Finančné inštitúcie sú priekopníkmi v nasadzovaní umelej inteligencie. Súbežne ale vedú v nelichotivom rebríčku. Tento sektor vykazuje najvyšší podiel bezpečnostných incidentov spojených s AI zo všetkých odvetví. Je ich tu viac ako v zdravotníctve, výrobe či dokonca vládnych inštitúciách. Problémom nie je ani tak AI ako taká, ale skôr to, že sa jej dostáva príliš veľa citlivých oprávnení.
AI agenti nie sú bežný softvér
Tradičné bezpečnostné modely počítajú so statickými používateľmi, respektíve predvídateľným správaním. AI agent nie sú ani jedno, ani druhé. Ako vysvetľuje TechRadar, agenti v oblasti finančných služieb operujú prevažne autonómne, nepretržite a obrovskou rýchlosťou. A na rozdiel od ľudí sa nikdy neunaví. Ak im firmy udelia príliš citlivé prístupové opatrenia, čelia riziku, ktoré sa postupne kopí. Agenti totiž každú sekundu vykonávajú stovky až tisíce operácií.
Navyše, vo finančných inštitúciách sa agenti nezriedka nasadzujú v kľúčových procesoch, ako je onboarding klientov, riadenie rizík alebo detekcia podvodov. Na vykonanie každého z nich potrebujú prístup rozsiahly prístup, pokojne aj k desiatkam systémov naraz.
A keďže kontrola každého jedného oprávnenia stojí priveľa času, firmy volia skratku. Agentovi udelia rozsiahle oprávnenia, aby veci jednoducho fungovali. A práve v tomto momente sa z pomocníka stáva bezpečnostné riziko.
Credential sprawl
V tomto scenári je alfou a omegou takzvaný problém identity. Klasické systémy správy identít, ako sme spomenuli, sú navrhnuté pre ľudí a pre predvídateľný softvér. AI agent je dynamická entita, ktorá vytvára ďalších agentov, pracuje s externými systémami a vykonáva akcie naprieč celou infraštruktúrou. Väčšina organizácií pritom nemá ani základný rámec, ako takýto systém dôsledne sledovať, nieto ešte kontrolovať.
V tomto bode tak dochádza k niečomu, čo sa v brandži označuje ako credential sprawl, čiže rozptyl prístupových oprávnení. Statické prihlasovacie údaje, API kľúče a dlhodobé servisné účty sa hromadia, šíria a znovu používajú. A keď niečo zlyhá, incidenty sa neobmedzujú len na dané miesto, ale rýchlo sa šíria do ďalších operácií (blast radius).
Agenti s príliš štedrými privilégiami navyše sťažujú audit a plnenie regulačných požiadaviek. Ak agent operuje v podstate ako čierna skrinka, organizácia nevie preukázať, že kontroluje, čo robí. Finančné inštitúcie sú medzi prvými, ktoré nové technológie adoptujú, čo z nich robí akési laboratórium. No keďže ide o peniaze, je tu veľké riziko.
Ako agentov nasadiť bezpečne?
Ev Kontsevoy, CEO bezpečnostnej spoločnosti Teleport, navrhol rámec, ktorý by mohol pomôcť toto riziko zmierniť či úplne eliminovať, ak sa dodrží zodpovedne.
Prvým krokom by malo byť nastavenie novej definície identity. Každý AI agent musí mať od okamihu svojho vytvorenia jedinečnú, overiteľnú identitu, teda žiadne zdieľané prihlasovacie údaje ani medzery. Druhým krokom by malo byť nastavenie princípu najmenších oprávnení. Organizácie by mali kontrolovať existujúcich agentov, identifikovať nadmerné prístupy a obmedziť oprávnenia na konkrétne úlohy, systémy a dátové sady.
Tretím krokom je odstránenie statických poverení. Heslá, API kľúče a dlhodobé servisné účty treba nahradiť krátkodobými prístupovými tokenmi naviazanými na konkrétnu identitu. Štvrtý krok je viditeľnosť a auditovateľnosť. Bez viditeľnosti sa riziko ticho hromadí dovtedy, kým to celé nepraskne. Každá akcia agenta by preto mala byť pod protokolom.
Slepé miesto
Je tu ešte jedna vec, ktorá si zaslúži pozornosť, a to takzvaná runtime fáza. Väčšina bezpečnostných tímov dáva pozor na to, ako sú dáta uložené a prenášané. No pri AI agentoch je kritickým momentom to, keď model aktívne spracúva dáta v operačnej pamäti. V tejto chvíli sú citlivé informácie, vrátane vstupov, výstupov a samotných váh modelu, dostupné v pamäti infraštruktúry. Aj v prostrediach, ktoré majú silnú bezpečnostnú politiku, môžu byť najcennejšie aktíva vystavené hrozbe práve v momente, keď sa aktívne využívajú.
Z toho teda vyplýva, že platformové, inžinierske a bezpečnostné tímy urobia najlepšie, ak sa zjednotia okolo jedného spoločného modelu s jasne vymedzenou identitou. A to nie až vtedy, keď nastane škoda, ale ešte predtým, ako sa agent vôbec nasadí do prevádzky.
