AI: Pisau Bermata Dua dalam Keamanan Siber

Laporan tahunan “IBM Cost of a Data Breach 2025” memberikan informasi yang mengejutkan untuk dunia keamanan siber. Untuk pertama kalinya dalam lima tahun terakhir, biaya kebocoran data global turun 9% menjadi US$4,44 juta per insiden, dari US$4,88 juta tahun sebelumnya.

IBM menegaskan bahwa penurunan ini utamanya disebabkan oleh adopsi Artificial Intelligence (AI) dalam teknologi keamanan siber. AI telah mengubah cara perusahaan mendeteksi dan merespons serangan siber. Dengan otomasi dan analitik cerdas, tim keamanan dapat memangkas waktu remediasi hingga 80 hari lebih cepat dan menghemat hampir US$2 juta per insiden. 

AI membantu memilah jutaan log, menghubungkan anomali, hingga mengisolasi host terinfeksi sebelum serangan meluas. Lebih cepatnya proses pendeteksian dan penanggulangan serangan ini menyebabkan downtime menjadi lebih singkat, tagihan konsultan forensik menurun, serta denda kepatuhan pun dapat ditekan.

Namun di balik kabar baik ini, AI juga menimbulkan risiko baru yang berbahaya.

Risiko Baru: Shadow AI dan Serangan Berbasis AI

Bersamaan dengan manfaatnya, AI juga membuka permukaan serangan (attack surface) baru. IBM menemukan 13% organisasi sudah mengalami breach pada model atau aplikasi AI mereka. 

Hampir semua (97%) dari organisasi tersebut belum memiliki tata kelola yang memadai, seperti antara lain terlihat dari kunci API (Application Programming Interface) yang terekspos hingga repositori model tanpa perlindungan autentikasi.

Fenomena ini dikenal sebagai Shadow AI, yakni ketika tim bisnis atau developer mengembangkan produk AI di cloud publik tanpa koordinasi yang memadai dengan tim keamanan. Akibatnya, data sensitif yang digunakan untuk melatih model AI tersebut juga ikut terekspos ketika model tersebut disusupi peretas.

Laporan lain dari Deep Instinct menyoroti bahwa 45% lembaga keuangan dalam 12 bulan terakhir menghadapi serangan berbasis AI, mulai dari deepfake hingga smart phishing. Tak heran, rata-rata kerugian di Amerika Serikat tahun ini melambung ke US$10,22 juta, tertinggi sepanjang sejarah.

Mengapa Tata Kelola AI Sering Terabaikan

Beberapa faktor utama yang menyebabkan tata kelola AI seringkali terabaikan antara lain:

• Time-to-Market yang Agresif

Tekanan untuk meluncurkan produk AI dalam waktu yang cepat membuat audit keamanan sering diabaikan.

• Lemahnya Koordinasi Antar-Tim

Tim data scientist dan pengembang AI seringkali bekerja tanpa koordinasi dengan tim keamanan. Sehingga pertimbangan-pertimbangan keamanan sering terabaikan dalam proses pengembangan hingga operasional.  

• Regulasi yang Fragmentaris

Uni Eropa baru-baru ini memberlakukan EU AI Act untuk memastikan adopsi AI yang akan digunakan di lingkungan Uni Eropa memenuhi kaidah-kaidah tata kelola yang baik dan aman. Sementara di Amerika Serikat regulasi masih terpecah-pecah dalam banyak peraturan. Sedangkan Indonesia baru memiliki UU PDP tanpa standar dan aturan tata kelola dan teknis AI yang jelas.

• Rendahnya Pemahaman Standar/Best Practices

Standard seperti NIST AI RMF dan ISO 42001 masih relatif baru diperkenalkan secara luas. Hingga Mei 2025, sertifikat ISO 42001 yang terbit secara global bahkan masih di bawah 50. Bandingkan misalnya dengan ISO 27001 yang sudah melampaui 65 ribu sertifikat di seluruh dunia.

Implikasi bagi Perusahaan di Indonesia

Bagi perusahaan yang tengah menggencarkan transformasi digital berbasis AI, ada beberapa pelajaran penting yang harus dicatat:

1. Investasi AI harus diimbangi dengan investasi tata kelola (governance). Tanpa tata kelola yang baik, satu celah kelemahan bisa meniadakan seluruh penghematan yang disumbangkan oleh AI.
2. Regulasi nasional harus bergerak cepat. UU PDP perlu diikuti peraturan teknis dan otoritas kelembagaan yang kuat. Sementara pengaturan tentang AI diharapkan segera hadir untuk memberi arah tata kelola pemanfaatan AI pada berbagai sektor.
3. Kolaborasi lintas sektor sangat krusial. Data menunjukkan, misalnya, sektor finansial dan kesehatan banyak menjadi target serangan berbasis AI. Oleh karena itu berbagi threat intelligence akan sangat bermanfaat untuk mengurangi “biaya belajar” yang mahal.
4. Pendekatan keamanan harus proaktif. Harus disadari bahwa AI tidak hanya merupakan alat pertahanan yang efektif, tapi juga potensi titik serang baru yang mematikan. Sehingga diperlukan pendekatan keamanan yang proaktif dan komprehensif sejak inisiasi pengembangan hingga operasional dan pemeliharaannya.

Kesimpulan

AI telah terbukti memperkuat sistem pengamanan siber, mempercepat respons insiden dan menurunkan biaya kebocoran data. Namun, tanpa tata kelola yang matang, AI dapat berubah menjadi senjata yang membahayakan.

Bagi Indonesia yang sedang mengejar adopsi AI untuk transformasi digitalnya, perpaduan antara inovasi dan tata kelola adalah kunci. Seperti mobil sport berkecepatan tinggi, AI butuh rem dan sabuk pengaman, yakni regulasi, kontrol keamanan, dan disiplin tata kelola. Tanpa itu, risiko yang dihadapi bisa lebih mahal dari manfaat yang dijanjikan.