AI-agenter de fleste glemmer å sikre
Nøkkelinnsikt
- Vanlig sikkerhet stopper ved den første agenten. Alt som skjer etterpå er usynlig for de som passer på.
- Copilot-agenter later som de er deg. Det betyr at ingen kan se forskjell på hva du og agenten gjorde.
- Tilgang som ble satt opp for måneder siden holder ikke. Hver gang en agent henter data, må tilgangen sjekkes der og da.
- At sikkerhetssjef, IT og utviklere jobber i hver sin bås kan være vanskeligere å løse enn de tekniske problemene.
Dette er et AI-generert sammendrag. Kildevideoen inneholder demonstrasjoner, visuelt innhold og kontekst som ikke dekkes her. Se videoen → · Slik lages artiklene →
Kort fortalt
AI-agenter er i ferd med å bli standard i bedriftssystemer, men de fleste organisasjoner behandler dem som vanlige brukere. Bob Kalka og Tyler Lynch fra IBM forklarer hvorfor det er et problem. Når en AI-agent handler på vegne av en ansatt, hvem er da ansvarlig? Videoen går gjennom fire sikkerhetshull som oppstår når agenter kobles til bedriftens data, og fem krav som må på plass før man ruller ut agenter i produksjon.
Les også:
Hva er ikke-menneskelige identiteter?
I IT-sikkerhet har identitet alltid handlet om mennesker: ansatte med brukernavn, passord og tilgangsrettigheter. Men programvare trenger også identitet. Hver bit av programvare som kobler seg til bedriftens systemer er en ikke-menneskelig identitet: små tjenester som snakker sammen, isolerte programvarepakker og API-nøkler (digitale passord som lar programmer koble seg til hverandre). Kort sagt: en digital ID som tilhører programvare, ikke en person.
AI-agenter er den mest dramatiske formen for ikke-menneskelig identitet. De tar beslutninger, kobler seg til databaser og handler på vegne av mennesker. Ifølge Kalka og Lynch finnes det 45 til 90 ikke-menneskelige identiteter for hver menneskelig identitet i en typisk bedrift. Allerede i dag går rundt 80 prosent av alle cyberangrep etter stjålne identiteter. AI-agenter gjør det bare verre.
Fire sikkerhetshull
Vanlig tilgangsstyring bestemmer hvem som får logge inn og hva de har lov til å gjøre. Systemene som håndterer dette kalles IAM (Identity and Access Management). De passer på koblingen mellom brukeren og den første appen, men ikke lenger. Når appen sender forespørselen videre til en AI-agent, som igjen kobler seg til en database, stopper beskyttelsen. Da oppstår fire kritiske hull.
Ingen sporbarhet
Hver AI-agent trenger en unik identifikator. Uten den er det umulig å spore hva en spesifikk agent har gjort. Hvis tre agenter deler samme tilgang, vet du bare at noe skjedde, ikke hvem som gjorde det.
For mye tilgang
En HR-agent (HR står for Human Resources, altså personalavdelingen) som kan ansette og si opp medarbeidere trenger ikke den tilgangen hele tiden. Men utviklere vet sjelden nøyaktig hvilke rettigheter en agent trenger, så de gir for mye. Og det er sjelden noen som sjekker etterpå.
Skjult etterligning
Noen ganger gir en bruker en oppgave til en agent med vilje. Andre ganger arver agenten brukerens identitet automatisk, uten at noen merker det. Lynch beskriver hvordan copilot-agenter, AI-assistenter som jobber direkte i programmene du bruker, styrer nettlesere og systemer som om de var brukeren selv. For de som passer på sikkerheten, er det umulig å se hvem som faktisk gjorde hva.
Åpen dør til data
Det siste leddet mellom agenten og de sensitive dataene den skal hente, er det vanskeligste å sikre. Agenter jobber i maskinhastighet. Når en agent kobler seg til en database, må noen sjekke om tilgangen fortsatt er gyldig akkurat nå, ikke om den var gyldig da systemet ble satt opp for to måneder siden. «Og gjett hvem som sjekker? Ingen.»
Fem krav for trygg utrulling
Kalka og Lynch presenterer fem krav som må oppfylles før AI-agenter settes i produksjon.
Registrer alle agenter
Gi hver agent en egen ID og få oversikt over hvilke systemer den kobler seg til. Vurder risikoen på forhånd.
