Γιατί η Διαχείριση Ταυτότητας & Πρόσβασης (Identity & Access Management – IAM) είναι πλέον η πρώτη γραμμή άμυνας στην κυβερνοασφάλεια, και γιατί η Τεχνητή Νοημοσύνη (Artificial Intelligence – AI) αλλάζει τους κανόνες.

 

Παναγιώτης Καλαντζής
Cyber Security & Privacy Expert
ISC2 Hellenic Chapter BoD Member

 

Για δεκαετίες, η κυβερνοασφάλεια χτίστηκε γύρω από μια απλή υπόθεση: υπάρχει ένα «μέσα»  και ένα «έξω». Το εταιρικό δίκτυο ήταν το κάστρο, το firewall ήταν η πύλη, το VPN ήταν η ελεγχόμενη γέφυρα και η εσωτερική IP διεύθυνση συχνά αντιμετωπιζόταν ως ένδειξη εμπιστοσύνης. Αυτή η αρχιτεκτονική λειτούργησε όσο οι εφαρμογές, οι χρήστες και τα δεδομένα βρίσκονταν κυρίως εντός ελεγχόμενων εταιρικών ορίων.

Σήμερα, αυτός ο κόσμος έχει τελειώσει. Οι εργαζόμενοι συνδέονται από παντού, οι εφαρμογές βρίσκονται σε Software as a Service (SaaS) πλατφόρμες, τα workloads εκτελούνται σε πολλαπλά υπολογιστικά νέφη (clouds), οι συνεργάτες αποκτούν πρόσβαση σε κρίσιμα συστήματα, τα Application Programming Interfaces (APIs) γίνονται η ραχοκοκαλιά των επιχειρησιακών ροών και οι μη ανθρώπινες ταυτότητες υπερβαίνουν αριθμητικά τις ανθρώπινες. Σε αυτό το περιβάλλον, η πραγματική περίμετρος δεν είναι πλέον το δίκτυο. Η πραγματική περίμετρος είναι η ταυτότητα.

Η μετατόπιση αυτή έχει τεράστια σημασία. Αν ο οργανισμός δεν μπορεί να απαντήσει με ακρίβεια στο «ποιος ή τι ζητά πρόσβαση;», «με ποια εξουσία;», «για ποιο σκοπό;», «από ποιο περιβάλλον;», «με ποιο επίπεδο ρίσκου;» και «για πόσο χρόνο;», τότε δεν διαθέτει πραγματικό έλεγχο. Διαθέτει μόνο την ψευδαίσθηση ελέγχου.

Από το login στο control plane της ασφάλειας

Τα συστήματα Διαχείρισης Ταυτότητας & Πρόσβασης (Identity & Access Management – IAM), ιστορικά, αντιμετωπίστηκαν συχνά ως τεχνική υπηρεσία: usernames, passwords, single sign-on, directory synchronization και περιοδικές αναθεωρήσεις πρόσβασης. Αυτή η προσέγγιση είναι πλέον ανεπαρκής. Τα σύγχρονα συστήματα Διαχείρισης Ταυτότητας & Πρόσβασης (Identity & Access Management – IAM) περιλαμβάνουν authentication, authorization, Identity Governance and Administration, Privileged Access Management, machine identity management, identity threat detection and response, access analytics και continuous access evaluation. Με άλλα λόγια, το IAM μετατρέπεται από μηχανισμό σύνδεσης σε επίπεδο ελέγχου (control plane) της κυβερνοασφάλειας.

Η τεχνική διαφορά είναι ουσιώδης. Το authentication απαντά στο «είσαι αυτός που ισχυρίζεσαι;». Το authorization απαντά στο «τι επιτρέπεται να κάνεις;». Η identity governance απαντά στο «ποιος ενέκρινε αυτή την πρόσβαση, γιατί υπάρχει ακόμη και πότε πρέπει να λήξει;». Το PAM απαντά στο «πώς προστατεύονται οι λογαριασμοί υψηλού κινδύνου;». Και η AI Identity Governance προσθέτει ένα ακόμη ερώτημα: «όταν μια AI οντότητα δρα αυτόνομα ή ημιαυτόνομα, ποιος είναι υπεύθυνος για την ενέργεια;».

Αυτή είναι η νέα ουσία της Διαχείρισης Ταυτότητας & Πρόσβασης (Identity & Access Management – IAM). Δεν είναι εργαλείο υποστήριξης. Είναι σύστημα επιχειρησιακής εμπιστοσύνης.

