Ketika AI Bikin Penipu dan Hacker Makin Canggih, Zero Trust Bisa Jadi Solusi

Tren adopsi kecerdasan buatan mengubah cara dunia bekerja, termasuk cara peretas alias hacker menyerang. Dari email phishing yang terlihat seperti dari rekan kerja, hingga panggilan telepon yang terdengar mirip anggota keluarga, AI menjadi pedang bermata dua di ruang siber.

AI membuat proses peretasan menjadi lebih cepat. Jika pada 2021 rata-rata peretas butuh sembilan hari untuk mengekstraksi data, kini menjadi kurang dari satu jam. “AI membuat ancaman 100 kali lebih cepat,” kata Principal Architect for Government and Critical Infrastructure, Asia Pacific & Japan, Palo Alto Networks Tom Scully kepada Katadata.co.id, Kamis (30/10).

Jumlah serangan siber juga meningkat. Data Badan Siber dan Sandi Negara atau BSSN menunjukkan ada 3,64 miliar serangan siber atau anomali traffic sepanjang Januari – Juli 2025. Jumlahnya hampir menyamai total selama lima tahun terakhir.

Kini, tantangan utama bukan lagi sekadar memperbarui antivirus, tetapi membangun sistem pertahanan untuk mengimbangi kecepatan pelaku kejahatan siber berbasis AI. Infrastruktur penting seperti jaringan listrik hingga air juga menghadapi risiko baru, karena banyak sistem operasional masih berbasis teknologi lama.

Palo Alto Networks menilai bahwa pendekatan zero trust, yakni tidak mempercayai siapa pun atau sistem apa pun secara default, menjadi dasar untuk membangun pertahanan masa depan. “Masalah keamanan klasik kini muncul lagi dalam konteks AI, tapi dalam skala jauh lebih besar,” ujar Scully.

Untuk memahami lanskap ancaman baru ini, redaksi Katadata.co.id berbincang dengan Tom Scully tentang bagaimana AI menjadi enabler serangan siber, sekaligus alat paling efektif untuk melawannya.

Ia juga berbagi pandangan tentang pentingnya pendidikan dan literasi AI di Indonesia, agar masyarakat dan perusahaan lebih siap menghadapi era ketika batas antara inovasi dan risiko semakin tipis.

Berikut wawancara lengkap dengan Tom Scully:

Bagaimana Anda melihat tren adopsi AI menjadi enabler serangan siber, terutama di Indonesia? Apakah AI menjadi tantangan baru?

Mungkin, bukan ancaman baru dari AI, melainkan tantangan yang bermuara pada prinsip keamanan fundamental yang sama (sejak dulu ada) yakni ‘siapa, mengakses data apa, untuk alasan apa’. Jadi, tetap harus memverifikasi dan melakukan inspeksi keamanan secara menyeluruh.

Di Palo Alto, kami melakukan prinsip zero trust architecture (ZTA) itu. Kami baru saja mengumumkan serangkaian kemampuan baru yang dirancang untuk mengamankan seluruh siklus hidup AI, mulai dari pengembangan hingga penerapan. 

Fitur-fitur ini bukan sekadar tambahan, melainkan sesuatu yang benar-benar perlu diadopsi dan diterapkan secara menyeluruh. Hal ini mencakup berbagai pertanyaan penting, misalnya jika organisasi memiliki data sensitif, bagaimana cara yang tepat untuk memberikannya kepada model AI? Apakah data ini memang perlu diberikan kepada model AI? Mana data yang boleh dibagikan, dan tidak?

Selain itu, keamanan menyangkut operasi dan konsistensi model AI itu sendiri. Misalnya, apakah model AI itu benar-benar bekerja sesuai dengan yang diharapkan? Apakah AI tetap beroperasi dengan aman dari waktu ke waktu? Bagaimana memastikan data yang digunakan tidak terkontaminasi atau ‘diracuni’ oleh pihak tak bertanggung jawab?

Semua pertanyaan ini mencerminkan tantangan klasik dalam dunia keamanan data, yang kini muncul kembali dalam konteks teknologi AI. Artinya, masalah keamanan yang dulu dihadapi dalam sistem tradisional, kini harus dihadapi lagi, namun dalam skala dan kompleksitas yang jauh lebih besar.

BSSN mencatat ada 3,64 miliar serangan siber selama Januari - Juli 2025. Bagaimana AI memperkuat atau mengembangkan modus operasi peretasan?

Saya tidak bisa berkomentar terlalu banyak tentang Indonesia. Namun di Australia, pemerintah mulai mengatur penggunaan AI di lingkungan pemerintahan.

