Wie üblich setzen wir die Reihe von Interviews mit italienischen Unternehmen fort, die in der Welt des Cyber- und allgemeiner der neuen Technologien tätig sind und Protagonisten des italienischen Szenarios sind. Heute interviewen wir den Ingenieur Davide Ariu, Mitbegründer des Unternehmens Pluribus Eins.
Bevor wir über Cybersicherheit und künstliche Intelligenz sprechen, können Sie uns kurz etwas über sich selbst, Ihre Rolle bei Pluribus One und das Unternehmen erzählen, das Sie vertreten?
Ich würde mit Pluribus One beginnen, ein Unternehmen, das ich mitgegründet habe und das ich seit einigen Jahren leite. Es wurde als Technologieunternehmen mit der Absicht gegründet, von Italien aus Lösungen für die Sicherheit von Anwendungen und Webdiensten auf den Markt zu bringen. Das Unternehmen tut dies ausgehend von einem soliden technologischen Hintergrund, wenn man bedenkt, dass es als Spin-off geboren wurde der Universität Cagliari, von der sowohl ich als auch die anderen Gründungsmitglieder stammen.
Obwohl der Kontext, in dem wir tätig sind, nicht der der Forschung, sondern ein geschäftlicher Kontext ist, in dem das Ziel offensichtlich darin besteht, unseren Kunden Lösungen anzubieten, haben wir uns beim Aufbau des Unternehmens dafür entschieden, dies zu tun und dabei den Geist der Forscher zu bewahren, der uns dazu bringt, uns an die Arbeit zu machen Wurzel der Probleme. Wir haben uns zum Ziel gesetzt, ein Mehrwertangebot aufzubauen, das auf vollständig von uns entwickelten kommerziellen Lösungen basiert. In diesem Fall ist der Bereich, in dem wir tätig sind, die Sicherheit von Anwendungen und Webdiensten, wo wir eine Lösung entwickelt haben, die das durchgängige Management von Anwendungsschwachstellen ermöglicht: von der Entdeckung bis zur Behebung.
Vor ein paar Tagen habe ich einen Artikel gelesen, in dem es um Adversarial Machine Learning und die Herausforderungen ging, die sich für Unternehmen im Umgang mit künstlicher Intelligenz ergeben. Können Sie uns in einfachen Worten erklären, was das bedeutet?
An sich ist die Definition von „Adversarial Machine Learning“ oder allgemeiner „Adversarial AI“ einfach und beschreibt die Reihe von Techniken, die darauf abzielen, das Verhalten von KI und Algorithmen für maschinelles Lernen zu entkräften und zu untergraben, mit der letztendlichen Absicht, die normale Funktion von Objekten zu gefährden und Lösungen, die sie nutzen. Dieses Ergebnis wird erreicht, indem den Algorithmen bewusst feindselige Eingaben (daher das Adjektiv „gegnerisch“) bereitgestellt werden, die unter Berücksichtigung von Faktoren wie der Art der anzugreifenden Algorithmen, dem Zeitpunkt, zu dem der Angriff ausgeführt werden kann, und der Absicht hinter dem Angriff konstruiert werden. Der Angriff soll strafrechtlich verfolgt werden.
Zwei der klassischsten Beispiele sind einerseits Angriffe, die Systeme dazu bringen, eine falsche Entscheidung zu treffen, und andererseits solche, die darauf abzielen, den Lernprozess zu untergraben, in dem Algorithmen aus Daten lernen, auch bekannt als Lernphase (oder). Lernen oder Training). Über Ersteres wurde viel geredet und wird auch weiterhin diskutiert, beispielsweise im Zusammenhang mit selbstfahrenden Fahrzeugen: Im Internet finden sich zahlreiche Beispiele selbstfahrender Autos, deren Steuerungssystem durch entsprechende Modifizierung der Verkehrsschilder getäuscht wurde positionierte Aufkleber. Für Letzteres könnten wir ein Beispiel im Bereich der Malware-Erkennung liefern, vorausgesetzt, wir verfügen über einen Algorithmus zur Erkennung von Malware. Wenn der Angreifer die Möglichkeit hätte, Malware-Samples so zu manipulieren, dass er einige der Merkmale, die sein bösartiges Verhalten auszeichnen, verbirgt oder verändert und dann sicherstellt, dass diese Samples während der Lernphase verarbeitet werden, würden dieselben Samples während der Klassifizierungsphase verarbeitet. Proben oder andere Äquivalente würden nicht als solche erkannt und würden somit dem Algorithmus entgehen.