Γιατί οι επιτιθέμενοι αγαπούν την ταυτότητα

Η ταυτότητα είναι ελκυστικός στόχος επειδή προσφέρει στον επιτιθέμενο νομιμοφανή πρόσβαση. Ένας εισβολέας που συνδέεται με έγκυρα διαπιστευτήρια δεν μοιάζει με εισβολέα. Μοιάζει με χρήστη, service account, API client ή workload που εκτελεί εργασία. Αυτό καθιστά την ανίχνευση δυσκολότερη και μειώνει την αξία των καθαρά περιμετρικών ελέγχων.

Οι αδυναμίες είναι γνωστές: κλεμμένα credentials, MFA fatigue, phishing, token theft, OAuth abuse, session hijacking, orphaned accounts, excessive privileges, shadow SaaS, local admin accounts, ανεπαρκής τερματισμός προσβάσεων όταν αλλάζουν ρόλοι ή αποχωρούν εργαζόμενοι. Το πρόβλημα επιδεινώνεται από το ότι πολλές εταιρείες εξακολουθούν να μετρούν την επιτυχία των συστημάτων Διαχείρισης Ταυτότητας & Πρόσβασης (Identity & Access Management – IAM) με βάση την υλοποίηση εργαλείων SSO, MFA, PAM vault, και όχι με βάση τη μείωση ρίσκου που η σωστή υλοποίηση αυτών επιφέρουν.

Αυτό σημαίνει ότι ένας ώριμος οργανισμός δεν ρωτά απλώς «έχουμε MFA;». Ρωτά: πόσα privileged accounts δεν έχουν owner; πόσα service accounts δεν έχουν rotation; ποια identities έχουν πρόσβαση σε regulated data; πόσα entitlements δεν έχουν χρησιμοποιηθεί τις τελευταίες 90 ή 180 ημέρες; πόσο γρήγορα μπορούμε να ανακαλέσουμε πρόσβαση όταν αλλάξει το risk context; πόσες μη ανθρώπινες ταυτότητες δημιουργούνται αυτόματα χωρίς governance;
Η διαχείριση ταυτότητας γίνεται έτσι το σημείο όπου συναντώνται security architecture, compliance, DevOps, cloud engineering, data governance και business risk.

Η παλιά περίμετρος πέθανε από το cloud, όχι από το firewall

Η αντικατάσταση της παραδοσιακής περιμέτρου δεν συνέβη επειδή τα firewalls έπαψαν να είναι χρήσιμα. Συνέβη επειδή το μοντέλο λειτουργίας άλλαξε. Σήμερα ένας χρήστης μπορεί να συνδέεται απευθείας σε Microsoft 365, Salesforce, ServiceNow, SAP, GitHub, cloud consoles, data platforms και εφαρμογές τρίτων χωρίς να περνά απαραίτητα από το εταιρικό δίκτυο. Η  μεταβολή αυτή περιγράφεται ως μετάβαση από location-based access σε identity-centric security: το όριο ασφαλείας δεν είναι πλέον το γραφείο ή το VPN, αλλά η ταυτότητα που επαληθεύει την πρόσβαση.

Αυτό έχει πρακτικές συνέπειες. Η πολιτική πρόσβασης πρέπει να ακολουθεί τον χρήστη, την συσκευή, το workload, το API και τον agent, όχι το subnet. Η πρόσβαση πρέπει να αξιολογείται με βάση χαρακτηριστικά και περιεχόμενο: ρόλος, συσκευή, posture, γεωγραφία, ώρα, sensitivity πόρου, ιστορικό συμπεριφοράς, risk score και επιχειρησιακός σκοπός. Οι στατικές πολιτικές τύπου «αν ανήκει στο group X, επιτρέπεται» δεν επαρκούν όταν οι εφαρμογές είναι δυναμικές και οι identities δημιουργούνται από pipelines.
Εδώ το Zero Trust δεν είναι slogan. Είναι λειτουργική απαίτηση.

Zero Trust: αναγκαίο, αλλά όχι αυτόματο

Το Zero Trust συνοψίζεται συχνά ως “never trust, always verify”, αλλά η ουσία του είναι πιο πλούσια: διαρκής επαλήθευση, ελάχιστα δικαιώματα, θεώρηση ως δεδομένη την παραβίαση (assume breach), συνεχής παρακολούθηση, microsegmentation και επιβολή πολιτικής πρόσβασης κοντά στον πληροφοριακό πόρο. Το implied trust, με άλλα λόγια η ιδέα ότι ένας χρήστης είναι αξιόπιστος επειδή συνδέθηκε, δεν είναι αρκετό. Κάθε αίτημα πρόσβασης πρέπει να επαληθεύεται με πολλαπλά σήματα, και η αρχή αυτή πρέπει να επεκτείνεται πέρα από τους ανθρώπους σε non-human identities και AI workloads.

