Credit image: Freepix
Shadow AI Ancam Keamanan Perusahaan – Shadow IT (Penggunaan perangkat lunak atau layanan tanpa sepengetahuan tim IT) telah lama menjadi masalah bagi tim keamanan perusahaan.
Sebab, Anda tidak dapat mengelola atau melindungi apa yang tidak dapat Anda lihat. Namun, situasinya kini menjadi jauh lebih buruk dengan munculnya Shadow AI.
Dengan skala, jangkauan, dan kekuatan Kecerdasan Buatan (AI) generatif, Shadow AI kini menjadi perhatian utama bagi setiap pemimpin IT dan keamanan.
Risiko siber berkembang biak di ruang gelap antara kebijakan penggunaan yang diizinkan, dan sudah saatnya kita menyinari titik buta keamanan terbesar ini.
|
Baca juga: Shadow IT Ancaman di Balik Layar |
1. Apa Itu Shadow AI dan Mengapa Ini Penting Sekarang?
AI sebenarnya sudah menjadi bagian dari IT perusahaan sejak lama, membantu tim keamanan mendeteksi aktivitas mencurigakan dan menyaring spam. Namun, situasinya berbeda kali ini.
Sejak kesuksesan luar biasa ChatGPT milik OpenAI pada tahun 2023 yang mendapatkan 100 juta pengguna hanya dalam dua bulan para karyawan terpesona oleh potensi AI generatif yang dapat mempermudah pekerjaan mereka.
Sayangnya, pihak perusahaan seringkali lebih lambat dalam mengadopsi dan meresmikan penggunaan teknologi ini.
Kesenjangan ini menciptakan kekosongan yang diisi oleh pengguna yang frustrasi. Meskipun sulit diukur, Microsoft memperkirakan 78% pengguna AI kini membawa alat AI mereka sendiri ke tempat kerja.
Hal ini tidak mengherankan, karena 60% pemimpin IT khawatir bahwa eksekutif senior mereka tidak memiliki rencana resmi untuk mengimplementasikan teknologi tersebut.
Chatbot populer seperti ChatGPT, Gemini, atau Claude dapat dengan mudah diakses melalui handset pribadi (BYOD) atau laptop kerja dari rumah.
Alat ini menawarkan prospek menarik bagi karyawan untuk mengurangi beban kerja, mempercepat tenggat waktu, dan fokus pada tugas bernilai lebih tinggi.
Melampaui Model AI Publik
Tantangan Shadow AI tidak hanya terbatas pada aplikasi mandiri seperti ChatGPT. Teknologi ini juga menyusup ke perusahaan melalui
Ekstensi Browser
- Fitur Tersembunyi: Fitur AI dalam produk perangkat lunak bisnis yang sah, tetapi dihidupkan oleh pengguna tanpa sepengetahuan tim IT.
- Agentic AI: Gelombang inovasi AI berikutnya yang berpusat pada agen otonom, dirancang untuk bekerja secara independen menyelesaikan tugas spesifik. Tanpa pengawasan yang tepat, agen ini berpotensi mengakses penyimpanan data sensitif dan mengeksekusi tindakan yang tidak sah atau berbahaya.
|
Baca juga: Meminimalisir Risiko Shadow IT |
2. Risiko Besar dari Penggunaan Shadow AI
Semua penggunaan AI yang tidak sah ini menimbulkan potensi risiko keamanan dan kepatuhan yang sangat besar bagi organisasi.
Risiko Paparan Data dan Kepatuhan
- Kebocoran Data Sensitif: Dengan setiap prompt yang diketikkan karyawan, ada risiko mereka berbagi data sensitif dan/atau teregulasi (catatan rapat, kekayaan intelektual (IP), kode sumber, atau Informasi Identitas Pribadi (PII) pelanggan/karyawan).
- Pelatihan Model: Apa pun yang dimasukkan ke dalam model AI publik akan digunakan untuk melatih model tersebut, sehingga berpotensi dimuntahkan kembali kepada pengguna lain di masa depan.
- Pelanggaran Regulasi: Data disimpan di server pihak ketiga, seringkali di yurisdiksi yang mungkin tidak memiliki standar keamanan dan privasi yang sama (misalnya GDPR atau CCPA). Hal ini dapat menyebabkan denda kepatuhan.
Risiko Kerentanan Teknis
- Kerentanan Software: Chatbot yang digunakan mungkin mengandung kerentanan atau backdoor yang secara tidak sengaja membuka celah bagi ancaman yang ditargetkan.
- Versi Malicious: Karyawan yang ingin mengunduh chatbot untuk keperluan kerja mungkin secara tidak sengaja menginstal versi malicious palsu yang dirancang khusus untuk mencuri rahasia dari mesin mereka.
- Kualitas Kode Buruk: Penggunaan alat AI yang tidak sah untuk menghasilkan kode sumber produk dapat memperkenalkan bug yang dapat dieksploitasi jika output-nya tidak diperiksa dengan benar.
Dampak Finansial dan Reputasi
Risiko-risiko ini tidak hanya bersifat teoritis. IBM mengklaim bahwa 20% organisasi tahun lalu sudah mengalami pelanggaran data akibat insiden keamanan yang melibatkan Shadow AI.
- Bagi perusahaan dengan tingkat Shadow AI yang tinggi, pelanggaran dapat menambah biaya rata-rata hingga US$670.000.
- Kerugian terbesar mungkin berasal dari keputusan bisnis yang salah yang didasarkan pada output AI yang cacat atau bias (dilatih pada data yang buruk), karena kesalahan seperti itu cenderung tidak disadari sampai kerusakan sudah terjadi.
|
Baca juga: Domain Shadowing |
3. Menghadapi Shadow AI
Menambahkan setiap alat Shadow AI baru ke “daftar larangan” (deny list) tidak akan menyelesaikan masalah. Strategi yang efektif harus mengakui dan mengakomodasi kebutuhan pengguna.
Strategi Proaktif dan Realistis
- Buat Kebijakan Penggunaan yang Realistis: Akui bahwa teknologi ini sedang digunakan. Pahami seberapa luas dan untuk tujuan apa. Kemudian, buat kebijakan penggunaan yang dapat diterima dan realistis, disesuaikan dengan selera risiko perusahaan Anda.
- Uji Vendor AI: Lakukan pengujian internal dan uji tuntas terhadap vendor AI untuk memahami di mana risiko keamanan dan kepatuhan berada dalam alat mereka.
- Tawarkan Alternatif yang Aman: Di mana alat tertentu dilarang, cobalah memiliki alternatif internal yang aman atau alat komersial yang disetujui, dan dorong pengguna untuk bermigrasi ke sana.
- Proses Akses yang Mudah: Buat proses yang lancar bagi karyawan untuk meminta akses ke alat baru yang belum ditemukan tim IT.
Edukasi dan Pemantauan
- Edukasi Pengguna Akhir: Beri tahu staf apa risiko yang mungkin mereka timbulkan dengan menggunakan Shadow AI. Pelanggaran data serius dapat berujung pada stagnasi transformasi digital, denda besar, dan bahkan kehilangan pekerjaan.
- Pemantauan Jaringan: Terapkan alat pemantauan jaringan dan keamanan untuk memitigasi risiko kebocoran data dan meningkatkan visibilitas ke dalam penggunaan AI di seluruh jaringan.
Tantangan Shadow AI adalah menyeimbangkan antara memitigasi risiko dan mendukung produktivitas. Keamanan harus menjaga organisasi tetap aman dan patuh.
Sekaligus mendukung pertumbuhan bisnis yang mana, di tahun-tahun mendatang, akan sangat didukung oleh AI.
Sumber berita:
