Menghadapi Risiko Keamanan dari Copilot

Semakin banyak, perusahaan menggunakan copilot dan platform low-code untuk memungkinkan karyawan – bahkan mereka yang memiliki sedikit atau tidak memiliki keahlian teknis – untuk membuat copilot dan aplikasi bisnis yang kuat, serta untuk memproses jumlah data yang besar. Laporan baru dari Zenity, Keadaan Copilot dan Pengembangan Low-Code Perusahaan di 2024, menemukan bahwa, rata-rata, perusahaan memiliki sekitar 80.000 aplikasi dan copilot yang dibuat di luar siklus pengembangan perangkat lunak standar (SDLC).

Pengembangan ini menawarkan peluang baru tetapi juga risiko baru. Di antara 80.000 aplikasi dan copilot tersebut, sekitar 50.000 kerentanan. Laporan tersebut mencatat bahwa aplikasi dan copilot ini berkembang dengan kecepatan yang sangat cepat. Akibatnya, mereka menciptakan sejumlah besar kerentanan.

Risiko Copilot dan Aplikasi Perusahaan

Biasanya, pengembang perangkat lunak membangun aplikasi dengan hati-hati sepanjang SDLC (siklus pengembangan perangkat lunak yang aman) di mana setiap aplikasi dirancang, diterapkan, diukur, dan dianalisis secara terus-menerus. Namun, saat ini, rel pengaman tersebut tidak lagi ada. Orang-orang dengan tidak memiliki pengalaman pengembangan dapat sekarang membangun dan menggunakan copilot dan aplikasi bisnis yang kuat dalam Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier, dan lain-lain. Aplikasi ini membantu dengan operasi bisnis karena mereka mentransfer dan menyimpan data sensitif. Pertumbuhan di area ini telah signifikan; laporan menemukan 39% pertumbuhan tahun-ke-tahun dalam adopsi pengembangan low-code dan copilot.

Sebagai hasil dari pengabaian SDLC, kerentanan sangat umum. Banyak perusahaan dengan antusias menerima kemampuan ini tanpa sepenuhnya menghargai kenyataan bahwa mereka perlu memahami berapa banyak copilot dan aplikasi yang dibuat – dan konteks bisnis mereka juga. Misalnya, mereka perlu memahami untuk siapa aplikasi dan copilot tersebut dimaksudkan, data apa yang aplikasi tersebut interaksikan, dan tujuan bisnis apa. Mereka juga perlu tahu siapa yang mengembangkannya. Karena mereka sering tidak, dan karena praktik pengembangan standar diabaikan, ini menciptakan bentuk baru dari shadow IT.

Ini menempatkan tim keamanan dalam posisi yang sulit dengan banyak copilot, aplikasi, otomatisasi, dan laporan yang dibangun di luar pengetahuan mereka oleh pengguna bisnis di berbagai LoB. Laporan tersebut menemukan bahwa semua OWASP (Open Web Application Security Project) Top 10 kategori risiko sangat umum di seluruh perusahaan. Rata-rata, sebuah perusahaan memiliki 49.438 kerentanan. Ini berarti 62% dari copilot dan aplikasi yang dibangun melalui low-code mengandung kerentanan keamanan jenis tertentu.

Memahami Jenis Risiko yang Berbeda

Copilot menyajikan ancaman potensial yang signifikan karena mereka menggunakan kredensial, memiliki akses ke data sensitif, dan memiliki rasa ingin tahu yang inheren yang membuat mereka sulit untuk dikendalikan. Faktanya, 63% dari copilot yang dibangun dengan platform low-code dibagikan dengan orang lain – dan banyak di antaranya menerima obrolan tanpa autentikasi. Ini memungkinkan risiko yang signifikan untuk serangan injeksi prompt yang mungkin.

Karena cara copilot beroperasi dan cara AI beroperasi pada umumnya, langkah-langkah keamanan yang ketat harus diterapkan untuk mencegah berbagi interaksi pengguna akhir dengan copilot, berbagi aplikasi dengan terlalu banyak atau orang yang salah, pemberian akses ke data sensitif melalui AI, dan sebagainya. Jika langkah-langkah ini tidak ada, perusahaan berisiko meningkatkan eksposur ke kebocoran data dan injeksi prompt yang berbahaya.