Shadow AI: De onzichtbare identiteitscrisis
De adoptie van kunstmatige intelligentie op de werkvloer voltrekt zich in een razend tempo. Medewerkers omarmen massaal AI-tools, chatbots en geautomatiseerde workflows om hun dagelijkse taken sneller en efficiënter uit te voeren. Vaak gaat dit echter zó snel dat organisaties geen tijd hebben om kaders te scheppen. Het echte gevaar ontstaat wanneer deze tools, onder het mom van productiviteitsverhoging, rechtstreeks verbinding maken met interne systemen en gevoelige bedrijfsgegevens. Van de werknemers die op het werk gebruikmaken van AI, doet een aanzienlijk deel dit zonder formele toestemming van de IT- of beveiligingsafdelingen. Dit fenomeen staat inmiddels bekend als shadow AI. Dit schrijft Darren Guccione, CEO and Co-founder van Keeper Security, in deze blog.
Veel organisaties beschouwen shadow AI nog primair als een risico op het gebied van datalekken en gegevensblootstelling. De werkelijkheid is echter complexer en urgenter: shadow AI is in toenemende mate een acuut probleem voor identiteitsbeheer. Elke ongeautoriseerde AI-integratie maakt stilletjes nieuwe gebruikersaccounts, aanmeldingsgegevens en digitale identiteiten aan die volledig buiten de traditionele toegangscontroles opereren. Om de controle terug te krijgen, moeten organisaties hun identiteitsgerichte beveiligingsmaatregelen dringend uitbreiden naar alle menselijke én niet-menselijke identiteiten (NHI’s) die met hun systemen zijn verbonden.
Wat shadow AI daadwerkelijk aanmaakt: de onzichtbare wildgroei
Shadow AI verspreidt zich zo snel omdat moderne AI-platforms laagdrempelig zijn en weinig tot geen installatie vereisen. Met enkele klikken koppelen medewerkers applicaties aan elkaar, automatiseren ze workflows en verwerken ze bedrijfsdata. De tools zelf zijn zelden het probleem; het risico schuilt in de connecties die werknemers ermee leggen. Zodra AI-platforms toegang krijgen tot SaaS-applicaties, cloudomgevingen en interne databases, introduceren ze aanmeldingsgegevens en identiteiten waarvan de beveiligingsteams het bestaan niet eens afweten.
Elke niet-goedgekeurde AI-integratie creëert nieuwe identiteiten en credentials die door niemand worden gecontroleerd. Dit zorgt voor een onzichtbare inventaris van accounts, toegangspunten en digitale geheimen die IT nooit heeft toegewezen en bijgevolg ook niet kan intrekken. Wanneer medewerkers accounts aanmaken voor externe AI-tools, ontstaan er identiteiten met eigen toegangsrechten, gegevensmachtigingen en sessiegeschiedenissen.
Wanneer medewerkers nog een stap verder gaan en AI-tools rechtstreeks koppelen aan de kernsystemen van het bedrijf, introduceren ze onbedoeld serviceaccounts in de organisatieomgeving. Deze niet-menselijke identiteiten (Non-Human Identities of NHI's) opereren doorgaans volledig buiten het reguliere levenscyclusbeheer, de verplichte wachtwoordroulatie en het centrale toegangsbeheer. Bovendien genereert elke integratie gevoelige tokens, API-sleutels en cryptografische geheimen. Deze worden vaak onveilig opgeslagen in browserextensies of lokale configuratiebestanden, ver buiten de traditionele beveiligingsperimeter. Ze worden zelden gewijzigd en vrijwel nooit gecontroleerd, wat ze een aantrekkelijk doelwit maakt voor cybercrimineel misbruik.
De fundamentele kloof in identiteitsbeheer
Traditionele identiteitsbeveiliging is historisch ontworpen rondom drie basisprincipes: menselijke gebruikers, door de IT-afdeling verstrekte toegang en duidelijk gedefinieerde netwerkgrenzen. Shadow AI ondermijnt deze drie aannames tegelijkertijd.
In veel moderne bedrijfsomgevingen zijn er inmiddels al meer machine-identiteiten en NHI’s actief dan menselijke werknemers. Een AI-agent die autonome toegang heeft tot een productiedatabase vormt netto exact hetzelfde beveiligingsrisico als een menselijke systeembeheerder met vergelijkbare privileges. Het verschil is dat de AI-agent vaak zonder de nodige zorgvuldigheid (screening en autorisatie) wordt ingericht, niet consistent wordt gemonitord en niet via een officieel 'offboarding'-proces wordt uitgeschakeld wanneer de tooling niet meer nodig is. Wanneer een werknemer de organisatie verlaat, blijft de gekoppelde AI-identiteit vaak ongemerkt actief.