Pada Juli, pemerintah Australia merilis kerangka kebijakan keamanan protektif yang memberikan panduan jelas bagi lembaga pemerintah tentang bagaimana cara menggunakan AI secara aman dan bertanggung jawab.

Jika lembaga pemerintah ingin mengadopsi AI, mereka harus melakukannya sesuai prosedur dan standar tertentu. Pemerintah juga memberikan rekomendasi resmi mengenai praktik terbaik dalam penerapan AI di sektor publik.

Selain itu, Australia mengembangkan Gov AI, model percakapan berbasis GPT yang dirancang khusus untuk lembaga pemerintah. Model ini telah diterapkan di berbagai instansi sebagai alat bantu kerja. 

Sistemnya menggunakan pendekatan federatif (federated model) di tingkat nasional, yang memungkinkan lembaga-lembaga itu menggunakan AI secara terkontrol dan aman. 

Pendekatan ini membantu dalam menyeimbangkan antara kebutuhan terhadap keamanan dan aksesibilitas, sehingga pegawai pemerintah tidak perlu menggunakan aplikasi AI publik di ponsel pribadi untuk keperluan pekerjaan. Ini langkah yang dinilai positif dari sisi keamanan data.

Pendekatan semacam ini mulai terlihat di banyak wilayah lain. Bahkan di luar pemerintahan, banyak organisasi yang kini berada dalam tahap penyesuaian kebijakan AI. Ada yang melarang, ada yang memperbolehkan dengan batasan tertentu. Misalnya, beberapa perusahaan hanya mengizinkan penggunaan AI untuk tugas-tugas tertentu.

Di sisi lain, terdapat pengguna tingkat lanjut, seperti perusahaan farmasi dan riset ilmiah, yang justru mengembangkan model AI sendiri untuk tujuan lebih kompleks, seperti menciptakan formula kimia baru atau melakukan eksperimen ilmiah. Tentu saja, setiap sektor dan tingkat penggunaan AI ini memiliki risiko dan tantangan keamanan yang berbeda-beda.

Bagaimana AI memperkuat atau mengembangkan modus operandi kejahatan siber saat ini? 

Ya, ini benar-benar perubahan besar. Dengan memanfaatkan AI, penyerang bisa bergerak lebih cepat, dalam skala yang lebih besar, dan melakukan serangan yang jauh lebih canggih.

Dari faktor kecepatan, misalnya pada 2021, rata-rata hacker melakukan eksfiltrasi data selama sembilan hari. Sekarang, dua hari. Bahkan dalam 20% kasus, waktunya kurang dari satu jam.

Jadi, penyerang dapat merencanakan serangan, masuk, menemukan data yang mereka inginkan, dan mengeluarkannya, kurang dari satu jam.

Dari sisi skala, mereka bisa menemukan lebih banyak target, lebih banyak kerentanan, dan menyerang beberapa target sekaligus. 

Dari sisi kecanggihan, kami membuat uji coba, dengan meniru serangan siber yang sebelumnya membutuhkan waktu dua hari untuk berhasil. Setelah memasukkan AI generatif di setiap langkah pengulangan serangan siber itu, serangan berhasil dalam 25 menit, atau 100 kali lebih cepat. Ini menunjukkan bagaimana AI membuat serangan menjadi jauh lebih otomatis, canggih, dan sulit untuk dilawan.

Bagaimana pengelola data atau regulator bisa mengatasi risiko ancaman serangan siber berbasis AI?

Kami telah memanfaatkan AI generatif atau kemampuan AI lainnya untuk mengembangkan teknologi keamanan siber selama lebih dari satu dekade. Kami sangat berpengalaman dan memahami seluk-beluknya. 

Kami juga memiliki akses luar biasa ke data ancaman dan umpan ancaman yang kaya. Data inilah yang kami gunakan untuk melatih model agar selalu selangkah lebih maju dalam memprediksi bagaimana penyerang akan memanfaatkan AI. 

Dengan kemampuan itu, kami dapat melihat dan memperkirakan bagaimana suatu serangan bisa dimodifikasi agar lebih efektif. Lalu, membangun model AI generatif yang dapat mendeteksi email phishing berbahaya atau muatan (payload) berbahaya. 

Kami sudah menggunakan apa yang kami sebut precision AI, yaitu memadukan semua data ancaman dengan AI generatif agar deteksi menjadi lebih akurat dan lebih tepat sasaran dalam menghadapi para penyerang.

(halaman selanjutnya tentang Pusat Data Nasional Sementara Indonesia dibobol hacker)