Оптимизация безопасности в разных бизнес-направлениях Amazon

Кларк Роджерс:
Стив, большое спасибо, что присоединились ко мне сегодня.

Стив Шмидт:
Рад здесь побывать. Спасибо.

Кларк Роджерс:
Прошло уже некоторое время с нашего последнего разговора. На самом деле, вчера вечером я посчитал, и оказалось, что это было примерно четыре года назад.

Стив Шмидт:
Ничего себе.

Кларк Роджерс:
Когда мы вспоминаем, что происходило четыре года назад, пандемия была в самом разгаре. Мы с Вами общались на удаленном интервью и Вы занимали другую должность, верно? Вы были директором по информационной безопасности в AWS. Вскоре после того интервью Энди стал главным исполнительным директором Amazon, и одним из первых его шагов было пригласить Вас на роль главного специалиста по безопасности. Можете рассказать, почему он это сделал?

Стив Шмидт:
Конечно. Одна из вещей, которые Энди действительно ценит, – это понимание того, как мы защищаем информацию наших клиентов. Это выросло из необходимости в AWS, где безопасность является основой самого бизнеса. Невозможно вести бизнес, как AWS, если не обеспечивать безопасность должным образом.

Когда он занял свою новую должность, то захотел перенести тот же подход и применить его ко всем нашим клиентам через невероятное разнообразие проектов, которыми в настоящее время управляет Amazon. И он также хотел быть уверенным, что есть кто-то, чья основная задача каждый день следить за такими вопросами. Поэтому он попросил меня взять на себя эту роль.

Кларк Роджерс:
Итак, Вашей должности – директор по безопасности – не хватает одного слова: «информационной», верно? То есть Вы – CSO. Мы проводили несколько интервью с клиентами, где они тоже, так сказать, опускали букву «и». Можете рассказать, почему важно быть главным специалистом по безопасности, а не конкретно акцентировать внимание на информации?

Стив Шмидт:
Конечно. Когда мы говорим о защите информации, которая на самом деле является настоящей валютой в нашей сфере, она, безусловно, имеет логическую составляющую, с которой привыкли ассоциировать роль CISO. Но все чаще наши противники используют людей, чтобы получить доступ к информации, которая труднее доступна с логической точки зрения.

В отрасли наблюдается своего рода маятниковый сдвиг, и если подумать, когда-то были физические шпионы, которые заходили и забирали копии документов или что-то в этом роде. Когда мы перешли в онлайн с компьютерными системами, появилась новая возможность – взламывать системы удаленно, например. Когда компании становятся лучше в защите этой информации, будь она на месте или где-то еще, оказывается, что люди снова начинают действовать как шпионы.

Поэтому нам нужно интегрировать защиту как наших физических активов, так и информационных, логических активов, чтобы получить полную картину того, что мы делаем с данными наших клиентов и как мы их защищаем, а также с данными нашего бизнеса. Потому что теперь все чаще наши противники из числа наций нацелены не только на получение доступа к данным наших клиентов, но и на информацию о том, куда мы будем двигаться в будущем.

Как мы строим следующий набор очень интересных продуктов или услуг, будь то спутник или роботизированное транспортное средство? Эти вещи имеют огромную ценность для стран мира, но также и для тех проектов, которые они поддерживают. Поэтому, как специалисты по безопасности, мы должны смотреть на эту полную картину: кто наши противники и как мы будем защищаться от них.

Кларк Роджерс:
Конечно. Когда Вы вступили в должность руководителя отдела безопасности наверняка поняли, что специалисты по информационной и физической безопасности говорят на двух разных языках. Как их объединить для эффективной совместной работы?

Стив Шмидт:
Конечно. Дело не в выборе слов, потому что у них свой профессиональный жаргон. Вы абсолютно правы. Главное – понять, какова их конечная цель, как вы будете оценивать свой прогресс в достижении этой цели, и, самое важное, определить точки передачи или разрыв между физическим и логическим миром.

