Connect with us

Pemimpin pemikiran

Menggunakan Generative AI: Mengungkap Implikasi Keamanan Sibernya dari Alat Generative AI

mm
Published
Updated

Adil untuk mengatakan bahwa generative AI sekarang telah menarik perhatian setiap ruang rapat dan pemimpin bisnis di seluruh negeri. Sekali sebuah teknologi pinggiran yang sulit untuk digunakan, apalagi dikuasai, pintu-pintu ke generative AI sekarang telah dibuka lebar berkat aplikasi seperti ChatGPT atau DALL-E. Kami sekarang menyaksikan penerimaan besar-besaran generative AI di semua industri dan kelompok usia karena karyawan mencari cara untuk memanfaatkan teknologi untuk keuntungan mereka.

Sebuah survei baru-baru ini menunjukkan bahwa 29% dari Gen Z, 28% dari Gen X, dan 27% dari responden Milenial sekarang menggunakan alat generative AI sebagai bagian dari pekerjaan sehari-hari mereka. Pada 2022, adopsi generative AI skala besar berada pada 23%, dan angka tersebut diperkirakan akan meningkat dua kali lipat menjadi 46% pada 2025.

Generative AI adalah teknologi yang masih baru tetapi berkembang pesat yang menggunakan model terlatih untuk menghasilkan konten asli dalam berbagai bentuk, dari teks tertulis dan gambar, hingga video, musik, dan bahkan kode perangkat lunak. Dengan menggunakan model bahasa besar (LLM) dan dataset besar, teknologi ini dapat secara instan menciptakan konten unik yang hampir tidak dapat dibedakan dari pekerjaan manusia, dan dalam banyak kasus lebih akurat dan menarik.

Namun, sementara bisnis semakin menggunakan generative AI untuk mendukung operasi sehari-hari mereka, dan karyawan telah cepat dalam mengadopsinya, kecepatan adopsi dan kurangnya regulasi telah menimbulkan kekhawatiran keamanan siber dan kepatuhan regulasi yang signifikan.

Menurut sebuah survei dari populasi umum, lebih dari 80% orang khawatir tentang risiko keamanan yang ditimbulkan oleh ChatGPT dan generative AI, dan 52% dari mereka yang diwawancarai ingin pengembangan generative AI dihentikan sehingga regulasi dapat mengejar. Sentimen yang lebih luas ini juga telah diulangi oleh bisnis itu sendiri, dengan 65% dari pemimpin IT senior tidak mau mengizinkan akses tanpa hambatan ke alat generative AI karena kekhawatiran keamanan.

Generative AI masih belum diketahui

Alat generative AI membutuhkan data. Model, seperti yang digunakan oleh ChatGPT dan DALL-E, dilatih pada data eksternal atau tersedia secara gratis di internet, tetapi untuk mendapatkan hasil maksimal dari alat ini, pengguna perlu berbagi data yang sangat spesifik. Seringkali, ketika memicu alat seperti ChatGPT, pengguna akan berbagi informasi bisnis yang sensitif untuk mendapatkan hasil yang akurat dan komprehensif. Ini menciptakan banyak ketidakpastian bagi bisnis. Risiko akses tidak sah atau pengungkapan informasi sensitif yang tidak disengaja “tertanam” ketika menggunakan alat generative AI yang tersedia secara gratis.

Risiko ini tidak secara langsung menjadi masalah. Masalahnya adalah risiko ini belum sepenuhnya dijelajahi. Sampai saat ini, belum ada analisis dampak bisnis yang nyata dari menggunakan alat generative AI yang tersedia secara luas, dan kerangka hukum dan regulasi global tentang penggunaan generative AI belum mencapai bentuk yang matang.

Regulasi masih dalam proses

Regulator sudah mengevaluasi alat generative AI dalam hal privasi, keamanan data, dan integritas data yang dihasilkan. Namun, seperti biasanya dengan teknologi yang muncul, aparatus regulasi untuk mendukung dan mengatur penggunaannya masih tertinggal beberapa langkah. Sementara teknologi ini digunakan oleh perusahaan dan karyawan secara luas, kerangka regulasi masih sangat banyak dalam tahap perencanaan.

Ini menciptakan risiko yang jelas dan nyata bagi bisnis yang, saat ini, tidak dianggap serius seperti yang seharusnya. Eksekutif secara alami tertarik dengan bagaimana platform ini akan memperkenalkan keuntungan bisnis yang signifikan seperti kesempatan untuk otomatisasi dan pertumbuhan, tetapi manajer risiko bertanya bagaimana teknologi ini akan diatur, apa implikasi hukum yang mungkin terjadi, dan bagaimana data perusahaan mungkin menjadi kompromi atau terungkap. Banyak dari alat ini tersedia secara gratis untuk pengguna dengan browser dan koneksi internet, sehingga sementara mereka menunggu regulasi untuk mengejar, bisnis perlu mulai berpikir sangat hati-hati tentang “aturan rumah” mereka sendiri tentang penggunaan generative AI.

