דוח "נוף אבטחת הזהויות לשנת 2025" של חברת הסייבר הישראלית סייברארק חושף מציאות מדאיגה: הפריחה של טכנולוגיות בינה מלאכותית ומחשוב ענן יוצרת "עליית המכונות" דיגיטלית, שמגדילה באופן דרמטי את הסיכונים הביטחוניים לארגונים ברחבי העולם.
המחקר, שנערך בקרב 2,600 מקבלי החלטות בתחום אבטחת הסייבר ב-20 מדינות, כולל ישראל, מגלה כי 87% מהארגונים חוו לפחות שתי פריצות מוצלחות שקשורות לזהויות מכונה ב-12 החודשים האחרונים.
צבא של מכונות ללא פיקוח
הממצא המדאיג ביותר בדוח נוגע למה שמכונה "זהויות מכונה" (Machine identities) - זהויות דיגיטליות שנוצרות עבור מערכות, אפליקציות ושירותי בינה מלאכותית. בעוד שבעבר הדיבור על אבטחת זהויות התמקד בעיקר בעובדים והרשאות הגישה שלהם, כיום, לפי הדוח, בכל ארגון פעילות כיום בממוצע 82 זהויות מכונה על כל עובד אנושי אחד.
זהויות אלו נוצרות באופן אוטומטי כאשר חברות מטמיעות כלי בינה מלאכותית, שירותי ענן חדשים, או מערכות אוטומטיות. הבעיה היא שרבות מהן פועלות ללא פיקוח או הגנה הולמת.
במילים פשוטות: כאשר חברה משתמשת בצ'אטבוט בינה מלאכותית לשירות לקוחות, או במערכת אוטומטית לניתוח נתונים, נוצרות זהויות דיגיטליות חדשות, שמקבלות הרשאות גישה למידע רגיש - אך לעיתים קרובות אף אחד לא עוקב אחרי מה הן עושות או מה הן יכולות לגשת אליו.
אחד האתגרים הגדולים ביותר שמזהה הדוח הוא תופעה הנקראת "בינה מלאכותית של הצללים" (Shadow AI). כשם שבעבר עובדים השתמשו באפליקציות לא מאושרות כדי למלא את תפקידם (או למטרות פרטיות אחרות), כיום הם משתמשים בכלי בינה מלאכותית ללא אישור או ידיעת מחלקת האבטחה.
הדוח מגלה כי 47% מהארגונים אינם מסוגלים לאבטח את השימוש בבינה מלאכותית הלא-מאושרת במערכות שלהם, ול-68% מהם חסרות בקרות אבטחת זהות עבור מערכות בינה מלאכותית בכלל.
פרץ רגב, מנהל מוצר ראשי בסייברארק, מסביר: "המרוץ להטמעת בינה מלאכותית בסביבות עבודה יצר, על הדרך, מערך חדש של סיכוני אבטחת זהויות הנובעים מהרשאות גישה של זהויות מכונה שאינן מנוהלות ואינן מאובטחות".
סוכני AI - האיום החדש
הדוח מתריע במיוחד מפני עלייתם של "סוכני בינה מלאכותית" - מערכות AI מתקדמות שמסוגלות לבצע פעולות עצמאיות במערכות הארגון. בניגוד לכלי בינה מלאכותית פשוטים, שמשיבים על שאלות, סוכני AI יכולים לגשת למסדי נתונים, לשלוח אימיילים, ואף לבצע עסקאות פיננסיות.
הבעיה היא שכאשר סוכן AI נפרץ או מותקף, הוא יכול לגרום נזק משמעותי יותר מפריצה רגילה, מכיוון שיש לו הרשאות גישה נרחבות ויכולת לפעול באופן עצמאי. לפי הדוח, אחד החסמים העיקריים לאימוץ סוכני בינה מלאכותית הוא החשש מפריצות ומניפולציות חיצוניות.
הדוח מגלה גם, כי 88% מהארגונים חווים לחץ מוגבר מצד חברות הביטוח, שמחייבות אותם לשפר את הבקרות על הרשאות הגישה הפריבילגיות. בישראל, מגמה דומה ניכרת גם בדרישות הרגולטוריות של בנק ישראל ורשות ניירות ערך, שמטילות דרישות הולכות וגוברות בתחום אבטחת מידע על חברות פיננסיות וציבוריות.
הדוח מעלה גם כי 75% מאנשי האבטחה מסכימים שהארגונים שלהם נותנים עדיפות ליעילות עסקית על פני אבטחת סייבר חזקה, מה שמחמיר את הבעיה.
איים של זהויות
תופעה נוספת שהדוח מזהה היא "איים של זהויות" (Identity Silos) - מצב שבו כל מחלקה או מערכת בארגון מנהלת זהויות דיגיטליות בנפרד, ללא תיאום או פיקוח מרכזי. 70% מהמשיבים טוענים שאיים של זהויות הם גורם בסיסי לסיכון אבטחת סייבר ארגוני.
במילים פשוטות: מחלקת ה-IT מנהלת זהויות למערכות הפנימיות, מחלקת השיווק מנהלת זהויות לכלי הבינה המלאכותית שלה, ומחלקת הפיתוח מנהלת זהויות נפרדות לסביבות הענן. התוצאה היא כאוס ניהולי שמקשה על מעקב ובקרה.
הדוח ממליץ לארגונים לרענן את אסטרטגיות אבטחת הזהויות שלהם כדי להתמודד עם המציאות החדשה.
בין ההמלצות העיקריות: רישום וניהול מרכזי של כל הזהויות הדיגיטליות בארגון, כולל זהויות מכונה; יישום בקרות אבטחה ייעודיות למערכות בינה מלאכותית; הקמת מדיניות ברורה לאישור ופיקוח על כלי בינה מלאכותית; הכשרת העובדים לזיהוי והדיווח על שימוש בכלי AI לא מאושרים.
המחקר נערך על ידי חברת המחקר Vanson Bourne בקרב ארגונים הנותנים שירות לגופים המונים 500 עובדים ומעלה במגזר הפרטי והציבורי.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו