AI mengubah cara kita bekerja, berkreasi, dan mengambil keputusan, seperti yang dilakukan internet beberapa dekade lalu.
Mulai dari mengotomatiskan tugas hingga menghasilkan kode dan menganalisis data, karyawan di seluruh industri beralih ke hal ini alat AI untuk bekerja lebih cepat dan cerdas.
Namun, sebagian besar organisasi tidak mengetahui bagaimana, di mana, atau mengapa teknologi tersebut digunakan.
Peneliti keamanan di unit Threat Intelligence untuk LevelBlue.
Penggunaan alat AI tanpa izin oleh karyawan tanpa persetujuan atau pengawasan organisasi manajemen TI dikenal sebagai Bayangan AI.
Kepercayaan buta pada keluaran AI, buruk pelatihan keamanan siberdan kurangnya tata kelola yang jelas memungkinkan data sensitif, kekayaan intelektual, dan bahkan proses pengambilan keputusan berada di luar kendali organisasi. Apa yang awalnya hanya merupakan alat efisiensi juga memicu ancaman yang tidak terlihat.
Dalam artikel ini, saya akan mengeksplorasi apa yang mendorong munculnya Shadow AI, risiko yang ditimbulkannya terhadap bisnis, dan apa yang dapat dilakukan organisasi untuk mendapatkan kembali visibilitas dan kendali sebelum masalahnya semakin besar.
Apa yang Mendorong Lonjakan Shadow AI
Pesatnya peningkatan Shadow AI bukanlah akibat dari niat jahat, melainkan kurangnya kesadaran dan pendidikan. Karyawan yang menggunakan AI dalam kehidupan pribadinya sering kali membawa alat yang sama ke tempat kerja, dengan asumsi alat tersebut aman untuk sistem yang disetujui perusahaan. Bagi banyak orang, batas antara penggunaan pribadi dan profesional sudah kabur.
Dengan pesatnya kemajuan alat AI, beberapa organisasi belum menetapkan kebijakan atau pedoman pelatihan yang jelas tentang penggunaan AI yang tepat di tempat kerja.
Tanpa panduan eksplisit, karyawan bereksperimen sendiri. Demikian pula, kenyamanan dan popularitas alat AI sering kali lebih besar daripada risiko yang dirasakan. Dalam banyak hal, hal ini mencerminkan masa-masa awal Shadow IT, ketika karyawan pernah menggunakan alat SaaS yang tidak disetujui dan aplikasi perpesanan untuk mempercepat produktivitas.
Hanya saja kali ini, taruhannya jauh lebih tinggi karena, tidak seperti Shadow IT, Shadow AI tidak hanya memindahkan data; hal ini mengubah, mengekspos, dan belajar dari data, sehingga menimbulkan kerentanan yang tidak terlihat dan risiko yang lebih tinggi.
Risiko Utama Shadow AI
Adopsi AI yang tidak dikelola menimbulkan berbagai risiko. Kekhawatiran yang paling mendesak adalah kebocoran data, sebuah masalah yang disoroti oleh pelanggaran DeepSeek tahun ini. Saat karyawan memasukkan informasi rahasia ke dalam alat AI publik, data tersebut dapat dicatat, disimpan, atau bahkan digunakan untuk melatih model masa depan. Hal ini dapat menyebabkan pelanggaran undang-undang perlindungan data seperti GDPR atau HIPAA, dan dalam beberapa kasus, bahkan spionase data.
Penyimpanan informasi sensitif di server berlokasi di negara-negara yang tidak terafiliasi menimbulkan kekhawatiran tentang potensi pencurian data atau pengawasan geopolitik. Oleh karena itu, beberapa lembaga pemerintah di AS dan Eropa telah melarang penggunaan DeepSeek dalam organisasi mereka.
Risiko besar lainnya adalah tanggung jawab hukum dan peraturan. Ketika karyawan mengandalkan keluaran yang dihasilkan AI tanpa memvalidasi keakuratan atau legalitasnya, mereka membuka kemungkinan konsekuensi serius mulai dari pelanggaran hak cipta dan pelanggaran privasi hingga kegagalan kepatuhan skala penuh.