Η πιο ενδιαφέρουσα εξέλιξη είναι η μετάβαση από αυθεντικοποίηση σε μια χρονική στιγμή (pointintime authentication) σε συνεχή αξιολόγηση πρόσβασης. Στο παλιό μοντέλο, ένας χρήστης ή service account λάμβανε token και μπορούσε να το χρησιμοποιεί έως τη λήξη του. Στο νέο μοντέλο, το token είναι απαραίτητο αλλά όχι αρκετό. Η πρόσβαση πρέπει να επαναξιολογείται όταν αλλάζει το περιβάλλον: αν η ταυτότητα γίνει υψηλού ρίσκου, αν αλλάξει IP ή η τοποθεσία, αν χειροτερεύσει το device posture, αν υπάρξει νέο threat intelligence ή αν ο χρήστης αποχωρήσει από ρόλο υψηλής πρόσβασης.

Για ανθρώπους, αυτό οδηγεί σε ανθεκτικό σε phishing MFA, passkeys, προσαρμοστική αυθεντικοποίηση (adaptive authentication) και πρόσβαση βασισμένη στο ρίσκο (risk-based access). Για μηχανές, οδηγεί σε workload identities, short-lived credentials, mTLS, secrets rotation και policy-as-code. Για AI agents, οδηγεί σε κάτι βαθύτερο: identity-aware runtime governance.

Η έκρηξη των non-human identities

Οι non-human identities είναι οι ταυτότητες που δεν αντιστοιχούν σε φυσικό πρόσωπο: λογαριασμοί υπηρεσιών (service accounts), ταυτότητες workload, APIs, OAuth πελάτες, πιστοποιητικά, SSH κλειδιά, tokens, ταυτότητες CI/CD, bots, ρομποτικές διεργασίες, συσκευές IoT/OT, containers, serverless functions και πλέον AI agents. Σε πολλούς οργανισμούς οι nonhuman identities υπερβαίνουν τις ανθρώπινες ταυτότητες κατά 10x έως 50x, ιδιαίτερα σε περιβάλλοντα cloud, automation, AI και DevOps.

Σύμφωνα με την έκθεση CyberArk 2025 Identity Security Threat Landscape, αναλογία είναι πιο επιθετική: Οι non-human identities που υπερβαίνουν τις ανθρώπινες ταυτότητες κατά 82 προς 1, ενώ εμφανής είναι η τάση οι επιθέσεις βασισμένες σε ταυτότητα να αποτελούν σημαντικό μέρος των intrusions.

Το πρόβλημα δεν είναι μόνο ποσοτικό. Είναι ποιοτικό. Οι non-human identities συχνά δημιουργούνται από προγραμματιστές, DevOps ροές, σύνδεση με SaaS υπηρεσίες, αυτοματισμούς cloud ή scripts χωρίς κεντρικό governance. Έχουν ασαφές ownership, συχνά υπερβολικά δικαιώματα, μακρόβια credentials, hardcoded μυστικά, κακή τηλεμετρία και περιορισμένη συμπεριφορική ανάλυση.

Αυτό δημιουργεί ένα παράδοξο: οι οργανισμοί έχουν ωριμάσει αρκετά στην προστασία των ανθρώπινων χρηστών, αλλά αφήνουν τις μηχανικές ταυτότητες να λειτουργούν σαν «αόρατοι υπάλληλοι» χωρίς manager, χωρίς ημερομηνία λήξης, χωρίς access review και χωρίς συνεπή logging. Στην πράξη, ένα API κλειδί με πρόσβαση σε δεδομένα πελατών μπορεί να είναι εξίσου επικίνδυνο με έναν ανθρώπινο λογαριασμό με την ίδια πρόσβαση, και συχνά πιο δύσκολο να εντοπιστεί.

Τα κρυφά ρίσκα των non-human identities: secrets, sprawl και zombie credentials

Οι non-human identities αποτυγχάνουν κυρίως σε πέντε σημεία.

Πρώτον, στην ιδιοκτησία (ownership). Πολλές μη ανθρώπινες ταυτότητες δεν έχουν σαφή business owner και technical owner. Όταν κάτι σταματήσει να λειτουργεί, κανείς δεν ξέρει ποιος έχει την ευθύνη. Όταν κάτι πρέπει να αποσυρθεί, κανείς δεν τολμά να το απενεργοποιήσει.

