Publiceren & Adverteren
Waarom organisaties ‘niet-menselijke’ identiteiten moeten beveiligen

Simon Gooch

22 januari 2026
Start met lezen

Wereldwijd maken veel organisaties gebruik van bots om diverse taken uit te voeren. In 2024 was zelfs meer dan de helft van al het internetverkeer afkomstig van bots. Aangezien bots zelfstandig opereren, systemen benaderen en data verwerken, vallen ze onder de categorie ‘Non Human Identities’ (NHI’s). Bots zijn echter niet de enige bestaande NHI, ook serviceaccounts, workloads en in toenemende mate AI-agents behoren tot deze categorie. NHI’s zijn niet alleen autonoom actief op het internet, maar ook binnen bedrijfsnetwerken en cloudomgevingen. Daarbij hebben ze vaak toegang tot kritieke systemen en gevoelige data. Het is daarom essentieel dat deze identiteiten effectief worden beheerd en beveiligd. Maar hoe doe je dat en waarom is het zo belangrijk?

Wat zijn en doen ‘Non Human Identities’?

In IT is een identiteit een unieke vertegenwoordiging van een gebruiker of ‘entiteit’. Het doel van zo’n identiteit is simpel: het laat IT-systemen vaststellen wie of wat toegang krijgt tot bepaalde middelen. Non Human Identities of Machine Identities zijn digitale identiteiten die geen personen vertegenwoordigen, maar die wel toegang hebben tot systemen, data of applicaties binnen een organisatie om taken uit te voeren.

NHI’s hebben verschillende functies en helpen organisaties efficiënter te maken, innovatie te stimuleren en doelen rond digitale transformatie te behalen. Met elke toegevoegde NHI wordt echter ook het potentiële aanvalsoppervlak groter. Elke machine identity die toegang heeft tot interne systemen, data of applicaties is namelijk een potentieel toegangspunt voor aanvallers. Dit stelt organisaties voor een uitdaging: enerzijds zijn NHI’s waardevol voor organisaties, anderzijds vormen ze een risico.

De kloof tussen gebruik en beveiliging van NHI’s

Mede door de snelle adoptie van NHI’s worden digitale ecosystemen steeds complexer. Daarmee wordt ook het beheer en de beveiliging van NHI’s uitdagender. Uit onderzoek blijkt zelfs dat de verhouding van machine-identiteiten binnen bedrijfsomgevingen tot het aantal menselijke identiteiten inmiddels 82 tot 1 is. Dit heeft drie oorzaken:

1. Adoptie gaat sneller dan traditionele oplossingen kunnen bijhouden

De technologische vooruitgang en de brede adoptie van AI en automatisering verloopt momenteel veel sneller dan traditionele Identity and Access Management (IAM) -tools kunnen bijhouden. Veel organisaties hebben in korte tijd AI-systemen en automatiseringstools in hun omgeving geïmplementeerd, maar lopen achter in het beheren en beveiligen van de bijbehorende digitale identiteiten. Bestaande IAM-oplossingen zijn ontwikkeld met menselijke gebruikers in gedachten en zijn niet geschikt voor het beheren en beveiligen van digitale entiteiten die zelfstandig opereren, leren en die zich voortdurend ontwikkelen. Dit soort legacy IAM-oplossingen schieten bijvoorbeeld tekort bij het waarborgen van de authenticatie, autorisatie en threat detection die AI agents vereisen. Nieuwe standaarden, zoals OAuth 2.1 en dynamische credentials ter vervanging van static secrets (vaste, onveranderlijke inloggegevens of authenticatiemiddelen, zoals API-keys, wachtwoorden, access tokens of SSH-keys), bieden beter alternatief, maar de meeste organisaties werken nog steeds met verouderde oplossingen die niet zijn berekend op de schaal en de flexibiliteit van AI-gestuurde automatisering.

2. Gebrek aan zicht

Veel organisaties slaan fundamentele stappen over bij identiteitsbeheer en -beveiliging. Ze richten zich bijvoorbeeld vooral op het beveiligen van menselijke identiteiten. Hierbij zijn ze NHI’s uit het oog verloren en is er vaak geen consistent eigenaarschap, lifecycle management of zicht op de NHI’s. Het resultaat is een wildgroei aan niet-traceerbare logingegevens en machine accounts, verspreid over meerdere systemen en cloud-omgevingen. Als organisaties effectief al hun identiteiten willen beheren en beveiligen, moeten ze deze eerst volledig in kaart brengen.

