Identiteta v dobi AI: zakaj vaše podjetje verjetno ne varuje tistega, kar bi moralo
27. apr. 2026
Upravljanje informacijske infrastrukture
Identitetna varnost v dobi AI: ali res varujete tisto, kar je danes najbolj izpostavljeno?
Prenesite brezplačni priročnik >
|
10:1
razmerje med NHI in človeškimi identitetami v podjetju
|
|
500+
aktivnih nečloveških identitet v tipičnem MSP
|
|
24/7
delujejo AI identitete – brez prekinitve in nadzora
|
Večina varnostnih modelov je bila zasnovana za človeške uporabnike. V dobi AI agentov in avtomatizacije to ni več dovolj.
Ko govorimo o varnosti v podjetjih, večina odločevalcev pomisli na gesla, dvofaktorsko avtentikacijo in nadzor dostopa zaposlenih. Razumljivo. Varnostni modeli zadnjih dveh desetletij so bili zgrajeni z enim ciljem: zaščititi človeške identitete.
Toda v letu 2026 se je osnovna predpostavka korenito spremenila. V vašem digitalnem okolju danes ne delujejo le zaposleni. Delujejo aplikacije, avtomatizirana orodja, umetno inteligentni agenti in servisni računi – vsi dostopajo do vaših sistemov brez neposrednega človeškega nadzora.
Prava vprašanja niso »ali imamo AI v svojem okolju«, temveč »ali vemo, katere AI identitete imajo dostop do naših sistemov in ali jih sploh nadziramo«.
Dve vrsti identitet
Človeška in nečloveška identiteta: temeljna razlika
Človeška digitalna identiteta je tisto, kar večina od nas pozna: uporabniški račun, ki pripada konkretni osebi. Ima lastnika, sledi predvidljivim vzorcem in je podvržena klasičnim varnostnim mehanizmom.
Nečloveška identiteta (NHI – Non Human Identity) pa je digitalni subjekt, ki deluje avtonomno: aplikacija, servisni račun, RPA bot, API integracija ali AI agent. Te identitete se ne prijavljajo kot ljudje. Avtenticirajo se preko tokenov, API ključev ali certifikatov, pogosto vgrajenih neposredno v kodo.
| Kategorija |
Človeška identiteta |
AI identiteta |
| Lastnik |
Zaposleni ali posamezni uporabnik |
Aplikacija, bot, AI agent ali servis |
| Namen dostopa |
Opravljanje delovnih nalog in odgovornosti |
Izvajanje avtomatiziranih procesov in integracij |
| Avtentikacija |
Gesla, MFA, biometrija, prijava |
API ključi, tokeni, certifikati, servisni računi |
| Vedenje pri dostopu |
Interaktivno – človeška prijava in aktivna seja |
Neinteraktivno – samodejna avtentikacija 24/7 |
| Vzorec aktivnosti |
Predvidljiv – delovni časi, znane lokacije |
Neprekinjen – deluje ne glede na čas ali lokacijo |
| Upravljanje življenjskega cikla |
HR procesi: onboarding, sprememba vloge, offboarding |
Pogosto brez formalnega cikla – ostanejo aktivni po namestitvi |
| Odgovornost |
Vsako dejanje je sledljivo konkretnemu posamezniku |
Težko sledljivo, zlasti če si identiteto deli več sistemov |
| Model dovoljenj |
RBAC, redne revizije, načelo najmanjšega privilegija |
Pogosto prekomerna dovoljenja, redke revizije |
| Nadzor in vidnost |
Varnostna orodja zaznavajo anomalije v vedenju |
Avtomatizirano vedenje otežuje ločevanje normalnega od zlonamernega |
Preverite priročnik >
Zakaj je to tveganje za vaše podjetje?
Trije razlogi, zakaj klasični modeli odpovedujejo
Skalabilnost brez meja. Človek se prijavi nekajkrat na dan. AI agent ali avtomatiziran servis pa lahko izvede tisoče operacij na uro – dostopa do datotek, baz podatkov, e-pošte in poslovnih orodij brez prekinitve ter brez človeškega vpogleda.
Nevidnost v klasičnih varnostnih orodjih. Večina varnostnih sistemov je kalibrirana na vedenje ljudi. Nenavadna prijava iz tuje države ob 3. uri zjutraj sproži alarm. Toda AI agent, ki v istem trenutku pošlje 50.000 zahtevkov na interni API? To je zanj normalno delovanje. Ločevanje med normalnim avtomatiziranim vedenjem in zlonamernim napadom je izjemno zahtevno.
Prekomerna dovoljenja kot pravilo. V praksi se AI identitete pogosto ustvarijo hitro, z minimalnim načrtovanjem dovoljenj. Razvijalci dodelijo »dovolj širok« dostop z namenom, da ga bodo pozneje omejili. Toda ta »pozneje« pogosto ne pride nikoli.
Konkretno tveganje
Enoten API ključ z administratorskim dostopom, ustvarjen za testiranje leta 2022 in nikoli preklican, je za napadalca enako dragocen kot kraja gesla direktorja. Razlika je, da slednje podjetja pogosto zaznajo – prvega pa ne.
Realne razsežnosti problema
Za MSP podjetje s 50 zaposlenimi: verjetno 500+ nečloveških identitet
Poročila vodilnih varnostnih podjetij (CyberArk, Gartner, Microsoft) kažejo, da v povprečnem podjetju na eno človeško identiteto pride vsaj 10 nečloveških. V bolj digitaliziranih in cloud-prvih okoljih so razmerja pogosto 50:1 ali več.
Večina MSP podjetij v Sloveniji deluje znotraj Microsoftovega ekosistema – Microsoft 365, Azure Entra ID, SharePoint, Teams, Exchange. Vsaka integracija z zunanjim orodjem, vsak Power Automate tok, vsak Copilot agent ustvari nove nečloveške identitete znotraj vašega tenanta. Brez ustreznega upravljanja se te hitro kopičijo.
Pet konkretnih korakov
Inventar. Začnite z osnovnim vprašanjem: katere nečloveške identitete obstajajo v vašem okolju? Microsoft Entra ID nudi orodje za pregled vseh registriranih aplikacij in servisnih principalov – to je dober začetek.
Načelo najmanjšega privilegija. Vsaka identiteta bi morala imeti dostop le do tistega, kar nujno potrebuje. Preglejte dovoljenja vseh servisnih računov in API integracij, ukinite prekomerne dostope.
Upravljanje življenjskega cikla. Dokumentirajte vsako nečloveško identiteto, določite njenega »lastnika« (konkretna oseba, ne ekipa) in vzpostavite proces za deaktivacijo ob zaključku projektov.
Monitoring za NHI. Definirajte »normalno« vedenje za vsak servisni račun in agent. Nastavite alerte za odstopanja. Klasični monitoring za človeške vzorce tu ne zadostuje.
Zero Trust arhitektura. Za MSP podjetja je uvajanje Zero Trust mogoče postopoma: začnite z Microsoft Entra ID in pogojnim dostopom, implementirajte MFA povsod, kjer je to mogoče, in uvedite nadzor nad privilegiranimi identitetami.
Ko podjetje implementira AI rešitev – Copilot, custom AI agent ali avtomatiziran poslovni proces – hkrati ustvari novo varnostno površino. Varnost mora biti del vsakega AI projekta od samega začetka, ne naknadna misel.
BREZPLAČEN PRIROČNIK
Priročnik: Identitetna varnost za MSP v dobi AI
Kje se skrivajo grožnje, interaktivni varnostni checklist in konkretni koraki za polno zaščito vašega podjetja.
Prenesite priročnik >