إدارة دورة حياة الهوية تواجه تحدياً جديداً مع وكلاء الذكاء الاصطناعي، لأن الأنظمة الحالية صُممت للموظفين لا للكيانات البرمجية المستقلة.
لماذا لم تعد إدارة دورة حياة الهوية كافية مع وكلاء الذكاء الاصطناعي؟
تعتمد المؤسسات منذ سنوات على نموذج تقليدي في إدارة الهوية يبدأ مع التوظيف وينتهي عند المغادرة. هذا النموذج يفترض أن كل حساب يرتبط بموظف لديه مدير مباشر، وقسم محدد، وتاريخ انتهاء واضح.
لكن وكلاء الذكاء الاصطناعي لا يتبعون هذه القواعد. فقد يتم إنشاؤهم خلال دقائق، وتكليفهم بمهام متعددة، ثم منحهم صلاحيات واسعة عبر أنظمة السحابة والبيانات والتطبيقات الداخلية.
المشكلة الأساسية في النموذج التقليدي
الأنظمة القديمة في Identity Lifecycle Management بُنيت حول أحداث الموارد البشرية مثل التعيين، النقل، وإنهاء الخدمة. لذلك فهي بارعة في تتبع البشر، لكنها لا ترى بوضوح الهويات البرمجية التي تعمل بشكل ذاتي.
- لا يوجد سجل HR لوكيل الذكاء الاصطناعي
- لا يوجد مدير مباشر يراجع صلاحياته دورياً
- لا يوجد تاريخ مغادرة أو إنهاء خدمة واضح
- قد يحصل على أدوار متعددة في وقت قصير
ما الذي تفشل أدوات الحوكمة الحالية في اكتشافه؟
عندما يبدأ وكيل ذكي في الوصول إلى قواعد البيانات أو أنظمة CRM أو أدوات التطوير، فإن أدوات IGA التقليدية قد تسجله كحساب خدمة عادي. هذه نقطة عمياء خطيرة، لأن الوكيل قد يتخذ قرارات وينفذ أوامر دون تدخل بشري مباشر.
وفقاً لتقرير تيكبامين، فإن الخطر لا يتعلق فقط بإنشاء الحساب، بل بكيفية توسع صلاحياته بمرور الوقت. وكلما ارتبط الوكيل بعدد أكبر من الواجهات البرمجية والتطبيقات، زادت صعوبة تدقيق وصوله الفعلي.
- صعوبة ربط الصلاحيات بهدف تجاري واضح
- ضعف تتبع من وافق على منح الوصول
- إمكانية تضارب الأدوار والمهام الحساسة
- نقص الأدلة اللازمة للامتثال والتدقيق
كيف يجب أن تتغير إدارة دورة حياة الهوية في عصر الذكاء الاصطناعي؟
التعامل مع الوكلاء المستقلين يتطلب توسيع مفهوم إدارة دورة حياة الهوية ليشمل الهويات غير البشرية كفئة مستقلة، لا كنسخة فرعية من حسابات الخدمة. وهذا يعني إنشاء سياسات مختلفة منذ لحظة إنشاء الوكيل وحتى إيقافه.
متطلبات الحوكمة الجديدة
- تحديد مالك بشري مسؤول عن كل وكيل
- ربط كل صلاحية بمهمة واضحة ومحددة زمنياً
- تفعيل مراجعات وصول متكررة وآلية
- تسجيل كل إجراء يتخذه الوكيل في سجلات قابلة للتدقيق
- إيقاف الصلاحيات فور انتهاء المهمة أو المشروع
كما تحتاج الشركات إلى مراقبة سلوك الوكيل نفسه، وليس مجرد بيانات الاعتماد الخاصة به. فإذا تغير نمط الاستخدام أو حاول الوصول إلى بيانات خارج نطاقه، يجب أن تتدخل الضوابط فوراً.
ماذا يعني ذلك لفرق الأمن الرقمي والامتثال؟
التحول إلى وكلاء الذكاء الاصطناعي يفرض على فرق الأمن إعادة تعريف الهوية المؤسسية. لم يعد السؤال من هو المستخدم فقط، بل ما هو الكيان؟ وما حدود قراره؟ ومن يتحمل مسؤوليته القانونية والتنظيمية؟
في النهاية، ترى تيكبامين أن المؤسسات التي تتبنى الذكاء الاصطناعي بسرعة ستحتاج أيضاً إلى تحديث إدارة دورة حياة الهوية بالسرعة نفسها، لأن ترك الوكلاء خارج الحوكمة قد يفتح باباً واسعاً للمخاطر والامتثال المعقد.