De blinde vlek die je soevereiniteit ondermijnt

Elk niet-beheerd serviceaccount, elke vergeten API-sleutel, elke robot met overmatige rechten is een open deur in je soevereiniteitsstructuur. En er komen er nog miljarden bij. Tijd voor volwassen identiteitsgovernance

Stel je het volgende voor: een organisatie heeft haar soevereiniteitsstructuur voorbeeldig ingericht. Haar data staan in Europa, de infrastructuur wordt beheerd onder Europese jurisdictie, ze heeft ‘sovereign landing zones’ geïmplementeerd, ‘customer-managed keys’ ingericht en ‘audit trails’ geactiveerd. De CISO kan het met vertrouwen presenteren aan de raad van commissarissen.

Maar dan komen de vragen: welke serviceaccounts draaien er op dit moment op die infrastructuur? Welke geautomatiseerde processen kunnen data lezen, wijzigen of verplaatsen zonder menselijke tussenkomst? Hoeveel AI-agents zijn er actief, en wanneer zijn hun rechten voor het laatst gereviewd? De antwoorden blijven dan vaak achterwege.

Volgens ons is soevereiniteit zonder volwassen identiteitsgovernance een illusie. Je kunt weten waar je data staan en wie je infrastructuur beheert, maar als je niet kunt vaststellen en afdwingen wie en wat er toegang heeft, heb je geen controle. En de opkomst van agentic AI staat op het punt die illusie genadeloos bloot te leggen.

De gespleten identiteitswereld

De meeste organisaties opereren in een hybride werkelijkheid. Ze hebben systemen in de cloud, lokale systemen, SaaS-applicaties en verouderde systemen. Een structureel onderschat probleem hierbij is dat de processen voor identiteit en toegang meestal apart worden beheerd. Het gevolg zijn parallelle identiteitsomgevingen met elk hun eigen governance, hun eigen processen, hun eigen gaten. Er is geen sprake van een integraal beeld en een centrale grip.

Voor menselijke gebruikers is dit al een governance-uitdaging. Maar de werkelijke tijdbom zit ergens anders. Elke moderne IT-omgeving draait op een web van niet-menselijke identiteiten. Serviceaccounts die processen aansturen, API-sleutels die systemen verbinden, robots die taken automatiseren, scripts die data verplaatsen. Binnen een gemiddelde bedrijfsomgeving overtreffen deze niet-menselijke identiteiten het aantal menselijke gebruikers met een factor tien tot vijftig.

Hoewel deze niet-menselijke identiteiten het zenuwstelsel van de digitale operatie zijn, worden ze vrijwel nergens als identiteiten beheerd. Ze hebben geen levenscyclusmanagement, geen periodieke review van rechten en geen offboarding als een proces stopt. Wachtwoorden en sleutels worden vaak bij de creatie ingesteld en daarna nooit meer aangepast. Rechten worden toegekend op dag één en nooit meer herzien.

Geen IT-hygiëneprobleem, maar een soevereiniteitsprobleem

Dit is geen IT-hygiëneprobleem, maar een soevereiniteitsprobleem. Want elke niet-beheerde identiteit met toegang tot data ondermijnt de hele architectuur eromheen. Het maakt niet uit dat de data in Europa staan als een vergeten serviceaccount met beheerdersrechten die data ongecontroleerd kan verplaatsen, verwijderen, of veranderen.

En dit is nu al realiteit. Het niet goed ingericht hebben van logische toegangsbeveiliging is structureel een aandachtspunt bij de audits die PwC uitvoert. Het is een van de meest voorkomende bevindingen. Door toenemend cloudgebruik en regelgeving als NIS2 en DORA verschuift die auditscope bovendien van financiële systemen naar alle systemen die essentieel zijn voor de continuïteit van kritische bedrijfsprocessen.

Waarom identiteit het fundament voor soevereiniteit is

Het verband tussen soevereiniteit en identiteit wordt dus zelden expliciet gelegd. Laten we dat hier doen.

Soevereiniteit gaat over controle. Controle over waar data en infrastructuur zich bevinden, wie alles beheert, of je applicaties die je organisatieprocessen ondersteunen, onafhankelijk kunt draaien. Maar controle is een lege belofte zonder het vermogen om vast te stellen en af te dwingen wie en wat er toegang heeft.

Neem de drie lagen van soevereiniteit:

1. Datasoevereiniteit zonder identiteitsgovernance betekent dat je weet dat je data in Europa staan, maar niet kunt garanderen dat alleen geautoriseerde entiteiten erbij kunnen. Een serviceaccount met te brede rechten kan data over grenzen verplaatsen zonder dat iemand het opmerkt.
2. Operationele soevereiniteit zonder identiteitsgovernance betekent dat, zelfs als je de infrastructuur zelf beheert, niet per se grip hebt op wat er feitelijk op die infrastructuur gebeurt. Niet-menselijke processen opereren buiten je zicht.
3. Softwaresoevereiniteit zonder volwassen identiteitsgovernance betekent dat je applicaties onafhankelijk kunt draaien, maar onvoldoende grip hebt op wie toegang heeft tot je applicaties en daarmee je businessprocessen.