Подумайте об этом так: я нахожусь в физическом мире и не позволяю людям заходить в здания, где запрещаю принимать на работу наших конкурентов. Но если оппонент все же проникает в здание, интересно ли это со стороны информационной безопасности? Если он стоит в холле, это одно дело. Если он находится в шкафу, в котором есть несколько сетевых коммутаторов, это совсем другое. Поэтому мы должны объединить эти два фактора, чтобы получить правильное представление о том, что происходит.

Кларк Роджерс:
Приходилось ли Вам собирать инструменты, чтобы объединить эти сферы?

Стив Шмидт:
Да, это сочетание инструментов и процессов, которые мы собрали вместе. Таким образом, инструментарий – это постоянная эволюция. Теоретически мы постоянно совершенствуемся в поиске способов сбора, анализа и использования данных. На самом деле все интереснее и сложнее разобраться, как распределить эту информацию между различными подразделениями бизнеса и обеспечить им доступ к вещам, необходимым для выполнения своей работы, но не перегружать их данными, чтобы они не могли найти важные фрагменты в огромных массивах собираемой нами информации.

И здесь на помощь приходит технологический компонент. Зачастую речь идет о том, чтобы выплеснуть на поверхность то, что может быть чувствительным и т. д., а также найти способы обеспечить перенос таких вещей из одной части организации в другую. А для этого действительно нужны высококвалифицированные люди, которые знают, что такие вещи могут показаться безобидным сами по себе, но в сочетании с тем, что мы видели, это действительно интересно. К сожалению, пока нет системы, которая могла бы это сделать. Возможно, в будущем мы сможем провести обучение искусственному интеллекту, но сейчас его просто нет.

Кларк Роджерс:
Это очень, очень интересно. Вы начинали программу безопасности в AWS, так что Вы досконально знаете площадку AWS – как обеспечить ее безопасность, какие угрозы ей присущи, каков допустимый уровень риска и так далее. Перейдя на должность директора по информационной безопасности (CSO), Вам пришлось познакомиться с такими направлениями, как amazon.com (внутри компании мы называем это stores), Whole Foods, Prime Video, MGM, Twitch и другими структурами.

Во-первых, как Вы ознакомились с профилем безопасности каждого из этих бизнесов и с их подходами к рискам? И как Вы затем все это объединили? Как Вы добились того, чтобы была некая «единая панель управления», которая давала Вам уверенность в том, что уровень риска для Whole Foods соответствует его специфике, а уровень риска для AWS – своей? Как Вы к этому пришли?

Стив Шмидт:
Прежде всего, одна из вещей, которую я обожаю в своей работе, – это разнообразие предприятий. Люди часто говорят, что я занимаю свою должность уже 16 лет. И это действительно редкость для специалистов в области информационной безопасности. Почему так происходит? Такое разнообразие обусловлено тем, чем занимается компания. Это постоянная возможность учиться, и мне это безумно нравится.

Я уже не так молод, и мне часто говорят: «Как долго Вы еще планируете работать? Не собираетесь на пенсию?» А я отвечаю: «Нет, мне это по-настоящему в удовольствие». Я не хочу уходить, ведь работать действительно очень интересно. Вы переходите от построения крупнейшего в мире облачного провайдера до запуска спутников в космос и управления сетью продуктовых магазинов. Такое разнообразие – не только серьезный вызов с точки зрения бизнеса, но и возможность использовать масштабы компании, чтобы снизить затраты на операционную деятельность.

Если говорить о функционировании подразделений по обеспечению безопасности – это недешево. Но когда вы масштабируете это на бизнес такого уровня, как у Amazon, то получаете возможность значительно снизить удельную стоимость.

Кларк Роджерс:
Конечно.

Стив Шмидт:
Каждое направление бизнеса выигрывает за счет масштабов остальных. Мы ищем способы, как, скажем, продуктовый магазин может использовать те же инструменты обеспечения безопасности, что и космическое подразделение – и во многих аспектах это действительно возможно. Например, управление уязвимостями: необходимость устанавливать обновления на компьютерные системы принципиально не отличается – будь то создание спутников или управление супермаркетом.