Pembagian informasi pribadi atau sensitif yang tidak sah kepada model eksternal juga dapat memicu pemberitahuan pelanggaran, penyelidikan peraturan, dan pelanggaran kontrak, sehingga menyebabkan organisasi terkena denda yang mahal dan kerusakan reputasi.
Risiko-risiko ini diperkuat oleh tren-tren yang muncul seperti pengkodean getaran dan AI agen. Dalam beberapa kasus, kode diterapkan langsung ke produksi tanpa peninjauan.
Kelemahan ini mungkin tetap tersembunyi sampai dieksploitasi. AI Agentik menimbulkan kekhawatiran yang lebih luas. Agen AI internal, yang dibuat untuk mengotomatiskan alur kerja atau membantu karyawan, sering kali diberikan akses yang terlalu permisif ke data organisasi.
Tanpa kontrol yang ketat, mereka dapat menjadi pintu belakang bagi sistem sensitif, mengungkap catatan rahasia, atau memicu tindakan yang tidak diinginkan. Secara keseluruhan, praktik-praktik ini memperluas permukaan serangan dengan cara yang berkembang lebih cepat daripada yang dapat dideteksi atau dibendung oleh sebagian besar organisasi.
Yang juga mengkhawatirkan adalah kepercayaan buta terhadap keluaran AI. Ketika pengguna semakin nyaman dengan sistem ini, tingkat pengawasan mereka menurun. Hasil yang tidak akurat atau bias dapat menyebar tanpa terkendali melalui alur kerja, dan ketika digunakan di luar lingkungan yang terkena sanksi, tim TI kehilangan visibilitas yang diperlukan untuk mengidentifikasi kesalahan atau menyelidiki insiden.
Mengapa Visibilitas Penting untuk Mengatasi dan Memitigasi Ancaman Shadow AI
Mengatasi Shadow AI dimulai dengan visibilitas. Organisasi tidak dapat melindungi apa yang tidak dapat mereka lihat, dan saat ini, banyak organisasi yang tidak memiliki atau bahkan tidak memiliki wawasan sama sekali tentang bagaimana alat AI digunakan di seluruh jaringan mereka.
Langkah pertama adalah menilai di mana AI digunakan dan menetapkan kebijakan yang jelas dan terkini yang menentukan apa yang disetujui, apa yang dibatasi, dan dalam kondisi apa AI dapat digunakan. Pelatihan di seluruh perusahaan juga sama pentingnya untuk membantu karyawan memahami manfaat dan risiko penggunaan model bahasa yang besar (LLM).
Perusahaan juga harus menyediakan sumber daya yang tepat. Ketika karyawan memiliki akses ke alat AI yang memenuhi kebutuhan bisnis mereka, kecil kemungkinannya mereka akan mencari alat yang tidak sah. Pengembangmisalnya, mungkin memerlukan model khusus yang dihosting di lingkungan aman untuk memanfaatkan AI dengan aman tanpa mengekspos kode kepemilikan atau data pelanggan.
Selanjutnya, organisasi harus mengintegrasikan AI ke dalam arsitektur keamanan mereka. Manajemen akses istimewa harus diterapkan untuk akses LLM tertentu, memastikan bahwa hanya pengguna yang berwenang yang dapat berinteraksi dengan sistem atau kumpulan data sensitif. Tim keamanan juga harus menerapkan kontrol teknis, seperti CASB, DLP, atau pemfilteran proxy, untuk mendeteksi dan memblokir penggunaan Shadow AI.
Pada akhirnya, Shadow AI tidak akan menunggu kebijakan Anda. Hal ini telah membentuk alur kerja, keputusan, dan aliran data di seluruh organisasi. Pilihannya bukan apakah akan mengizinkan AI, tapi apakah akan mengelolanya.
Organisasi yang menghadirkan visibilitas, kontrol, dan akuntabilitas dalam penggunaan AI mereka dapat mengaktifkan inovasi dengan aman, namun mengabaikan Shadow AI tidak akan menghilangkannya. Jauh lebih baik untuk menghadapinya secara langsung, memahami cara penggunaannya, dan mengelola risikonya sebelum mereka menangani Anda.
Kami telah menilai platform tanpa kode terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
