Thought leaders

Schaduw-AI was het gemakkelijke probleem: het echte risico zijn verborgen agenten in goedgekeurde software

mm
Gepubliceerd op

Vier jaar geleden betekende schaduw-AI dat medewerkers klantgegevens in ChatGPT plakten. De oplossing was over het algemeen beheersbaar: ontdek de tools, keur de goede goed, blokkeer de slechte, train de mensen. De meeste organisaties zitten ergens in het midden van het uitvoeren van dat spelboek, waar 61% al schaduw-AI in hun omgeving hebben aangetroffen en het spelboek meestal werkt.

Echter, deze beschrijving beschrijft het probleem niet langer. Schaduw-AI is verder gegaan dan een gedragsprobleem en is nu een architectuurprobleem. Traditionele governance kan niet bijbenen met het moderne landschap, inclusief vendor-ingebedde en door medewerkers ingestelde AI-agenten die binnen goedgekeurde systemen opereren met geërfde referenties, waardoor identiteit het enige echte controlepunt is.

De twee schaduwen die je niet in de gaten houdt

De interessante vraag in 2026 is niet welk AI-hulpmiddel een medewerker heeft geopend. Het is welke AI-agent je goedgekeurde leverancier stilzwijgend heeft geleverd in de productupdate van het laatste kwartaal en welke machtigingen het heeft geërfd van de mens die het heeft geïnstalleerd.

Schaduw-AI was vroeger een kwestie van gedrag. Je kon het zien, benoemen en een beleid ertegen opstellen. De versie die zich nu verspreidt, is structureel. Het komt via software die je al hebt goedgekeurd, handelt onder referenties die je al hebt uitgegeven, in workflows die je al hebt geauditeerd. De schaduw is niet langer gedragsmatig, maar architectonisch. Medewerkers zijn nog steeds in beeld, maar ze zijn verhuisd van het gebruik van AI naar het inzetten ervan: het aansluiten van agenten op de systemen waarop ze al toegang hebben, en dit doen via interfaces die zijn ontworpen om dit eenvoudig te maken. De beleidsregels die zijn opgesteld voor het eerste gedrag bereiken het tweede niet.

Dit is waarom “verbieden” nooit het echte debat was. De CISO’s die voorop liepen bij schaduw-AI door ondernemingstools te sanctioneren en medewerkers naar beheerde alternatieven te duwen, hebben die ronde gewonnen en ontdekt dat de volgende al gaande was en dat die twee vectoren had, niet één. De eerste is wat goedgekeurde leveranciers in producten leveren die al in productie zijn: ingebedde modellen, agentmodi, nieuwe integraties die zijn aangekomen in een releasedocument dat niemand heeft gelezen. De tweede is wat medewerkers zelf aansluiten: een LLM verbonden met de CRM via een no-code-automatisering, een aangepast GPT met een API-sleutel voor de datawarehouse, een MCP-verbinding van een desktopassistent met een productiesysteem. Beide resulteren in hetzelfde resultaat, dat agenten handelen onder goedgekeurde referenties, tegen goedgekeurde systemen, in workflows die nooit zijn gecontroleerd om ze te detecteren. Inkoop kan de eerste vector zien en de tweede volledig missen.

Het is de moeite waard om eerlijk te zijn over hoe onevenwichtig de eerste ronde werkelijk is gewonnen. Negen van de tien organisaties zijn van plan om hun IT-begroting voor AI-gerelateerde uitgaven te verhogen, waarvan velen van plan zijn om breder uit te breiden over IT-operaties in de komende 6-24 maanden. De uitgaven gaan naar intelligente mogelijkheden. Controles komen langzaam bij. Die onevenwichtigheid is het probleem, niet een neveneffect ervan.

De perimeter was altijd menselijk

Het mentale model dat werkte voor de eerste golf werkt niet voor deze. Schaduw-AI als medewerkersgedrag ging ervan uit dat een mens een keuze maakte die het beveiligingsteam kon beïnvloeden. Schaduw-AI als leveranciersarchitectuur verwijdert de keuze. Het model dat de e-mail schreef, de agent die de vergadering plande, de assistent die het document samenvatte en doorschakelde. Geen van deze vereiste dat een medewerker iets anders deed dan de software gebruiken die ze was opgedragen te gebruiken.

Het eerlijke antwoord is dat de perimeter die de meeste beveiligingsprogramma’s nog steeds verdedigen een perimeter van menselijke actie was. Medewerkers die tools openden, medewerkers die toegang verleenden, medewerkers die beslissingen namen die het beveiligingsteam kon observeren en vormgeven. Die perimeter lost op in twee richtingen tegelijk. Van bovenaf leveren leveranciers agenten in goedgekeurde producten sneller dan enig controleproces kan bijhouden. Van onderaf stappen medewerkers uit de gebruikersrol en in de integratierol, door agenten aan te sluiten op systemen via interfaces die zijn ontworpen om zelfbedienend te zijn en nooit zijn geïnstrumenteerd voor governance. De vervangende perimeter, gebouwd rond wat identiteiten doen, ongeacht of die identiteiten mensen zijn of niet, en ongeacht wie ze heeft geïmplementeerd, vereist een controleweefsel dat de meeste organisaties nog niet hebben.

