V organizacích dnes existují spousty identit, které nemají jméno, tvář ani pracovní smlouvu. Patří mezi ně servisní účty, API klíče, přihlašovací údaje pro automatizované procesy a stále častěji také AI agenti. Podle zprávy KPMG Cybersecurity Considerations 2026 tyto nelidské identity (non-human identities, NHI) v průměrném podniku počtem výrazně převyšují identitity lidských uživatelů – a přesto stojí zcela mimo běžné procesy správy identit a přístupů (IAM).

Tradiční IAM byl navržen pro lidi. Má onboarding, pravidelné přezkoumání přístupů, offboarding. Má vlastníka každého účtu. Nelidské identity nic z toho zpravidla nemají. Vznikají při nasazení nové aplikace, při integraci cloudu, při spuštění automatizovaného testu. Zanikají – nebo spíše nezanikají – bez jakéhokoliv procesu. Jejich přístupová oprávnění bývají nadměrná, protože vývojáři ve spěchu nastavují broad permissions, aby „to fungovalo". A protože je nikdo systematicky nesleduje, zůstávají aktivní dlouho poté, co plnily svůj účel.

S nástupem AI agentů se situace dále komplikuje. AI agent není jen servisní účet – je to autonomní entita, která přijímá rozhodnutí, přistupuje k datům a komunikuje s dalšími systémy. ESET ve své předpovědi hrozeb pro rok 2026 přirovnává tuto situaci k továrně plné nově najatých pracovníků, kde chybí manažeři: výkon je vidět, ale nikdo neví, co přesně kdo dělá a zda jedná v souladu s politikami organizace.

Za prvé, jde o problém viditelnosti. Nemůžete chránit to, co nevidíte. Prvním krokem musí být inventarizace: kolik nelidských identit ve vaší organizaci existuje, jaká mají oprávnění a kdo je jejich vlastník? Mnoho organizací na tuto otázku nedokáže odpovědět.

 Za druhé, jde o problém governance. KPMG doporučuje, aby každá nelidská identita měla registrovaného vlastníka, zdokumentovaný účel a definovaný konec životního cyklu. To není technická změna – je to procesní a organizační změna, která vyžaduje spolupráci bezpečnostního týmu s vývojáři, architekty a týmy zodpovědnými za AI projekty.

Za třetí, jde o problém urgence. Útočníci si tuto mezeru uvědomují stejně dobře jako analytici. Kompromitace servisního účtu s širokými oprávněními může vést k laterálnímu pohybu napříč infrastrukturou bez jediného alarmujícího přihlášení – protože se to tváří jako normální automatizace.

Agenda pro bezpečnostní manažery je jasná: NHI governance musí být součástí IAM strategie, nikoli její okrajovou poznámkou. Organizace, které toto zanedbají, budují bezpečnostní architekturu s otevřenými dveřmi na místě, kam nikdo nepomyslel podívat se.

KPMG Cybersecurity Considerations 2026 | ESET Threat Predictions 2026 | NHIMG Community Research