Peran CISO dalam mengatur generative AI

Dengan kerangka regulasi masih kurang, Chief Information Security Officers (CISO) harus mengambil peran penting dalam mengelola penggunaan generative AI dalam organisasi mereka. Mereka perlu memahami siapa yang menggunakan teknologi ini dan untuk tujuan apa, bagaimana melindungi informasi perusahaan ketika karyawan berinteraksi dengan alat generative AI, bagaimana mengelola risiko keamanan dari teknologi dasar, dan bagaimana menyeimbangkan perdagangan keamanan dengan nilai yang ditawarkan teknologi ini.

Ini bukanlah tugas yang mudah. Evaluasi risiko yang rinci harus dilakukan untuk menentukan baik hasil negatif maupun positif sebagai akibat dari pertama, menggelar teknologi dalam kapasitas resmi, dan kedua, mengizinkan karyawan menggunakan alat yang tersedia secara gratis tanpa pengawasan. Mengingat sifat akses mudah dari aplikasi generative AI, CISO perlu berpikir hati-hati tentang kebijakan perusahaan sekitar penggunaannya. Apakah karyawan harus bebas menggunakan alat seperti ChatGPT atau DALL-E untuk mempermudah pekerjaan mereka? Atau apakah akses ke alat ini harus dibatasi atau dimoderasi dengan cara tertentu, dengan pedoman dan kerangka internal tentang bagaimana mereka harus digunakan? Satu masalah yang jelas adalah bahwa bahkan jika pedoman penggunaan internal dibuat, mengingat kecepatan evolusi teknologi, mereka mungkin sudah usang sebelum mereka diselesaikan.

Satu cara untuk mengatasi masalah ini mungkin sebenarnya adalah dengan memindahkan fokus dari alat generative AI itu sendiri, dan sebaliknya fokus pada klasifikasi dan perlindungan data. Klasifikasi data selalu menjadi aspek penting dalam melindungi data dari pelanggaran atau kebocoran, dan itu berlaku dalam kasus penggunaan ini juga. Ini melibatkan penugasan tingkat sensitivitas pada data, yang menentukan bagaimana data harus ditangani. Apakah harus dienkripsi? Apakah harus diblokir untuk dikandung? Apakah harus diberitahukan? Siapa yang harus memiliki akses ke sana, dan di mana saja diperbolehkan untuk dibagikan? Dengan fokus pada aliran data, bukan alat itu sendiri, CISO dan petugas keamanan akan memiliki kesempatan yang jauh lebih besar untuk memitigasi beberapa risiko yang disebutkan.

Seperti semua teknologi yang muncul, generative AI adalah baik berkah dan risiko bagi bisnis. Sementara itu menawarkan kemampuan baru yang menarik seperti otomatisasi dan konseptualisasi kreatif, itu juga memperkenalkan beberapa tantangan kompleks sekitar keamanan data dan perlindungan kekayaan intelektual. Sementara kerangka regulasi dan hukum masih dalam proses, bisnis harus berjalan di antara kesempatan dan risiko, mengimplementasikan kontrol kebijakan mereka sendiri yang mencerminkan postur keamanan mereka secara keseluruhan. Generative AI akan mendorong bisnis maju, tetapi kita harus berhati-hati untuk tetap mengontrolnya.

mm

Dengan lebih dari 25 tahun pengalaman sebagai ahli keamanan siber, Chris Hetner diakui untuk meningkatkan risiko siber ke tingkat C-Suite dan Dewan untuk melindungi industri, infrastruktur, dan perekonomian di seluruh dunia.

He served sebagai Senior Cybersecurity Advisor untuk Ketua Komisi Sekuritas dan Bursa Amerika Serikat dan sebagai Kepala Keamanan Siber untuk Kantor Inspeksi dan Pemeriksaan Kepatuhan di SEC.

Saat ini, Chris adalah Ketua Dewan Penasihat Keamanan Pelanggan Panzura, yang menyediakan pendidikan dan kesadaran sekitar ketahanan data dengan misi untuk memajukan bisnis, operasional, dan keselarasan keuangan dengan tata kelola risiko keamanan siber. Panzura adalah perusahaan manajemen data multi-awan hibrida terkemuka.

Selain itu, ia adalah Penasihat Khusus untuk Risiko Siber kepada Asosiasi Direktur Perusahaan Nasional, Ketua Keamanan Siber dan Privasi dari Dewan Wawasan Nasdaq, dan Anggota Dewan Direksi di TCIG.