Руководство директора по информационной безопасности для безопасного развертывания агентного ИИ

За последний год почти каждый разговор, который я вел с коллегами-директорами по информационной безопасности (CISO), вращался вокруг одного и того же противоречия:как внедрить агентный ИИ на предприятии, не увеличивая при этом риск?

Недавно соучредитель и генеральный директор UiPath Дэниел Дайнс написал, что «предприятиям нужна скорость и интеллект агентов искусственного интеллекта и автоматизации, но никогда не в ущерб безопасности или контролю». Это наблюдение отражает то, что я слышу от руководителей служб безопасности в разных отраслях.

Вопрос уже не в том, будут ли действовать агенты внутри наших предприятий. 2025 год ответил на это. Реальный вопрос заключается в том, регулируем ли мы их с той же строгостью, с которой мы переносили критически важные рабочие нагрузки в облако.

Переломный момент автономии

Не так давно наши модели безопасности предполагали, что программное обеспечение следует инструкциям. Теперь он принимает решения.

В 2025 году агентный ИИ перешел от экспериментов к оперативному развертыванию. Автономные системы планируют и выполняют действия в корпоративной среде с делегированными полномочиями.

Для директоров по информационной безопасности это не очередной цикл разработки инструментов. Это структурный сдвиг в том, как инициируются, санкционируются и управляются цифровые действия.

Мы больше не защищаем статические приложения. Мы защищаем цифровых актеров.

Модели управления развиваются, но их внедрение опережает их. Это создает разрыв доверия между автономией и надзором.

Для устранения этого разрыва требуется нечто большее, чем просто политика, периодические проверки и статический контроль. Это требует управления, которое действовало бы с той же скоростью и применялось с той же строгостью и точностью, которые мы применяли к каждому крупному технологическому сдвигу до этого.

Модель угроз изменилась

Традиционная кибербезопасность основывалась на четырех основополагающих предположениях:

<ли>

Детерминированное поведение

<ли>

Фиксированные роли и разрешения

<ли>

Предсказуемые пути выполнения

<ли>

Человеческая ответственность на каждом уровне принятия решений

Агентные системы бросают вызов каждому из этих предположений. Они:

<ли>

Адаптируйтесь во время выполнения

<ли>

Динамический выбор инструментов

<ли>

Сохранение памяти при каждом взаимодействии

<ли>

Самостоятельно принимать промежуточные решения

Эти возможности создают ценность за счет сжатия рабочих процессов, межсистемной оркестровки и ускорения операций.

Они также дают новое определение экспозиции.

Команды безопасности теперь должны оценивать не только то, к чему может получить доступ система, но и то, как она определяет последовательность действий, как формирует намерения и как на это намерение можно влиять с течением времени.

Оперативное внедрение становится манипуляцией выполнением. Сохранение памяти создает продольный риск. Делегированные полномочия концентрируют воздействие.

Это не крайний случай неправильной конфигурации. Это присуще самой автономии. Контрольный вопрос меняется с «Был ли доступ подходящим?» на «Был ли регламентирован путь принятия решения?».

Идентификация становится уровнем обеспечения соблюдения

Когда автономная система может получить доступ к нашей системе управления взаимоотношениями с клиентами (CRM) или другим платформам SaaS, изменять инфраструктуру или инициировать платежи, ею необходимо управлять с такой же строгостью, как и любым привилегированным человеком-оператором.

Каждый ИИ-агент должен:

<ли>

Обладать уникальной управляемой личностью

<ли>

Работать с минимальными привилегиями

<ли>

Подпадать под контроль жизненного цикла учетных данных

<ли>

Создание неизменяемых журналов аудита

<ли>

Проходить постоянный поведенческий мониторинг

Многие организации классифицируют агентов как нечеловеческие личности. Эта формулировка полезна, но неполна.

В отличие от традиционных учетных записей служб, агенты рассуждают о том, как они используют свои разрешения.

В агентную эпоху идентичность больше не является просто уровнем доступа. Это уровень обеспечения автономии.

Принципы нулевого доверия должны полностью распространяться на цифровых субъектов с такой же строгостью, которая применяется в более широкой среде управления предприятием. Модели ручной инициализации, предназначенные для адаптации людей, потерпят неудачу в автономном масштабе. Управление идентификацией должно стать динамичным, управляемым политикой и постоянно проверяемым.

Когда автономия масштабируется, идентичность становится инфраструктурой. Цифровые субъекты не действуют изолированно. Они работают в рамках взаимосвязанных корпоративных рабочих процессов, которыми необходимо управлять единообразно.

От журналов к когнитивной телеметрии

Традиционная наблюдательность отвечает на ретроспективный вопрос:что произошло?

Агентные системы требуют от нас ответа на другой вопрос:почему это произошло?

Управление теперь зависит от видимости:

<ли>

Сигналы происхождения решения (входные данные, ограничения и результаты)

<ли>

Последовательность вызовов инструментов

<ли>

Оценки политики

<ли>

Взаимодействие с памятью

<ли>

Решение имеет приоритет

Если мы не можем восстановить, как формировалось намерение и выбирались действия, используя наблюдаемое исполнение и артефакты политики, управление становится теоретическим.