Это позволяет нам действовать на уровне, который был бы недоступен для изолированного бизнеса, и тем самым поднимать общую планку для всех. Часть моей работы как раз и заключается в том, чтобы обеспечить наличие единых стандартов безопасности по всей компании – будь то управление уязвимостями, реагирование на инциденты или другие ключевые компоненты типовой структуры информационной безопасности.

А затем мы определяем, какие элементы должны быть адаптированы под специфику конкретного бизнеса с учетом его уникальных условий. Такой подход позволяет избежать универсальных решений, которые, напротив, могли бы привести к значительному росту затрат. Если взять, к примеру, продуктовый бизнес: потеря одной единицы товара там имеет относительно низкую ценность. А вот потеря спутника – это совсем другой масштаб.

Кларк Роджерс:
Конечно.

Стив Шмидт:
Поэтому нам приходится адаптировать подход к обеспечению безопасности под особенности каждого отдельного направления.

Кларк Роджерс:
Как вы обеспечиваете… Начну сначала. У Вас есть директора по информационной безопасности, которые отвечают за программы безопасности в каждом из этих направлений бизнеса. Как Вы добиваетесь того, чтобы они действительно управляли безопасностью эффективно?

Стив Шмидт:
Одна из вещей, на которую Amazon делает большой акцент по всей компании, – это идея однопоточного руководителя – человека, который полностью сосредоточен только на одном направлении. И именно поэтому в сфере безопасности у нас есть CISO для каждого отдельного бизнеса – по двум причинам.

Во-первых, я хочу, чтобы был человек, который каждый день думает только об этом. Будь то Эми Герцог, отвечающая за устройства и Kuiper, или Крис Бетц, который руководит безопасностью в AWS. Во вторых, я применяю общие метрики ко всем направлениям. Например, я регулярно просматриваю ежемесячный отчет по управлению уязвимостями, который охватывает всю компанию. И он строится на одних и тех же цифрах, по одной и той же методике, с одинаковыми способами представления данных и так далее.

Это дает нам единое, согласованное представление по каждому из проектов. И это позволяет сделать две вещи. Во-первых, убедиться, что мы соблюдаем тот уровень, который считаем необходимым. А во-вторых – гарантировать нужную прозрачность во всех уголках бизнеса. Потому что очень часто проблемы возникают там, где кто-то думает: «Да это неважно, это мелочь».

А именно туда и проникает злоумышленник – и страдают все. Поэтому, имея такой обзор «с высоты десяти тысяч футов» на все происходящее, мы можем убедиться, что в каждом уголке компании все делается правильно.

Кларк Роджерс:
А еще у нас есть централизованные системы под управлением Amazon Security, или AMSEC, которыми могут пользоваться все направления бизнеса.

Стив Шмидт:
Во многих аспектах все устроено одинаково для всех наших проектов. То, как вы собираете определенные типы данных, как вы их анализируете, как формируете отчетность, – все это по сути одинаково. И вместо того, чтобы каждый бизнес снова и снова делал одно и то же, мы решили объединить это в одну систему. Это позволяет нам экономить, например на времени разработчиков.

Возьмем снова управление уязвимостями: если вы запускаете систему сбора данных в рамках крупного бизнеса, вам нужны инженеры на дежурстве. А если вы когда-либо управляли дежурной командой (а вы, конечно, управляли), то знаете, что для того, чтобы один человек был постоянно на дежурстве, на практике вам нужно около семи человек – чтобы учесть отпуска, больничные и прочее.

Кларк Роджерс:
Мы хотим, чтобы люди отдыхали.

Стив Шмидт:
Верно. И благодаря тому, что мы распределяем эту нагрузку на несколько бизнес-направлений из одного центра, мы можем делать это гораздо эффективнее, потому что получаем более качественные инструменты в рамках общей платформы и при этом снижаем затраты.

