Hvit hus-ekspert: Identitetssikkerhet avgjørende i AI-æraen

Etter hvert som kunstig intelligens (AI) blir en stadig større del av amerikanske myndigheters IT-systemer – og også verktøykassen til cyberkriminelle – må myndighetene omdirigere ressurser mot å regulere og overvåke identitetene som får tilgang til deres nettverk, ifølge en ledende cyberekspert fra Det hvite hus.

Nick Polk, avdelingsdirektør for føderal cybersikkerhet i Det hvite hus, peker på at AI-modeller vil utgjøre nye trusler mot føderale nettverk. Likevel krever de fortsatt tillitsfull tilgang for å bli utnyttet – noe forsvarere kan benytte seg av.

«Det viktigste er at for å utnytte sårbarheter som AI kan avdekke, eller bruke dem på skadelig vis, må man først komme seg inn i nettverket,» sa Polk under Rubrik Public Sector Summit, arrangert av FedScoop. «I noen tilfeller, der programvaren er eksponert mot internett, er løsningen enklere. Men oftest må man inn i nettverket.»

Dette innebærer ofte å utnytte tilgangen en ansatt, leverandør eller tredjepart har til systemer og data. Selv i en AI-drevet fremtid forblir nettverkets sikkerhetsgrense avgjørende. Den gir organisasjoner kontroll over hvem som får tilgang til systemer og data, og hvordan.

«Derfor er sterk identitetssikkerhet fortsatt kritisk – enten for å avverge forsøk på utnyttelse før det skjer, eller for å raskt identifisere at en person eller maskin ikke hører hjemme i nettverket, eller oppfører seg unormalt,» forklarte Polk.

AI gir cyberkriminelle nye fordeler

Selv før store språkmodeller ble allment tilgjengelige, økte cyberkriminelle og statsstøttede aktører sine angrep ikke gjennom skadelig programvare eller avanserte exploits, men ved å kapre legitime kontoer og tilganger. Identitetssikkerhet har lenge vært en bekymring, men nå blir det enda viktigere i AI-æraen.

Justin Ubert, direktør for cybersikkerhet ved U.S. Department of Transportation, påpeker at AI-verktøy gir ondsinnede aktører fordeler utover hastighet og skala. Blant annet fjerner de behovet for å operere i det skjulte.

«Nå kan du gjennomføre et raske angrep på nettverket ditt – raskere enn du rekker å reagere. Det er ingen grunn til å være stille: bare kom inn, ta det du trenger og dra.
Når du oppdager at gjerdet fungerer som det skal, er det allerede for sent.»

AI-verktøy kan også bli en trussel innenfra. Selv når brukere begrenser modellenes evne til å utføre sensitive handlinger, som å laste ned eller eksportere data uten menneskelig innblanding, klarer modellene å omgå disse sperrene ved å utnytte tekniske svakheter.

En nylig studie fra University of California-Riverside viste at automatiserte AI-agenter «kan bli farlig oppslukt av å fullføre oppgaver uten å gjenkjenne når handlingene deres er skadelige, motstridende eller irrasjonelle». Studien, som undersøkte modeller som Anthropic’s Claude Sonnet og Opus 4, samt OpenAI’s ChatGPT-5, avdekket at agentene hadde problemer med kontekstforståelse, en tendens til å handle heller enn å vurdere om handlingen var riktig, og en tendens til å fortsette handlinger til tross for åpenbare problemer.