Tożsamość w przedsiębiorstwach i agenci AI

Tożsamość w przedsiębiorstwach i agenci AI

Cyberbezpieczeństwo przedsiębiorstw coraz wyraźniej wychodzi poza klasyczne zarządzanie dostępem użytkowników. Dotychczasowe pytanie „kto może się zalogować?” przestaje wystarczać. W nowoczesnym środowisku IT równie ważne staje się to, do jakich danych dana tożsamość ma dostęp, z jakich sekretów korzysta, czy jest człowiekiem, maszyną, aplikacją, procesem DevOps, czy agentem AI oraz jak szybko można odebrać jej uprawnienia po zakończeniu zadania.

Ostatnie działania firm Delinea, Cyera, 1Password, Apono, Orange Business i ANOZR WAY pokazują, że rynek bezpieczeństwa tożsamości przechodzi w stronę modelu bardziej kontekstowego, krótkotrwałego i silniej powiązanego z rzeczywistym ryzykiem biznesowym.

Delinea i Cyera: tożsamość oceniana przez pryzmat danych

Integracja Delinea i Cyera pokazuje kierunek, w którym zmierza Privileged Access Management. Nie chodzi już tylko o kontrolę kont uprzywilejowanych, ale o powiązanie tych kont z realną ekspozycją danych.

Cyera działa jako platforma Data Security Posture Management, czyli rozwiązanie służące do wykrywania, klasyfikowania i monitorowania danych wrażliwych w środowiskach chmurowych, lokalnych i hybrydowych. System identyfikuje m.in. dane osobowe, dane finansowe, informacje regulowane, dane krytyczne biznesowo oraz miejsca, w których mogą być one nadmiernie udostępnione.

Delinea odpowiada z kolei za warstwę identity security oraz Privileged Access Management. Platforma pozwala zarządzać dostępem uprzywilejowanym użytkowników, kont serwisowych, maszyn, aplikacji i agentów AI. W praktyce oznacza to możliwość kontroli sesji, zarządzania hasłami i sekretami, wymuszania dostępu just-in-time, ograniczania stałych uprawnień oraz prowadzenia audytu aktywności.

Połączenie obu platform pozwala korelować tożsamości uprzywilejowane z danymi, do których faktycznie mogą uzyskać dostęp. Dzięki temu ocena ryzyka nie opiera się wyłącznie na tym, że konto ma wysokie uprawnienia, ale również na tym, czy może dotrzeć do danych krytycznych lub szczególnie wrażliwych.

To ważna zmiana techniczna. W klasycznym podejściu zespoły bezpieczeństwa często otrzymują długą listę kont i uprawnień do przeglądu. W modelu data-aware identity security priorytet otrzymują te konta, które mają realną ścieżkę dostępu do najważniejszych zasobów. Pozwala to szybciej wykrywać nadmiarowe uprawnienia, skracać czas przeglądów dostępu i wdrażać zasadę najmniejszych uprawnień tam, gdzie ryzyko jest największe.

1Password i Apono: sekrety dostępne tylko wtedy, gdy są potrzebne

Drugim istotnym kierunkiem jest odejście od długotrwałych poświadczeń. W wielu firmach tokeny, klucze API, hasła techniczne lub dane dostępowe do usług są nadal przechowywane w plikach konfiguracyjnych, repozytoriach kodu, zmiennych środowiskowych albo pipeline’ach CI/CD. Problem polega na tym, że takie sekrety często żyją dłużej niż proces, dla którego zostały utworzone.

1Password, po przejęciu Apono, rozwija podejście oparte na Credential Brokerze oraz dostępie just-in-time. Credential Broker ma dostarczać właściwy sekret właściwej tożsamości dokładnie w momencie, gdy jest potrzebny do wykonania konkretnego zadania. Sekret nie musi być trwale zapisany w aplikacji, pipeline’ie czy u agenta AI.

Technicznie oznacza to model, w którym workload, np. proces CI/CD, zadanie automatyzacji lub w przyszłości agent AI, najpierw potwierdza swoją tożsamość. Następnie system sprawdza politykę dostępu i wydaje tylko taki sekret, token lub dostęp federacyjny, który jest dopuszczony dla danego zadania. Po zakończeniu pracy dostęp wygasa lub zostaje automatycznie cofnięty.

1Password wskazuje również na zastosowanie Workload Identity Federation, początkowo m.in. w kontekście GitHub Actions. Dzięki temu proces automatyzacji może potwierdzić swoją tożsamość bez konieczności przechowywania stałego tokena serwisowego. Każde wydanie poświadczenia ma być rejestrowane wraz z informacją, który workload zażądał dostępu oraz jaka polityka lub osoba upoważniła takie działanie.

Apono uzupełnia ten model o warstwę zarządzania uprawnieniami po stronie akcji. Credential Broker odpowiada za to, gdzie znajdują się sekrety i jak trafiają do zaufanej tożsamości, natomiast Apono zarządza tym, co dana tożsamość może zrobić po uzyskaniu dostępu i jak długo ten dostęp pozostaje aktywny.

To szczególnie ważne w kontekście agentów AI. Jeżeli agent ma pobierać dane z bazy, wywoływać API albo wykonywać operacje w systemie biznesowym, nie powinien otrzymywać stałego tokena o szerokich uprawnieniach. Bezpieczniejszy model zakłada krótkotrwały, zadaniowy dostęp, pełny audyt oraz możliwość szybkiego cofnięcia uprawnień bez naruszania całego środowiska.

