Lonjakan Akun ‘Shadow AI’ Timbulkan Risiko Baru bagi Data Perusahaan
Meningkatnya penggunaan kecerdasan buatan di tempat kerja memicu peningkatan pesat dalam konsumsi data, menantang kemampuan perusahaan untuk melindungi data sensitif.
Sebuah laporan yang dirilis pada bulan Mei dari firma keamanan data Cyberhaven , berjudul “The Cubicle Culprits,” menyoroti tren adopsi AI dan korelasinya dengan peningkatan risiko. Analisis Cyberhaven menggunakan kumpulan data pola penggunaan dari tiga juta pekerja untuk menilai adopsi AI dan implikasinya dalam lingkungan perusahaan.
Pesatnya perkembangan AI meniru pergeseran transformatif sebelumnya, seperti internet dan komputasi awan. Sama seperti para pengadopsi awal komputasi awan yang menghadapi tantangan baru, perusahaan-perusahaan masa kini harus berhadapan dengan kompleksitas yang ditimbulkan oleh adopsi AI yang meluas, menurut CEO Cyberhaven Howard Ting.
“Penelitian kami tentang penggunaan dan risiko AI tidak hanya menyoroti dampak teknologi ini, tetapi juga menggarisbawahi risiko yang muncul yang dapat menyerupai risiko yang dihadapi selama pergolakan teknologi yang signifikan di masa lalu,” katanya kepada TechNewsWorld.
Temuan Menunjukkan Kekhawatiran atas Potensi Penyalahgunaan AI
Laporan Cubicle Culprits mengungkap percepatan adopsi AI di tempat kerja dan penggunaan oleh pengguna akhir yang melampaui TI perusahaan. Tren ini, pada gilirannya, memicu akun “AI bayangan” yang berisiko, termasuk lebih banyak jenis data perusahaan yang sensitif.
Produk dari tiga raksasa teknologi AI — OpenAI, Google, dan Microsoft — mendominasi penggunaan AI. Produk mereka mencakup 96% penggunaan AI di tempat kerja.
Menurut penelitian tersebut, pekerja di seluruh dunia memasukkan data perusahaan yang sensitif ke dalam perangkat AI, meningkat hingga 485% dari Maret 2023 hingga Maret 2024. Kita masih berada di tahap awal kurva adopsi. Hanya 4,7% karyawan di perusahaan keuangan, 2,8% di perusahaan farmasi dan ilmu hayati, dan 0,6% di perusahaan manufaktur yang menggunakan perangkat AI.
“Sebanyak 73,8% penggunaan Chat GPT di tempat kerja terjadi melalui akun non-perusahaan. Tidak seperti versi perusahaan, akun ini menggabungkan data bersama ke dalam model publik, sehingga menimbulkan resiko besar terhadap keamanan data sensitif,” Ting memperingatkan.
“Sebagian besar data perusahaan yang sensitif dikirim ke akun non-perusahaan. Ini mencakup sekitar setengah dari kode sumber [50,8%], materi penelitian dan pengembangan [55,3%], serta catatan SDM dan karyawan [49,0%],” katanya.
Data yang dibagikan melalui akun non-korporat ini dimasukkan ke dalam model publik. Persentase penggunaan akun non-k
Data AI Bercucuran Tak Terkendali
Tren ini menunjukkan kerentanan yang kritis. Ting mengatakan bahwa akun non-perusahaan tidak memiliki langkah-langkah keamanan yang kuat untuk melindungi data tersebut.
Tingkat adopsi AI dengan cepat menjangkau departemen baru dan kasus penggunaan yang melibatkan data sensitif. Sekitar 27% data yang dimasukkan karyawan ke dalam perangkat AI bersifat sensitif, naik dari 10,7% tahun lalu.
Misalnya, 82,8% dokumen hukum yang dimasukkan karyawan ke perangkat AI masuk ke akun non-korporat, yang berpotensi mengungkap informasi tersebut ke publik.
Ting memperingatkan bahwa memasukkan materi yang dipatenkan dalam konten yang dihasilkan oleh perangkat AI menimbulkan risiko yang semakin besar. Penyisipan kode sumber yang dihasilkan oleh AI di luar perangkat pengkodean dapat menimbulkan risiko kerentanan.
Beberapa perusahaan tidak tahu cara menghentikan aliran data sensitif dan tidak sah yang diekspor ke perangkat AI di luar jangkauan TI. Mereka mengandalkan perangkat keamanan data yang ada yang hanya memindai konten data untuk mengidentifikasi jenisnya.
“Yang hilang adalah konteks asal data, siapa yang berinteraksi dengannya, dan di mana data tersebut disimpan. Pertimbangkan contoh seorang karyawan yang menempelkan kode ke akun AI pribadi untuk membantu men-debug-nya,” kata Ting. “Apakah kode sumbernya dari repositori? Apakah data pelanggan dari aplikasi SaaS?”
Mengontrol Aliran Data Adalah Mungkin
Mendidik pekerja tentang masalah kebocoran data merupakan bagian yang layak dari solusi jika dilakukan dengan benar, kata Ting. Sebagian besar perusahaan telah meluncurkan pelatihan kesadaran keamanan berkala.
“Namun, video yang harus ditonton pekerja dua kali setahun segera terlupakan. Pendidikan yang paling berhasil adalah mengoreksi perilaku buruk segera pada saat itu juga,” ungkapannya.
Cyberhaven menemukan bahwa ketika pekerja menerima pesan pop-up yang mengarahkan mereka selama aktivitas berisiko, seperti menempelkan kode sumber ke akun Chat SPT pribadi, perilaku buruk yang berkelanjutan berkurang hingga 90%,” kata Ting.
Teknologi perusahaannya, Data Detection and Response (DDR), memahami cara data bergerak dan menggunakan konteks tersebut untuk melindungi data sensitif. Teknologi tersebut juga memahami perbedaan antara akun perusahaan dan akun pribadi untuk Chat GPT.
Kemampuan ini memungkinkan perusahaan untuk menegakkan kebijakan yang memblokir karyawan agar tidak menampilkan data sensitif ke akun pribadi namun tetap mengizinkan data tersebut mengalir ke akun perusahaan.
Perubahan Mengejutkan dalam Who’s at Fault
Cyberhaven menganalisis prevalensi risiko internal berdasarkan pengaturan tempat kerja, termasuk jarak jauh, di tempat, dan hibrida. Peneliti menemukan bahwa lokasi pekerja mempengaruhi penyebaran data saat insiden keamanan terjadi.
“Penelitian kami mengungkap perubahan yang mengejutkan dalam narasi tersebut. Karyawan di kantor, yang secara tradisional dianggap sebagai taruhan paling aman, kini menjadi yang terdepan dalam pencurian data perusahaan,” ungkapannya.
Secara berlawanan dengan intuisi, pekerja kantoran memiliki kemungkinan 77% lebih besar untuk mencuri data sensitif dibandingkan dengan rekan kerja jarak jauh mereka. Namun, ketika pekerja kantoran masuk dari luar kantor, mereka memiliki kemungkinan 510% lebih besar untuk mencuri data dibandingkan ketika berada di kantor, sehingga ini merupakan waktu yang paling berisiko bagi data perusahaan, menurut Ting