De invoering van AI-agenten verloopt sneller dan het vermogen van organisaties om ze te beveiligen
Terwijl bedrijven massaal overstappen op autonome AI om hun productiviteit te verhogen, blijkt uit het laatste rapport van Rubrik Zero Labs dat de invoering van AI-agenten veel sneller gaat dan de ontwikkeling van de tools die nodig zijn om ze te beveiligen. Dit leidt tot de opkomst van een heuse ‘schaduwpersoneelsbestand’.
86 % van de ondervraagde organisaties (panel: 1.600 IT- en beveiligingsverantwoordelijken) verwacht dat AI-agenten hun beveiligingsmaatregelen het komende jaar zullen omzeilen. Slechts 23 % van de respondenten geeft aan volledig inzicht te hebben in de agents die in hun omgevingen actief zijn, een percentage dat volgens het rapport waarschijnlijk… overschat is.
Dit gebrek aan inzicht – geanalyseerd in het onderzoek ‘The State of the Agent: Understanding Adoption, Risk, and Mitigation’ van Rubrik Zero Labs – beperkt het vermogen van organisaties om identiteiten te beveiligen die al in staat zijn om beslissingen te nemen, acties uit te voeren en toegang te krijgen tot kritieke gegevens.
Deze situatie wordt nog versterkt door de toename van niet-menselijke identiteiten. Deze ontwikkelen zich sneller dan bedrijven ze kunnen inventariseren of beheren, waardoor een “schaduwpersoneelsbestand” ontstaat. Vaak beschikken ze over permanente toegang en worden ze nauwelijks gecontroleerd, waardoor ze nieuwe aanvalsvlakken openen en laterale bewegingen vergemakkelijken.
De agents zijn efficiënt… maar vragen om veel toezicht
Tegelijkertijd staat de operationele belofte van AI-agenten onder druk. Het rapport geeft ook aan dat meer dan 80% van de respondenten aangeeft dat agenten meer handmatig toezicht vereisen dan dat ze aan efficiëntiewinst opleveren. Bovendien geeft 88% aan niet over de mogelijkheid te beschikken om de acties van agenten ongedaan te maken zonder de systemen te verstoren.
In deze context evolueert de dreiging snel. Bijna de helft van de respondenten verwacht dat agent-systemen een centrale rol zullen spelen in toekomstige aanvallen. Door de uitvoeringstijd te verkorten, de aanvallende capaciteiten te vergroten en de grens tussen intern en extern te vervagen, veranderen deze technologieën de werkwijzen van aanvallers.
Ja tegen agents, maar met behoud van de controle over de systemen
“De acceptatie van AI overstijgt ons vermogen om deze te beheersen. Bedrijven implementeren systemen die ze niet volledig kunnen observeren, beheren of herstellen”, zegt Kavitha Mariappan, Chief Transformation Officer bij Rubrik. “Naarmate de besluitvorming verschuift van mens naar machine, is het voor organisaties een uitdaging om voldoende operationele veiligheid te handhaven in steeds autonomere omgevingen.”
Voor raden van bestuur en managementteams is dit nu een acute kwestie, omdat de AI-strategie niet langer los kan worden gezien van de veerkrachtstrategie. Organisaties die de nadruk leggen op snelle implementatie zonder hun controlemechanismen te versterken, stellen zich bloot aan omgevingen waarin incidenten moeilijker in te dammen en op te lossen zijn.
Beveiliging draait niet langer alleen om het voorkomen van inbreuken, maar ook om het behouden van de controle over steeds autonomere systemen.