Δεύτερον, στα εκτεταμένα δικαιώματα (excessive privilege). Service accounts συχνά λαμβάνουν απεριόριστα permissions, domain-wide ή full read/write privileges επειδή οι ομάδες φοβούνται ότι ο περιορισμός θα σταματήσει παραγωγικές ροές.

Τρίτον, στα long-lived credentials. API κλειδιά και tokens μένουν ενεργά για μήνες ή χρόνια, πολλές φορές hardcoded σε αποθετήρια, CI/CD logs, container images ή configuration scripts. Αυτή η κατάσταση, ονομάζεται secrets sprawl, και μαζί με τα hardcoded API κλειδιά και τα leaked tokens αποτελούν σημαντικό κίνδυνο,

Τέταρτον, στην τηλεμετρία. Οι παραδοσιακές λύσεις Security Information & Event Management (SIEM) και User & Entity Behavioral Analytics (UEBA) σχεδιάστηκαν αρχικά γύρω από ανθρώπινη συμπεριφορά. Οι non-human identities όμως λειτουργούν με διαφορετικά patterns: υψηλή συχνότητα API κλήσεων, machine-to-machine επικοινωνία, εφήμερα credentials και αλληλεπιδράσεις μεταξύ πολλαπλών υπολογιστικών νεφών.

Πέμπτον, στον κύκλο ζωής. Workloads δημιουργούνται και καταστρέφονται, αλλά τα credentials τους μένουν. Service accounts παύουν να χρησιμοποιούνται, αλλά παραμένουν ενεργά. Πιστοποιητικά λήγουν χωρίς ownership. Tokens αντιγράφονται σε πολλαπλά συστήματα. Αυτό δημιουργεί «zombie identities»: ταυτότητες που δεν εξυπηρετούν πια επιχειρησιακό σκοπό, αλλά παραμένουν ικανές να προσφέρουν πρόσβαση σε επιτιθέμενο.

Η σωστή στρατηγική non-human identities

Η προστασία των non-human identities απαιτεί νέα αρχιτεκτονική σκέψη. Δεν αρκεί να τις τοποθετούμε σε ένα spreadsheet. Χρειάζεται οργανωτική κατηγοριοποίηση, ανακάλυψη, ταυτοποίηση, ιδιοκτησία, διαχείριση, ανασκόπηση, παρακολούθηση, και αυτόματος τερματισμός και automated deprovisioning.

Τεχνικά, ένας ώριμος οργανισμός πρέπει να κινηθεί προς τα εξής:

  1. Discovery by default: αυτόματη ανακάλυψη non-human identities σε υπολογιστικά νέφη, SaaS εφαρμογές, αποθετήρια, PAM vaults και secrets managers.
  2. Owner by design: κάθε non-human identities πρέπει να έχει human accountable owner.
  3. Short-lived credentials: χρήση εφήμερων tokens, federated ταυτότητα workload και αυτόματο rotation.
  4. No secrets in code: έλεγχος, και εξάλειψη hardcoded secrets σε κώδικα.
  5. Least privilege: task-specific δικαιώματα πρόσβασης.
  6. Behavioral baselines: κατανόηση φυσιολογικής δραστηριότητας ανά workload ή service account.
  7. Policy-as-code: εξωτερικοποίηση authorization policies σε ελεγχόμενα, versioned και ελεγχόμενες μηχανές πολιτικής (policy engines).
  8. Automated retirement: ταυτότητες που δεν χρησιμοποιούνται ή δεν έχουν owner πρέπει να απενεργοποιούνται με ελεγχόμενο τρόπο.

Η βασική αρχή είναι απλή: κάθε μη ανθρώπινη ταυτότητα πρέπει να αντιμετωπίζεται με την ίδια ή και μεγαλύτερη αυστηρότητα από μια ανθρώπινη ταυτότητα, επειδή συχνά λειτουργεί ταχύτερα, αθόρυβα και με μεγαλύτερη κλίμακα.

AI agents: η νέα κατηγορία ταυτότητας

Η μεγαλύτερη επερχόμενη αλλαγή όμως δεν είναι απλώς ότι έχουμε περισσότερες μηχανικές ταυτότητες. Είναι ότι οι μηχανικές ταυτότητες αρχίζουν να αποκτούν αυτονομία.

Οι AI agents δεν είναι απλά scripts. Μπορούν να ερμηνεύουν στόχους, να σχεδιάζουν ακολουθίες ενεργειών, να καλούν εργαλεία, να συνδέονται σε APIs, να ανακτούν δεδομένα, να ενημερώνουν συστήματα, να δημιουργούν tickets, να ενεργοποιούν workflows και να λαμβάνουν αποφάσεις μέσα σε επιχειρησιακές διαδικασίες. Αυτό τους καθιστά operational actors. Δεν είναι απλώς software components. Είναι οντότητες που ενεργούν.

