Nollaluottamusperiaatteet kiireellisiksi tekoälyagenttien nopeuden vuoksi
Yritysten on kohdeltava nollaluottamusarkkitehtuuria välittömänä vaatimuksena tekoälyagenteille, ei pitkän aikavälin tavoitteena, sanoo Ping Identityn toimitusjohtaja Andre Durand.

Yritysten tulee pitää nollaluottamusperiaatetta (zero trust) välittömänä vaatimuksena tekoälyagenttien käytössä, eikä pitkän aikavälin tavoitteena, toteaa Ping Identityn perustaja ja toimitusjohtaja Andre Durand.
Perinteinen nollaluottamusmalli perustuu oletukseen, ettei käyttäjiä, laitteita tai järjestelmiä tule automaattisesti luottaa. Se vaatii jatkuvaa todentamista ennen jokaista toimintoa kertaluonteisen kirjautumistarkistuksen sijaan. Agenttipohjaiset tekoälyratkaisut ovat merkittävästi lyhentäneet yritysten hallinnoimien riskiaikojen kestoa, mikä vaatii käyttöoikeuspäätösten arviointia reaaliaikaisesti.
Durandin mukaan agenttipohjaisten tekoälyratkaisujen kasvava kysyntä ja niiden nopeus korostavat tarvetta soveltaa nollaluottamusperiaatteita nopeammin. Hän vertaa ihmisen tietoturvaloukkauksen kestoa tunteihin tai päiviin, kun taas agenttitasolla vastaava määrä toimintoja voi tapahtua minuuteissa. Tämä nopeusero muuttaa sitä, miten yritysten tulisi ajatella käyttöoikeuksia. Keskeisiä muuttujia ovat agentille myönnetyn pääsyn laajuus ja pääsyn voimassaoloaika.
Nollaluottamusperiaatteet pyrkivät myöntämään vain tarvittavan vähimmän käyttöoikeuden juuri oikeaan aikaan ja vaativat jatkuvaa uudelleenvaltuutusta yksittäisten kirjautumisten sijaan. Durand korostaa, että identiteetinhallinnan on siirryttävä pelkästä kirjautumistietojen tarkistamisesta todelliseen päätöksentekoon, joka perustuu jatkuvaan riskien arviointiin. Agenttien tulisi myös toimia omilla identiteeteillään, eikä jäljitellä ihmiskäyttäjiä tai jakaa palvelutila-tunnuksia.
Käytännössä nollaluottamusperiaatteiden valvonta vaatii oikeita paikkoja, kuten API-yhdyskäytäviä, joissa voidaan tarkistaa agenttien pyynnöt ja soveltaa niihin käytäntösääntöjä ennen hyväksymistä. Tavoitteena on siirtää valtuutus kertaluontoisesta päätöksestä jatkuvaan arviointiin jokaisen merkittävän toiminnon kohdalla. Tämä sulkee luottamusikkunan yksittäisen toiminnon laajuuteen, estäen agentteja esimerkiksi muokkaamasta omia käyttöoikeuksiaan.