Cyberbezpieczeństwo 
Cyberwojna nie ogranicza się już do geopolityki. To, co kiedyś było przede wszystkim problemem agencji rządowych i wykonawców sektora obronnego, stało się rzeczywistością dla przedsiębiorstw działających
Pracownicy wdrażają narzędzia AI, agentów AI i automatyzacje szybciej, niż organizacje są w stanie objąć je odpowiednimi mechanizmami nadzoru. Prawdziwe zagrożenie pojawia się w momencie, gdy narzędzia te zaczynają łączyć się bezpośrednio z systemami wewnętrznymi i danymi wrażliwymi w celu zwiększenia produktywności. Znaczna część pracowników korzystających z AI w pracy robi to bez formalnej zgody działów IT lub zespołów bezpieczeństwa, co powszechnie określa się mianem Shadow AI.
Wiele organizacji nadal postrzega Shadow AI jako problem związany z ujawnianiem danych, podczas gdy w rzeczywistości coraz częściej staje się on problemem związanym z zarządzaniem tożsamościami. Każda nieautoryzowana integracja AI po cichu tworzy nowe konta, dane uwierzytelniające i tożsamości działające poza tradycyjnymi mechanizmami kontroli dostępu. Aby odzyskać widoczność, egzekwować zasady nadzoru i ograniczyć ogólne ryzyko bezpieczeństwa, organizacje muszą rozszerzyć zabezpieczenia oparte na podejściu identity-first na każdą tożsamość osobową i nieosobową (NHI) połączoną z ich systemami.
Co faktycznie tworzy Shadow AI
Shadow AI rozprzestrzenia się szybko, ponieważ nowoczesne narzędzia AI wymagają niewielkiej konfiguracji lub nie wymagają jej wcale. Pracownicy mogą niemal natychmiast łączyć aplikacje, automatyzować procesy i przetwarzać dane bez angażowania działu IT. Same narzędzia rzadko stanowią problem. Ryzyko wynika z tego, z czym pracownicy je integrują. Gdy platformy AI uzyskują dostęp do platform SaaS, środowisk chmurowych i wewnętrznych baz danych, wprowadzają dane uwierzytelniające i tożsamości, o których większość zespołów bezpieczeństwa nie wie i dla których nie istnieją żadne mechanizmy nadzoru.
Każda nieautoryzowana integracja AI tworzy nowe tożsamości i dane uwierzytelniające, których nikt nie audytuje. Każda z nich powiększa stale rosnący zasób kont, punktów dostępu i tajnych danych, których dział IT nigdy nie utworzył, a więc nie może ich również wycofać. Gdy pracownicy tworzą konta dla narzędzi AI, tworzą jednocześnie tożsamości posiadające własny zakres dostępu, uprawnienia do danych i historię sesji. Liczba takich tożsamości szybko rośnie. Dział IT pozostaje z niewidocznym skupiskiem niezarządzanych tożsamości rozproszonych na zewnętrznych platformach, bez wiedzy o tym, do czego mają dostęp, bez możliwości audytowania ich wykorzystania i bez procesu wycofywania ich po odejściu pracownika.
Gdy pracownicy idą o krok dalej i łączą narzędzia AI z systemami wewnętrznymi, wprowadzają do środowiska organizacji konta usługowe. Takie tożsamości nieosobowe zazwyczaj funkcjonują całkowicie poza procesami zarządzania cyklem życia, rotacji danych uwierzytelniających i nadzoru nad dostępem. Każda integracja generuje również dane uwierzytelniające, takie jak klucze API, tokeny i tajne dane, które często trafiają do rozszerzeń przeglądarek lub plików konfiguracyjnych znajdujących się poza granicami ochrony. Takie dane uwierzytelniające są rzadko rotowane i niemal nigdy nie podlegają audytowi.
Luka w zarządzaniu tożsamościami, którą to powoduje
Tradycyjne zabezpieczenia tożsamości zostały zaprojektowane z myślą o użytkownikach, dostępie przydzielanym przez dział IT i jasno określonych granicach sieci. Shadow AI podważa jednocześnie wszystkie te założenia.
W wielu środowiskach korporacyjnych liczba tożsamości nieosobowych już przewyższa liczbę tożsamości osobowych. Agenci AI posiadający dostęp do produkcyjnej bazy danych stanowią takie samo ryzyko związane z dostępem uprzywilejowanym jak administratorzy dysponujący równoważnymi uprawnieniami, jednak często są wdrażani z mniejszą kontrolą, monitorowani mniej konsekwentnie i wycofywani bez odpowiednich procedur.
