Panduan Menyusun Kebijakan Keamanan Siber untuk AI Generatif

Di tengah seluruh kegembiraan seputar teknologi AI, CISO (Chief Information Security Officer) dengan mendesak membutuhkan panduan praktis untuk menetapkan praktik keamanan yang efektif. Hal ini penting untuk melindungi organisasi mereka sambil mengejar ketertinggalan dalam implementasi dan rencana terkait AI. Dengan kombinasi kebijakan keamanan siber yang tepat dan alat canggih, perusahaan dapat mencapai tujuan mereka saat ini dan membangun fondasi untuk menghadapi kompleksitas AI yang berkembang di masa depan.

Ketika para ahli terbaik dalam teknologi baru mengatakan bahwa mitigasi risiko harus menjadi prioritas global, kita sebaiknya memperhatikan. Hal ini terbukti pada 30 Mei 2023, ketika Center for AI Safety menerbitkan surat terbuka yang ditandatangani oleh lebih dari 350 ilmuwan dan pemimpin bisnis, yang memperingatkan tentang bahaya ekstrem yang mungkin ditimbulkan oleh AI.

Sebagaimana banyak liputan media menunjukkan, kekhawatiran terhadap kemungkinan risiko terburuk mungkin malah mengalihkan perhatian dari risiko nyata yang sudah kita hadapi saat ini, seperti bias internal dan informasi yang tidak akurat. Contoh terbaru adalah ketika dokumen hukum yang dihasilkan AI ditemukan mengandung kasus-kasus yang sepenuhnya fiktif.

Blog AI kami sebelumnya telah membahas beberapa risiko keamanan AI yang perlu dipertimbangkan oleh CISO korporat: kemampuan AI untuk meniru manusia dan melakukan skema phishing yang canggih; kurangnya kejelasan tentang kepemilikan data yang dimasukkan ke dalam dan dihasilkan dari platform AI publik; serta ketidakandalan—termasuk informasi yang salah yang dihasilkan AI serta AI yang 'tercemar' oleh informasi buruk dari internet dan sumber lainnya.

Saya sendiri telah berdiskusi dengan ChatGPT tentang fakta-fakta keamanan jaringan setelah mendapatkan informasi yang salah, dan memaksanya untuk mengungkapkan jawaban yang benar yang tampaknya sudah ia ketahui. Meskipun ChatGPT mengklaim bahwa versi Enterprise mereka tidak akan melatih model pada data Anda, tentu tidak semua karyawan dan kontraktor menggunakan versi Enterprise. Bahkan jika AI pribadi digunakan, dampak dari pelanggaran, baik publik maupun pribadi, perlu dipertimbangkan.

Jika itulah risikonya, pertanyaan berikutnya adalah, "Apa yang bisa dilakukan CISO untuk meningkatkan keamanan AI di organisasi mereka?"

Kebijakan yang Kuat Adalah Fondasi Keamanan AI

Para pemimpin keamanan TI korporat telah belajar dari pengalaman bahwa melarang penggunaan perangkat lunak dan perangkat tertentu sering kali malah berdampak buruk dan dapat meningkatkan risiko bagi perusahaan. Jika sebuah aplikasi atau solusi menawarkan kenyamanan atau jika apa yang disetujui perusahaan tidak memenuhi semua kebutuhan pengguna, maka orang akan tetap menggunakan alat yang mereka pilih, yang dapat menimbulkan masalah shadow IT.

Mengacu pada pertumbuhan pesat ChatGPT, yang menarik lebih dari 100 juta pengguna dalam dua bulan pertama setelah peluncurannya, platform AI generatif lainnya juga sudah menyatu dalam alur kerja orang. Melarang penggunaannya di bisnis dapat menciptakan masalah 'shadow AI' yang lebih berbahaya daripada solusi penyelundupan sebelumnya. Banyak perusahaan juga mendorong adopsi AI sebagai cara untuk meningkatkan produktivitas dan akan sulit untuk menghalangi penggunaannya. Jika keputusan kebijakan adalah melarang AI yang tidak disetujui, maka harus ada deteksi dan kemungkinan pemblokiran.

Oleh karena itu, apa yang perlu dilakukan CISO adalah menyediakan akses kepada karyawan untuk menggunakan alat AI yang didukung oleh kebijakan yang jelas tentang cara penggunaannya. Contoh kebijakan semacam itu mulai beredar secara online untuk model bahasa besar seperti ChatGPT, bersama dengan saran mengenai evaluasi risiko keamanan AI. Namun, belum ada pendekatan standar yang baku saat ini. Bahkan IEEE belum sepenuhnya mengatasi masalah ini, dan meskipun kualitas informasi online terus membaik, informasi tersebut tidak selalu dapat diandalkan. Organisasi harus sangat selektif dalam mencari model kebijakan keamanan AI.

