Seperti biasa, kami melanjutkan rangkaian wawancara dengan perusahaan-perusahaan Italia yang beroperasi di dunia siber dan lebih umum lagi di bidang teknologi baru, yang merupakan protagonis dalam skenario Italia. Hari ini kami mewawancarai insinyur Davide Ariu, salah satu pendiri perusahaan Pluribus Satu.
Sebelum berbicara tentang keamanan siber dan Kecerdasan Buatan, bisakah Anda ceritakan secara singkat tentang diri Anda, peran Anda di Pluribus One, dan perusahaan yang Anda wakili?
Saya akan mulai dari Pluribus One, sebuah perusahaan yang saya bantu temukan dan saya pimpin selama beberapa tahun. Ia lahir sebagai perusahaan teknologi, dengan tujuan membawa solusi keamanan aplikasi dan layanan Web ke pasar yang dimulai dari Italia. Perusahaan melakukan ini dimulai dari latar belakang teknologi yang kuat, mengingat ia lahir sebagai spin-off dari Universitas Cagliari, tempat saya dan anggota pendiri lainnya berasal.
Meskipun konteks di mana kami beroperasi bukanlah konteks penelitian, melainkan konteks bisnis yang tujuannya jelas adalah untuk menawarkan solusi kepada pelanggan kami, dalam membangun perusahaan kami memutuskan untuk melakukannya dengan tetap menjaga semangat peneliti yang membawa kami menuju ke arah yang lebih maju. akar masalahnya. Kami telah menetapkan tujuan untuk membangun penawaran nilai berdasarkan solusi komersial yang sepenuhnya dikembangkan oleh kami. Dalam hal ini, area di mana kami beroperasi adalah keamanan aplikasi dan layanan Web, di mana kami telah mengembangkan solusi yang memungkinkan pengelolaan kerentanan aplikasi secara end-to-end: dari penemuan hingga mitigasi.
Beberapa hari yang lalu saya membaca artikel yang membahas tentang Adversarial Machine Learning dan tantangan yang muncul bagi perusahaan yang bergerak di bidang Artificial Intelligence. Bisakah Anda menjelaskan kepada kami dengan kata-kata sederhana apa artinya ini?
Definisi Adversarial Machine Learning atau lebih umum lagi Adversarial AI adalah sederhana dan menjelaskan serangkaian teknik yang bertujuan untuk membatalkan dan menumbangkan perilaku algoritma AI dan Machine Learning, dengan tujuan utama membahayakan fungsi normal objek. dan solusi yang menggunakannya. Hasil ini dicapai dengan menyediakan algoritma dengan input yang sengaja dibuat bermusuhan (maka kata sifat adversarial) yang dibangun dengan mempertimbangkan faktor-faktor seperti jenis algoritma yang akan diserang, momen di mana serangan dapat dilakukan dan maksud di balik serangan tersebut. penyerangan dimaksudkan untuk diadili.
Dua contoh yang paling klasik adalah, di satu sisi, serangan yang mendorong sistem untuk membuat keputusan yang salah dan di sisi lain, serangan yang bertujuan untuk melemahkan proses pembelajaran di mana algoritma belajar dari data, yang juga dikenal sebagai fase pembelajaran ( atau pembelajaran atau pelatihan). Yang pertama sudah banyak dibicarakan dan terus dibicarakan, misalnya terkait kendaraan self-driving: di internet banyak sekali contoh mobil self-driving yang sistem kendalinya ditipu dengan memodifikasi rambu-rambu jalan dengan semestinya. stiker yang diposisikan. Yang terakhir ini kami dapat memberikan contoh di bidang deteksi malware, dengan asumsi kami memiliki algoritma yang dirancang untuk mengenali malware. Jika penyerang memiliki kemungkinan memanipulasi sampel malware hingga menyembunyikan atau memodifikasi beberapa karakteristik yang membedakan perilaku jahatnya dan kemudian memastikan bahwa sampel tersebut diproses selama fase pembelajaran, sampel yang sama akan diproses selama fase klasifikasi. sampel atau yang setara lainnya tidak akan dikenali, sehingga menghindari algoritma.
