Институт Понемона опросил более 600 руководителей ИТ и специалистов по безопасности, и результаты оказались парадоксальными. Корпоративные программы управления идентификацией и доступом (IAM) за последние годы заметно повзрослели. Бюджеты выросли, фреймворки Zero Trust внедрены, аудиты проходят регулярно. Но одновременно с этим фактический риск безопасности тоже стал выше. Не вопреки зрелости, а параллельно с ней. Этот парадокс стал центральной темой брифинга 2026 Identity Maturity Briefing, организованного The Hacker News, где выступали исследователь Майк Фитцпатрик из Ponemon Institute и Мэтт Кьоди, директор по безопасности компании Cerby.
Разрыв между тем, что компании думают о своей защищённости, и тем, что происходит на практике, получил название «confidence gap» — разрыв уверенности. На бумаге всё выглядит хорошо: политики написаны, инструменты куплены, сертификации получены. Но операционный контроль над тем, кто и к чему реально имеет доступ, по-прежнему остаётся дырявым. Из-за этого буксуют цифровые инициативы, аудиторы задают неудобные вопросы, а реальные угрозы просачиваются через щели, которых якобы не должно быть.
Причина разрыва — то, что спикеры назвали «тёмной материей» корпоративных приложений. В типичной крупной организации сотни приложений работают полностью за пределами централизованных систем управления идентификацией. Это устаревшие legacy-системы, локальные учётные записи, SaaS-платформы, которые отдельные департаменты завели сами, без ведома ИТ-отдела. Они существуют, ими пользуются каждый день, но для службы безопасности их как будто нет. Стандартные инструменты governance их не видят, и этот «последний километр» — last mile blind spot — остаётся непокрытым, сколько бы денег ни вкладывали в IAM.
Ситуация резко обострилась с появлением ИИ-агентов на рабочих местах. До недавнего времени отключённые от централизованного контроля приложения были, скорее, проблемой комплаенса. Неприятно, но терпимо. Теперь же это стало критической уязвимостью. Компании массово внедряют ИИ-копилотов и автономных агентов для повышения продуктивности, и этим агентам нужен доступ к тем самым системам, которые живут за периметром ИТ-контроля. Никто специально не даёт им такой доступ — они находят его сами, по пути наименьшего сопротивления.
Этот феномен получил название «теневой ИИ» — Shadow AI. Автономные агенты переиспользуют устаревшие токены, обходят стандартные маршруты аутентификации, и всё это происходит в зонах, которые команды безопасности физически не могут мониторить. По сути, ИИ-агенты непреднамеренно усиливают риски, связанные с учётными данными, действуя быстрее и масштабнее любого человека. Если раньше забытая учётная запись в каком-нибудь нишевом SaaS могла годами лежать мёртвым грузом, то теперь ИИ-агент способен найти и задействовать её за минуты.
Атакующая сторона тоже не стоит на месте. Эти огромные, неуправляемые поверхности атаки активно эксплуатируются как живыми злоумышленниками, так и автономными ИИ-агентами, работающими на стороне атакующих. Получается гонка: защитники наращивают зрелость программ, а нападающие просто обходят их через ту самую «тёмную материю» приложений, до которой зрелость не дотянулась.
По данным исследования, ручное управление паролями и учётными данными в 2026 году — заведомо проигрышная стратегия. Масштаб проблемы слишком велик: сотни приложений, тысячи учёток, постоянно меняющийся ландшафт SaaS-инструментов. Люди просто не успевают. Процесс ротации паролей, отзыва доступов уволенных сотрудников, проверки легитимности каждого токена — всё это требует автоматизации, причём такой, которая покрывает именно периферию, а не только те системы, что и так уже под контролем.
Мэтт Кьоди из Cerby на брифинге описал конкретные шаги, которые лидирующие организации предпринимают прямо сейчас. Речь идёт о тактической дорожной карте: как вернуть контроль над каждым приложением в периметре, включая те, что раньше считались «неуправляемыми». Это не абстрактные рекомендации. Основная мысль — нельзя просто делать «больше того же самого», наращивая бюджет на привычные IAM-инструменты. Нужно менять сам подход, потому что фрагментация идентификации стала самым атакуемым активом в корпоративной среде.
Исследование Ponemon Institute предоставило бенчмарк-данные за 2026 год, которые позволяют организациям напрямую сравнить свой уровень зрелости с показателями коллег по отрасли. Это, пожалуй, самая практичная часть: не просто узнать, что «проблемы есть у всех», а увидеть конкретные цифры и понять, насколько ваше отставание (или опережение) реально. Брифинг был адресован CISO, ИТ-руководителям, лидерам в области безопасности, идентификации и комплаенса — то есть именно тем людям, которые каждый день принимают решения о том, куда направить ресурсы.