Η Τεχνική Νοημοσύνη δεν προσθέτει απλώς έναν νέο τύπο χρήστη στο IAM· αναγκάζει τους οργανισμούς να επανασχεδιάσουν την ταυτότητα ως συνεχές control plane για humans, workloads και agents. Οι οργανισμοί πρέπει να αντιμετωπίζουν τους LLMdriven agents ως firstclass identities, με ελάχιστα δικαιώματα, short-lived credentials, και από άκρη σε άκρη έλεγχο.

Αυτό είναι θεμελιώδες. Αν ένας agent εκτελεί ενέργεια σε ERP, CRM, data lake ή cloud κονσόλα, η ενέργεια δεν πρέπει να εμφανίζεται απλώς ως ενέργεια ενός generic service account. Πρέπει να είναι γνωστό:

  • ποιος άνθρωπος ή ποιο σύστημα ξεκίνησε την εργασία,
  • ποιος agent την εκτέλεσε,
  • ποιο runtime χρησιμοποιήθηκε,
  • ποιο μοντέλο ή toolchain συμμετείχε,
  • ποια delegated permissions χρησιμοποιήθηκαν,
  • ποιο API κλήθηκε,
  • ποιο dataset προσπελάστηκε,
  • ποιο policy decision ελήφθη και
  • πώς μπορούμε να ανακαλέσουμε την πρόσβαση ενώ η εργασία συνεχίζεται.

Η κρίση λογοδοσίας των AI agents

Ωστόσο, πολλοί agents δεν λειτουργούν ως διακριτές identities· συχνά χρησιμοποιούν ταυτότητες workload, διαμοιραζόμενους λογαριασμούς service ή ακόμη και ανθρώπινες ταυτότητες. Το αποτέλεσμα είναι καταστροφικό για το least privilege. Όταν ένας AI agent «δανείζεται» identity, δανείζεται και τα δικαιώματα της. Αν αυτά τα δικαιώματα πρόσβασης είναι ευρύτερα από τον σκοπό του agent, τότε ο agent αποκτά implicit authority που δεν του ανήκει.

Ακόμη πιο ανησυχητικό είναι ότι η πλειοψηφία των οργανισμών σήμερα δεν μπορούν να διακρίνουν καθαρά ενέργειες AI agents από ενέργειες ανθρώπων. Αυτό σημαίνει ότι η λογοδοσία θολώνει ακριβώς τη στιγμή που η αυτονομία αυξάνεται. Για τους υπεύθυνους κυβερνοασφάλειας, αυτό είναι ένα ρίσκο που πρέπει να αναφέρεται σε επίπεδο διοικητικού συμβουλίου. Αν δεν μπορείς να πεις ποιος έκανε τι, δεν μπορείς να κάνεις forensic reconstruction, δεν μπορείς να αποδείξεις συμμόρφωση, δεν μπορείς να αποδώσεις ευθύνη και δεν μπορείς να περιορίσεις επαναλαμβανόμενη κατάχρηση.

Zero Trust για AI: απαραίτητο, αλλά όχι επαρκές μόνο του

Το Zero Trust είναι η σωστή βάση για την Τεχνική Νοημοσύνη, αλλά χρειάζεται επέκταση, από την στιγμή που AI agents μπορούν να εκτελούν αλυσιδωτά ενέργειες, να καλούν APIs και να ενορχηστρώνουν workflows σε πολλαπλά συστήματα, θολώνοντας τις παραδοσιακές περιμέτρους και δυσκολεύοντας monitoring και containment. Η προτεινόμενη απάντηση είναι identity-based authorization για κάθε user, agent, LLM και ψηφιακό πόρο, με προσαρμοστική, με βάση το περιβάλλον, και least-privilege πρόσβαση.

Κάθε AI agent ή μοντέλο πρέπει να έχει δική του επαληθεύσιμη identity, ρόλους και δικαιώματα· χρήση βελτιστοποιημένων μηχανισμών· υλοποίηση σε επίπεδο πρωτοκόλλου, δικτύου και συστήματος και όχι μόνο σε επίπεδο φίλτρου prompt/output · διατήρηση Zero Trust κατά μήκος αλυσίδων AI δράσεων· συνεχής παρακολούθηση  και auditability.