Кларк Роджерс:
Какие практики вы разработали или используете, чтобы докладывать совету директоров Amazon о состоянии безопасности во всех этих разрозненных проектах?

Стив Шмидт:
Совет директоров Amazon, прежде всего, сам по себе довольно интересный. Очень немногие советы обладают таким техническим уровнем понимания, как у нас. Кроме того, несколько лет назад компания Amazon приняла решение создать отдельный подкомитет по безопасности. В отличие от многих компаний, где вопросы безопасности могут рассматриваться в рамках аудиторского комитета, у нас есть специализированная группа людей, которая занимается исключительно вопросами безопасности.

Это, конечно, здорово, но это также означает, что за нами очень внимательно следят. Поэтому нам пришлось выстроить систему отчетности, которая со временем постоянно эволюционирует – по двум причинам. Во-первых, мы сами становимся лучше в том, как формируем отчеты. А во-вторых, совет директоров со временем становится все более погруженным в тему – его представители задают все более точные и глубокие вопросы, интересуются все более конкретными аспектами отдельных направлений. Как правило, мы считаем важным при каждом обращении к совету предоставлять информацию по определенным компонентам бизнеса: выполняются ли там заданные стандарты безопасности.

Кроме того, есть темы, которые особенно интересуют членов совета, например: «Расскажите нам про это направление» или «Мы входим в новую сферу и считаем, что там много рисков, подготовьте нам обзор». Это позволяет выстроить отчетность с двумя частями: постоянной – про ключевые показатели, а также переменной – в зависимости от их интереса.

И еще мы добавили финальный блок, который назвали «Текущие события». В нем мы берем те инциденты, о которых вы, скорее всего, уже слышали в новостях, и разбираем их с точки зрения уроков и выводов, которые можем применить у себя. Мы показываем: вот что произошло в индустрии, вот почему это не затронуло нас

и вот какие инвестиции в безопасность позволили нам избежать этих проблем. Думаю, для совета это действительно очень ценно. Во-первых, они понимают, что мы в хорошем положении. А во-вторых, это помогает принимать инвестиционные решения на будущее. Когда мы говорим, что 8 или 10 лет назад мы инвестировали в многофакторную аутентификацию, и именно это позволило нам избежать атаки, которая затронула другую крупную компанию, совет говорит: «Отлично. А во что еще нам стоит инвестировать уже сейчас, чтобы через 10 лет снова быть на шаг впереди?»

Кларк Роджерс:
Многие из наших клиентов CISO уделяют большое внимание работе с советом директоров. Кто-то из них получает больше личного взаимодействия, кто-то – меньше. Вы уже отметили, что наш совет уникален своим пониманием вопросов безопасности. Какие рекомендации Вы бы дали своим коллегам – CISO или CSO, – которые докладывают своим советам, чтобы их услышали, чтобы они могли донести ключевые мысли, говорить на языке совета и так далее?

Стив Шмидт:
Самое главное, что я слышал от членов совета директоров (почему им нравится наш подход) – это то, что мы очень внимательно избегаем профессиональной лексики. Многие CISO разбираются в технологиях и стремятся докладывать в той манере, к которой привыкли технические специалисты…

Кларк Роджерс:
Биты и байты.

Стив Шмидт:
Именно. Это отражает их привычный способ мышления. Но нам нужно помнить: совет директоров – это, по сути, наш заказчик. И когда мы им докладываем, мы должны говорить на их языке. Мы должны находить способы объяснять вещи в контексте, который будет понятен именно этому конкретному совету.

Так что, во-первых – важно выработать единую, стабильную систему отчетности, а не менять формат каждый раз. Потому что тогда людям сложнее это понять – «переварить», если проще. Во-вторых – определить буквально две-три ключевые метрики, которые вы хотите озвучивать каждый раз.

