Может, выбрать этот путь? Или другой? Может, мне стоит обратиться за помощью, ведь я не понимаю, что делать. ОК, сейчас я найду эксперта в этой области».

И я думаю, что создание правильной корпоративной культуры должно мотивироваться тем, что в будущем она поможет снизить издержки, ведь вам не придется устранять ошибки, которые кто-то допустил из-за того, что слишком увлекся погоней за целями по прибыли, марже или объемам поставок, которые противоречат обеспечению безопасности клиентов вашего бизнеса.

Сара Даффер:
Кроме того, это облегчает мне жизнь в мире обеспечения безопасности. Это отличный результат. Крис, раз уж ты вспомнил о культуре, мы в AWS часто повторяем, что безопасность является главным приоритетом. Расскажи мне немного о том, как мы ее достигаем. Как правильно строить такую культуру?

Крис Бетц:
Для меня одной из причин важности культуры является то, что это не просто инвестиции в долгосрочное развитие. У каждой известной мне компании есть программы обучения, создания новых инструментов и возможностей в области кибербезопасности. А отличаются они во многом именно культурой. Ландшафт безопасности постоянно меняется. Вспоминая твой прошлый разговор: невозможно посчитать, как часто в обсуждениях последнее время всплывает искусственный интеллект, верно? Искусственный интеллект постоянно изменяется. И нам нужна способность адаптироваться. Возможность поднять руку и сказать: «Постойте! Я здесь вижу конфликт интересов или возможность повысить безопасность». Давайте подумаем об этом. Можем ли мы что-то улучшить? Нельзя слепо соблюдать процессы и применять инструменты, нужно всегда задавать себе вопросы.

Например: «Мне кажется, среди этих процессов и инструментов чего-то не хватает. Я вижу этот риск, я вижу эту проблему. Как мне поднять этот вопрос?» Все это невероятно важно. Ты правильно сказала, культура со временем окупается удивительным образом. Создание такой культуры требует много времени и энергии. Она начинается сверху. Прежде всего культуру нужно согласовать с тем, как функционирует организация. Для этого нужно правильно сформулировать, кто мы такие. Это важно и внутри и снаружи, как говорит Мэтт: «Все начинается с безопасности».

А еще важно, как люди проводят свое время. Мы со Стивом уже говорили о еженедельных встречах под руководством нашего генерального директора. Важно понимать, что эта часть функционирования организации невероятно важна. Когда безопасность станет неотъемлемой частью культуры организации, нужно переходить к осознанию того, что безопасность – это работа каждого. Каждому человеку отводится определенная роль. Например, это возможность поднять руку и сказать: «Нам нужно действовать по-другому. Кажется, мы что-то упустили. Я в замешательстве. Я не уверен». В отношении безопасности каждый должен понимать, что это его прямая работа, и мы как руководители служб безопасности должны максимально упростить эту работу. Ведь если сотрудникам придется на каждом этапе тратить время на то, чтобы подумать о безопасности, это только усложнит функционирование организации. Параллельно с развитием понимания, что безопасность является работой каждого, нужно обеспечить людям возможность легко и естественно выполнять эту работу. Таким образом, обеспечение безопасности должно быть распределено по всей компании. Мы должны сделать так, чтобы обучение, обмен знаниями и развитие способностей были хорошо продуманы и чтобы это происходило во всей организации.

И наконец, мы должны быть готовы вкладывать средства. Мы должны быть готовы инвестировать в инновации, повышающие безопасность. Мы должны быть готовы инвестировать в инновации, облегчающие обеспечение безопасности. Если вы этого не сделаете, вы останетесь в прошлом и не сможете развиваться как организация. Одним из способов решения этой проблемы является программа защитников безопасности, где мы подтверждаем доверие нашим сотрудникам и обучаем их сложным вопросам безопасности при работе групп обслуживания и инженерных групп. Это позволит гарантировать, что безопасность станет приоритетом на самом раннем этапе разработки и будет постоянно поддерживаться, и что сотрудники обладают для этого необходимыми знаниями. И это очень, очень, очень хорошо способствует масштабируемости. Есть одна вещь, которую вы все можете сделать для команд сотрудников: внимательно изучите, есть ли возможность создать программу защитников безопасности и как развивать культуру безопасности в компании?

Сара Даффер:
Хорошо. Какие же три вопроса все присутствующие руководители бизнеса смогут перенести в свои программы безопасности и соответствия нормативным требованиям?

