Laporan tahunan “IBM Cost of a Data Breach 2025” menyajikan data yang mengejutkan bagi dunia keamanan siber. Untuk pertama kalinya dalam lima tahun terakhir, biaya insiden kebocoran data di tingkat global mengalami penurunan sebesar 9% menjadi US$4,44 juta per kejadian, turun dari US$4,88 juta pada tahun sebelumnya.
IBM menekankan bahwa penurunan ini terutama disebabkan oleh penerapan Artificial Intelligence Teknologi keamanan siber yang menggunakan AI telah mengubah pendekatan perusahaan dalam mengenali dan menanggapi ancaman siber. Melalui otomasi dan analisis yang canggih, tim keamanan bisa mengurangi waktu perbaikan hingga 80 hari lebih cepat serta menghemat hampir US$2 juta untuk setiap insiden.
AI membantu mengklasifikasikan jutaan log, menghubungkan ketidaknormalan, hingga mengisolasihostterinfeksi sebelum penyebaran serangan. Semakin cepat proses deteksi dan penanganan serangan ini menyebabkandowntimelebih ringkas, tagihan konsultan forensik berkurang, serta denda kepatuhan bisa diminimalkan.
Namun di balik berita baik ini, AI juga menciptakan ancaman baru yang berbahaya.
- LPS Mengalami Serangan Siber Sebanyak 2,2 Miliar Kali dalam Dua Minggu, Beberapa Berasal dari Vietnam dan Amerika Serikat
- Kebocoran Chat Suara WhatsApp Menghebohkan Ponsel, Ahli Keamanan Digital Beri Penjelasan
- Sekretaris Jenderal Menjelaskan Alasan Situs DPR Sering Tidak Dapat Diakses: Banyak Serangan Cyber
1. Risiko Terbaru: Shadow AI dan Serangan yang Didasarkan pada Kecerdasan Buatan
Bersamaan dengan keuntungannya, AI juga menciptakan permukaan serangan (attack surface) terbaru. IBM menemukan 13% organisasi telah mengalamibreachpada model atau aplikasi kecerdasan buatan mereka.
Hampir seluruh (97%) organisasi tersebut belum memiliki tata kelola yang memadai, seperti yang terlihat dari kunci API (Application Programming Interface) yang terpapar hingga repositori model tanpa perlindungan autentikasi.
Fenomena ini dikenal sebagai Shadow AIyaitu ketika tim bisnis atau pengembang mengembangkan produk AI dicloudmasyarakat yang tidak memiliki koordinasi yang cukup dengan tim keamanan. Akibatnya, informasi rahasia yang digunakan untuk melatih model AI tersebut juga terbuka saat model tersebut diretas oleh peretas.
Laporan lain dari Deep Instinctmenyoroti bahwa 45% lembaga keuangan dalam jangka 12 bulan terakhir mengalami serangan yang didasarkan pada AI, mulai darideepfake hingga smart phishing. Tidak heran, rata-rata kerugian pada tahun ini di Amerika Serikat meningkat menjadi 10,22 juta dolar AS, yang terbesar dalam sejarah.
2. Mengapa Pengelolaan Kecerdasan Buatan Sering Diabaikan
Beberapa hal utama yang membuat tata kelola AI sering kali diabaikan antara lain:
- Time-to-Market yang Agresif
Tekanan untuk segera merilis produk AI sering menyebabkan pengabaian terhadap audit keamanan.
- Lemahnya Koordinasi Antar-Tim
Tim data scientistdan para pengembang AI sering kali bekerja tanpa koordinasi dengan tim keamanan. Akibatnya, pertimbangan-pertimbangan keamanan sering kali diabaikan selama proses pengembangan hingga operasional.
- Regulasi yang Fragmentaris
Uni Eropa baru-baru ini mengeluarkan EU AI Act untuk memastikan penerapan AI yang digunakan di wilayah Uni Eropa sesuai dengan prinsip tata kelola yang baik dan aman. Di Amerika Serikat, regulasi masih terbagi-bagi dalam berbagai aturan yang berbeda. Sementara itu, Indonesia hanya memiliki UU PDP tanpa adanya standar dan aturan tata kelola serta teknis AI yang jelas.
- Rendahnya Pemahaman Standar/Best Practices
Standar seperti NIST AI RMF dan ISO 42001 baru-baru ini mulai dipublikasikan secara luas. Hingga Mei 2025, jumlah sertifikat ISO 42001 yang dikeluarkan secara global masih kurang dari 50. Bandingkan dengan ISO 27001 yang telah melebihi 65 ribu sertifikat di seluruh dunia.
3. Dampak terhadap Perusahaan di Indonesia
Untuk perusahaan yang sedang mempercepat transformasi digital berbasis AI, terdapat beberapa pelajaran penting yang perlu diperhatikan:
- Investasi dalam AI perlu seimbang dengan investasi dalam tata kelola (governance). Tanpa pengelolaan yang baik, satu kelemahan saja dapat menghilangkan seluruh efisiensi yang dihasilkan oleh AI.
- Regulasi nasional perlu bergerak dengan cepat. UU PDP harus diikuti oleh aturan teknis serta otoritas institusi yang kuat. Sementara itu, regulasi mengenai AI diharapkan segera muncul untuk memberikan arahan dalam pengelolaan pemanfaatan AI di berbagai sektor.
- Kolaborasi antar sektor sangat penting. Data menunjukkan, misalnya, bahwa sektor keuangan dan kesehatan sering menjadi sasaran serangan yang menggunakan AI. Oleh karena itu, perlu adanya pertukaran informasithreat intelligenceakan sangat berguna dalam mengurangi “biaya pendidikan” yang tinggi.
- Pendekatan keamanan perlu bersifat preventif. Perlu dipahami bahwa AI bukan hanya alat perlindungan yang efisien, tetapi juga bisa menjadi titik lemah yang berbahaya. Oleh karena itu, diperlukan strategi keamanan yang proaktif dan menyeluruh mulai dari tahap pengembangan hingga pemanfaatan dan pemeliharaannya.
4. Kesimpulan
Teknologi AI telah terbukti meningkatkan sistem keamanan siber, mempercepat penanganan insiden, serta mengurangi biaya akibat kebocoran data. Namun, tanpa pengelolaan yang baik, AI bisa menjadi alat yang berbahaya.
Bagi Indonesia yang sedang berupaya mengadopsi AI dalam transformasi digitalnya, kombinasi antara inovasi dan pengelolaan yang baik adalah kunci. Seperti mobilsportkecepatan tinggi, AI memerlukan rem dan sabuk pengaman, yaitu peraturan, keamanan, dan disiplin dalam pengelolaan. Tanpa hal tersebut, risiko yang muncul bisa lebih besar daripada manfaat yang ditawarkan.