Не нужно заваливать людей числами. Например, мы всегда, без исключений, докладываем по управлению уязвимостями. Это самый важный и базовый механизм обеспечения безопасности, который мы применяем – и, как мне кажется, любой должен применять. А дальше уже можно добавить блок с дополнительными вещами, которые помогут обсуждать такую тему: «А стоит ли нам в это инвестировать?» То есть намеренно разделяйте составные части отчета – что является основной, а что служит поводом для стратегических решений.

Кларк Роджерс:
То есть, если мы инвестируем вот сюда, это снижает риски вон там?

Стив Шмидт:
Да, это сочетание – как снижения текущих рисков, так и снижения будущих. Причем как раз будущие риски – это, наверное, самая сложная часть нашей работы как специалистов по безопасности. Потому что у нас нет конкретного случая, на который можно сослаться. Многие на это смотрят и говорят: «А это точно нужно?»,

«Нам обязательно делать это прямо сейчас?», «Обязательно в таком масштабе?», «А может, можно сделать поменьше?» Это те самые споры, которые нам всем приходится вести. И нам важно со временем формировать у совета директоров определенную базу знаний. Показывать: вот примеры реальных атак, которые выглядят похоже, и вот почему мы считаем, что это может затронуть нас – скажем, через год, два или три. И, соответственно, поэтому мы должны действовать уже сейчас или в обозримом будущем.

Кларк Роджерс:
Понятно. В Amazon нас знают за инновации, за подход «от потребностей клиента», за умение слушать своего клиента и так далее. Ваша роль как руководителя по вопросам безопасности предполагает множество выборов – возможно, часть из них делают Ваши CISO, которые Вам подчиняются, – но в целом Вы решаете, какие инструменты покупать, а какие разрабатывать самим. Часто все упирается в масштаб.

Готовое коммерческое ПО может просто не справиться с масштабами Amazon – и тогда нужно разрабатывать свое. В прошлом году мы публично рассказывали о таких инструментах, как Madpot, Mithra и Sonaris. В качестве CSO, как Вы аргументируете необходимость инвестиций – чтобы действительно получить ресурсы инженеров под такие проекты (и, вероятно, под множество других, о которых мы не говорили)? Как Вы убеждаете совет, что эти вложения оправданы и какую ценность они принесут?

Стив Шмидт:
Это просто. Давайте сначала разделим: покупной инструмент и тот, что мы разрабатываем сами. Думаю, это важная отправная точка. Мы покупаем инструменты, если речь идет о чем-то стандартном. Например, решения для обнаружения и реагирования на угрозы на конечных устройствах – мы их покупаем, а не разрабатываем с нуля. Почему? Потому что наши ноутбуки Mac, Windows, Linux – это те же самые машины, которые используют многие другие.

Да, у нас может быть немного другое ПО на них, но в целом это не делает наш бизнес уникальным. А вот создать систему вроде Madpot в очень крупном масштабе можем только мы. И именно в такие области, где никто другой не может сделать то же самое, мы и инвестируем.

Сам процесс инвестирования – такой же, как и во многих других сферах: мы прототипируем, тестируем и смотрим, что работает. И с самого начала понимаем: с первого раза идеально не получится. Придется переделывать, дорабатывать, менять – это нормально. Сейчас Madpot – это крайне успешная система, но она не возникла за одну ночь. Это результат многолетней работы, которая началась с одного инженера, который сказал: «Хм, мне нравится эта идея. А давайте посмотрим, можно ли сделать что-то интересное».

И теперь это движок, который позволяет нам собирать своевременные данные по киберугрозам, обрабатывать их и передавать в инструменты безопасности, которые доступны всем нашим клиентам. И вот это, на мой взгляд, самое важное. Многие наши клиенты говорят: «О, я хочу сырой поток данных о киберугрозах».

Но на самом деле – нет, вы не хотите. Что вам действительно нужно – это релевантная информация в контексте вашей текущей среды. А все остальное – это просто шум. Объем этих данных сейчас настолько огромен, что пытаться обработать все подряд – бессмысленно, если только у вас нет инфраструктуры нашего уровня.

