Cybersecurity 
Een Managed Security Service Provider (MSSP) in cyberbeveiliging is een externe organisatie die op afstand de IT-systemen, netwerken en gegevens van een klant beheert en beveiligt.
Medewerkers maken steeds sneller gebruik van AI-tools, chatbots en automatiseringen dan organisaties deze kunnen reguleren. Het echte gevaar ontstaat wanneer deze tools, onder het mom van productiviteitsverhoging, rechtstreeks verbinding maken met interne systemen en gevoelige gegevens. Van de werknemers die op het werk gebruikmaken van AI, doet een aanzienlijk deel dit zonder formele toestemming van de IT- of beveiligingsafdelingen; dit wordt doorgaans ‘shadow AI’ genoemd.
Veel organisaties beschouwen shadow AI nog steeds als een probleem op het gebied van gegevensblootstelling, terwijl het in werkelijkheid steeds meer een kwestie van identiteitsbeheer wordt. Elke ongeautoriseerde AI-integratie maakt stilletjes nieuwe gebruikersaccounts, aanmeldingsgegevens en identiteiten, die opereren buiten traditionele toegangscontroles. Organisaties moeten hun identiteitsgerichte beveiligingsmaatregelen uitbreiden naar alle menselijke en niet-menselijke identiteiten (NHI’s) die met hun systemen zijn verbonden, om zo weer inzicht te krijgen, het beheer te waarborgen en de algehele beveiligingsrisico’s te verminderen.
Wat shadow AI daadwerkelijk aanmaakt
Shadow AI verspreidt zich snel omdat moderne AI-tools weinig tot geen installatie vereisen. Medewerkers kunnen applicaties koppelen, workflows automatiseren en gegevens vrijwel direct verwerken zonder tussenkomst van de IT-afdeling. De tools zelf zijn zelden het probleem. Het risico schuilt in waarmee werknemers ze in verband brengen. Zodra AI-platforms toegang krijgen tot SaaS-platforms, cloudomgevingen en interne databases, introduceren ze aanmeldingsgegevens en identiteiten waarvan de meeste beveiligingsteams niet weten dat ze bestaan en waarvan ze geen kader hebben om te beheren.
Elke niet-goedgekeurde AI-integratie creëert nieuwe identiteiten en aanmeldingsgegevens die niemand controleert. Elk van deze draagt bij aan een groeiende inventaris van accounts, toegangspunten en geheimen die IT nooit heeft toegewezen en daarom niet kan intrekken. Wanneer medewerkers accounts aanmaken voor AI-tools, creëren zij identiteiten met hun eigen toegangsrechten, gegevensmachtigingen en sessiegeschiedenis. Deze vermenigvuldigen zich snel. De IT-afdeling zit uiteindelijk opgescheept met een onzichtbare verzameling onbeheerde identiteiten die verspreid zijn over externe platforms, zonder inzicht in waartoe deze toegang hebben, zonder mogelijkheid om het gebruik te controleren en zonder procedure voor het intrekken van toegangsrechten wanneer de medewerker het bedrijf verlaat.
Wanneer medewerkers een stap verder gaan en AI-tools koppelen aan interne systemen, introduceren ze serviceaccounts in de organisatieomgeving. Deze NHI’s opereren doorgaans volledig buiten levenscyclusbeheer, roulatie van aanmeldingsgegevens en toegangsbeheer. Ook genereert elke integratie aanmeldingsgegevens zoals API-sleutels, tokens en geheimen, die vaak worden opgeslagen in browserextensies of configuratiebestanden buiten de beveiligingsperimeter. Deze aanmeldingsgegevens worden zelden gewijzigd en vrijwel nooit gecontroleerd.
De kloof in identiteitsbeheer die hierdoor ontstaat
Traditionele identiteitsbeveiliging was ontworpen voor menselijke gebruikers, door IT verstrekte toegang en gedefinieerde netwerkgrenzen. Shadow AI ondermijnt alle drie de aannames tegelijk.
In veel bedrijfsomgevingen zijn er al meer NHI’s dan menselijke identiteiten. AI-agenten die toegang hebben tot een productiedatabase vormen hetzelfde risico op het gebied van geprivilegieerde toegang als een menselijke beheerder met vergelijkbare rechten, maar ze worden vaak zonder dezelfde zorgvuldigheid ingericht, niet met dezelfde consistentie gecontroleerd en zonder hetzelfde proces weer uitgeschakeld.