Gi tilgang per oppgave
I stedet for at agenten alltid har tilgang, får den bare tilgang til det den trenger, akkurat når den trenger det. Det er en helt annen tankegang enn vanlig tilgangsstyring, der en bruker får en rolle med faste rettigheter som sjelden endres.
Spor hvem som ba om hva
Når en HR-ansatt ber en agent om å registrere en nyansatt, må det gå an å spore hele veien fra bestillingen til det agenten faktisk gjorde.
Sjekk i øyeblikket
Sjekk tilgang i sanntid der agenten faktisk kobler seg til data. Ikke stol på at tilgangen var riktig da den ble konfigurert.
Bevis full kontroll
I bransjer som helse og finans holder det ikke bare å sikre systemet. Du må også kunne vise at det er sikret, hele veien fra den ansatte via agenten til det som faktisk skjer med dataene.
Tre automatiske systemer
For å løse dette trengs tre automatiske systemer som dekker både mennesker og agenter.
Trafikkstyring
Bestemmer hvem og hva som slipper gjennom. Den koordinerer identitetssjekker for både mennesker og agenter, og sørger for at det alltid går an å se hvem som gjorde hva.
Regelmotor
Sørger for at reglene for tilgang faktisk følges i hvert ledd, fra første tilkobling til siste datapunkt.
Overvåking
Har to sider. Den ene handler om å vite hva som er satt opp: har utviklingsteamene 13 forskjellige verktøy for å lagre passord og nøkler? Den andre handler om å oppdage problemer mens de skjer, for eksempel en agent som aldri fikk seg en egen ID.
Vanlige misforståelser
«Tradisjonell tilgangsstyring dekker AI-agenter også»
Vanlig tilgangsstyring ble laget for mennesker med faste roller. Den beskytter bare det første leddet. Alt som skjer etter at forespørselen når den første agenten, er usynlig. Agenter jobber i maskinhastighet, tar egne beslutninger og kobler seg til systemer på måter ingen forutså da tilgangen ble satt opp.
«Dette er bare et teknisk problem»
Kalka og Lynch understreker at det største hinderet ofte er menneskelig, ikke teknisk. Sikkerhetsavdelingen, IT-drift og utviklingsteamene jobber i hver sin bås. Sikkerhetssjefen har månedlige møter med utviklerne der de snakker om hva de burde gjøre sammen, men ingenting skjer mellom møtene. Utviklerne vil rulle ut raskt, IT vil ha kontroll, og sikkerhet er redd for risiko. Når ingen har felles oversikt, fortsetter alle i hver sin retning.
Hva betyr dette i praksis?
For organisasjoner som ruller ut AI-agenter
Start med å kartlegge alle ikke-menneskelige identiteter. Mange bedrifter vet ikke hvor mange agenter som allerede kjører i systemene deres, eller hva de har tilgang til. Begynn med å registrere agentene og gi dem tilgang kun når de trenger det, før dere skalerer opp.
For utviklere
Unngå snarveier som å la agenter arve brukeridentiteter. Gi hver agent en egen ID og begrens tilgangen til det som faktisk trengs for oppgaven. Det krever mer arbeid i starten, men sparer store problemer når noe går galt.
Ordliste
| Begrep | Forklaring |
|---|---|
| Ikke-menneskelig identitet | En digital identitet som tilhører programvare, som en AI-agent, mikrotjeneste eller container, i stedet for en person. |
| Identitets- og tilgangsstyring (IAM) | Systemer som kontrollerer hvem eller hva som har tilgang til hvilke ressurser. |
| Minste privilegium | Sikkerhetsprinsipp: gi bare den minste tilgangen som trengs for en bestemt oppgave. |
| Nulltillit (Zero Trust) | Sikkerhetsmodell som aldri automatisk stoler på noe. Alt verifiseres hver gang. |
| Åpen dør til data | Den siste forbindelsen mellom en agent og dataene den skal hente. Den vanskeligste delen å sikre. |
| Kjøretidssikkerhet | Sikkerhetssjekker som skjer mens programvaren faktisk kjører, ikke bare ved oppsett. |
| Trafikkstyring | Et automatisk system som bestemmer hvem og hva som slipper gjennom, og koordinerer identitetssjekker. |
| Regelmotor | Automatiske regler som sørger for at tilgangskontroll følges i hvert ledd av kjeden. |
| Overvåking | Ser alt som skjer i systemet og varsler ved fare. |
| Etterligning | Når en AI-agent arver en brukers identitet i stedet for å ha sin egen. |
Kilder og ressurser
Vil du vite mer? Se hele videoen på YouTube →