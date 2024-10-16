Bahkan jika kita tidak selalu sadar akan hal itu, kecerdasan buatan sekarang ada di sekitar kita. Kami sudah terbiasa dengan sistem rekomendasi yang dipersonalisasi dalam e-commerce, chatbot layanan pelanggan yang didukung oleh AI percakapan dan banyak lagi. Di bidang keamanan informasi, kami telah mengandalkan filter spam didukung AI selama bertahun-tahun untuk melindungi kami dari email berbahaya.
Itu semua adalah contoh penggunaan yang mapan. Namun, sejak peningkatan pesat AI generatif dalam beberapa tahun terakhir, mesin telah mampu melakukan lebih banyak hal. Dari deteksi ancaman hingga otomatisasi respons insiden hingga pengujian kesadaran karyawan melalui simulasi email phishing, peluang AI dalam keamanan siber tidak dapat disangkal.
Tetapi dengan setiap peluang baru datang risiko baru. Aktor ancaman sekarang menggunakan AI untuk meluncurkan serangan phishing yang lebih meyakinkan dalam skala yang tidak mungkin dilakukan sebelumnya. Untuk tetap berada di depan ancaman, mereka yang berada di garis pertahanan juga membutuhkan AI, tetapi penggunaannya harus transparan dan dengan fokus utama pada etika untuk menghindari melangkah ke ranah taktik.
Sekaranglah saatnya bagi para pemimpin keamanan informasi untuk mengadopsi strategi AI yang bertanggung jawab.
Kejahatan adalah masalah manusia, sama halnya dengan kejahatan siber. Teknologi, termasuk AI generatif, hanyalah alat lain dalam gudang senjata penyerang. Perusahaan yang sah melatih model AI mereka pada sejumlah besar data yang terkikis dari internet. Model-model ini tidak hanya sering dilatih pada upaya kreatif jutaan orang sungguhan — ada juga kemungkinan mereka mengumpulkan informasi pribadi yang berakhir di domain publik, sengaja atau tidak sengaja. Hasilnya, beberapa pengembang model AI terbesar sekarang menghadapi tuntutan hukum, sementara industri pada umumnya menghadapi perhatian yang meningkat dari regulator.
Sementara aktor ancaman tidak terlalu peduli dengan etika AI, mudah bagi perusahaan yang sah untuk tanpa disadari akhirnya melakukan hal yang sama. Alat pengikisan web, misalnya, dapat digunakan untuk mengumpulkan data pelatihan untuk membuat model untuk deteksi konten phishing. Namun, alat-alat ini mungkin tidak membuat perbedaan antara informasi pribadi dan anonim — terutama dalam kasus konten gambar. Kumpulan data sumber terbuka seperti LAION untuk gambar atau The Pile untuk teks memiliki masalah serupa. Misalnya, pada tahun 2022, seorang seniman California menemukan bahwa foto medis pribadi yang diambil oleh dokternya telah berakhir di kumpulan data LAION-5B yang digunakan untuk melatih synthesizer gambar sumber terbuka populer Stable Diffusion.
Tidak dapat disangkal bahwa pengembangan model AI yang divertikalisasi keamanan siber yang ceroboh dapat menyebabkan risiko yang lebih besar daripada tidak menggunakan AI sama sekali. Untuk mencegah hal itu terjadi, pengembang solusi keamanan harus mempertahankan standar kualitas data dan privasi tertinggi, terutama ketika menyangkut anonimisasi atau menjaga informasi rahasia. Undang-undang seperti Peraturan Perlindungan Data Umum Eropa (GDPR) dan California Consumer Privacy Act (CCPA), meskipun dikembangkan sebelum munculnya AI generatif, berfungsi sebagai pedoman berharga untuk menginformasikan strategi AI etis.
Perusahaan telah menggunakan machine learning untuk deteksi ancaman keamanan dan kerentanan jauh sebelum munculnya AI generatif. Sistem yang didukung oleh pemrosesan bahasa alami (NLP), analisis perilaku dan sentimen, serta pembelajaran mendalam sudah mapan dalam contoh-contoh penggunaan ini. Tetapi sistem ini juga menghadirkan dilema etis di mana privasi dan keamanan dapat menjadi disiplin yang bersaing.