Es ist anzumerken, dass die Existenz dieser Probleme kein absolutes Novum darstellt, zumindest nicht für die Welt der Forschung, die vor etwa 20 Jahren begonnen hat, sich mit ihnen zu befassen und sich mit ihnen auseinanderzusetzen, wenn auch nicht in einem so weit verbreiteten Ausmaß wie in den letzten Jahren letzten 5-6 Jahre. Jahre. Dabei hat sich unter anderem die Perspektive des Einsatzes von KI in realen und groß angelegten Kontexten radikal verändert, ein Aspekt, der uns offensichtlich direkt vor die möglichen Konsequenzen stellt und die dringende Notwendigkeit weckt, diese zu bewältigen.
Pluribus One beschäftigt sich seit Jahren mit der Anwendung der Künstliche-Intelligenz-Forschung im Bereich Cybersicherheit. Dies ist ein Anwendungsbereich, in dem wir stets auf neue Studien achten müssen. Welche Beziehungen hat Ihr Unternehmen zur Welt der Forschung?
Ich habe immer behauptet und tue dies auch heute mehr denn je, dass Cyber zu den Bereichen gehört, in denen die Grenze zwischen Forschung, selbst auf höchstem Niveau, und der Industrie fließender ist. Denn angewandte Forschung, die auf Daten basiert, kann oft nur dank realer Daten stattfinden, über die die Wissenschaft meist nicht verfügt und die die Industrie stattdessen ganz selbstverständlich für ihre Geschäfte sammelt. Und umgekehrt kann die Cyber-Industrie nicht langfristig am Markt bleiben, wenn sie nicht aktualisiert und innoviert und daher kontinuierlich aus der Welt der Forschung schöpft.
Ich habe 15 Jahre vorgelagerter universitärer Forschung hinter mir und, fest davon überzeugt, wollte ich immer, dass Forschung und Entwicklung eine der Schlüsselaktivitäten für Pluribus One sind. Innerhalb des Unternehmens führen wir viel Forschung und Entwicklung im Rahmen europäischer Forschungsprojekte durch, in denen wir die Möglichkeit haben, unsere Lösungen wachsen und reifen zu lassen, indem wir uns in einem internationalen Kontext vergleichen, der aus Dutzenden von Partnern aus ganz Europa besteht. von Portugal bis Rumänien. Es bedeutet, gemeinsam mit der Universität auch die praktischen Probleme unserer Kunden anzugehen und zu lösen. Probleme, an denen wir in der Vergangenheit gearbeitet haben – und dies auch heute noch tun –, sowohl Forschungsaktivitäten, die wir nach Möglichkeit im internationalen Kontext veröffentlichen, als auch den Engineering- und Entwicklungsteil, um die daraus resultierenden Verbesserungen in unsere Lösungen einfließen zu lassen. Wir wollen zeigen, dass es auch in Italien machbar ist und, wenn auch in angemessenem Umfang, nicht nur innerhalb der globalen IT-Giganten.
Um dieses Ziel zu erreichen, investiert das Unternehmen seit jeher erhebliche Ressourcen und pflegt einen kontinuierlichen Personalaustausch mit der Universitätswelt. Ab 2023 wird damit auch ein dreijähriges Doktorandenstipendium an der Universität Cagliari finanziert.
Was halten Sie von der Notwendigkeit der Wissensverbreitung im Bereich Künstliche Intelligenz und Cybersicherheit? Was tun Sie, um die Wissensverbreitung in diesem Sektor zu verbessern? Wie ist die Situation in Italien?