Orange Business i ANOZR WAY: ochrona przed deepfake wymaga nie tylko detekcji

Trzeci obszar dotyczy zagrożeń związanych z wykorzystaniem AI do oszustw, podszywania się i socjotechniki. Orange Business, we współpracy z ANOZR WAY, rozwija podejście łączące multimodalną detekcję deepfake z zarządzaniem ludzkim ryzykiem cybernetycznym.

Multimodalna detekcja oznacza analizę różnych typów materiałów: obrazu, wideo, audio oraz dokumentów. Takie rozwiązania mogą być stosowane m.in. w contact center, wideokonferencjach, procesach weryfikacji klienta, analizie dokumentów lub scenariuszach, w których istnieje ryzyko podszywania się pod pracownika, klienta albo członka zarządu.

Sama detekcja deepfake nie rozwiązuje jednak całego problemu. Skuteczny atak z wykorzystaniem syntetycznego głosu lub obrazu często bazuje na wcześniej zebranych informacjach o ofierze. Mogą to być publiczne nagrania głosu, zdjęcia, stanowisko, relacje zawodowe, dane z wycieków, informacje z mediów społecznościowych czy charakterystyczny styl komunikacji.

W tym miejscu pojawia się rola ANOZR WAY, czyli rozwiązania skupionego na human cyber risk management. Systemy tego typu analizują ekspozycję osób szczególnie narażonych, takich jak zarząd, kadra finansowa, działy HR, sprzedaż, osoby publiczne lub pracownicy mający dostęp do poufnych informacji. Celem jest wykrycie, jakie dane mogą zostać wykorzystane do przygotowania wiarygodnego ataku socjotechnicznego.

W praktyce taka ochrona może obejmować mapowanie publicznie dostępnych informacji, analizę wycieków danych, identyfikację profili wysokiego ryzyka oraz rekomendowanie działań ograniczających powierzchnię ataku. W połączeniu z detekcją deepfake daje to pełniejszy model ochrony: nie tylko sprawdzamy, czy materiał jest zmanipulowany, ale również ograniczamy ilość informacji, które pozwalają przygotować skuteczne podszycie się pod konkretną osobę.

Wspólny kierunek: mniej stałego dostępu, więcej kontekstu

Wszystkie opisane działania pokazują wspólny trend. Tożsamość w przedsiębiorstwie nie jest już wyłącznie kontem użytkownika w katalogu firmowym. Tożsamością staje się także proces automatyzacji, konto serwisowe, workload chmurowy, pipeline DevOps, aplikacja, bot i agent AI.

Dlatego nowoczesna ochrona musi łączyć kilka warstw:

zarządzanie dostępem uprzywilejowanym,
klasyfikację i ochronę danych wrażliwych,
kontrolę sekretów i tokenów,
dostęp just-in-time,
polityki najmniejszych uprawnień,
ciągły audyt,
ochronę przed podszywaniem się i deepfake,
zarządzanie ryzykiem wynikającym z ekspozycji ludzi.

Najważniejsza zmiana polega na przejściu z modelu stałego zaufania do modelu dynamicznego. Dostęp powinien być przyznawany tylko wtedy, gdy jest potrzebny, tylko do konkretnego zadania, tylko na określony czas i tylko po uwzględnieniu kontekstu: kto lub co żąda dostępu, do jakich danych prowadzi ten dostęp i jakie ryzyko wiąże się z daną operacją.

Dla przedsiębiorstw oznacza to konieczność ponownego spojrzenia na IAM, PAM, ochronę danych i bezpieczeństwo AI jako na jeden wspólny obszar. W świecie, w którym agenci AI i tożsamości maszynowe zaczynają działać z prędkością większą niż człowiek, tradycyjne listy uprawnień i okresowe przeglądy dostępu mogą okazać się niewystarczające.

Nowa generacja rozwiązań ochrony tożsamości będzie musiała odpowiadać nie tylko na pytanie, kto ma dostęp, ale również dlaczego go ma, do czego może go użyć, jak długo będzie go potrzebować oraz czy ten dostęp rzeczywiście powinien istnieć.

źródło: Delinea, 1Password, Orange Business
20.06.2026

tożsamość cyfrowa w przedsiębiorstwie, zarządzanie tożsamością, enterprise identity, identity security, cyberbezpieczeństwo przedsiębiorstw, zarządzanie dostępem, bezpieczeństwo tożsamości, ochrona tożsamości cyfrowej, IAM, PAM, Privileged Access Management, dostęp uprzywilejowany, konta uprzywilejowane, zarządzanie sekretami, sekrety IT, credential broker, just-in-time access, dostęp JIT, zero trust, zero-knowledge vault, workload identity, tożsamości maszynowe, machine identity, AI agents, agenci AI, konta serwisowe, tokeny API, klucze API, sekrety aplikacyjne, DevOps security, CI/CD security, ochrona danych wrażliwych, sensitive data exposure, Data Security Posture Management, DSPM, klasyfikacja danych, ekspozycja danych, ryzyko dostępu, najmniejsze uprawnienia, least privilege, audyt dostępu, redukcja powierzchni ataku, bezpieczeństwo AI, AI security, deepfake detection, wykrywanie deepfake, multimodalna detekcja deepfake, oszustwa z użyciem AI, podszywanie się cyfrowe, fraud prevention, human cyber risk management, cyberryzyko człowieka, socjotechnika AI