Tvrtke se utrkuju u uvođenju sustava umjetne inteligencije koji samostalno planiraju, izvršavaju radnje i komuniciraju kroz poslovne aplikacije. Obećanje je golema učinkovitost, no stručnjaci upozoravaju da se pritom zanemaruje ključni element: skalabilna sigurnost identiteta.
„Najbrži put do odgovorne umjetne inteligencije jest izbjegavanje stvarnih podataka. Upotrijebite sintetske podatke kako biste dokazali vrijednost, a tek onda steknite pravo pristupa pravim podacima.” — Shawn Kanungo, keynote govornik i inovacijski strateg
Legacy sustavi upravljanja identitetom i pristupom (IAM) osmišljeni za ljude posve se raspadaju kada ne-ljudske identitete nadmaše ljudske u omjeru deset prema jedan. Statične uloge, dugotrajne lozinke i jednokratna odobrenja jednostavno su prespora i pregruba za agente čiji se zadaci i pristup podacima mijenjaju iz sata u sat.
Ključne slabosti starog modela • Agenti se ponašaju kao korisnici: prijavljuju se, preuzimaju uloge i pozivaju API-je. Ako ih se tretira kao „feature” aplikacije, dolazi do prikrivenog širenja ovlasti i nevidljivih akcija. • Jedan pretjerano privilegiran agent može u sekundi izvući osjetljive podatke ili pokrenuti pogrešne poslovne procese – bez jasnog traga. • Fiksne uloge ne mogu predvidjeti svakodnevne promjene zadataka; kontrola mora postati kontinuirana i kontekstualna.
Što mijenjati – i kako
- Svaki AI agent mora imati jedinstven, provjerljiv identitet vezan uz vlasnika, poslovni slučaj i softverski sastav (SBOM).
- Uvesti prava dodijeljena „just in time”: kratke sesije s minimalnim ovlastima koje se automatski brišu po završetku zadatka.
- Ovlast u stvarnom vremenu: sustav stalno provjerava kontekst – traži li agent tipične podatke, radi li u uobičajenom vremenskom okviru?
- „Purpose bound” zaštita podataka: pravila se ugrađuju u sam alat za upite nad podacima, pa npr. korisnički chatbot ne može pokrenuti financijsku analizu.
- Neizbrisivi zapisi: svaki upit, API poziv i odluka o pristupu moraju biti nepromjenjivo zabilježeni radi revizije.
Operativni plan za start • Popisati sve ne-ljudske identitete; ukinuti dijeljenje računa i izdati nove, jedinstvene. • Pilotirati platformu za jednokratne pristupne tokene koji vrijede minute, a ne mjesece. • Ukloniti statične API ključeve iz koda i konfiguracija. • Postaviti sandbox sa sintetskim ili maskiranim podacima; u produkciju prijeći tek nakon što kontrole prođu test. • Odraditi simulaciju incidenta: curenje tokena, injection prompt ili eskalacija alata — cilj je izolirati agenta unutar nekoliko minuta.
Donja crta Identitet mora postati „živčani sustav” AI operacija. Organizacije koje prigrle dinamično, kontekstualno upravljanje pristupom, povežu podatke s jasnom svrhom i sve testiraju na sintetičkim podacima mogu skalirati do milijun agenata bez istovremenog skaliranja rizika od sigurnosnih proboja.
— Tekst se temelji na analizi Michelle Buckner, bivše službenice za informacijsku sigurnost pri NASA-i.