Onderzoek onderstreept de ernst van deze blinde vlek. Het rapport Identiteitsbeveiliging op machinesnelheid van Keeper Security toont aan dat 43% van de cyberbeveiligingsbeslissers wereldwijd het beheer van AI-gerelateerde NHI’s aanmerkt als een van de grootste tekortkomingen in hun huidige identiteitsbeheerprogramma’s. De organisaties die deze kloof nu al onderkennen en aanpakken, lopen strategisch mijlenver voor op de partijen die het probleem nog negeren.
Wat organisaties anders moeten doen
De reflex om shadow AI te bestrijden met strengere verboden of rigide IT-blockades werkt in de praktijk averechts; het stimuleert medewerkers enkel om creatievere wegen om de beveiliging heen te zoeken. De oplossing ligt in het moderniseren en uitbreiden van de identiteitsgerichte beveiligingsmaatregelen. Bedrijven moeten zorgen dat het beheer van zowel menselijke als machine-identiteiten continu en geautomatiseerd plaatsvindt, in plaats van via periodieke steekproeven achteraf.
1. Krijg volledig inzicht in het actuele AI-landschap
Organisaties kunnen geen controle uitoefenen op wat ze niet zien. Het is noodzakelijk om continu alle goedgekeurde en niet-goedgekeurde AI-tools, agents, automatiseringen en integraties binnen de netwerkomgeving in kaart te brengen. Door netwerkverkeer actief te monitoren, kunnen organisaties het applicatiegebruik analyseren en gerichte maatregelen nemen. Zo kunnen ze NHI’s identificeren die oorspronkelijk niet door IT zijn aangemaakt. Daarnaast is realtime monitoring en de opname van geprivilegieerde sessies cruciaal om diepgaand inzicht te behouden in AI-gestuurde workflows.
2. Trek identiteitsbeveiliging gelijk voor mens en machine
Elke niet-menselijke identiteit moet aan exact dezelfde strenge procedures voor authenticatie, autorisatie en levenscyclusbeheer worden onderworpen als een menselijke collega. Dit betekent:
- Toegang verlenen op basis van het principe van minimale privileges (Least Privilege).
- Het implementeren van geautomatiseerde roulatie van API-sleutels en tokens.
- Het strikt koppelen van de AI-toegangsrechten aan de levenscyclus van de bijbehorende menselijke eigenaar of specifieke werklast.
Dezelfde zware beveiligingsschillen die gelden voor geprivilegieerde menselijke accounts, moeten onvoorwaardelijk worden toegepast op AI-agenten en serviceaccounts.
3. Bied werknemers een veilig en werkbaar alternatief
Werknemers die bijdragen aan het ontstaan van shadow AI doen dit doorgaans niet met kwade opzet. Ze proberen simpelweg hun werk efficiënter in te richten en zijn zich vaak niet bewust van het feit dat er veilige, gereguleerde alternatieven bestaan (of zouden moeten bestaan). Door heldere richtlijnen te publiceren over welke AI-tools zijn goedgekeurd, voor welke specifieke bedrijfsprocessen en onder welke randvoorwaarden, wordt de angel uit het probleem gehaald. Het aanbieden van toegankelijke, zakelijk ondersteunde AI-alternatieven pakt de werkelijke oorzaak van shadow AI aan, in plaats van alleen het symptoom te bestrijden.
Conclusie: Identiteitsuitbreiding beheersen
De introductie van shadow AI dwingt de IT- en securitysector tot een paradigmashift. Waar traditionele beveiligingsmodellen vertrouwden op overzichtelijke netwerkgrenzen en menselijke gebruikers, zorgt shadow AI voor een onbeheerde wildgroei aan machine-identiteiten en credentials in cloud- en SaaS-omgevingen.
Organisaties die dit fenomeen puur reduceren tot een risico op datalekken, missen de kern van de dreiging. Het werkelijke ge gevaar is een oncontroleerbare identiteitscrisis binnen de IT-infrastructuur. Alleen door volledig inzicht te eisen in AI-gestuurde toegang, strikte governance toe te passen op zowel mens als machine, en credentials via automatisering te beheren, kunnen organisaties de vruchten plukken van AI zonder de controle over hun eigen digitale koninkrijk te verliezen.
Door: Darren Guccione, CEO and Co-founder, Keeper Security
