Organisaties hebben meer vertrouwen in hun beveiliging van ‘privileged access’ en andere gevoelige toegangsrechten dan gerechtvaardigd is. Dat blijkt uit nieuw onderzoek van CyberArk, wereldwijd actief op het gebied van identity security. Volgens het onderzoek nemen de risico’s juist toe nu AI-identiteiten en geautomatiseerde systemen steeds vaker kritieke taken uitvoeren binnen IT-omgevingen.
Privileged access
Uit het onderzoek, waarvoor 500 IT- en securityprofessionals zijn ondervraagd, blijkt dat 76 procent van de organisaties ervan overtuigd is dat hun beleid voor privileged access management (PAM) klaar is voor AI, cloud- en hybride omgevingen. Die overtuiging staat echter in schril contrast met de praktijk. Veel organisaties blijven werken met permanente, altijd actieve toegangsrechten tot gevoelige systemen, terwijl die benadering is ontworpen voor statische IT-omgevingen en niet voor de dynamiek van moderne cloud- en AI-infrastructuren.
Zorgwekkend beeld
De cijfers schetsen een zorgwekkend beeld. Slechts één procent van de organisaties heeft een modern Just-in-Time-model volledig ingevoerd, waarbij gebruikers of systemen alleen tijdelijk toegang krijgen wanneer dat strikt noodzakelijk is. Tegelijkertijd geeft 91 procent aan dat minstens de helft van hun privileged access continu actief is. Dat betekent dat gevoelige systemen vaak onbeperkt toegankelijk blijven, wat de impact van een mogelijke aanval aanzienlijk vergroot.
De opkomst van AI-agents vergroot die kwetsbaarheid verder. Bijna de helft van de organisaties past dezelfde toegangscontroles toe op AI-agents als op menselijke gebruikers, terwijl een derde zelfs aangeeft geen duidelijke beleidslijnen te hebben voor AI-gebaseerde toegang. Daarmee ontbreekt vaak het onderscheid tussen mens, machine en autonome AI, terwijl elk van deze identiteiten andere risico’s met zich meebrengt.
Onbeheerde of vergeten accounts
Daarnaast wijst het onderzoek op het groeiende probleem van zogenoemd ‘shadow privilege’: onbeheerde of vergeten accounts en gevoelige rechten die zich ongemerkt opstapelen. Meer dan de helft van de organisaties ontdekt wekelijks dergelijke accounts. Tegelijkertijd gebruikt 88 procent meerdere identity-securitytools naast elkaar, wat leidt tot versnippering en blinde vlekken in het toezicht. Dat heeft ook organisatorische gevolgen: twee derde zegt dat traditionele toegangsreviews projecten vertragen, terwijl 63 procent erkent dat medewerkers beveiligingsmaatregelen omzeilen om sneller te kunnen werken.
Volgens Matt Cohen is dit een duidelijk signaal dat de sector achterloopt. “De aard van beheerde toegang is fundamenteel veranderd”, zo stelt hij. “Nu AI-agents en niet-menselijke identiteiten steeds gevoeliger taken uitvoeren, is het cruciaal om per identiteit de juiste rechten toe te kennen en elke actie te controleren.”
Advies
CyberArk adviseert organisaties om altijd-actieve toegangsrechten terug te dringen, Just-in-Time-toegang te automatiseren en identity-platforms te consolideren. Alleen zo kunnen zij innovatie met AI ondersteunen zonder de controle over hun meest kritieke systemen te verliezen.