Foto: picture alliance / Kontributor / picture alliance via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Poin Utama ZDNET:
Kejahatan siber berbasis AI menimbulkan risiko yang semakin besar bagi bisnis.
Sebagian besar organisasi merasa tidak terlindungi dari ancaman ini.
EY menyoroti beberapa langkah kunci untuk memperkuat pertahanan siber.
—
Serangan siber yang digerakkan oleh AI hampir secara universal dianggap sebagai ancaman serius bagi bisnis saat ini. Namun, karena alasan finansial dan logistik, sebagian besar organisasi merasa kurang terlindungi dan tidak memiliki peta jalan yang jelas untuk memperkuat pertahanan internal mereka.
Kesenjangan antara kesadaran dan kesiapan itu menjadi temuan utama dari sebuah laporan yang diterbitkan Kamis lalu oleh firma konsultan EY. Berdasarkan survei Desember lalu terhadap lebih dari 500 pejabat senior keamanan siber di berbagai industri, laporan itu menemukan bahwa 96% responden percaya "serangan keamanan siber yang dipermudah AI adalah ancaman signifikan bagi organisasi mereka." Sementara itu, kurang dari separuh angka tersebut (46%) yang mengatakan mereka "sangat yakin" organisasinya memiliki mekanisme keamanan siber yang memadai untuk menangkal ancaman tersebut.
Mayoritas responden (67%) juga mengatakan mereka masih "dalam mode percobaan" dalam menyusun strategi untuk melindungi organisasi mereka dari gelombang baru serangan siber ini.
Namun, mode percobaan tidaklah cukup di dunia di mana AI terus memberikan pelaku kejahatan siber cara-cara baru untuk menyerang, menurut Ganesh Devarajan, Pemimpin Risiko Siber di EY Americas.
"Kita berada di lanskap unik di mana AI mempersenjatai lingkungan digital sekaligus memperkuat pertahanan kita," katanya kepada ZDNET. "Jika saya berhadapan dengan seorang [Chief Information Security Officer] hari ini, saran saya sederhana: waktu untuk ‘tunggu dan lihat’ sudah berakhir. Melindungi bisnis sekarang berarti membangun strategi holistik di mana AI dan karyawan tidak hanya bekerja berdampingan, tetapi juga memperkuat kemampuan satu sama lain."
Plateau Lintas Industri
Kesulitan dalam mengadopsi AI secara berarti tidak hanya terjadi di domain keamanan siber. Meski minat tinggi untuk menggunakan teknologi ini secara internal, banyak bisnis kesulitan melakukannya dengan cara yang menghasilkan imbal hasil nyata. Organisasi terjebak pada semacam plateau saat mencoba mengubah inisiatif AI internal menjadi pertumbuhan berkelanjutan; kemauan ada, tetapi jalannya seringkali tidak jelas.
Misalnya, sebuah studi MIT yang sering dikutip dan terbit Agustus lalu melaporkan bahwa 95% inisiatif AI internal perusahaan gagal memberikan ROI yang substansial. Ini menjadi peringatan bagi pengembang AI dan klien bisnis mereka. Singkatnya, ada sesuatu dalam pendekatan saat ini untuk menerapkan AI dalam organisasi yang tidak berjalan.
Beberapa bulan kemudian, survei terhadap ribuan pemimpin bisnis di 21 negara menemukan bahwa sebagian besar (87%) mengatakan AI akan "benar-benar mengubah" cara organisasi mereka bekerja dalam setahun ke depan, namun hanya 29% yang mengatakan tim mereka memiliki keterampilan dan pelatihan yang memadai untuk mewujudkannya.
Hambatan bagi Keamanan Siber
Kedua tema itu bergema dalam laporan baru EY.
Secara garis besar, firma konsultan itu menemukan bahwa meski sebagian besar profesional keamanan siber tingkat tinggi sangat sadar bahwa AI dengan cepat melengkapi lawan mereka dengan mode serangan baru yang lebih canggih (seperti phishing dan scam deepfake), mereka terhambat oleh kurangnya rencana jelas untuk membangun keamanan internal.
Kendala finansial ditemukan sebagai satu isu signifikan: 85% responden survei EY mengatakan anggaran keamanan siber perusahaan mereka saat ini "tidak memadai untuk menghadapi ancaman yang dipermudah AI." Di sisi positif, EY juga menemukan bahwa jumlah organisasi yang mengalokasikan minimal 25% anggaran keamanan siber mereka khusus untuk membangun solusi bertenaga AI diperkirakan akan tumbuh dari 9% saat ini menjadi 48% dalam dua tahun ke depan.
Konsensusnya, dengan kata lain, tampaknya adalah bahwa cara terbaik untuk memerangi ancaman siber baru yang digerakkan AI adalah dengan pertahanan yang digerakkan AI pula — sebuah tren yang sudah mulai terlihat di sektor keuangan.
Secara spesifik, survei EY menemukan bahwa AI akan diberikan kendali lebih besar dalam enam area kunci keamanan siber:
- Deteksi ancaman persisten lanjutan (APT)
- Deteksi penipuan waktu-nyata
- Manajemen identitas dan akses
- Manajemen risiko pihak ketiga
- Privasi data dan kepatuhan
- Pertahanan terhadap deepfake dan penggunaan AI lain untuk memalsukan identitas orang sungguhan
Tata kelola juga menjadi kendala utama: 97% responden mengatakan kerangka kerja keamanan yang kuat untuk penggunaan AI internal "esensial" untuk menghasilkan ROI, namun hanya 20% yang mengatakan mereka telah sepenuhnya membangun kerangka kerja tersebut.
Empat Kiat
Lantas, apa yang bisa dilakukan ahli keamanan siber saat ini untuk menghadapi gelombang baru ancaman bertenaga AI? EY menyoroti empat area kunci yang harus difokuskan.
- Anggaran harus ditata ulang "untuk memprioritaskan keamanan siber yang digerakkan AI."
- Alih-alih mencoba menggunakan banyak AI untuk mengotomatiskan tugas spesifik — yang menurut EY adalah hambatan utama yang mengunci bisnis dalam fase percobaan — organisasi harus beralih ke pendekatan "terorchestrasi, digerakkan agent." Dengan kata lain, terapkan model kontrol top-down untuk penggunaan AI internal agar pemimpin keamanan siber dapat dengan mudah memvisualisasikan tindakan agent AI dan, jika perlu, mengoreksinya.
- Tim perlu "berinvestasi secara agresif" dalam melatih karyawan yang ada untuk berkolaborasi dengan aman dan efektif bersama agent AI.
- Adopsi mentalitas perlombaan senjata untuk memelihara pagar pengaman internal, karena seiring membaiknya pertahanan siber berbantuan AI, taktik yang digunakan oleh pelaku kejahatan siber berbantuan AI juga akan meningkat. "Organisasi yang memperlakukan tata kelola sebagai sistem yang hidup — terus-menerus membaik dan terintegrasi ke dalam budaya dan operasi — berada dalam posisi terbaik untuk membangun kepercayaan, mengelola risiko yang muncul, dan menerjemahkan inovasi AI menjadi keunggulan kompetitif yang bertahan lama." Gambar ini berasal dari Picture Alliance, disalurkan lewat Getty Images.