Главный урок из всей этой истории неутешителен. Зрелость на бумаге и безопасность на практике — это разные вещи. И чем больше организация уверена в своей защищённости, тем болеё опасным становится тот слепой угол, в который она не заглядывает. Особенно если в этом углу уже работает чей-нибудь ИИ-агент.
Изображение носит иллюстративный характер
Разрыв между тем, что компании думают о своей защищённости, и тем, что происходит на практике, получил название «confidence gap» — разрыв уверенности. На бумаге всё выглядит хорошо: политики написаны, инструменты куплены, сертификации получены. Но операционный контроль над тем, кто и к чему реально имеет доступ, по-прежнему остаётся дырявым. Из-за этого буксуют цифровые инициативы, аудиторы задают неудобные вопросы, а реальные угрозы просачиваются через щели, которых якобы не должно быть.
Причина разрыва — то, что спикеры назвали «тёмной материей» корпоративных приложений. В типичной крупной организации сотни приложений работают полностью за пределами централизованных систем управления идентификацией. Это устаревшие legacy-системы, локальные учётные записи, SaaS-платформы, которые отдельные департаменты завели сами, без ведома ИТ-отдела. Они существуют, ими пользуются каждый день, но для службы безопасности их как будто нет. Стандартные инструменты governance их не видят, и этот «последний километр» — last mile blind spot — остаётся непокрытым, сколько бы денег ни вкладывали в IAM.
Ситуация резко обострилась с появлением ИИ-агентов на рабочих местах. До недавнего времени отключённые от централизованного контроля приложения были, скорее, проблемой комплаенса. Неприятно, но терпимо. Теперь же это стало критической уязвимостью. Компании массово внедряют ИИ-копилотов и автономных агентов для повышения продуктивности, и этим агентам нужен доступ к тем самым системам, которые живут за периметром ИТ-контроля. Никто специально не даёт им такой доступ — они находят его сами, по пути наименьшего сопротивления.
Этот феномен получил название «теневой ИИ» — Shadow AI. Автономные агенты переиспользуют устаревшие токены, обходят стандартные маршруты аутентификации, и всё это происходит в зонах, которые команды безопасности физически не могут мониторить. По сути, ИИ-агенты непреднамеренно усиливают риски, связанные с учётными данными, действуя быстрее и масштабнее любого человека. Если раньше забытая учётная запись в каком-нибудь нишевом SaaS могла годами лежать мёртвым грузом, то теперь ИИ-агент способен найти и задействовать её за минуты.
Атакующая сторона тоже не стоит на месте. Эти огромные, неуправляемые поверхности атаки активно эксплуатируются как живыми злоумышленниками, так и автономными ИИ-агентами, работающими на стороне атакующих. Получается гонка: защитники наращивают зрелость программ, а нападающие просто обходят их через ту самую «тёмную материю» приложений, до которой зрелость не дотянулась.
По данным исследования, ручное управление паролями и учётными данными в 2026 году — заведомо проигрышная стратегия. Масштаб проблемы слишком велик: сотни приложений, тысячи учёток, постоянно меняющийся ландшафт SaaS-инструментов. Люди просто не успевают. Процесс ротации паролей, отзыва доступов уволенных сотрудников, проверки легитимности каждого токена — всё это требует автоматизации, причём такой, которая покрывает именно периферию, а не только те системы, что и так уже под контролем.
Мэтт Кьоди из Cerby на брифинге описал конкретные шаги, которые лидирующие организации предпринимают прямо сейчас. Речь идёт о тактической дорожной карте: как вернуть контроль над каждым приложением в периметре, включая те, что раньше считались «неуправляемыми». Это не абстрактные рекомендации. Основная мысль — нельзя просто делать «больше того же самого», наращивая бюджет на привычные IAM-инструменты. Нужно менять сам подход, потому что фрагментация идентификации стала самым атакуемым активом в корпоративной среде.
Исследование Ponemon Institute предоставило бенчмарк-данные за 2026 год, которые позволяют организациям напрямую сравнить свой уровень зрелости с показателями коллег по отрасли. Это, пожалуй, самая практичная часть: не просто узнать, что «проблемы есть у всех», а увидеть конкретные цифры и понять, насколько ваше отставание (или опережение) реально. Брифинг был адресован CISO, ИТ-руководителям, лидерам в области безопасности, идентификации и комплаенса — то есть именно тем людям, которые каждый день принимают решения о том, куда направить ресурсы.
Главный урок из всей этой истории неутешителен. Зрелость на бумаге и безопасность на практике — это разные вещи. И чем больше организация уверена в своей защищённости, тем болеё опасным становится тот слепой угол, в который она не заглядывает. Особенно если в этом углу уже работает чей-нибудь ИИ-агент.