3. NHI’s zijn niet enkel een aangelegenheid voor IT- en securityteams

Organisaties zien het beheren en beveiligen van NHI’s nog steeds vaak als taak enkel voor IT- of securityteams, terwijl het een gedeelde verantwoordelijkheid van IT-, security- en managementteams is. Elke NHI moet bijvoorbeeld een menselijke eigenaar hebben die verantwoordelijk is voor de acties en permissies en de naleving van de betreffende compliance regels. Ter illustratie, organisaties implementeren in toenemende mate AI-agents die toegang nodig hebben tot kritieke systemen en gevoelige data om taken over te kunnen nemen van werknemers. Een belangrijk verschil met die werknemers is echter dat AI-agents niet beschikken over menselijk verantwoordelijkheidsgevoel. Zonder een duidelijke governance-link is het binnen een organisatie niet duidelijk bij wie de verantwoordelijkheid ligt en kunnen er blinde vlekken ontstaan. Net zoals het de taak van managers is om toezicht te houden op menselijke werknemers, zullen ze ook toezicht moeten houden op de prestaties en compliance-naleving van AI-agents en serviceaccounts.

Het is dus duidelijk waarom het lastig is voor organisaties om hun NHI’s te beheren en te beveiligen, maar wat kunnen ze concreet doen om de situatie te verbeteren?

Identity Security Posture Management

Wat organisaties direct zouden moeten prioriteren is het identificeren van alle NHI’s, workloads, devices en AI-agents binnen hun omgeving. Je kunt immers niet beheren waar je geen zicht op hebt. Oplossingen zoals Identity Security Posture Management (ISPM) spelen hierin een sleutelrol. ISPM biedt organisaties niet alleen zicht op alle NHI’s en waar de risico’s zich bevinden, het helpt ook bij het prioriteren van security-inspanningen naar dreigingsniveau en naar impact op de organisatie.

ISPM is een relatief nieuwe benadering binnen identity security en is specifiek ontwikkeld om de groeiende complexiteit van AI- en automatiseringsomgevingen beter te beheersen. In tegenstelling tot traditionele Identity Governance & Administration (IGA) -oplossingen, die zich vooral richten op compliance en handmatige toegangscontroles, legt ISPM de nadruk op doorlopende observatie, intelligente risicoanalyse en geautomatiseerde respons. Door gebruik te maken van AI en machine learning kan ISPM grote hoeveelheden identiteitsdata analyseren om patronen te herkennen die wijzen op mogelijke risico’s. Wanneer afwijkingen of kwetsbaarheden worden gedetecteerd, kan het systeem direct corrigerende acties voorstellen of automatisch uitvoeren.

Een goed fundament

Een andere stap die organisaties kunnen zetten om het NHI-beheer te versterken, is het verbeteren van de fundamenten. Zodra organisaties zicht hebben op hun NHI’s, moeten ze ervoor zorgen dat ze risicovolle authenticatie-systemen vervangen zodat er geen nieuwe kwetsbare identiteiten worden gecreëerd. Een groot deel van de risico’s ontstaat door het gebruik van statische toegangsgegevens, zoals API-sleutels en beveiligingstokens die lang geldig blijven en die vaak jarenlang actief blijven zonder dat ze worden gecontroleerd of vernieuwd. Deze vaste, onveranderlijke logingegevens vormen een aantrekkelijk doelwit voor aanvallers. Zodra deze in verkeerde handen vallen, bieden ze blijvende en directe toegang tot systemen en data, zonder dat er aanvullende verificatie plaatsvindt. Omdat ze niet automatisch verlopen of worden vernieuwd, kunnen aanvallers ze ongemerkt blijven gebruiken, soms wel maanden of zelfs jaren. Dit maakt detectie moeilijk en vergroot de kans op misbruik, privilege escalation en datalekken aanzienlijk.