Управление и безопасность ИИ без объяснимости и возможности проверки являются хрупкими. Директора по информационной безопасности должны требовать когнитивную телеметрию не как криминалистическое свидетельство после сбоя, а как непрерывный уровень обеспечения безопасности, работающий параллельно с выполнением и видимый в наших инструментах управления информацией о безопасности и событиями (SIEM).

Автономность работы на скорости машины требует контроля, который действует на скорости машины.

Человеческий обзор сам по себе не может соответствовать этому требованию. Автономные системы будут все активнее участвовать в надзоре за другими автономными системами, обеспечении соблюдения политики, проверке поведения и эскалации только в случае превышения заранее определенных пороговых значений риска. Управление становится распределенной возможностью, а не ручной контрольной точкой.

Управление должно выполняться во время выполнения

Политики, записанные в документации, не ограничивают автономные системы. Мы должны обеспечить, чтобы управление работало во время выполнения.

Для этого требуется:

<ли>

Применение политики перед выполнением

<ли>

Непрерывный мониторинг соответствия (утвержденным политикам)

<ли>

Отслеживание версий и моделей

<ли>

Явные пороговые значения для одобрения действий с участием человека (HITL) для действий с высоким уровнем воздействия

<ли>

Очистите пути вмешательства человека

Это представляет собой переход от статического соблюдения требований к динамическому надзору.

Советы директоров и регулирующие органы развиваются соответствующим образом. Эра амбициозных заявлений об ответственном ИИ подходит к концу. Исполнительному руководству все чаще требуется наглядная контрольная среда, подкрепленная доказательствами.

Управление должно быть встроено в конвейеры мониторинга, системы идентификации и уровни оркестровки, охватывающие несколько моделей, внешние службы искусственного интеллекта и различные собственные компоненты, обычно встречающиеся в автоматизации предприятия.

Управление не может предполагать наличие единой модели. Он должен работать непрерывно и последовательно в гетерогенных модельных средах, интегрируясь с существующими системами безопасности и управления, а не заменяя их.

Гарантии становятся непреложными

Корпоративные клиенты больше не задаются вопросом, безопасен ли ИИ. Они спрашивают, как вы это докажете.

Независимая проверка, структурированные системы управления ИИ и формализованные системы управления рисками быстро развиваются. Ожидания в сфере закупок смещаются от скорости выполнения функций к поддающемуся проверке управлению.

Автономия без очевидных гарантий застопорится на уровне совета директоров. Во всей отрасли начинают появляться структурированные модели зрелости и формальные пути сертификации, преобразующие принципы управления в измеримую подотчетность.

Доверие не подразумевается инновациями. Это достигается посредством доказательств.

План безопасной автономии

Организации, которые будут лидировать в 2026 году, не будут использовать наибольшее количество агентов ИИ. Это те, кто управляет ими сознательно. Пять столпов определяют безопасное развертывание агентов:

1. Личность прежде всего

Каждый ИИ-агент представляет собой управляемую личность с минимальными привилегиями и постоянной проверкой.

2. Сегментация инструментов

В высокоэффективных системах используются шлюзы контекстной авторизации с явными порогами одобрения.

3. Защита памяти

Постоянное состояние зашифровано, целостность проверена, доступ контролируется и подлежит аудиту.

4. Ограждения во время выполнения

Ограничения перед выполнением и мониторинг аномалий во время выполнения работают постоянно. В зрелых средах агенты надзора могут помочь обеспечить соблюдение этих ограничений, обеспечивая непрерывную проверку в масштабе.

5. Аудитируемость, наблюдаемость и происхождение решений

Автономные системы должны обеспечивать отслеживаемые записи входных данных, оценок политики и результирующих действий, а не только журналы выполнения задач.

6. Пути эскалации ситуации

Четкие пороговые значения управления определяют, когда автономия уступает место подотчетности руководителей.

Управление не замедляет инновации. Это открывает доверие руководителей. Доверие ускоряет принятие.

Мандат директора по информационной безопасности на 2026 год

Траектория ясна.

<ли>

В 2024 году большинство организаций экспериментировали

<ли>

В 2025 году автономность перешла в производство

<ли>

2026 год станет проверкой того, держит ли управление темп

Противники используют автономию для масштабирования разведки и эксплуатации. Советы требуют очевидного надзора. Регуляторы формализуют ожидания в отношении управления рисками и оперативного контроля ИИ.

Разрыв в лидерстве не технологический; это отсутствие доверия к зрелости управления.

Наш мандат как директоров по информационной безопасности не состоит в том, чтобы сопротивляться трансформации или замедлять ее. Это сделать его надежным компонентом нашего предприятия.

Мы несем ответственность за разработку унифицированных плоскостей управления, которые позволяют цифровым субъектам безопасно работать на машинной скорости, а также за обеспечение преднамеренного развертывания их автономии, прозрачного управления, постоянного мониторинга и независимой проверки.

Автономия не устраняет подотчетность, а усиливает ее. Следующая эра корпоративной безопасности не будет определяться межсетевыми экранами или моделями; это будет определяться тем, насколько хорошо мы управляем автономными действиями.

Лидерами станут не те организации, которые первыми внедрили агентный ИИ. Они будут теми, кто обеспечил его, управлял им и доказал его.

И эта ответственность лежит на нас.