Perlu dicatat bahwa keberadaan permasalahan tersebut tidak mewakili suatu hal yang benar-benar baru, setidaknya bagi dunia penelitian, yang mulai bertanya dan mengatasinya sekitar 20 tahun yang lalu, meskipun tidak dalam skala seluas yang terjadi di dunia. 5-6 tahun terakhir.tahun. Di antara hal-hal tersebut, perspektif penggunaan AI dalam konteks nyata dan berskala besar telah berubah secara radikal, sebuah aspek yang jelas menempatkan kita di hadapan konsekuensi yang mungkin terjadi dan meningkatkan kebutuhan mendesak untuk mengelolanya.
Pluribus One telah menangani penerapan penelitian Kecerdasan Buatan di bidang keamanan siber selama bertahun-tahun. Ini adalah bidang aplikasi di mana kita harus selalu memperhatikan studi baru. Apa hubungan perusahaan Anda dengan dunia riset?
Saya selalu menegaskan dan terus melakukannya saat ini, lebih dari sebelumnya, bahwa dunia maya adalah salah satu sektor di mana batas antara penelitian, bahkan pada tingkat tertinggi, dan industri menjadi semakin kabur. Karena penelitian terapan yang berkembang pesat berdasarkan data sering kali dapat terjadi hanya berkat data nyata yang seringkali tidak dimiliki oleh akademisi dan yang secara alami dikumpulkan oleh industri untuk menjalankan bisnisnya. Dan sebaliknya, industri siber tidak dapat bertahan di pasar dalam jangka panjang kecuali mereka memperbarui dan berinovasi dan oleh karena itu terus-menerus memanfaatkan dunia penelitian.
Saya memiliki 15 tahun penelitian di universitas hulu dan, dengan keyakinan ini, saya selalu ingin penelitian dan pengembangan menjadi salah satu aktivitas utama Pluribus One. Di dalam perusahaan kami melakukan banyak penelitian dan pengembangan dalam proyek penelitian Eropa, di mana kami memiliki kemungkinan untuk membuat solusi kami tumbuh dan matang dengan membandingkan diri kami dalam konteks internasional yang terdiri dari lusinan mitra dari seluruh Eropa, dari Portugal ke Rumania. Ini berarti bekerja sama dengan universitas untuk juga mengatasi dan memecahkan masalah praktis pelanggan kami. Permasalahan yang telah kami laksanakan di masa lalu - dan terus kami laksanakan hingga saat ini - baik kegiatan penelitian, yang bila memungkinkan kami publikasikan dalam konteks internasional, maupun bagian rekayasa dan pengembangan untuk membawa perbaikan yang dihasilkan ke dalam solusi kami. Kami ingin menunjukkan bahwa hal ini juga dapat dilakukan di Italia dan, meskipun dalam skala yang wajar, tidak hanya di negara-negara raksasa TI global.
Untuk mencapai tujuan ini, perusahaan selalu menginvestasikan sumber daya yang signifikan dan terus melakukan pertukaran staf dengan dunia universitas. Sampai-sampai mulai tahun 2023 ini juga akan membiayai beasiswa doktoral selama tiga tahun di University of Cagliari.
Bagaimana pendapat Anda mengenai perlunya diseminasi ilmu pengetahuan di bidang Artificial Intelligence dan Cyber security? Apa yang Anda lakukan untuk meningkatkan penyebaran pengetahuan di sektor ini? Bagaimana situasi di Italia?
