Pemimpin pemikiran

Mengungkapkan Risiko Bisnis yang Tidak Terlihat: Bagaimana Shadow AI Meredefinisi Lanskap Ancaman Mobile

mm
Published
Updated

Kecerdasan buatan (AI) merevolusi cara kita bekerja. Dari meringkas dokumen dan menyusun kontrak hingga menghasilkan kode dan mengotomatisasi alur kerja, alat AI telah menjadi bagian integral dari operasi bisnis sehari-hari. Namun, di samping penggunaan AI yang disetujui dalam organisasi, ada tren yang berkembang yang dikenal sebagai Shadow AI — penggunaan aplikasi AI tanpa pengawasan formal dari tim IT atau keamanan.

Shadow AI bukan hanya pelanggaran kebijakan IT. Ini mewakili celah tata kelola struktural di persimpangan identitas, perlindungan data, kepatuhan, dan sistem otonom yang muncul. Ketika kemampuan AI berkembang, terutama di lingkungan mobile, organisasi menghadapi permukaan ancaman yang tumbuh dengan cepat yang tidak pernah dirancang untuk ditangani oleh kontrol keamanan tradisional.

Mobile: Pengganda Risiko Shadow AI

Ketika adopsi mobile mempercepat, risiko Shadow AI meningkat. Smartphone dan tablet telah menjadi pusat operasional nervus sentral perusahaan, mengkonsolidasikan identitas, pesan, dan akses cloud ke dalam satu endpoint yang selalu aktif. Sementara itu, aplikasi AI-powered banjir toko aplikasi, memungkinkan karyawan untuk menerapkan kemampuan agenik secara instan, seringkali di luar pengawasan IT. Faktanya, Lookout telah mengidentifikasi lebih dari 25.000 aplikasi mobile dengan kemampuan AI yang sudah hadir di Apple App Store dan Google Play Store, menekankan bagaimana cepatnya paparan ini berkembang di ujung mobile.

Ketika mobilitas dan AI yang tidak disetujui bersilangan, paparan perusahaan tumbuh, menegaskan kebenaran dasar: risiko mobile adalah risiko bisnis.

Agentic AI: Aktor Digital Otonom di Dalam Organisasi

Agentic AI memperkenalkan perubahan lain dalam risiko perusahaan. Tidak seperti alat generatif pasif yang hanya menghasilkan konten sebagai respons terhadap prompt, sistem agenik dirancang untuk merencanakan, memutuskan, dan melaksanakan tindakan secara mandiri. Mereka dapat memulai komunikasi secara otonom, memicu transaksi keuangan, memodifikasi catatan, berinteraksi dengan aplikasi perusahaan, dan menghubungkan alur kerja multi-langkah tanpa pengawasan manusia. Pada dasarnya, mereka beroperasi sebagai aktor digital di dalam organisasi.

Ketika kemampuan ini berfungsi di luar kerangka tata kelola yang mapan, mereka memperkuat risiko dengan kecepatan mesin. Keputusan yang sebelumnya memerlukan penilaian manusia sekarang dapat dilaksanakan secara instan, berulang, dan dalam skala besar. Izin akses, integrasi API, dan wewenang yang didelegasikan mengubah sistem ini dari alat saran menjadi agen operasional yang mampu memindahkan data, mengubah sistem, dan memulai proses bisnis.

Sebagai contoh, asisten AI berbasis mobile dengan akses ke email perusahaan dan penyimpanan cloud dapat secara otonom meringkas bahan rapat dewan yang sensitif dan mengirimkannya ke layanan AI eksternal untuk “analisis.” Bahkan jika dilakukan dengan niat baik, implikasi tata kelola sangat mendalam: informasi rahasia mungkin meninggalkan lingkungan yang dikontrol, kewajiban regulasi dapat dipicu, jejak audit mungkin tidak lengkap, dan persyaratan residensi data dapat dilanggar. Risikonya bukan hanya kebocoran data — tetapi juga delegasi wewenang operasional kepada sistem yang mungkin tidak terlihat, disetujui, atau dikelola.

Tata Kelola dan Munculnya ISO 42001

Ketika risiko AI mempercepat, kerangka tata kelola global muncul untuk mengenakan struktur dan akuntabilitas. Di antara yang paling signifikan adalah ISO/IEC 42001, standar internasional untuk Sistem Manajemen Kecerdasan Buatan. ISO 42001 mengharuskan organisasi untuk menerapkan proses tata kelola berbasis risiko untuk mengawasi, memantau, dan mengelola sistem AI secara terus-menerus.

