سياران مارتن أسس المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) وشغل منصب الرئيس التنفيذي الأول من 2013 إلى 2020.
وهو موظف مدني سابق متميز عمل مباشرة مع خمسة من رؤساء الوزراء ومجموعة متنوعة من كبار الوزراء في ثلاثة أحزاب سياسية ، وشغل مناصب عليا في HM Treasury ومكتب مجلس الوزراء ، بالإضافة إلى GCHQ.
اليوم ، وهو أستاذ في كلية Blavatnik الحكومية بجامعة أكسفورد وزميل في كلية هيرتفورد ، أكسفورد ، حيث كان تاريخًا جامعيًا ودرس.
وهو أيضًا رئيس Cybercx في المملكة المتحدة ، وكذلك العضو المنتدب في Paladin Capital ، رئيس معهد Sans CISO ، ومستشار لتكنولوجيا Garrison و Red Sift.
خلال جلسة في عرض InfoSecurity Europe هذا الشهر ، أعطى نظرة خاطفة على ورقة ، الآن نشرتها مدرسة Blavatnik في أكسفورد، حول المدى الذي قد يعطل فيه الذكاء الاصطناعي (AI) توازن الأمن السيبراني القاسي بين المهاجمين والمدافعين.
وكان هذا التوازن يحكمه ثلاثة مبادئ ، تاريخيا ، ويحافظ عليه. أولاً ، تميل أنظمة الكمبيوتر التي تكون فيها السلامة البشرية للخطر إلى أن يكون لها فاشل ، كما هو الحال مع أنظمة التحكم في الحركة الجوية. ثانياً ، أن القدرات الأكثر خطورة تظل في أيدي الجهات الفاعلة الأكثر قدرة ، والتي تميل إلى الشعور بالعقلانية والمخاطر التسلفية ، كما هو الحال مع قادة الاتحاد السوفيتي والولايات المتحدة خلال الحرب الباردة. وثالثا ، إذا كان بإمكانك استخدام التعليمات البرمجية المتقدمة للسيئ ، فيمكنك عادة استخدامه لصالح (تعويض) جيد. والثاني والثالث من هذه هو موضع تساؤل من قبل الذكاء الاصطناعي (AI) على الأقل ، هو خلافه.
في مجموعة من الورقة ، يخلص إلى: “إن توازن الأمن الرقمي هو مفهوم مفيد إذا كنا نرغب في فهم سبب ظهور الفضاء الإلكتروني مكانًا ضررًا ، ومتنافسة ، ولكن ليس كارثة حتى الآن. يمكن أن يظل هذا الأمر على هذا النحو ، ولكنه يتطلب جهدًا جديدًا للسياسة الذكية”
ذهب إلى مزيد من التفاصيل حول هذا ، وغيرها من الأمور ، في محادثة مع الكمبيوتر الأسبوعية في InfoSec. ما يلي هو نسخة مضغوطة وتحريرها.
هل تقول إن أكبر تهديد لأمننا هو أن الشركات ببساطة ليست على استعداد للاستثمار في مرونة الإنترنت؟
إنني أتعاطف مع هذا الرأي ، لكنني لن أقوم بعمل أحقاد على الشركات. أعتقد أن الشركات ، إلى حد كبير ، تحاول التصرف بعقلانية.
أول شيء أقوله هو أن هناك الكثير من الضجيج في الماضي أنه سيكون هناك المزيد والمزيد من الكارثة. بمعنى ما ، هذا يعني أن الناس يجلسون ويلاحظون ، وخاصة الشركات الكبرى وما إلى ذلك. من ناحية أخرى ، أعتقد أنه كان من غير قصد طفرة بعض الشيء. عندما كنت وأنا نشأت خلال الحرب الباردة ، ربما كنا قلقين بشأن تهديد هرمجدون النووي.
لا أعتقد أن الذكاء الاصطناعي يمنحك أي أدوات سحرية جديدة. لكن من حيث معركة القدرة ، أنا متفائل. أعتقد أن هناك إمكانية كبيرة لوكالة الذكاء الاصطناعى في الأمن السيبراني لجعل الأمور أفضل
Ciaran Martin ، كلية Blavatnik للحكومة ، جامعة أكسفورد
ولكن أيضًا ، عرفنا أنه لا يوجد شيء يمكننا فعله حيال ذلك. وإذا أخبرتك أن هناك مخاطر إلكترونية ضخمة وما إلى ذلك ، فأنت تعتقد ، “انتظر ، ماذا يمكنني أن أفعل حيال ذلك؟ لهذا السبب أدفع ضرائب للحكومة”.