Misalnya, pertimbangkan perusahaan yang menggunakan AI untuk memantau riwayat penelusuran karyawan untuk deteksi ancaman orang dalam. Meskipun ini meningkatkan keamanan, mungkin juga melibatkan pengambilan informasi penjelajahan pribadi — seperti pencarian medis atau transaksi keuangan — yang diharapkan karyawan untuk tetap pribadi.
Privasi juga menjadi perhatian dalam keamanan fisik. Misalnya, pengenalan sidik jari yang berbasis AI dapat mencegah akses tidak sah ke situs atau perangkat sensitif, tetapi juga melibatkan pengumpulan data biometrik yang sangat sensitif, yang, jika dikompromikan, dapat menyebabkan masalah jangka panjang bagi individu yang bersangkutan. Lagi pula, jika data sidik jari Anda diretas, Anda tidak akan bisa mendapatkan jari baru. Itulah mengapa sangat penting bahwa sistem biometrik dijaga di bawah keamanan maksimum dan didukung dengan kebijakan penyimpanan data yang bertanggung jawab.
Mungkin hal yang paling penting untuk diingat tentang AI adalah, sama seperti manusia, ia dapat salah langkah dengan berbagai cara. Salah satu tugas utama mengadopsi strategi AI etis adalah TEVV, atau pengujian, evaluasi, validasi, dan verifikasi. Itu terutama terjadi di area yang sangat penting seperti keamanan siber.
Banyak risiko yang datang dengan AI memanifestasikan dirinya selama proses pengembangan. Misalnya, data pelatihan harus menjalani TEVV menyeluruh untuk jaminan kualitas, serta untuk memastikan bahwa itu belum dimanipulasi. Ini sangat penting karena keracunan data sekarang menjadi salah satu vektor serangan nomor satu yang digunakan oleh penjahat siber yang lebih canggih.
Masalah lain yang melekat pada AI — sama seperti halnya pada manusia — adalah bias dan keadilan. Misalnya, alat AI yang digunakan untuk menandai email berbahaya mungkin menargetkan email yang sah karena mereka menunjukkan tanda-tanda vernakular yang umumnya terkait dengan kelompok budaya tertentu. Hal ini mengakibatkan pembuatan profil yang tidak adil dan penargetan kelompok tertentu, sehingga menimbulkan kekhawatiran tentang tindakan tidak adil yang diambil.
Tujuan AI adalah untuk meningkatkan kecerdasan manusia, bukan untuk menggantikannya. Mesin tidak dapat dimintai pertanggungjawaban jika terjadi kesalahan. Penting untuk diingat bahwa AI melakukan apa yang manusia melatih untuk melakukannya. Karena itu, AI mewarisi bias manusia dan proses pengambilan keputusan yang buruk. Sifat “kotak hitam” dari banyak model AI juga dapat membuatnya sangat sulit untuk mengidentifikasi akar penyebab masalah tersebut, hanya karena pengguna akhir tidak diberi insight tentang bagaimana AI menghasilkan keputusan yang dibuatnya. Model-model ini kurang memiliki penjelasan yang penting untuk transparansi dan akuntabilitas dalam pengambilan keputusan berbasis AI.
Baik mengembangkan atau terlibat dengan AI — dalam keamanan siber atau konteks lainnya — sangat penting untuk menjaga manusia tetap mengetahui sepanjang proses. Data pelatihan harus diaudit secara teratur oleh tim yang beragam dan inklusif dan disempurnakan untuk mengurangi bias dan informasi yang salah. Sementara orang sendiri rentan terhadap masalah yang sama, pengawasan berkelanjutan dan kemampuan untuk menjelaskan bagaimana AI menarik kesimpulan yang dilakukannya dapat sangat mengurangi risiko ini.
Di sisi lain, hanya melihat AI sebagai jalan pintas dan pengganti manusia pasti akan menghasilkan AI yang berkembang dengan caranya sendiri, dilatih pada output sampai-sampai hanya memperkuat kekurangannya sendiri — sebuah konsep yang dikenal sebagai AI drift.
Peran manusia dalam menjaga AI serta bertanggung jawab atas adopsi dan penggunaannya tidak dapat diremehkan. Karena itu, alih-alih melihat AI sebagai cara untuk mengurangi jumlah karyawan dan menghemat biaya, perusahaan harus menginvestasikan penghematan tersebut untuk melatih ulang dan memindahkan tim ke peran baru yang berhubungan dengan AI. Artinya, semua profesional keamanan informasi harus memprioritaskan penggunaan AI yang etis — dan (dengan demikian manusia) diprioritaskan.