Standar ini berlaku tidak hanya untuk penerapan AI tradisional tetapi juga untuk sistem AI agenik yang mampu bertindak secara otonom. Organisasi harus menunjukkan visibilitas, kontrol, dan jejak yang jelas di seluruh penggunaan AI dalam lingkungan mereka. Shadow AI secara langsung mengerosi mandat ini. Ketika karyawan menerapkan alat AI di luar saluran yang disetujui, perusahaan kehilangan kemampuan untuk mengklaim pengawasan AI yang komprehensif.

Di sektor yang diatur — termasuk kesehatan, layanan keuangan, pemerintah, dan infrastruktur kritis — celah tata kelola ini sangat konsekuensial. Penggunaan AI yang tidak dikelola dapat menciptakan paparan kepatuhan yang signifikan di bawah undang-undang privasi, peraturan perlindungan data, dan kewajiban kontraktual.

Kontrol Keamanan Tradisional Tidak Cukup di Mobile

Banyak organisasi menganggap bahwa kontrol keamanan yang ada — seperti gerbang email, platform perlindungan endpoint, dan CASB — cukup untuk mengelola risiko AI. Dalam prakteknya, mereka tidak. Shadow AI, terutama di lingkungan mobile di mana aktivitas terjadi sepenuhnya di smartphone dan tablet, dapat menghindari kontrol berbasis desktop dan melewati pemantauan jaringan tradisional. Tanpa visibilitas yang didedikasikan untuk aplikasi mobile, tim keamanan kekurangan wawasan yang diperlukan untuk mendeteksi eksfiltrasi data yang digerakkan AI, penggunaan AI yang tidak disetujui, atau aktivitas sistem otonom yang terjadi di luar kontrol tata kelola.

Imperatif Kepatuhan: Mengidentifikasi Aplikasi AI Mobile

Untuk selaras dengan ISO 42001 dan harapan regulasi yang muncul, organisasi memerlukan kemampuan keamanan yang dapat mengidentifikasi aplikasi mobile yang ditenagai AI, mendeteksi penggunaan AI yang tidak disetujui atau berisiko tinggi, memantau aliran data antara aplikasi AI dan sistem perusahaan, menilai pola perilaku agenik, dan menerapkan kontrol kebijakan langsung di endpoint mobile. Produk keamanan yang mampu mengklasifikasikan dan menganalisis aplikasi mobile yang ditenagai AI — terutama yang memiliki kemampuan otonom — menjadi alat kepatuhan yang penting daripada pilihan tambahan.

Tanpa visibilitas ke dalam aplikasi mobile mana yang mengintegrasikan mesin AI, organisasi tidak dapat melakukan penilaian risiko AI yang bermakna, mendokumentasikan pengawasan, atau menerapkan kontrol tata kelola. Ketika AI menjadi terintegrasi dalam aplikasi produktivitas, platform messaging, dan alat alur kerja, deteksi harus berkembang melampaui identifikasi malware tradisional untuk mencakup analisis perilaku, pemetaan izin, dan pemantauan terus-menerus akses dan pergerakan data.

Panggilan untuk Bertindak

Shadow AI bukanlah kekhawatiran di masa depan; itu sudah tertanam dalam perangkat mobile yang memungkinkan pekerjaan perusahaan. Ketika adopsi mempercepat, celah tata kelola akan melebar terlebih dahulu — dan tercepat — di mobile. Pemimpin keamanan harus mengetahui aplikasi AI mana yang hadir di perangkat korporat dan BYOD, mendeteksi perilaku agenik dalam aplikasi mobile, dan memantau aliran data yang digerakkan AI yang meninggalkan endpoint. Karena Shadow AI berkembang dalam lalu lintas mobile yang dienkripsi dan ekosistem aplikasi, kepatuhan sekarang bergantung pada kemampuan keamanan asli mobile yang mengungkapkan aktivitas AI dan menerapkan kontrol tata kelola.

Ketika AI mengubah operasi bisnis, mengatur AI pada akhirnya berarti mengamankan perangkat mobile yang dibawa karyawan setiap hari.

mm

Jim Dolce adalah Chief Executive Officer dan Chairman of the Board of Directors di Lookout. Ia telah menjadi pendiri dari empat perusahaan teknologi yang sukses dan telah menjabat posisi eksekutif di Juniper Networks, Inc. dan Akamai Technologies, Inc. Jim bergabung dengan Lookout pada Maret 2014 untuk memandu perusahaan keamanan siber ke tahap pertumbuhan berikutnya, termasuk merancang ulang produk, kepemimpinan, dan tenaga kerja Lookout untuk melayani bisnis besar dan lembaga pemerintah yang ingin memanfaatkan keuntungan dari mobilitas tanpa mengorbankan keamanan.