Η κοινότητα των AI agents θέτει όμως ένα κρίσιμο ερώτημα: είναι το Zero Trust αρκετό; Τ κεντρικό επιχείρημα είναι ότι το Zero Trust απαντά στο «μπορεί αυτός ο agent να προσπελάσει τον πόρο;», αλλά όχι πλήρως στο «τι κάνει ο agent αφού λάβει πρόσβαση;». Η συζήτηση αναδεικνύει την ανάγκη για ένα επίπεδο ασφάλειας σε πραγματικό χρόνο εκτέλεσης (runtime security layer) που να εξετάζει prompt intent, εκτέλεση εργαλείων, ίχνη reasoning, διαρροή δεδομένων και accountability.

Αυτό είναι το κενό που πρέπει να καλύψει η Διαχείριση Ταυτότητας Τεχνικής Νοημοσύνης (ΑΙ Identity Governance).

Τι είναι πραγματικά η Διαχείριση Ταυτότητας Τεχνικής Νοημοσύνης (ΑΙ Identity Governance)

Η Διαχείριση Ταυτότητας Τεχνικής Νοημοσύνης (ΑΙ Identity Governance). δεν είναι απλώς «να βάλουμε τους agents στο directory». Είναι ένα πλήρες μοντέλο λειτουργίας (operating model) για την ταυτότητα, την εξουσιοδότηση, την παρακολούθηση και τη λογοδοσία των αυτόνομων ή ημιαυτόνομων AI agents.

Περιλαμβάνει τουλάχιστον δέκα δυνατότητες:

  1. Agent registration: κάθε agent πρέπει να εγγράφεται ως διακριτή ταυτότητα.
  2. Purpose binding: η ταυτότητα του agent πρέπει να συνδέεται με σαφή επιχειρησιακό σκοπό.
  3. Human accountability: κάθε agent πρέπει να έχει accountable ιδιοκτήτη.
  4. Delegation model: πρέπει να διαχωρίζεται αν ο agent δρα αυτόνομα ή εκ μέρους χρήστη.
  5. Scoped entitlements: τα δικαιώματα πρέπει να είναι task-specific και όχι γενικά.
  6. Timebound access: τα credentials πρέπει να λήγουν μετά την εργασία ή μετά από μικρό χρονικό παράθυρο.
  7. Contextaware authorization: οι αποφάσεις πρόσβασης πρέπει να λαμβάνουν υπόψη την ευαισθησία των δεδομένων, το ρίσκο, το περιβάλλον εκτέλεσης, τα εργαλεία, τον χρήστη και το περιβάλλον.
  8. Runtime control: πρέπει να υπάρχει έλεγχος των εργαλείων, των αποτελεσμάτων, των ροών δεδομένων και των σειρών δράσεων.
  9. Audit chain: πρέπει να καταγράφεται ποιος ζήτησε, ποιος εκτέλεσε, με τι εξουσία και με ποιο αποτέλεσμα.
  10. Revocation and kill controls: η πρόσβαση πρέπει να μπορεί να ανακληθεί σε πραγματικό χρόνο χωρίς να διαλύεται το επιχειρησιακό περιβάλλον.

Το επιθυμητό μοντέλο συνοψίζεται σε τρεις κατευθύνσεις: οι agents να έχουν δικές τους ταυτότητες, η πρόσβασή τους να ακολουθεί την αρχή των ελάχιστων ανά εργασία και οι ενέργειές τους να είναι πλήρως ορατές και αποδοτέες.

Η σύγκλιση IAM, IGA, PAM, και AI governance

Η επόμενη μεγάλη εξέλιξη είναι η σύγκλιση. Το identity security landscape ήταν ιστορικά κατακερματισμένο: Ιdentity Governance and Administration (IGA), Access Management (AM), Privileged Access Management (PAM), Identity Security Posture Management (ISPM), Customer Identity and Access Management (CIAM), διαχείριση secrets, δικαιώματα σε υποδομές νέφους και non-human identities συχνά λειτουργούσαν ως ξεχωριστά εργαλεία. Η τάση σήμερα καταδεικνύει ότι οι μεγάλοι κατασκευαστές κινούνται προς ενοποιημένες πλατφόρμες διαχείρισης ταυτότητας, ενώ συνεχίζεται η καινοτομία σε επιμέρους προβλήματα.

Η κατεύθυνση αυτή είναι αναπόφευκτη. Δεν μπορείς να διαχειριστείς AI agents χωρίς να γνωρίζεις τα δικαιώματά τους. Δεν μπορείς να διαχειριστείς privileged access χωρίς visibility σε service accounts και αυτοματισμούς. Δεν μπορείς να μειώσεις ρίσκο αν το IGA λειτουργεί μόνο με τακ τικά reviews και όχι με συνεχόμενη παρακολούθηση.