Крис Бетц:
Я дам вам один, который обожаю задавать. У всех лидеров технологического развития, сколько бы вас ни было в этом зале, должен быть набор разработки или система инструментов для разработчиков. Мне как руководителю службы безопасности такие системы больше всего нравятся в любой организации. Если у вас такого нет, расскажу: это команды, которые создают инструменты для облегчения жизни вашим разработчикам. Здесь скрыты огромные возможности. Если нужно выбрать место, где компании могут наиболее эффективно применить своих лучших сотрудников, это именно создание наборов разработки. Так вы сможете одним ходом значительно улучшить все свои процессы разработки. Именно это важнее всего с точки зрения безопасности. Это поможет применить ваши знания и возможности в области безопасности и встроить их в новые инструменты, увеличивая возможности для масштабирования и превращая безопасность в естественный процесс.

Еще один вопрос, который я бы на вашем месте применил у себя: спросите своих руководителей по безопасности и создателей инструментов для разработчиков, как они взаимодействуют, насколько им комфортно работать вместе и насколько все ожидаемые результаты по безопасности встроены в инструменты для разработчиков.

Сара Даффер:
Стив?

Стив Шмидт:
Я вернусь к тому, что уже говорил. Задайте своим сотрудникам такой вопрос: «Где мы сейчас создаем приложения с генеративным ИИ?» А затем еще один: «Какой у нас существует механизм, позволяющий завтра же узнать, где мы создаем приложения с генеративным ИИ и какова задержка между созданием нового приложения и получением информации об этом?» И во многих случаях вы получите такой ответ: «Быстро, быстро, быстро! Дайте мне хоть какие-то данные. Вот ваш ответ!» Потрясающе. Но уже настал следующий день. Хорошо.
        
Итак, вам нужен метод, механизм или инструмент, который позволит получать эти данные на регулярной основе, быть в курсе последних событий, ответственно управлять и распоряжаться этой инфраструктурой и ответственно подходить к управлению данными, собранными от имени клиентов.

Второй вопрос: какие у вас существуют ограничения и есть ли механизм их обновления по мере изменений в мире, связанных с генеративным искусственным интеллектом? Даже за то время, которое мы провели на этой сцене, мир генеративного искусственного интеллекта уже невероятно продвинулся вперед. Постоянно происходит что-то новое. Например, кто-то очень умный придумал новый способ создать проблемы с использованием базовой модели, и мы должны быть готовы защититься от этого. Итак, какой метод с быстрыми итерациями может управлять ограничениями, которые вы настроили для приложений генеративного ИИ?

Сара Даффер:
Это немного нечестно. Их было два. Но я тоже собираюсь немного схитрить. И попробую сформулировать так, что они оба подразумевают получение от команд информации о том, как они обеспечивают соответствие требованиям. Я имею в виду, что нужно не только определить, соблюдаем ли мы некоторые стандарты, законы и так далее, но и понять, как постоянно получать подтверждение этого, чтобы точно определить затраты на разработку.

Поэтому я бы сказала, что есть два основных вопроса: во-первых, насколько вы соблюдаете внутренние правила, законы и так далее, а во-вторых, каковы затраты на это для разработчиков. Это очень важно, потому что вам нужно быстро внедрять инновации, следить за затратами разработчиков, а еще отслеживать соблюдение нормативных требований.

И наконец, последний вопрос, который у меня возник: при регулярных взаимодействиях с клиентами что вы могли бы им посоветовать для быстрого улучшения политики безопасности?

Крис Бетц:
Найдите способы внедрить ключи доступа как внутри компании, так и для своих клиентов. Отказ от обычных паролей полностью меняет правила игры и для сотрудников, и для клиентов. Воспользуйтесь преимуществами этой технологии. Это огромный шаг вперед. Внедрите его прямо сейчас.

Стив Шмидт:
Это не только намного безопаснее, но и комфортнее для пользователей. Все работает очень гладко. Обратите внимание технических специалистов на эту технологию и выясните, почему они еще не применяют ее.

Второй совет гораздо менее увлекателен, чем ключи доступа. Назовем его гарниром на блюде безопасности. Управление уязвимостями. Применяйте все возможные исправления. Это лучшая защита, которая у вас есть против окружающих.

Крис Бетц:
Или сделайте так, чтобы кто-то их применял за вас.

Стив Шмидт:
Именно так.

Крис Бетц:
Используйте функции Lambda и другие механизмы.

Стив Шмидт:
Ага.

Сара Даффер:
Что ж, большое спасибо за то, что вы были с нами сегодня, и еще раз спасибо за уделенное время.

Слушать

Слушать

Слушать