И именно поэтому многим клиентам нравится получать такие данные в рамках управляемого сервиса. Им не нужно тратить ресурсы на то, чтобы разгребать гигантские массивы информации или терять контекст, потому что мы его применяем, сравнивая между разными клиентами.

И вот этот контекст – ключевой момент. Централизованная видимость, которой обладаем только мы, – вот тот самый выигрыш, который снова возвращает нас к теме: что можно купить готовым, а что стоит разрабатывать самим.

Кларк Роджерс:
И, полагаю, внутренняя аргументация, если так можно сказать, звучит примерно так: это помогает нам обеспечить безопасность AWS и Amazon, а заодно приносит пользу нашим клиентам. То есть, по сути, это выигрыш для всех.

Стив Шмидт:
В типичной для Amazon манере мы начнем с клиентов и скажем, что это помогает всем нашим клиентам лучше защищать себя. И одновременно это помогает и нашему бизнесу, потому что большинство наших бизнес-направлений – это тоже клиенты Amazon AWS. Так что выгода есть во всех смыслах.

Кларк Роджерс:
Отлично. Давайте немного сменим тему. Прошедший год стал годом генеративного искусственного интеллекта. Большинство наших клиентов, с которыми я общаюсь, сосредоточили свое внимание на применении генеративного искусственного интеллекта в качестве инструмента, который использует уникальность бизнеса. Так что, возможно, они в любом случае используют сторонний инструмент или Amazon Bedrock. Но давайте поговорим об инструменте. Как Вы относитесь к тому, что мы делаем в Amazon, используя генеративный искусственный интеллект в качестве инструмента безопасности или как часть Вашей цепочки инструментов безопасности?

Стив Шмидт:
Наиболее эффективное использование генеративного искусственного интеллекта, которое мы видели до сих пор, было в самом процессе обеспечения безопасности приложений. Как вы уже знаете, в AWS каждое функциональное приложение, которое выходит на рынок, перед запуском проходит проверку безопасности. В прошлом другие компании не могли позволить себе такую роскошь, потому что делать это невероятно дорого, особенно если учесть, что этим занимаются буквально тысячи инженеров по безопасности.

В большинстве компаний нет такого количества специалистов, занимающихся AppSec, как у нас в Amazon. Таким образом, генеративный искусственный интеллект дает нам огромные преимущества в этой сфере. Мы все еще находимся на научной стадии, но она имеет огромные перспективы.

Мы полагаем, что со временем количество рабочих нагрузок, связанных с безопасностью приложений, сократится на 60–70 %. Это значит, что мы сможем расширить охват в таких компаниях, как AWS, которая всегда вкладывала средства в оценку всех факторов, а также в тех областях, где есть возможность взглянуть на что-то большее, что раньше не оценивалось. Так что это своего рода двойная победа.

Кларк Роджерс:
Таким образом, вы потратите те часы человеческой работы, которые сэкономили с помощью генеративного искусственного интеллекта, и посвятите их другим задачам кибербезопасности.

Стив Шмидт:
На самом деле это будет более глубокое изучение имеющихся у нас сервисов и большего количества приложений по всем направлениям. С другой стороны, генеративный искусственный интеллект не станет полным решением многих из этих проблем. Он позволит найти множество изъянов, которые лежат на поверхности, и даст возможность нашим инженерам сосредоточиться на действительно интересных задачах, с которыми может столкнуться только человек.

Люди думают, что генеративный искусственный интеллект может решить все проблемы, но пока что это не так. Любой, кто скажет вам, что это возможно в сфере безопасности, вероятно, не совсем понимает, что происходит. Сейчас в этой области обязательно необходимо человеческое участие. И что еще важнее – именно человек должен оценивать, насколько правильное решение принял генеративный искусственный интеллект.

