Shadow AI sedang meningkat dan menyebabkan masalah bagi organisasi.
Sebuah studi terbaru yang dilakukan oleh MIT mengungkapkan bahwa lebih dari 90% karyawan menggunakan personal alat AI dan hanya 40% organisasi yang mengelola penggunaan resmi.
Selain itu, laporan terbaru IBM menemukan bahwa 97% organisasi mengalami insiden keamanan siber terkait AI, namun sebagian besar masih belum memiliki tata kelola yang baik.
Direktur Senior Riset Keamanan & Intelijen Kompetitif di Exabeam.
Sebuah permainan tarik-menarik yang hebat telah terjadi di keamanan siber lanskap: haruskah organisasi membatasi penggunaan AI bayangan, dan berpotensi menghambat kreativitas dan peluang yang menyertainya, atau haruskah mereka membiarkannya menjadi liar, dan memakan risiko eksploitasi yang menyertainya?
Mungkinkah ada jalan tengah yang berupaya mencapai keseimbangan antara inovasi, visibilitas, kepatuhan, dan penegakan hukum?
Shadow AI: Apa itu dan apa masalahnya?
Masalah besarnya adalah ketidakpastian yang ditimbulkan oleh shadow AI secara keseluruhan. Shadow AI tidak memiliki definisi universal, namun sering kali terjadi ketika sumber daya digunakan tanpa disadari oleh perusahaan untuk menjalankan fungsi bisnis.
Salah satu alasan mengapa begitu sulit membatasi shadow AI adalah karena betapa mudahnya penerapannya, tidak hanya di seluruh industri, namun juga dalam kehidupan sehari-hari.
Orang akan selalu menemukan cara termudah untuk melakukan suatu tugas. Jika ada cara agar mereka dapat mengadopsi teknologi untuk melakukan pekerjaan mereka dengan lebih efisien, mereka akan melakukannya, meskipun hal tersebut tidak disetujui oleh organisasi mereka.
Masalahnya, sifat kreatif AI membuatnya sulit dikendalikan. Antara individu dan orang yang diminta, ada banyak area abu-abu yang memungkinkan terjadinya risiko.
Organisasi tidak memiliki cara untuk mengetahui apakah ada rahasia informasi diambil di luar apa yang dibagikan oleh pengguna, dan mereka juga tidak dapat memastikan apakah informasi yang dihasilkan oleh AI itu benar, atau bahkan nyata.
Bahaya adopsi yang terburu-buru
Kemampuan untuk mengadopsi teknologi baru dan menarik akan selalu didahulukan sebelum kemampuan untuk memahami dan mengendalikannya, dan AI menunjukkan hal ini dalam skala yang belum pernah terjadi sebelumnya.
Pertumbuhan eksponensial dan penyebaran AI dalam lanskap dunia maya modern telah mengakibatkan individu memiliki kendali terbesar atas ekspresi kreatif mereka sepanjang sejarah, dan hal ini juga memunculkan peluang yang tak terbantahkan.
Namun, di sisi lain, organisasi telah menerapkan dan mengadopsi AI tanpa benar-benar memahaminya. Akibatnya, potensi pelanggaran organisasi telah meroket, dan jumlah pekerjaan serta analisis yang harus dilakukan telah meningkat keamanan yang harus dilakukan oleh tim untuk memitigasi pelanggaran ini telah menjadi hal yang sangat berat sehingga respons terhadap bahaya tidak dapat mengimbangi laju pertumbuhan AI.
Kita harus memperhatikan cara kita mengelola risiko pihak ketiga, serta ganti rugi dan kontrak. Alasannya adalah seringkali, meskipun suatu organisasi memiliki agen AI, agen tersebut dikembangkan menggunakan perangkat lunak perusahaan lain.
Di sinilah letak permasalahannya mengenai seberapa besar organisasi bersedia membantu ketika masalah muncul, berdasarkan seberapa besar kepentingan agen atau potensinya dampak buruk mereka akan melakukannya.
Agen AI: Kunci untuk membuka kebebasan berkreasi
Selain itu, kita memerlukan cara untuk menciptakan visibilitas yang lebih besar terhadap tindakan agen AI. Di masa lalu, hal ini berasal dari pengukuran seperti log jaringan, log titik akhir, dan pencegahan kehilangan data strategi. Kita perlu memahami input dan output sistem, identitas apa saja yang terlibat, dan konteks situasi ketika masalah mulai muncul.
Di sisi respons, kita perlu menentukan bagaimana kita dapat dengan cepat mengidentifikasi jika ada masalah. Namun, tindakan respons perlu diperbarui untuk mengatasi masalah yang ditimbulkan oleh agen AI modern. Sebuah kelompok pemerintah AI harus dibentuk yang bertanggung jawab untuk mempertahankan agen AI untuk menyelesaikan tugas terprogram mereka tanpa menimbulkan risiko.
Hal ini akan memungkinkan individu untuk memanfaatkan kebebasan berkreasi dan kenyamanan yang berasal dari AI, sekaligus melindungi organisasi dari risiko serangan dan memungkinkan tim keamanan mengandalkan agen untuk melakukan tugas mereka tanpa perlu terus-menerus mengawasi mereka. Agen AI yang dapat dipercaya dan diperkuat menghasilkan sistem pertahanan keamanan yang lebih efisien.
Perlu ada tindakan respons tambahan di mana kita melatih ulang, menonaktifkan, atau memaksa pembelajaran ulang agen AI, yang belum ada saat ini. Harus ada mitra dalam SOC yang dapat memberikan respons cepat, dan akan ada pemilik bisnis yang bertanggung jawab untuk membangun struktur ini. Saat ini, kami berada di CMMI level satu untuk proses ini, bahkan mungkin nol.
Analis ancaman orang dalam akan sangat bergantung pada penyesuaian ini. Jika kita dapat membangun struktur dan mengembangkan proses untuk menangani kelebihan informasi yang disebabkan oleh AI bayangan, analis ancaman dari dalam akan lebih mampu menangani ancaman sebelum ancaman tersebut menjadi bencana bagi organisasi.
Memiliki kebijakan penggunaan AI yang jelas dan mudah diterapkan, dengan alat yang diketahui dan diperiksa, serta proses untuk meninjau, menguji, dan menerapkan agen atau alat AI baru dengan tinjauan teknis dan keamanan adalah satu-satunya cara untuk mencapai tingkat mitigasi risiko yang sesuai. Proses ini harus dibuat sederhana dan transparan. Jika tidak, karyawan akan selalu mencari cara untuk menghindarinya.
Jalur ke depan untuk penggunaan AI memerlukan pemahaman. Organisasi tidak dapat mengendalikan apa yang tidak mereka pahami, dan terlalu banyak organisasi yang memprioritaskan penerapan cepat dibandingkan visibilitas dan tata kelola. Jika kita dapat mencapai keseimbangan antara inovasi dan keamanan, organisasi dapat memaksimalkan keselamatan mereka dari ancaman luar sekaligus memberikan kebebasan kepada karyawannya untuk berinovasi dan mengubah dunia.
Kami mencantumkan Perangkat Lunak Antivirus terbaik: Ulasan Pakar, Pengujian, dan Pemeringkatan.