Ons eigen onderzoek bevestigt dit. Het rapport Identiteitsbeveiliging op machinesnelheid van Keeper Security gaf aan dat 43% van de besluitvormers op het gebied van cyberbeveiliging wereldwijd het beheer van AI-gerelateerde NHI’s aanmerkt als een van de grootste tekortkomingen in hun identiteitsbeheerprogramma’s. De organisaties die deze kloof onderkennen, lopen voor op degenen die daar nog geen aandacht aan hebben besteed.
Wat organisaties anders moeten doen
Het antwoord op shadow AI is niet een strenger beleid of een breder verbod. Deze benadering breidt identiteitsgerichte beveiligingsmaatregelen uit om rekening te houden met elke identiteit die AI-tools creëren, zowel van mensen als van machines, en zorgt ervoor dat het beheer continu plaatsvindt in plaats van periodiek.
Krijg volledig inzicht in het gebruik van AI
Organisaties kunnen geen controle uitoefenen op wat ze niet zien; zij moeten voortdurend alle goedgekeurde en niet-goedgekeurde AI-tools, agents, automatiseringen en integraties in kaart brengen die binnen hun omgevingen actief zijn. Door hun netwerken te monitoren, kunnen organisaties het gebruik van applicaties bijhouden en maatregelen ontwikkelen om het gebruik van niet-goedgekeurde AI-tools te beperken, terwijl ze tegelijkertijd alle NHI’s identificeren die door die tools worden gemaakt en die oorspronkelijk niet via de IT-afdeling zijn ingericht. Naast ontdekking moeten organisaties realtime monitoring en opname van bevoorrechte sessies implementeren om volledig inzicht te behouden in AI-gestuurde workflows, met het oog op continue controles in plaats van periodieke, achteraf uitgevoerde beoordelingen.
Pas identiteitsbeveiliging toe op zowel mensen als machines
Elk NHI moet worden onderworpen aan dezelfde authenticatie-, autorisatie- en levenscyclusbeheerprocedures als een menselijke identiteit, met toegang op basis van het principe van minimale privileges, geautomatiseerde roulatie van aanmeldingsgegevens en vastgelegde intrekking, gekoppeld aan de levenscyclus van de bijbehorende menselijke eigenaar of werklast. Dezelfde maatregelen die gelden voor geprivilegieerde menselijke accounts, moeten ook gelden voor de AI-agenten en serviceaccounts die naast hen opereren.
Geef werknemers een haalbaar toekomstperspectief
Werknemers die bijdragen aan shadow AI doen dat vaak niet omdat ze de beveiliging omzeilen, maar omdat ze niet weten dat er een gereguleerd alternatief bestaat. Duidelijke richtlijnen over welke tools zijn goedgekeurd, voor welke toepassingen en onder welke voorwaarden, in combinatie met toegankelijke, goedgekeurde alternatieven, pakken de oorzaak aan in plaats van het symptoom.
Verbeter uw identiteitsbeveiliging om shadow AI te beheren
Traditionele beveiligingsmodellen waren ontworpen voor menselijke gebruikers, door IT ingerichte toegang en gedefinieerde netwerkgrenzen. Shadow AI ondermijnt deze aannames door onbeheerde machine-identiteiten, aanmeldingsgegevens en integraties in cloud- en SaaS-omgevingen te introduceren telkens wanneer een medewerker een niet-goedgekeurde AI-tool aan de infrastructuur koppelt. Organisaties die shadow AI uitsluitend als een probleem van gegevenslekken beschouwen, zien het onderliggende gevaar over het hoofd: ongecontroleerde identiteitsuitbreiding. Om shadow AI effectiever te beheren, moeten organisaties volledig inzicht hebben in AI-gestuurde toegang, governance hebben over zowel menselijke als machine-identiteiten en beschikken over geautomatiseerde controles voor aanmeldingsgegevens en geprivilegieerde toegang. Voor meer informatie over hoe organisaties hun identiteitsbeveiligingsstrategieën aanpassen aan AI-gedreven omgevingen, leest u ons nieuwste rapport.