Saya pikir ini adalah aktivitas mendasar dalam proses transformasi digital masyarakat kita. AI dan teknologi digital secara umum memberi kita peluang luar biasa. Namun mereka dapat memproyeksikan hidup kita setidaknya sebagian ke arah skenario yang belum pernah kita alami hingga saat ini, dan yang paling buruk kita sulit membayangkannya karena perkembangan dan dampak yang mungkin terjadi, juga namun tidak hanya, dari profil dunia maya. Untuk mencegah kita sebagai masyarakat berjalan menuju hal-hal yang tidak kita ketahui, oleh karena itu penting agar isu-isu ini mendapatkan lebih banyak ruang dalam komunikasi massa, dengan mempertimbangkan kemungkinan dampak sosialnya dan mengingat bahwa isu-isu tersebut menjadi perhatian kita semua. Dalam beberapa tahun terakhir, banyak hal telah berubah: Saya tidak pernah terpikir, bahkan lima tahun yang lalu, untuk mendengar tentang keamanan siber dalam berita malam. Untungnya hal itu terjadi sekarang, dan tentu saja merupakan hal yang baik.
Tapi saya melancarkan provokasi. Saya yakin akan tepat untuk memikirkan kampanye literasi massal mengenai isu-isu ini di tingkat institusional, seperti apa yang dilakukan pada periode pasca-perang untuk menyebarkan pelatihan dasar. Ini akan menjadi tindakan yang masuk akal, mengingat kecepatan perkembangan dan penerapan teknologi ini, yang tidak terlalu mirip dengan manusia.
Bagi kami, mungkin juga sedikit berdasarkan latar belakang, kami selalu lebih menyukai komunikasi non-komersial dibandingkan komunikasi yang berorientasi pada difusi keterampilan: pada saat kami menjadi target segala jenis komunikasi dan kampanye pemasaran, kami percaya bahwa cara terbaik untuk menjangkau masyarakat adalah dengan memberikan nilai dan pengetahuan.
Oleh karena itu, misalnya pada tahun 2023 kami membuat format informasi sendiri yang kami namakan Cyber Journey (https://cyberjourney.it/). Ini adalah acara tatap muka yang kami anggap sebagai bentuk perjalanan melalui tema-tema panorama dunia maya, yang memiliki tujuan sosialisasi murni dan di dalamnya kami mengizinkan masyarakat Cagliari, secara gratis, untuk mengenal dan berinteraksi dengannya. pembicara yang mewakili garis depan internasional penelitian dan industri cyber. Pada dua edisi 2023 kami menghadirkan pembicara dari ENISA, MICROSOFT, SAP, TRELLIX, CHECKMARX dan dari beberapa universitas paling bergengsi Eropa, seperti Carlos III di Madrid dan University of Amsterdam.
Pada saat yang sama kami juga meluncurkan komunitas online, "Unboxed AppSec", tempat kami menangani masalah keamanan aplikasi setiap minggu, mencoba membuatnya dapat diakses. Ini adalah wadah online, yang secara pribadi saya isi dengan artikel dan postingan mulai dari dunia penelitian hingga deskripsi kerangka kerja dan alat kerja yang kami gunakan sehari-hari untuk menjamin keamanan perangkat lunak.
Di perusahaan seperti milik Anda, saya membayangkan perlunya selalu memiliki orang-orang baru yang dapat diajak mengembangkan proyek baru. Apakah sulit menemukan staf terlatih? Apa yang kamu lakukan agar dia tetap bersamamu?
Perusahaan seperti kami hidup dari pengetahuan dan oleh karena itu sumber daya manusia merupakan salah satu landasan utama perusahaan ini. Pikirkan tentang apa artinya membawa, seperti yang kita lakukan dalam kasus Kotak Peramal (http://seerbox.it), solusi keamanan siber di pasar.
Kami membutuhkan insinyur perangkat lunak yang unggul untuk memastikan bahwa solusi kami efisien dan terukur, dapat diinstal dengan efisiensi yang sama dan acuh tak acuh di berbagai lingkungan, mulai dari lingkungan on-premise yang paling tradisional hingga cloud-native berbasis container modern. Kita memerlukan keterampilan keamanan ofensif untuk memahami bagaimana aplikasi web dan API yang harus kita lindungi dengan Seer Box dapat diserang. Di sisi lain, kita memerlukan ilmu data, analisis data & pembelajaran mesin, serta keterampilan keamanan defensif untuk menyimpan, menganalisis, dan memproses data yang berguna untuk mendeteksi dan memblokir serangan dengan cepat dan efisien. Kami menambahkan fakta bahwa kami mengusulkan solusi yang harus dipasang oleh pelanggan di rumah, dan sebagai produk keamanan siber, ini adalah objek evaluasi dan pengawasan pertama oleh pelanggan kami sebelum mereka memutuskan untuk memasangnya di infrastruktur mereka. Oleh karena itu, kita harus memberikan perhatian maksimal pada aspek Quality Assurance, Testing, dan DevSecOps.