Кларк Роджерс:
Общение и взаимодействие с людьми. Что делает специалиста по безопасности отличным кандидатом для работы в Amazon или AWS?

Стив Шмидт:
Я бы сказал, что самое главное, что мы ищем в наших сотрудниках по безопасности – и большинство людей подумают, что это какие-то специфические технические навыки, но нет, – это любознательность.

Кларк Роджерс:
Расскажите мне подробнее.

Стив Шмидт:
Это означает, что человек не просто смотрит на проблему и говорит: «А, ну ладно». Он начинает задаваться вопросами: «А почему это произошло?», «Почему это изначально попало туда?», «Почему мы не обнаружили это раньше?», «Почему вообще была возможность допустить такую ошибку на этапе разработки?» – вот такого человека, который копает глубже, нам действительно очень хотелось бы нанять.

Вы же хорошо знакомы с нашим процессом разбора ошибок (Correction of Error, COE) и помните, чем он завершается? Методом «Пяти почему». Все это как раз про то, чтобы добраться до корня проблемы, а не просто устранить поверхностный симптом.

Кларк Роджерс:
То есть, любознательность – это главное?

Стив Шмидт:
Да, любознательность – превыше всего. Да.

Кларк Роджерс:
А если я дам Вам хрустальный шар…

Стив Шмидт:
Ого.

Кларк Роджерс:
Извините. Это вопрос. Если заглянуть в хрустальный шар, на чем будут сосредоточены внимание CSO и CISO в ближайший год?

Стив Шмидт:
Что ж, я думаю, что большинству людей предстоит сосредоточиться на генеративном искусственном интеллекте, потому что их компании потребляют эти услуги с невероятной скоростью, и им нужно будет сделать две вещи. Во-первых, просто понять, где используется генеративный искусственный интеллект. И, думаю, нам повезло в Amazon, поскольку у нас есть централизованная видимость, которая позволяет нам видеть, где все наши разработчики используют генеративный искусственный интеллект.

Большинство компаний не находятся в таком положении, и им нужно будет разобраться в этом. Во-вторых, нужно будет разобраться, как вы реализуете RAG (разрешение, аутентификацию и авторизацию) для генеративного искусственного интеллекта и обеспечиваете ли вы надлежащую авторизацию и аутентификацию на протяжении всего этого процесса. Это не тривиально. Это то, что в мире программного обеспечения еще не до конца отлажено.

И это чрезвычайно важно, чтобы использовать генеративный искусственный интеллект таким образом, чтобы он возвращал только данные, которые пользователь на другом конце имеет право получить в данный момент времени, с того места, где он находится, на том устройстве, которое он использует. Большинство людей даже не задумывались об этой проблеме.

Но на самом деле, если взглянуть на наши внутренние системы в Amazon сейчас, когда вы работаете на своем ноутбуке, мы измеряем множество факторов о вас, когда вы используете наши внутренние системы. Например, находится ли ваш ноутбук в том состоянии, в котором мы ожидаем? Вы обновили его? И так далее.

Мы все получали уведомления, что вас заблокируют, если вы не обновите систему. Где вы находитесь в мире? Какая у вас работа? И такие вещи, о которых большинство даже не задумывается, например, какой сегодня день недели, работаете ли вы в это время или подключаетесь с необычного места? И тому подобное.

Кларк Роджерс:
Для Кларка это нормально?

Стив Шмидт:
Верно. Это нормально для Кларка и для человека на его должности? И таких мер контроля просто не существует в большинстве компаний. Вот почему внедрение ограничений так важно. Не имеет значения, какую систему вы используете для этого, главное – чтобы ограничения были.

И эти барьеры должны постоянно развиваться, по мере того как меняется ландшафт угроз, эволюционирует наука о генеративном искусственном интеллекте и ваш бизнес определяет, что является допустимым использованием данных, которые он передает в систему генеративного искусственного интеллекта.

