JAKARTA — Fenomena penggunaan kecerdasan buatan atau AI yang tidak terpantau oleh departemen TI, yang kerap disebut *shadow AI*, kini menjadi tantangan serius bagi banyak perusahaan. Ali-alih mengikuti kebijakan kantor, karyawan sering kali beralih ke perangkat lunak pribadi untuk mempercepat pekerjaan, meski langkah ini mengabaikan protokol keamanan data perusahaan.
Risikonya nyata. Saat seorang karyawan memasukkan data rahasia perusahaan ke dalam *chatbot* publik untuk meringkas laporan atau menyusun kode pemrograman, informasi tersebut bisa berakhir menjadi materi pelatihan model AI milik penyedia layanan pihak ketiga. Artinya, rahasia dagang perusahaan bisa sewaktu-waktu “bocor” secara tidak sengaja melalui respons AI kepada pengguna lain.
Data dari Teramind menunjukkan fakta mengejutkan: 67 persen penggunaan AI di level korporasi dilakukan melalui akun pribadi yang tidak dikelola. Bahkan, hampir tujuh dari sepuluh eksekutif mengakui bahwa mereka lebih memprioritaskan kecepatan kerja dibandingkan aspek keamanan saat berurusan dengan alat bantu AI. Ini menciptakan celah lebar di balik layar yang sulit dideteksi oleh tim keamanan siber konvensional.
Kenapa Larangan Bukan Solusi Utama
Banyak perusahaan mencoba meredam *shadow AI* dengan memblokir situs atau aplikasi tertentu. Namun, langkah ini sering kali sia-sia. Laporan tersebut mencatat bahwa 48 persen karyawan mengaku tetap akan menggunakan AI pilihan mereka, sekalipun perusahaan secara eksplisit melarangnya. Bagi mereka, AI sudah dianggap sebagai utilitas dasar layaknya mesin pencari Google.
Masalah utamanya bukan pada keinginan karyawan untuk melanggar aturan, melainkan pada ketidaksabaran menghadapi birokrasi. Ketika alat bantu yang disediakan perusahaan dianggap lambat atau sulit digunakan, karyawan cenderung memilih jalan pintas yang lebih praktis, meskipun berisiko. Menghalangi akses justru membuat citra perusahaan terlihat ketinggalan zaman di mata stafnya.
Menurut pakar keamanan siber, mematikan akses hanyalah tindakan reaktif. “Karyawan bukan musuh perusahaan. Mereka adalah profesional yang ingin produktif. Jika kita menutup pintu, mereka akan mencari jendela,” ujar seorang konsultan keamanan digital yang enggan disebutkan namanya. Pendekatan represif justru mendorong staf untuk menggunakan VPN atau perangkat lunak pihak ketiga yang lebih gelap dan berisiko lebih tinggi.
Pergeseran Ancaman dari Data ke Ide
Tantangan keamanan yang dibawa oleh *shadow AI* jauh lebih kompleks daripada *shadow IT* tradisional. Dulu, departemen TI hanya perlu memantau pemindahan berkas (*file transfer*) ke penyimpanan awan yang tidak sah. Sekarang, data bergerak melalui proses kreatif. Karyawan sering kali memasukkan data sensitif ke dalam kolom perintah teks (*chat prompt*) yang diproses di sesi peramban terenkripsi.
Perangkat lunak pencegahan kehilangan data (DLP) konvensional gagal menangkap aktivitas ini karena mereka dirancang untuk memantau format berkas, bukan konten semantik dalam percakapan AI. Inilah alasan mengapa model ancaman telah berubah secara drastis, sementara alat pengamanan yang ada masih tertinggal. Perusahaan membutuhkan visibilitas pada level input teks, bukan sekadar lalu lintas jaringan.
Lebih jauh, ancaman ini melibatkan hak kekayaan intelektual. Jika kode perangkat lunak perusahaan diunggah ke model AI publik, kode tersebut mungkin saja muncul dalam saran otomatis untuk kompetitor. Inilah yang membuat banyak perusahaan teknologi besar di Indonesia mulai menerapkan *private instance* atau model bahasa besar yang di-hosting secara mandiri di server internal perusahaan.
Langkah Taktis Membangun Jalur Aman
Para ahli menyarankan pendekatan tiga tahap untuk mengembalikan kontrol tanpa mematikan produktivitas:
- Hari ke-1 hingga ke-30: Fokus pada observasi, bukan pemblokiran. Gunakan telemetri perilaku untuk memetakan apa yang sebenarnya dilakukan karyawan, termasuk aktivitas papan klip dan penggunaan akun pribadi di dalam platform kantor.
- Hari ke-31 hingga ke-60: Kategorisasi risiko. Identifikasi alat apa saja yang melatih model mereka menggunakan data pengguna dan departemen mana yang paling bergantung pada aplikasi yang belum teruji.
- Hari ke-61 hingga ke-90: Implementasikan jalur alternatif. Berikan akses ke alat AI yang aman namun tetap cepat. Gunakan panduan waktu nyata—ketika sistem mendeteksi aksi berisiko, segera arahkan pengguna ke alternatif yang sudah disetujui perusahaan.
Kunci keberhasilan terletak pada kesediaan perusahaan untuk menyediakan “jalan beraspal” yang mulus. Jika opsi yang aman dapat berjalan secepat dan semudah opsi yang berisiko, karyawan tidak akan memiliki alasan untuk mencari jalur alternatif di luar sistem perusahaan. Mengelola data secara ketat di dalam aplikasi yang diizinkan, alih-alih melarang penggunaan alatnya, menjadi strategi paling realistis saat ini.
Ke depan, perusahaan tidak bisa lagi mengandalkan kebijakan “tidak boleh”. Masa depan keamanan data terletak pada edukasi dan penyediaan infrastruktur yang mendukung kreativitas. Keamanan yang baik adalah yang tidak terlihat oleh pengguna, namun bekerja efektif di latar belakang.
Ringkasan FAQ Shadow AI
Apa itu Shadow AI? Penggunaan alat AI oleh karyawan tanpa sepengetahuan atau izin dari departemen TI perusahaan.
Mengapa karyawan melakukannya? Demi kecepatan dan kemudahan kerja karena alat resmi sering dianggap terlalu lambat atau kaku.
Apa risiko terbesarnya? Kebocoran data sensitif perusahaan dan hak kekayaan intelektual yang bisa digunakan untuk melatih model AI publik milik pihak ketiga.
📝 Tinggalkan Komentar
Komentar sebagai . Ditinjau admin sebelum tampil.