Empat Pertimbangan Utama dalam Kebijakan Keamanan AI

Mengingat risiko yang telah disebutkan, melindungi privasi dan integritas data perusahaan adalah tujuan utama dalam keamanan AI. Oleh karena itu, kebijakan perusahaan harus mencakup hal-hal berikut:

  1. Larangan Berbagi Informasi Sensitif dengan Platform AI Publik atau Solusi Pihak Ketiga di Luar Kontrol Perusahaan. “Hingga ada kejelasan lebih lanjut, perusahaan harus menginstruksikan semua karyawan yang menggunakan ChatGPT dan alat AI generatif publik lainnya untuk memperlakukan informasi yang mereka bagikan seolah-olah mereka mempostingnya di situs publik atau platform sosial,” menurut Gartner.
  2. Jangan "Mencampur Data". Pertahankan aturan pemisahan yang jelas untuk berbagai jenis data, sehingga informasi yang dapat diidentifikasi secara pribadi dan data yang tunduk pada perlindungan hukum atau regulasi tidak pernah digabungkan dengan data yang bisa dibagikan ke publik. Ini mungkin memerlukan penetapan skema klasifikasi data perusahaan jika belum ada.
  3. Validasi atau Periksa Fakta dari Informasi yang Dihasilkan oleh Platform AI. Risiko bagi perusahaan dari publikasi output AI yang jelas salah sangat besar, baik dari segi reputasi maupun finansial. Platform yang bisa menghasilkan kutipan dan catatan kaki harus diminta untuk melakukannya, dan referensi tersebut harus diperiksa. Jika tidak, klaim dalam teks yang dihasilkan AI harus diverifikasi sebelum digunakan. “Meskipun [ChatGPT] memberikan ilusi melakukan tugas-tugas kompleks, ia tidak memiliki pengetahuan tentang konsep-konsep yang mendasarinya,” kata Gartner. “Ia hanya membuat prediksi.”
  4. Adopsi dan Sesuaikan Pendekatan Zero Trust. Zero trust adalah metode yang efektif untuk mengelola risiko terkait akses pengguna, perangkat, dan aplikasi ke sumber daya TI dan data perusahaan. Konsep ini semakin penting seiring dengan hilangnya batasan jaringan tradisional. Meskipun kemampuan AI untuk meniru entitas terpercaya dapat menantang arsitektur zero trust, hal ini justru membuat pengendalian koneksi yang tidak terpercaya menjadi lebih penting. Ancaman yang muncul dari AI menjadikan kewaspadaan zero trust sangat krusial.

Memilih Alat yang Tepat

Kebijakan keamanan AI dapat didukung dan ditegakkan dengan teknologi. Alat AI baru sedang dikembangkan untuk mendeteksi penipuan AI, teks yang dijiplak, dan penyalahgunaan lainnya. Alat-alat ini nantinya akan digunakan untuk memantau aktivitas jaringan, bertindak hampir seperti radar atau kamera lalu lintas untuk mendeteksi aktivitas AI yang berbahaya.

Saat ini, solusi extended detection and response (XDR) dapat digunakan untuk memantau perilaku abnormal di lingkungan TI perusahaan. XDR menggunakan AI dan pembelajaran mesin untuk memproses volume besar data telemetri untuk mengawasi norma jaringan secara efisien. Meskipun bukan AI generatif seperti ChatGPT, XDR adalah alat terlatih yang dapat melakukan tugas keamanan tertentu dengan presisi tinggi.

Alat pemantauan lainnya seperti manajemen informasi dan kejadian keamanan (SIEM), firewall aplikasi, dan solusi pencegahan kehilangan data juga dapat digunakan untuk mengelola penelusuran web dan penggunaan perangkat lunak pengguna, serta memantau informasi yang keluar dari lingkungan TI perusahaan—meminimalkan risiko dan potensi kehilangan data.

Ketahui Batas Anda

Selain merumuskan kebijakan perusahaan yang cerdas untuk keamanan AI dan memanfaatkan alat yang ada serta yang baru saat mereka muncul, organisasi harus menetapkan batasan risiko yang siap mereka toleransi untuk memanfaatkan kemampuan AI. Sebuah artikel oleh Society for Human Resource Management merekomendasikan agar organisasi secara formal menentukan toleransi risiko mereka untuk membantu membuat keputusan tentang seberapa luas AI dapat digunakan—dan untuk tujuan apa.

Cerita AI baru saja dimulai, dan tidak ada yang benar-benar memahami apa yang akan terjadi di masa depan. Yang jelas adalah bahwa AI ada untuk tetap dan, meskipun ada risikonya, memiliki banyak manfaat jika kita membangunnya dan menggunakannya dengan bijaksana. Ke depan, kita akan semakin melihat AI digunakan untuk melawan penggunaan AI yang berbahaya, namun untuk saat ini, pertahanan terbaik adalah memulai dengan pendekatan yang bijaksana dan penuh pertimbangan.