Terakhir, mengingat bahwa solusi tersebut harus mudah diakses dan digunakan, dan juga memungkinkan personel teknis yang tidak memiliki pelatihan khusus dalam keamanan Web untuk beroperasi, kita harus memberikan perhatian maksimal pada semua aspek Antarmuka Pengguna, Pengalaman Pengguna, dan presentasi dari solusi tersebut. keluaran.
Oleh karena itu, standar awal untuk tim teknis kami sangat tinggi dan tidak mudah untuk menemukan figur yang siap pakai di pasar, terutama di pasar Italia di mana perusahaan yang mengembangkan perangkat lunak tidak terlalu berorientasi pada penciptaan solusi "siap pakai" dan bahkan solusi yang tersedia. mempertahankan solusi mereka sering kali ada di dunia SaaS, yang sangat berbeda dari dunia kita.
Tapi saya bisa mengulangi hal yang sama untuk semua keterampilan yang berkaitan dengan proyek penelitian dan pengembangan Eropa.
Oleh karena itu, jika dalam proses seleksi kita selalu mencari profil yang dapat memberikan pengalaman dan pengetahuan yang saling melengkapi, di sisi lain kita berusaha mendorong pertumbuhan manusia semaksimal mungkin, dan menjamin kualitas kerja yang setinggi-tingginya. lingkungan kerja.
Kami telah memperkirakan bahwa 10% dari waktu kerja mingguan harus dialokasikan untuk kegiatan belajar, kami mengadakan pelatihan setidaknya dua minggu sekali mengenai soft-skill, dan kami memiliki manajemen SDM yang akan menjadi obsesif bahkan di perusahaan yang jauh lebih besar dari kami.
Ini karena seperti yang selalu saya katakan kepada orang-orang di tim kami: “Kami ingin Anda tetap bersama kami selama mungkin. Namun sementara ini kami ingin Anda dapat berlatih dan berkembang sehingga jika Anda memutuskan untuk meninggalkan Pluribus One besok pagi, Anda tidak akan kesulitan menemukan perusahaan yang lebih besar dan bergengsi yang dapat menyambut Anda." Tentu saja saya selalu berharap hal itu tidak terjadi.
Terakhir, apa rencana Pluribus One di tahun 2024?
Mereka banyak dan ambisius, tapi saya akan mencoba menyebutkan tiga.
Kami akan memulai awal tahun ini dengan menyediakan versi publik gratis dari solusi Seer Box kami. Kami ingin memberikan kesempatan kepada semua orang untuk mencobanya dengan mudah, mempelajarinya, dan menggunakannya untuk melindungi aplikasi dan layanan web mereka. Kami sangat percaya pada kualitas pekerjaan yang telah kami lakukan selama bertahun-tahun dan kami ingin itu dihargai.
Proyek Eropa senilai €4 juta kemudian akan terwujud, proyek APPTake, yang menjadikan kami sebagai kepala konsorsium 14 perusahaan dari 7 negara berbeda dan bertujuan untuk mengembangkan solusi buatan Eropa untuk DevSecOps. Mengingat peran koordinator yang kami miliki, ini adalah proyek yang menempatkan kami di hadapan tanggung jawab penting dan akan membuka kami ke panggung pasar Eropa. Jadi peluang yang sangat besar.
Dan kemudian pada tahun 2024 kami akan mengulangi acara Cyber Journey kami dengan formula yang lebih ambisius.
Pembaca Difesa Online kini diundang ke Cagliari pada bulan Juni.