Ο νέος ρόλος της AI μέσα στο IAM

Η Τεχνική Νοημοσύνη είναι ταυτόχρονα πρόβλημα και εργαλείο. Από τη μία πλευρά, οι επιτιθέμενοι χρησιμοποιούν AI για phishing, deepfake-enabled social engineering, credential stuffing, reconnaissance, malware assistance και αυτοματοποίηση επιθέσεων. Από την άλλη πλευρά, οι αμυνόμενοι μπορούν να χρησιμοποιήσουν AI για anomaly detection, identity risk scoring, predictive analytics, access recommendations, entitlement cleanup και adaptive response.

Το κρίσιμο σημείο είναι ότι η AI δεν πρέπει να γίνει μαύρο κουτί αποφάσεων πρόσβασης. Αν ένα μοντέλο προτείνει αφαίρεση ή χορήγηση πρόσβασης, η απόφαση πρέπει να είναι εξηγήσιμη, ελεγχόμενη και αναστρέψιμος. Το IAM δεν μπορεί να μετατραπεί σε σύστημα γκρίζων συστάσεων. Η πρόσβαση σε κρίσιμα συστήματα απαιτεί τεκμηριωμένη λήψη αποφάσεων.

Πρακτικό αρχιτεκτονικό μοντέλο για AI-ready IAM

Μια AI-ready αρχιτεκτονική ταυτότητας πρέπει να έχει πέντε επίπεδα.

Πρώτο επίπεδο: Identity fabric. Ενιαίος κατάλογος για ανθρώπινες ταυτότητες, privileged accounts, τρίτα μέρη, service accounts, workloads, APIs, πιστοποιητικά, secrets και agents. Χωρίς κατάλογο, κάθε άλλη συζήτηση είναι θεωρητική.

Δεύτερο επίπεδο: Policy and governance layer. Εδώ βρίσκονται IGA, role mining, πιστοποιητικά πρόσβασης, ανάλυση δικαιωμάτων, policy-as-code, διαχωρισμός καθηκόντων και διαχείριση κύκλου ζωής. Το governance πρέπει να είναι συνεχές, όχι περιοδικό.

Τρίτο επίπεδο: Privilege and secrets layer. Ενοποιημένο PAM, διαχείριση secrets, just-in-time πρόσβασης, credential rotation, vaulting, session recording, αφήμερα credentials και workload identity federation.

Τέταρτο επίπεδο: Runtime authorization layer.  ABAC, PBAC, ReBAC, context-aware access, συνεχής αξιολόγησης προσβάσεων, CAEP, API-level υλοποίηση και policy decision points κοντά στους πληροφοριακούς πόρους.

Πέμπτο επίπεδο: Detection and response layer.  UEBA για human και non-human identities, Ανίχνευση αποκλίνουσας δραστηριότητας token, μη κανονικοποιημένη συμπεριφορά API, ασυνήθιστα μοτίβα πρόσβασης δεδομένων, ενδείξεις κλιμάκωσης δικαιωμάτων, αυτοματοποιημένος περιορισμός περιστατικών και αλυσίδα εγκληματολογικής τεκμηρίωσης και ιχνηλασιμότητας.

Οδικός χάρτης για Υπεύθυνους Κυβερνοασφάλειας

Οι υπεύθυνοι κυβερνοασφάλειας που θέλουν να αντιμετωπίσουν σοβαρά την ταυτότητα ως νέα περίμετρο πρέπει να κινηθούν σε τρεις ορίζοντες.

Πρώτες 90 ημέρες: visibility και containment – Το πρώτο βήμα πρέπει να είναι η απογραφή. Πόσοι ανθρώπινοι λογαριασμοί υπάρχουν; Πόσοι privileged; Πόσοι third-party; Πόσα service accounts; Πόσα API keys; Πόσα secrets σε repositories; Πόσα OAuth apps; Πόσοι AI agents ή automation bots χρησιμοποιούνται ήδη; Πόσες ταυτότητες δεν έχουν owner; Πόσα credentials δεν έχουν rotation;

Παράλληλα, η επιβολή βασικών μηχανισμών ελέγχου είναι απαραίτητη: phishing-resistant MFA για κρίσιμους χρήστες, disable unused accounts, review privileged roles, secrets scanning σε repositories, blocking νέων high-privilege service accounts χωρίς owner και logging για cloud IAM activity.

