أعلنت دراسة بحثية جديدة تظهر وجود فجوة ملحوظة بين مستوى الثقة الذي تبديه المؤسسات تجاه برامج الوصول ذات الصلاحيات العالية لديها، وبين الواقع الفعلي لممارساتها التشغيلية اليومية، في وقت يسهم فيه التوسع المتسارع لتقنيات الذكاء الاصطناعي في توسيع نطاق الهجمات المرتكزة على الهوية.

وعلى الرغم من أن 76%من المؤسسات أفادت بأن استراتيجيات إدارة الوصول ذات الصلاحيات العالية لديها مهيأة للتعامل مع الذكاء الاصطناعي، والحوسبة السحابية، والبيئات الهجينة، إلا أن عدداً كبيراً منها لا يزال يعتمد بدرجة كبيرة على افتراضات الوصول الدائم، وهي افتراضات وضعت في الأصل لبيئات تشغيل أقل تقلباً وتعقيداً بكثير.

المؤسسات تبالغ في تقدير جاهزيتها للذكاء الاصطناعي والحوسبة السحابية

أظهرت دراسة شملت 500 متخصص يعملون في مجالات إدارة الوصول ذات الصلاحيات العالية، وأمن الهوية، والبنية التحتية، أنه رغم انطلاق جهود التحديث داخل العديد من المؤسسات، إلا أن قلة فقط اعتمدت نماذج وصول تكيفية ومحددة زمنياً تتماشى مع مبادئ “انعدام الثقة”. وتشمل أبرز النتائج ما يلي:

أفادت 1% فقط من المؤسسات بأنها طبقت نموذجاً حديثاً يمنح صلاحيات الوصول عند الحاجة فقط ولمدة محددة.
أشار 91% إلى أن ما لا يقل عن نصف صلاحيات الوصول لديهم متاح بشكل دائم، بما يوفّر وصولاً غير مقيد ومستمر إلى الأنظمة الحساسة.
وبيّنت النتائج أن 45% من المؤسسات تطبق الضوابط نفسها على وكلاء الذكاء الاصطناعي كما تطبقها على المستخدمين من الأفراد.
فيما أقرتّ 33% من المؤسسات بغياب سياسات واضحة تنظم وصول تقنيات الذكاء الاصطناعي داخل مؤسساتهم.

تفاقم المخاطر نتيجة امتيازات الوصول الخفية وتعدد الأدوات

يُبرز البحث اتساع نطاق مشكلة ما يعرف بـ "امتيازات الوصول الخفية"، وهي حسابات وأسرار تتمتع بصلاحيات عالية لكنها غير مُدارة، أو غير معروفة، أو لم تعد ضرورية، وتتراكم تدريجياً بمرور الوقت من دون رقابة فعّالة.

54% من المؤسسات تكتشف بشكل أسبوعي حسابات وأسراراً ذات صلاحيات عالية غير مُدارة.
88% من المؤسسات أفادت بأنها تعتمد أداتين أو أكثر لأمن الهوية، وهو ما يؤدي إلى تشتت في المنظومة الأمنية وظهور نقاط عمياء.
66% من المشاركين أفادوا أن مراجعات صلاحيات الوصول التقليدية تتسبب في تأخير تنفيذ المشاريع،
63% أقروا بأن الموظفين يقومون بتجاوز الضوابط المعتمدة بهدف تسريع وتيرة العمل.

وبهذه المناسبة، قال مات كوهين، الرئيس التنفيذي لشركة "سايبر أرك": "إن البيئات التشغيلية المتغيرة والمتسارعة تعني أن طبيعة صلاحيات الوصول، وآليات حمايتها، قد شهدت تحولاً جذرياً. ومع أن 1% فقط من المؤسسات قد طبقت بالكامل نموذج يمنح الصلاحيات عند الحاجة ولمدة محددة، يتضح أن تحديث هذا المجال على مستوى القطاع بأكمله لم يعد أمر قابل للتأجيل. ومع قيام وكلاء الذكاء الاصطناعي والهويات غير البشرية بمهام متزايدة الحساسية، بات من الضروري تطبيق الضوابط المناسبة لكل هوية، وضمان الحوكمة الدقيقة لكل إجراء يتم تنفيذه بصلاحيات عالية".

لتقليل المخاطر مع دعم الابتكار على نطاق واسع، يتعين على المؤسسات التركيز على تطوير آليات تطبيق صلاحيات الوصول، دون التخلي عن الضوابط الأساسية المعتمدة:

تقليص الصلاحيات الدائمة عبر اعتماد نماذج وصول ديناميكية قائمة على تقييم المخاطر.
اعتماد نماذج مؤتمتة ومنسّقة تمنح الصلاحيات عند الحاجة فقط للإجراءات عالية المخاطر أو شديدة الحساسية.
تطبيق ضوابط صلاحيات مناسبة على هويات المستخدمين، والأنظمة، ووكلاء الذكاء الاصطناعي، استناداً إلى السياق ومستوى المخاطر.
تبسيط منصات إدارة الهوية وتوحيدها لتعزيز الرؤية الشاملة وتحسين الحوكمة.