Кларк Роджерс:
Это замечательный совет. Посмотрим, сбудутся ли Ваши прогнозы. Стив, Вы – главный специалист по безопасности всего Amazon. Это, мягко говоря, работа с высоким уровнем стресса. Что Вы делаете, чтобы не только сохранить психическое здоровье, снять напряжение, но и оставаться в курсе происходящего в мире, немного отключаться от всего этого? И как Вы также следите за тем, чтобы Ваши руководители делали то же самое и заботились о себе?

Стив Шмидт:
Первое, на чем я акцентирую внимание со всеми нашими руководителями, независимо от того, новички они в компании или давно работают, – это то, как они отделяют себя от работы. Наша работа невероятно стрессовая. Есть вещи, которые фактически никогда не прекращаются.

Поэтому важно иметь способ передавать ответственность между людьми официально и говорить: «Ладно, Кларк, Вы уходите в отпуск на следующие шесть дней. Я не хочу от Вас ничего слышать, не хочу, чтобы Вы появлялись онлайн». Наши люди невероятно преданы делу. Были случаи, когда мне буквально приходилось угрожать отключением компьютеров людям, потому что они продолжали писать мне, хотя должны были быть в отпуске.

Я ценю вашу преданность, но проблема в том, что вы выгорите. Это марафон, а не спринт. Поэтому создание такого механизма очень важно. Второе – иметь что-то, что позволяет вам заниматься чем-то ценным для вас лично. Кто-то занимается музыкой, кто-то лазит по горам, кто-то ходит на рыбалку. Я лично являюсь добровольным пожарным и парамедиком.

Кларк Роджерс:
«Неужели?»

Стив Шмидт:
Для меня это что-то совершенно противоположное моей основной работе. Мы все люди, нам нравится общаться с другими людьми. Я сейчас разговариваю с Вами лицом к лицу. Ура, не по видеосвязи! Это здорово! Но моя основная работа представляет собой две вещи, которые сильно отличаются от этого.

Первая – большинство того, что я делаю в своей работе, оказывает влияние только через три, пять или десять лет, так что нет немедленного вознаграждения. Вторая – это в основном работа с компьютерами и с людьми, которых я даже не могу увидеть или потрогать. А вот в моей «веселой» жизни – пожарный, парамедик, – если я выполняю свою работу хорошо, я могу помочь человеку, к которому могу дотянуться и которого могу физически коснуться, и это помогает ему пережить лучший день. И это дает мне тот немедленный отклик, который я, как человек, ищу. Кроме того, это работа с довольно большой физической нагрузкой, в отличие от той, которая требует только логического подхода.

Кларк Роджерс:
Это другой вид стресса, но, возможно, и более здоровый.

Стив Шмидт:
Именно так. Ирония в том, что есть множество исследований, показывающих, что у людей, которые долго работают в пожарной службе, частота пульса на самом деле снижается, когда включаются сирены, потому что это их «место счастья» и они наслаждаются этим. Давайте признаемся, кто не любит мчаться по дороге со включенными сиренами и мигалками на машине? Это действительно весело.

Кларк Роджерс:
Это здорово! Я полагаю, что в роли CSO Вам приходится каждый день принимать решения – и зачастую очень важные. А как у Вас обстоят дела в пожарной службе или в работе парамедика? Вы старший по званию или, наоборот, ниже по иерархии – то есть кто-то другой принимает сложные решения, а Вы просто сосредотачиваетесь на своей задаче?

Стив Шмидт:
Иронично, но я на самом деле помощник начальника в нашей организации. Однако это больше про лидерские навыки, чем про техническую подготовку в этих сферах. Хотя я занимаюсь этим уже 38 лет.

Кларк Роджерс:
О, это потрясающе!

Стив Шмидт:
Так что я накопил небольшой опыт.

Кларк Роджерс:
Отлично! Что ж, Стив, большое спасибо, что присоединились ко мне сегодня.

Стив Шмидт:
Спасибо. Был рад здесь побывать.

Слушать

Слушать

Слушать