Het is voor organisaties daarom belangrijk om deze verouderde methoden te vervangen door dynamische vormen van authenticatie met een beperkte geldigheidsduur, zoals OAuth 2.1 Access Tokens met automatische rotatie of SPIFFE/SPIRE (een open standaard die elke service een veilige, cryptografische identiteit geeft, zonder vaste wachtwoorden of sleutels). Tegelijkertijd moeten bedrijven voorkomen dat ze niet verder bouwen op oude, kwetsbare fundamenten. Nieuwe applicaties en integraties zouden direct met moderne, veilige toegangsmethoden moeten worden ontwikkeld.

Vernieuwing

Nadat organisaties het zicht op hun NHI’s hebben vergroot en verouderde toegangsstructuren hebben afgebouwd, is het zaak om over te stappen op dynamische authenticatie en hedendaagse governanceprincipes. Automatisch vernieuwende credentials met een beperkte geldigheidsduur, zoals die gebaseerd zijn op SPIFFE/SPIRE, maken veilige en schaalbare machine-to-machine-communicatie mogelijk. Bij dit soort standaarden worden identiteiten op aanvraag geverifieerd en wordt er slechts tijdelijk toegang verleend, waarmee het risico op misbruik drastisch wordt verlaagd. Technologische verbeteringen alleen zijn echter niet voldoende. Door voor elke NHI een menselijke verantwoordelijke aan te wijzen en het beheer van menselijke en niet-menselijke identiteiten binnen één governance-kader te brengen, kunnen organisaties hun beveiliging centraliseren, de compliance versterken en zijn ze voorbereid op een toekomst waarin mens en machine steeds nauwer samenwerken.

Conclusie

Naarmate organisaties verder AI en automatisering implementeren, groeit de noodzaak om Non-Human Identities goed te beheren en te beveiligen als onderdeel van een sterke cybersecuritystrategie. Goede identiteitsbeveiliging begint met zichtbaarheid, gevolgd door het afbouwen van verouderde toegangsmechanismen en het toewijzen van een menselijke verantwoordelijke aan elke digitale identiteit. Door over te stappen op dynamische authenticatie en ISPM-oplossingen te omarmen, kunnen organisaties de risico’s terugdringen zonder innovatie te remmen. Uiteindelijk zijn maatregelen voor het beheren en beveiligen van identiteiten te vergelijken met het beveiligen van je huis: je kunt de deur wagenwijd open laten staan omdat het zo sneller is om naar binnen te lopen, maar dan loop je het risico dat iedereen zomaar naar binnen kan. Of je kunt een goed slot, een deurbelcamera en een alarmsysteem installeren, zodat je precies weet wie binnenkomt, wie daar mag blijven en wie buiten moet blijven.

Bekijk ons webinar Controlling the Unseen: Managing the Risk of Non-Human Identities in a Hyperconnected World.

Over Saviynt

Het AI-aangedreven identiteitsplatform van Saviynt beheert en regelt de toegang van zowel menselijke als niet-menselijke gebruikers tot alle applicaties, data en bedrijfsprocessen van een organisatie. Klanten vertrouwen op Saviynt om hun digitale middelen te beschermen, operationele efficiëntie te bevorderen en compliancekosten te verlagen. Saviynt is gebouwd voor het AI-tijdperk en helpt organisaties vandaag de dag om hun implementatie en gebruik van AI veilig te versnellen. Saviynt wordt erkend als de leider in identiteitsbeveiliging, met oplossingen die de toonaangevende merken, Fortune 500-bedrijven en overheidsinstellingen wereldwijd beschermen en versterken. Ga voor meer informatie naar www.saviynt.com.

Gerelateerde artikelen

Meer artikelen
Hoe kunnen we AI-beslissingen vertrouwen?

Hoe kunnen we AI-beslissingen vertrouwen?

Nu AI-agents evolueren naar dynamische sidekicks die met ons samenwerken, keuzes maken en zelfs actie ondernemen, rijst de grote vraag: hoe zorgen we ervoor dat hun beslissingen slim, verantwoord en gemakkelijk te begrijpen zijn?

Digitale weerbaarheid gaat verder dan compliance

Digitale weerbaarheid gaat verder dan compliance

Compliance is geen garantie voor veiligheid – het is hooguit een momentopname. Het echte doel moet zijn: een organisatie duurzaam digitaal weerbaar maken tegen de voortdurende evolutie van dreigingen en aanvalstechnieken.