De enige plek om nog naar te kijken

Identiteit is het juiste controlepunt, maar de kadering moet verschuiven. De conventionele formulering zegt “identiteit is de nieuwe perimeter” omdat gebruikers overal zijn en apparaten overal zijn en SaaS overal is. Dat was waar een decennium geleden, maar nu is het een gegeven. De versie die in 2026 telt, is anders: identiteit is de enige plek waar je kunt zien wat AI werkelijk doet, omdat tegen de tijd dat het het doet, de grens van het hulpmiddel al is overschreden. De agent handelt onder iemands referenties. Van wie, met welk bereik, tegen welke gegevens, op wiens autorisatie zijn de enige vragen die een nuttige audittrail opleveren. Toolniveau-governance kan deze vragen niet beantwoorden omdat het hulpmiddel niet langer de eenheid van analyse is.

Bijna 90% van de IT-leiders erkent al dat unificatie een directe invloed heeft op hun vermogen om AI op een veilige manier te implementeren en op te schalen. De moeilijkere vraag is wat unificatie eigenlijk betekent op het controle niveau. Het kan niet alleen minder dashboards betekenen. Het betekent een enkel identiteitsweefsel waarin elke actor, of het nu een mens, een serviceaccount, een agent of een ingebed model is, wordt ingericht, gespecificeerd, gecontroleerd en stopgezet via hetzelfde set van mechanismen. Alles wat hieronder valt, geeft je de schijn van geconsolideerde governance, terwijl het in feite alleen gefragmenteerde handhaving is.

Je leveranciersbeoordeling heeft een vervaldatum

Helaas is een leveranciersbeoordeling alleen maar geldig voor een bepaalde tijd. Dit heeft ongemakkelijke implicaties voor de manier waarop beveiligingsprogramma’s zijn gestructureerd. De meeste AI-governancecomités zijn georganiseerd rond toolbeoordeling, met leveranciers die binnenkomen en worden geëvalueerd, gesanctioneerd of afgewezen, om toe te voegen aan het register. Dat proces gaat ervan uit dat het gedrag van het hulpmiddel op het moment van sanctionering het gedrag van het hulpmiddel in productie is. Voor AI-ingebedde software is die veronderstelling verbroken voordat de inkt droog is. De leverancier zal een nieuw model, een nieuwe agentmodus, een nieuwe integratie leveren, en de governancebeoordeling die zes maanden geleden is goedgekeurd, beschrijft nu een product dat niet langer bestaat.

Van het hulpmiddel naar de identiteit

De programma’s die standhouden, zijn degenen die governance van het hulpmiddel naar de identiteit verplaatsen. Elke actie tegen je gegevens, door elke actor, is traceerbaar naar een identiteit met een bekende eigenaar, een gespecificeerde machtigingsset en een gedefinieerde levensduur. Of het nu een mens of een niet-mens is, een medewerker of een agent, een gesanctioneerd hulpmiddel of een ingebedde modus, de vraag is dezelfde: wie is dit, wat mogen ze doen, en hoe weten we wanneer dat moet stoppen? Programma’s die deze vragen kunnen beantwoorden, hoeven niet de tool-sanctioneringsrace te winnen. Programma’s die dat niet kunnen, zullen achter de feiten aan lopen tegen leveranciers en medewerkers die sneller leveren dan enig controleproces kan bewegen.

Schaduw-AI als categorie gaat niet weg. Vooral met de nieuwe tijd van het agentische werk, 72% van de organisaties hebben al AI-agenten in productie. In plaats daarvan wordt het een kleiner onderdeel van een groter probleem. De organisaties die de komende begrotingscyclus besteden aan toolontdekking en sanctioneringsbeleid, lossen het probleem van 2024 op op een tijdschema van 2026. Degenen die het besteden aan identiteitslaag-instrumentatie voor mensen, voor agenten, voor het rommelige continuum tussen hen, lossen het probleem op dat ze werkelijk zullen hebben.

De eerste golf van schaduw-AI leerde beveiligingsteams dat ze niet konden ontsnappen aan de nieuwsgierigheid van medewerkers. De tweede golf zal hen leren dat ze niet kunnen ontsnappen aan de snelheid van de leverancier of de vernuftigheid van de medewerker. Beide lessen wijzen naar dezelfde conclusie. De eenheid van governance was nooit het hulpmiddel. Het was altijd de identiteit die er doorheen handelt.

mm

Roland Palmer is de Chief Information Security Officer (CISO) en Vice President of Security bij JumpCloud.

Een erkende expert in het opschalen van wereldwijde risico- en compliance-kaders, heeft Roland de algemene beveiligingsstrategie van JumpCloud in de hand, waardoor het platform een veerkrachtige basis blijft voor Intelligent, Secure IT. Met meer dan 20 jaar ervaring heeft Roland een bewezen staat van dienst in het omzetten van complexe risicolandschappen in tastbare bedrijfswaarde. Voordat hij bij JumpCloud kwam, bracht hij acht jaar door als VP of Security and Compliance bij Sumo Logic, waar hij het Global Security Operations Center van de grond af opbouwde en kritieke certificeringen behaalde, waaronder FedRAMP, ISO 27001 en HIPAA.

Roland staat bekend om zijn pragmatische, hands-on leiderschapsstijl - even comfortabel bij het briefen van de Raad van Bestuur als bij het oprollen van zijn mouwen in de SOC. Hij ziet beveiliging niet als een hindernis, maar als een strategisch voordeel dat, wanneer het in de stof van een product wordt geïntegreerd, groei versnelt en diepe klantvertrouwen bevordert.