Identiteitsgovernance is geen aanvulling op soevereiniteit, maar de laag die soevereiniteit operationeel werkend maakt.

Agentic AI is het kantelpunt

En dan komt de factor die de urgentie verhoogt: agentic AI. AI-agents zijn autonome systemen die niet alleen taken kunnen uitvoeren, maar ook zelfstandig beslissingen kunnen nemen, met andere systemen kunnen interacteren en namens gebruikers kunnen handelen. Van prototype zijn ze inmiddels naar productie gegaan. Dit verandert het identiteitsvraagstuk fundamenteel. Op vier dimensies tegelijk:

• Authenticatie. Hoe toon je aan dat een AI-agent legitiem is? Bij menselijke gebruikers hebben we decennia aan protocollen. Voor autonome agents die in milliseconden met tientallen systemen communiceren, bestaan die protocollen grotendeels nog niet.
• Autorisatie. Wat mag een AI-agent? Een mens klikt, leest, besluit. Een agent voert in seconden duizenden acties uit: data ophalen, combineren, beslissen, triggeren. Traditionele autorisatiemodellen zijn gebouwd voor menselijke interactiesnelheden. Niet voor dit.
• 'Act on behalf'. Als een agent namens een gebruiker handelt: wiens rechten gelden? Die van de gebruiker? Die van de agent? Wat als de agent rechten nodig heeft die de gebruiker niet heeft, of andersom? En hoe bepaal je met miljarden transacties dat er geen oneigenlijk gebruik wordt gemaakt van de AI-agents?
• Schaal. Een organisatie met duizenden menselijke gebruikers genereert miljoenen authenticatie-events per jaar. Voeg autonome agents toe en dat worden er miljarden. De infrastructuur voor identificatie van vandaag is niet gebouwd voor die orde van grootte.

De organisaties die hun identiteitsgovernance vandaag niet op orde hebben voor serviceaccounts en robots, gaan dit niet oplossen tegen de tijd dat AI-agents in productie draaien. Het gat wordt niet kleiner. Het wordt onbeheersbaar.  

De regelgever wacht niet

De regelgever wacht ondertussen niet. NIS2, DORA, de EU AI Act en de EU Data Act vereisen aantoonbare controle over wie en wat toegang heeft tot welke data en systemen, onder welke voorwaarden, met welke waarborgen. Zonder identiteitsgovernance die niet-menselijke identiteiten omvat, is die aantoonbaarheid onmogelijk. En in een wereld van autonome AI-agents is het categorisch onmogelijk als de fundamenten voor identificatie niet zijn herontworpen.

Organisaties die soevereiniteit serieus nemen maar identiteitsgovernance laten liggen, bouwen een huis zonder sloten. Organisaties die AI-agents gaan ontwerpen zonder hun identiteitsarchitectuur te herontwerpen, zetten de voordeur open.

Vier stappen die niet kunnen wachten

1. Maak niet-menselijke identiteiten zichtbaar. Voer een volledige en continue inventarisatie uit van alle serviceaccounts, API-sleutels, bots en geautomatiseerde processen in alle omgevingen. Niet als een IT-project, maar als een soevereiniteitsmaatregel. Wat je niet ziet, kun je niet beheersen. Wat je niet beheerst, is niet soeverein.
2. Integreer identiteitsgovernance over alle omgevingen. Eén governancemodel, één lifecycle-aanpak, één auditframework; ongeacht waar de identiteit leeft. Een ‘gespleten’ identiteitswereld is een risico dat met elke nieuwe omgeving en elke nieuwe agent groter wordt.
3. Ontwerp nu een identiteitsarchitectuur voor agentic AI. Wacht niet tot agents in productie draaien. Begin met de ontwerpvragen: hoe authenticeren we autonome agents? Hoe begrenzen we hun autorisaties?
4. Breng identiteit naar de ‘soevereiniteitstafel’. Identiteitsgovernance hoort niet in een apart CISO-domein. Het hoort op dezelfde strategische tafel als datasoevereiniteit en operationele soevereiniteit. De CRO, CISO, de CIO en de CDO rond één geïntegreerd sovereiniteitsmodel, waarin identiteit de operationele ruggengraat is.

Soevereiniteit zonder identiteitsgovernance is geen soevereiniteit

De meeste discussies over soevereiniteit gaan over waar data staan en wie de infrastructuur beheert. Dat zijn de juiste vragen. Maar het zijn niet de vragen waar de grootste kwetsbaarheid zit. De grootste kwetsbaarheid zit in de identiteiten die niemand telt, de serviceaccounts die niemand reviewt, de API-sleutels die niemand roteert en de AI-agents die eraan komen en waarvoor niemand een governancemodel heeft.

Soevereiniteit zonder identiteitsgovernance is geen soevereiniteit. Ze is een illusie die wacht op het moment dat ze wordt getest.

Dit is het derde deel van een blogserie over cloudsoevereiniteit. Eerder verschenen Cloudsoevereiniteit en AI-versnelling: de botsing die niemand benoemt en De soevereiniteitsparadox die al tien jaar in je la ligt.