Ich denke, es ist eine grundlegende Aktivität im digitalen Transformationsprozess unserer Gesellschaft. KI und digitale Technologien bieten uns ganz allgemein außergewöhnliche Möglichkeiten. Aber sie können unser Leben zumindest teilweise auf Szenarien projizieren, die wir im besten Fall bisher noch nicht erlebt haben und die wir uns im schlimmsten Fall aufgrund von Entwicklungen und möglichen Auswirkungen, auch, aber nicht nur, aus einem Cyber-Profil nur schwer vorstellen können. Um zu verhindern, dass wir uns als Gesellschaft auf das Unbekannte zubewegen, ist es angesichts der möglichen gesellschaftlichen Auswirkungen und angesichts der Tatsache, dass sie uns alle in irgendeiner Weise betreffen, wichtig, dass diese Themen immer mehr Raum in der Massenkommunikation finden. In den letzten Jahren hat sich bereits einiges geändert: Noch vor fünf Jahren hätte ich nicht gedacht, dass ich in den Abendnachrichten etwas über Cybersicherheit hören würde. Zum Glück passiert es jetzt, und es ist sicherlich eine gute Sache.
Aber ich lanciere eine Provokation. Ich halte es für angemessen, auf institutioneller Ebene über eine Massenkampagne zur Alphabetisierung zu diesen Themen nachzudenken, ähnlich wie es in der Nachkriegszeit zur Verbreitung der Grundbildung getan wurde. Angesichts der Geschwindigkeit, mit der diese Technologien entwickelt werden und sich durchsetzen, wäre dies eine vernünftige Maßnahme, die nicht sehr menschenähnlich ist.
Unsererseits haben wir, vielleicht auch ein wenig aus beruflichen Gründen, schon immer eine nicht-kommerzielle Kommunikation einer Kommunikation vorgezogen, die auf die Verbreitung von Kompetenzen ausgerichtet ist: in einer Zeit, in der wir das Ziel von Kommunikations- und Marketingkampagnen aller Art sind, glauben wir dass der beste Weg, Menschen zu erreichen, darin besteht, Mehrwert und Know-how einzubringen.
Aus diesem Grund haben wir beispielsweise im Jahr 2023 ein eigenes Informationsformat erstellt, das wir Cyber Journey nannten (https://cyberjourney.it/). Es handelt sich um eine persönliche Veranstaltung, die wir als eine Art Reise durch die Themen des Cyber-Panoramas konzipiert haben, die ein reines Verbreitungsziel hat und bei der wir der Öffentlichkeit von Cagliari kostenlos die Möglichkeit gegeben haben, sie kennenzulernen und mit ihnen zu interagieren Redner, die die internationale Grenze der Cyber-Forschung und -Industrie repräsentieren. In den beiden Ausgaben 2023 hatten wir Referenten von ENISA, MICROSOFT, SAP, TRELLIX, CHECKMARX und von einigen der renommiertesten europäischen Universitäten, wie Carlos III in Madrid und der Universität Amsterdam.
Gleichzeitig haben wir auch eine Online-Community namens „Unboxed AppSec“ ins Leben gerufen, in der wir uns wöchentlich mit Anwendungssicherheitsproblemen befassen und versuchen, sie zugänglich zu machen. Es handelt sich um einen Online-Container, den ich persönlich mit Artikeln und Beiträgen aus der Welt der Forschung bis hin zur Beschreibung der Frameworks und Arbeitstools füttere, die wir täglich zur Gewährleistung der Softwaresicherheit verwenden.
Ich stelle mir vor, dass es in einem Unternehmen wie Ihrem notwendig ist, immer neue Leute zu haben, mit denen man neue Projekte entwickeln kann. Ist es schwierig, geschultes Personal zu finden? Was tun Sie, um ihn bei sich zu behalten?
Ein Unternehmen wie unseres lebt von Know-how und daher sind die Menschen einer der Grundpfeiler, auf denen das Unternehmen basiert. Denken Sie darüber nach, was es bedeutet, etwas mitzubringen, wie wir es im Fall unserer Seer Box tun (http://seerbox.it), eine Cybersicherheitslösung auf dem Markt.
Wir brauchen exzellente Software-Ingenieure, um sicherzustellen, dass unsere Lösung effizient und skalierbar ist und mit gleicher Effizienz und gleichgültig in einer Vielzahl von Umgebungen installiert werden kann, von der traditionellsten On-Premise-Umgebung bis hin zu modernen Container-basierten Cloud-nativen Umgebungen. Wir benötigen offensive Sicherheitskenntnisse, um zu verstehen, wie die Webanwendungen und APIs, die wir mit Seer Box schützen müssen, angegriffen werden können. Und auf der anderen Seite benötigen wir Datenwissenschaft, Datenanalyse und maschinelles Lernen sowie defensive Sicherheitskompetenzen, um die für die Erkennung und Blockierung von Angriffen nützlichen Daten schnell und effizient zu speichern, zu analysieren und zu verarbeiten. Hinzu kommt die Tatsache, dass wir eine Lösung vorschlagen, die Kunden zu Hause installieren müssen, und da es sich um ein Cybersicherheitsprodukt handelt, ist es das erste Objekt der Bewertung und Prüfung durch unsere Kunden, bevor sie sich für die Installation in ihrer Infrastruktur entscheiden. Daraus folgt, dass wir den Aspekten Qualitätssicherung, Tests und DevSecOps maximale Aufmerksamkeit schenken müssen.