أعتقد أن الشيء الثاني كان – في حين أن البيانات الشخصية مهمة حقًا ويمكن أن تؤدي سرقةها وإساءة الاستخدام إلى ضرر خطير – علينا أن نوازن بين الأشياء. نحن نعيش في بلد حيث كانت الشركات ، إلى حد كبير ، تطيع القانون ، والتوازن القانوني حتى الآن في حالة مرهقة للغاية لعدة سنوات حول حماية البيانات والضوء للغاية على تعطيل الخدمة ، على الصمود.
أعتقد أنه يتعين علينا تحفيز المرونة أكثر أيضًا. ماركس وسبنسر هو مثال جيد. إنها شركة تديرها جيدة كانت تعمل بشكل جيد حتى الهجوم السيبراني. إنهم ليسوا أغبياء أو إهمالًا فجأة عندما يتعلق الأمر بالسيبر. عليك أن تبدو أعمق قليلاً. ما هي حوافزهم؟ ماذا قيل لهم أن يفعلوا؟ ماذا يتم تكليفهم قانونًا بتحديد الأولويات؟ والآن نفكر: المرونة هي الملك.
في عرضك التقديمي ، لدي انطباع بأنك تقول إن الذكاء الاصطناعى يعني أنه لم يتم تحديده إذا كان ما تسميه “توازن الأمن” يحمله. هل هذا صحيح؟
لا أعتقد أن الذكاء الاصطناعي يمنحك أي أدوات سحرية جديدة. هناك الكثير من الضجيج حول الأزرار الحمراء الكبيرة التي يمكن أن تسقط الطائرات وكل تلك الأشياء. لا يعمل حقًا بهذه الطريقة. لا يأخذك الذكاء الاصطناعي إلى هناك ، لكن ما تفعله يقلل بشكل كبير من التكلفة وغيرها من الحواجز التي تحول دون الدخول لفعل شيء مضطرب وسيئ للغاية.
لكن من حيث معركة القدرة ، أنا متفائل. أعتقد أن هناك إمكانية كبيرة لوكالة الذكاء الاصطناعي في الأمن السيبراني لجعل الأمور أفضل. في المسح الضوئي الضعف، على سبيل المثال ، يقوم الأشرار بالمسح الضوئي حتى يتمكنوا من استغلالهم [vulnerabilities]، الأشياء الجيدة تفعل ذلك حتى يتمكنوا من التصحيح. وعلى العموم ، يجب أن يخرج هذا لصالحنا.
لكن هل هذا لا ينزل إلى الناس؟ شيء مثل ثلث أخصائيي الأمن السيبراني في الحكومة هم مقاولون لأن هناك مشكلة حقيقية في التوظيف ودفع موظفي الخدمة المدنية نوعًا من الأموال التي يمكنهم جنيها في القطاع الخاص
ماضي يعطيني تفسيرًا فاخرًا لهذا السؤال لأن GCHQ كان جيدًا جدًا في الاحتفاظ بالناس. لم يكونوا يدفعون رواتب Microsoft أو CrowdStrike ، لكنهم دفعوا لهم أكثر قليلاً ، وكانت المهمة جيدة ودوافعهم. تحفيز [a cyber security professional] سيكون للذهاب إلى قسم المدفوعات الرئيسية مثل العمل والمعاشات التقاعدية أو HMRC مختلفة بعض الشيء.
بعد قولي هذا ، أعتقد أن الناس مهمون حقًا. لكنني أعتقد أولاً وقبل كل شيء ، أن الناس كمستخدمين مهمون للغاية ، وعلينا أن نحاول منحهم أشياء معقولة وذات مغزى للتحكم وعدم طلبهم أن يكونوا قادرين على مواجهة الروس من تلقاء أنفسهم.
لكنني أعتقد أيضًا أن هناك ميلًا إلى أن تكون شبيهة بالكاساندرا حول المهارات. لقد حذرت عندما كنت إعداد NCSC أنه لن ينجح لأنه لم تكن هناك مهارات كافية في المنظمة أو الاقتصاد. ولكن هناك أناس رائعين هناك ، ويعيد إعادة تدريبه. أنت لا تحتاج إلى العديد من النينجا. تحتاج طبقات. تحتاج إلى وحدات دفاع النخبة ، في الحكومة وفي بعض الشركات الكبرى. نحن بحاجة إلى دفاعات الإنترنت جيدة للشركات. نحتاج إلى قوة عاملة للدهاء عبر الإنترنت ، ومعرفة كيفية القيام بالأساسيات.