Potwierdzają to również wyniki naszych własnych badań. Raport Keeper Security Identity Security at Machine Speed wykazał, że 43% osób odpowiedzialnych za podejmowanie decyzji w zakresie cyberbezpieczeństwa na świecie wskazuje zarządzanie tożsamościami nieosobowymi związanymi z AI jako jedną z największych luk w swoich programach zarządzania tożsamością. Organizacje, które dostrzegły tę lukę, są o krok przed tymi, które jeszcze jej nie zauważyły.
Co organizacje powinny robić inaczej
Odpowiedzią na Shadow AI nie są bardziej restrykcyjne polityki ani szersze zakazy. Należy rozszerzyć zabezpieczenia oparte na podejściu identity-first tak, aby obejmowały każdą tożsamość tworzoną przez narzędzia AI – zarówno osobową, jak i nieosobową – oraz uczynić nadzór procesem ciągłym, a nie okresowym.
Uzyskanie pełnej widoczności wykorzystania AI
Organizacje nie są w stanie zarządzać tym, czego nie widzą. Muszą stale wykrywać wszystkie autoryzowane i nieautoryzowane narzędzia AI, agentów AI, automatyzacje i integracje działające w ich środowiskach. Monitorując swoje sieci, organizacje mogą śledzić wykorzystanie aplikacji oraz wdrażać mechanizmy ograniczające korzystanie z niezatwierdzonych narzędzi AI, jednocześnie identyfikując każdą tożsamość nieosobową utworzoną przez te narzędzia poza procesami IT. Poza samym wykrywaniem organizacje powinny wdrożyć monitorowanie i rejestrowanie uprzywilejowanych sesji w czasie rzeczywistym, aby utrzymywać pełną widoczność procesów opartych na AI i prowadzić ciągłe audyty zamiast okresowych analiz retrospektywnych.
Stosowanie zabezpieczeń tożsamości zarówno wobec ludzi, jak i maszyn
Każda tożsamość nieosobowa powinna podlegać takim samym zasadom uwierzytelniania, autoryzacji i zarządzania cyklem życia jak tożsamość osobowa, z uwzględnieniem zasady najmniejszych uprawnień, automatycznej rotacji danych uwierzytelniających i jasno określonego procesu wycofywania powiązanego z cyklem życia właściciela lub obciążenia roboczego. Te same mechanizmy ochrony, które obowiązują w przypadku uprzywilejowanych kont użytkowników, powinny obejmować również agentów AI i konta usługowe działające obok nich.
Zapewnienie pracownikom realnej alternatywy
Pracownicy przyczyniający się do rozwoju Shadow AI zazwyczaj nie robią tego dlatego, że chcą omijać zasady bezpieczeństwa, lecz dlatego, że nie wiedzą o istnieniu zatwierdzonej alternatywy. Jasne wytyczne dotyczące tego, które narzędzia są zatwierdzone, do jakich zastosowań mogą być wykorzystywane i na jakich warunkach, w połączeniu z łatwo dostępnymi alternatywami, rozwiązują przyczynę problemu, a nie tylko jego objawy.
Warto wzmocnić bezpieczeństwo tożsamości, aby skuteczniej zarządzać Shadow AI
Tradycyjne modele bezpieczeństwa zostały zaprojektowane z myślą o użytkownikach, dostępie przydzielanym przez dział IT i jasno określonych granicach sieci. Shadow AI podważa te założenia, wprowadzając niezarządzane tożsamości nieosobowe, dane uwierzytelniające i integracje w środowiskach chmurowych oraz SaaS za każdym razem, gdy pracownik łączy niezatwierdzone narzędzie AI z infrastrukturą. Organizacje, które postrzegają Shadow AI wyłącznie jako problem wycieku danych, przeoczą rzeczywiste zagrożenie – niekontrolowany wzrost liczby tożsamości. Aby skuteczniej zarządzać Shadow AI, organizacje muszą posiadać pełną widoczność dostępu realizowanego przez AI, sprawować nadzór zarówno nad tożsamościami osobowymi, jak i nieosobowymi oraz stosować zautomatyzowane mechanizmy kontroli danych uwierzytelniających i dostępu uprzywilejowanego. Aby dowiedzieć się, jak organizacje dostosowują swoje strategie bezpieczeństwa tożsamości do środowisk opartych na AI, warto zapoznać się z naszym najnowszym raportem.