Da die Lösung schließlich leicht zugänglich und benutzbar sein muss und auch technischem Personal ohne spezielle Schulung in Web-Sicherheit die Bedienung ermöglichen muss, müssen wir allen Aspekten der Benutzeroberfläche, des Benutzererlebnisses und der Präsentation maximale Aufmerksamkeit schenken Ausgänge.
Der Ausgangsstandard für unser technisches Team ist daher sehr hoch und es ist nicht einfach, fertige Zahlen auf dem Markt zu finden, insbesondere auf einem italienischen Markt, wo Unternehmen, die Software entwickeln, nicht sehr darauf ausgerichtet sind, Lösungen „von der Stange“ zu entwickeln, und selbst solche, die dies tun Die Betreiber ihrer Lösungen sind sehr oft in der SaaS-Welt angesiedelt, die sich völlig von unserer unterscheidet.
Aber ich könnte das Gleiche für alle Fähigkeiten im Zusammenhang mit europäischen F&E-Projekten wiederholen.
Während wir bei den Auswahlprozessen daher immer nach Profilen suchen, die ergänzende Erfahrungen und Know-how zu unseren eigenen einbringen können, versuchen wir andererseits, die Entwicklung der Menschen so weit wie möglich zu fördern und die höchste Qualität der Arbeit zu gewährleisten Umgebung. Arbeit.
Wir haben vorausgesehen, dass 10 % der wöchentlichen Arbeitszeit für Studienaktivitäten aufgewendet werden müssen, wir führen mindestens zweiwöchentlich Schulungen zu Soft Skills durch und wir verfügen über ein Personalmanagement, das selbst in viel größeren Unternehmen als unserem obsessiv wäre.
Denn wie ich den Leuten in unserem Team immer sage: „Wir möchten, dass Sie so lange wie möglich bei uns bleiben.“ Aber in der Zwischenzeit möchten wir, dass Sie sich weiterbilden und weiterentwickeln können, sodass Sie, wenn Sie sich entscheiden, Pluribus One morgen früh zu verlassen, kein Problem haben werden, ein noch größeres und prestigeträchtigeres Unternehmen zu finden, das Sie willkommen heißen kann.“ Natürlich hoffe ich immer, dass es nicht passiert.
Was sind schließlich die Pläne von Pluribus One für 2024?
Sie sind zahlreich und ehrgeizig, aber ich werde versuchen, drei zu nennen.
Wir werden Anfang dieses Jahres damit beginnen, eine kostenlose, öffentliche Version unserer Seer Box-Lösung zur Verfügung zu stellen. Wir möchten jedem die Möglichkeit geben, es einfach auszuprobieren, sich darüber zu informieren und es zum Schutz seiner Anwendungen und Webdienste zu nutzen. Wir glauben fest an die Qualität der Arbeit, die wir in all den Jahren geleistet haben, und wir möchten, dass sie geschätzt wird.
Dann wird ein 4-Millionen-Euro-europäisches Projekt ins Leben gerufen, das APPTake-Projekt, bei dem wir an der Spitze eines Konsortiums von 14 Unternehmen aus 7 verschiedenen Ländern stehen und dessen Ziel es ist, in Europa hergestellte Lösungen für DevSecOps zu entwickeln. Angesichts der Rolle der Koordinatoren, die wir haben, ist es ein Projekt, das uns vor eine wichtige Verantwortung stellt und uns für die Bühne des europäischen Marktes öffnen wird. Also eine riesige Chance.
Und dann werden wir im Jahr 2024 unser Cyber-Journey-Event mit einer noch ehrgeizigeren Formel wiederholen.
Die Leser von Difesa Online sind nun alle im Juni nach Cagliari eingeladen.