غالبًا ما يقال أن NCSC يمثل تحولًا أساسيًا. ماذا كان تحول من وإلى؟
للحصول على فالوتين عالية ، إذا نظرت إلى الوراء في تاريخ هذا ، من بارك بيتشلي، كانت الحوسبة وأمن الكمبيوتر ، على كلا الجانبين ، الصيادين وجانب حارس اللعبة ، الحفاظ على القوى والحكومات العالمية الرئيسية ، وكان ذلك – “حروب التشفير“، كل ذلك.
الآن ، كان لدى GCHQ مهمة أمنية منذ عام 1919. لكن الأمر يتعلق بحماية أسرار بريطانيا العسكرية والمخابرة – تلك كانت الأسرار الوحيدة التي يهتم بها أي شخص. ولكن مع رقمنة الكتلة ، هناك تحول في العراء. لا يمكنك حماية الاقتصاد من خلف الأسلاك الشائكة في مبنى بدون إمكانية الوصول إلى الهواتف المحمولة. لا يمكنك فعل ذلك. لا يمكنك التواصل مع الناس ، ولا يمكنك تقديم المشورة لهم ، ولا يمكنك الرد على حادثة.
الشيء الثاني هو أن تكون ناشطًا أكثر قليلاً. كان هناك الكثير من السلبية حول الشراكات بين القطاعين العام والخاص ومشاركة المعلومات. لذلك ، كان من السر إلى المفتوح ، والسلبي إلى النشط.
رأيت جيريمي فليمنج [the former director of GCHQ] متحدثًا في حدث Palo Alto Networks في لندن في مارس. لقد فوجئ بطلاب استطلاع للطلاب الذي استقاله من الجمهور ، من أخصائيي الأمن السيبراني ، الذي كشف أنهم يعتقدون أن ميزة الذكاء الاصطناعى كانت مع المهاجم … وذلك بمزيد من التقلبات ، يميل أخصائيو الأمن السيبراني إلى أن يكونوا أكثر حذراً. لكنه كان لا يزال “متفائلاً على نطاق واسع بأن الميزة مع المدافع” ، شريطة أن يتم الحفاظ على وتيرة عالية لنشر التكنولوجيا وأن المنظمات رشيقة. ماذا تصنع من ذلك؟ هل ربما كانت مفاجأته بسبب خلفيته في الأمن القومي؟
أنا أتفق معه على نطاق واسع. هناك ميل إلى التشاؤم في هذا الموضوع. بموضوعية ، من لديه الميزة؟ من السابق لأوانه معرفة ذلك [the Chinese prime minister] تشتهر Zhou Enlai ب [about the French Revolution].
لكن ثانياً ، لا يجب أن يكون هكذا. ما هي المزايا التي يتمتع بها الأشرار؟ في الأساس ، التهور ونقص الأخلاق. إنهم مستعدون للقيام بأشياء قد لا نكون مستعدين للقيام بها ، وهم يريدون التسبب في ضرر. لذلك هو حساب حساب مختلف بالنسبة لهم. ولكن ما هي مزايانا؟ حسنًا ، أولاً ، استقرار سيادة القانون واقتصادات السوق التي تبرز الابتكار. لم يبنوا أي من هذه التقنية. إنهم مجرد غش مع تقنية الآخرين.
الكثير من هذا يدور حول الاقتصاد والمناخ التجاري. والتنظيم وموقف البلاد. هل تحفز الناس على أخذ الأمن على محمل الجد؟ وإذا قمت بذلك ، فستقول شركة بريطانية كبرى: “نحن في وضع جيد ، نحن نزدهر ، نحن قلقون بعض الشيء بشأن هذه الأعمال الأمنية ، لذلك سنشتري. وهناك مجموعة كاملة من الأشياء المبتكرة حقًا هناك سوق ، فسنفوز.
وبالنسبة لنا ، في المملكة المتحدة ، التي أشاركها مع جيريمي ، هو نموذج الصيدل وحارس اللعبة في GCHQ ، وهو أمر شائع في العيون الخمسة ، لكنه ليس شائعًا في أوروبا القارية: هذا هو أن يكون للمهاجمين والمدافعين في نفس المكان حتى يتمكنوا من التعلم من بعضهم البعض ، وما إلى ذلك. GCHQ هي في المقام الأول وكالة تجسس رقمية أجنبية ، ولكن العديد من الأشخاص الذين عملوا معي في NCSC ، وفي هيئة سلفها ، CESG، يركزون على الحماية.
وعلى نفس المنوال ، فإن الأشخاص الذين يبنون التكنولوجيا هم أولئك الذين يمكنهم تأمينها ، كما هو الحال مع Microsoft. و [at US defence level]، يتم الاحتفاظ بالأمان حسب التصميم من قبل هذه الإدارة ، وأنا سعيد بذلك.