3–6 μήνες: governance και automation – Σε αυτό το στάδιο, το IAM πρέπει να συνδεθεί με διαδικασίες διαχείρισης κύκλου ζωής, Ροές εργασιών Joiner-Mover-Leaver, αιτήματα και εγκρίσεις πρόσβασης, περιοδικοί έλεγχοι δικαιωμάτων, αυτοματοποιημένη αποδέσμευση προσβάσεων και εκκαθάριση ρόλων, ταξινομία και ιδιοκτησία NHIs, πρότυπα ονοματοδοσίας, πολιτικές λήξης διαπιστευτηρίων και αυτοματοποιημένη περιστροφή credentials, καθώς και μητρώο AI agents με καταγραφή λειτουργιών, εργαλείων, προσβάσεων δεδομένων και υπευθύνων διαχείρισης. Εδώ είναι κρίσιμη η μετάβαση από χειροκίνητ governance σε αυτοματοποίηση.

6–18 μήνες: continuous identity security – Στον τρίτο ορίζοντα, στόχος είναι η λειτουργία identity ως real-time μηχανισμός ελέγχου. Η ενσωμάτωση της ταυτότητας με SIEM/SOAR, EDR, cloud logs, SaaS logs και PAM events. Η υλοποίηση CAEP όπου είναι εφικτό, με εφαρμογή just-in-time privileged access και απομάκρυνση standing privileges. Απαραίτητη είναι η επέκταση ABAC/PBAC πολιτικών για APIs και workloads. Για AI agents, η εφαρμογή per-task credentials, με παράλληλη παρακολούθηση σε πραγματική χρόνο, έλεγχο των αποτελεσμάτων για διαρροή  ευαίσθητων δεδομένων, και tamper-resistant audit trails είναι ενδεδειγμένη.

Μετρικές που πρέπει να βλέπει το Διοικητικό Συμβούλιο

Το IAM δεν πρέπει να παρουσιάζεται στο board ως κατάλογος εργαλείων. Πρέπει να παρουσιάζεται ως μετρήσιμη μείωση κινδύνου. Ενδεικτικές μετρικές:

  • ποσοστό identities με assigned owner,
  • ποσοστό privileged accounts με Just in Time (JiT) access,
  • αριθμός orphaned accounts,
  • αριθμός NHIs χωρίς rotation,
  • μέσος χρόνος deprovisioning,
  • ποσοστό εφαρμογών με phishing-resistant MFA,
  • αριθμός excessive entitlements που αφαιρέθηκαν,
  • ποσοστό agents με distinct identities,
  • ποσοστό AI agent actions με πλήρη audit chain,
  • χρόνος ανάκλησης token ή session μετά από risk event,
  • αριθμός secrets που βρέθηκαν σε code repositories,
  • αριθμός service accounts με wildcard permissions.

Αυτές οι μετρικές μετατρέπουν το IAM από τεχνική υποδομή σε δυνατότητα του οργανισμού να διαχειρίζεται το ρίσκο.

Το μεγάλο συμπέρασμα

Η φράση «η ταυτότητα είναι η νέα περίμετρος» δεν είναι marketing. Είναι περιγραφή της πραγματικότητας. Η παλιά περίμετρος βασιζόταν στο πού βρίσκεται κάτι. Η νέα περίμετρος βασίζεται στο ποιος ή τι είναι κάτι, τι δικαιούται να κάνει, υπό ποιες συνθήκες και με ποια απόδειξη.

Στην εποχή των AI agents, αυτή η μεταβολή γίνεται ακόμη πιο κρίσιμη. Δεν αρκεί να προστατεύουμε ανθρώπους. Πρέπει να προστατεύουμε μηχανές, workloads, APIs, secrets, tokens, agents και ολόκληρες αλυσίδες delegated authority. Δεν αρκεί να πιστοποιούμε την είσοδο. Πρέπει να κυβερνούμε τη συμπεριφορά μετά την είσοδο. Δεν αρκεί να καταγράφουμε access events. Πρέπει να μπορούμε να ανακατασκευάσουμε decision chains.

Οι οργανισμοί που θα κυριαρχήσουν στην επόμενη φάση της κυβερνοασφάλειας δεν θα είναι αυτοί που θα αγοράσουν απλώς περισσότερα IAM εργαλεία. Θα είναι αυτοί που θα μετατρέψουν την ταυτότητα σε λειτουργικό, μετρήσιμο και συνεχή μηχανισμό εμπιστοσύνης.

Η ερώτηση για το 2026 δεν είναι πλέον «πέρασε κάποιος την περίμετρο;». Η σωστή ερώτηση είναι: «ποια ταυτότητα ενήργησε, με ποια εξουσία, σε ποιο context, για ποιο σκοπό, και μπορούμε να το αποδείξουμε;»

Αν η απάντηση δεν είναι άμεση, τεκμηριωμένη και ανακλητή σε πραγματικό χρόνο, τότε η περίμετρος έχει ήδη αποτύχει.