Apa yang dimaksud dengan AI bayangan?

Contoh umum AI bayangan adalah penggunaan aplikasi AI generatif (gen AI) yang tidak sah seperti ChatGPT milik OpenAI untuk mengotomatiskan tugas-tugas seperti penyuntingan teks dan analisis data. Karyawan sering beralih ke alat ini untuk meningkatkan produktivitas dan mempercepat proses. Namun, karena tim IT tidak menyadari penggunaan aplikasi ini, karyawan tanpa sadar dapat memaparkan organisasi pada risiko signifikan terkait keamanan data, kepatuhan, dan reputasi perusahaan.

Untuk CIO dan CISO, mengembangkan strategi AI yang kuat yang menggabungkan tata kelola AI dan inisiatif keamanan adalah kunci untuk  manajemen risiko AI yang efektif. Dengan berkomitmen pada kebijakan AI yang menekankan pentingnya kepatuhan dan keamanan siber, para pemimpin dapat mengelola risiko AI bayangan sambil merangkul manfaat teknologi AI.

Untuk memahami implikasi shadow AI, akan sangat membantu untuk membedakannya dari IT bayangan.

IT bayangan mengacu pada penerapan perangkat lunak, perangkat keras atau teknologi informasi apa pun pada jaringan perusahaan tanpa persetujuan, pengetahuan, atau pengawasan departemen IT atau CIO. Karyawan mungkin beralih ke teknologi AI yang tidak disetujui ketika mereka menemukan solusi yang ada tidak mencukupi atau percaya bahwa opsi yang disetujui terlalu lambat. Contoh umum termasuk menggunakan layanan penyimpanan cloud pribadi atau alat manajemen proyek yang tidak disetujui.

Sementara IT bayangan berfokus pada aplikasi atau layanan yang tidak sah, AI bayangan berfokus pada alat, platform, dan contoh penggunaan khusus AI. Misalnya, seorang karyawan mungkin menggunakan model bahasa besar (LLM) untuk membuat laporan dengan cepat tanpa menyadari risiko keamanan. Perbedaan utama terletak pada sifat alat yang digunakan: AI bayangan adalah tentang penggunaan kecerdasan buatan yang tidak sah, yang memperkenalkan masalah unik terkait dengan manajemen data, hasil model, dan pengambilan keputusan.

Dari tahun 2023 hingga 2024, adopsi aplikasi AI generatif oleh karyawan perusahaan tumbuh dari 74% menjadi 96% karena organisasi menggunakan teknologi AI.¹ Bersamaan dengan pertumbuhan ini muncul peningkatan AI bayangan. Saat ini, lebih dari sepertiga (38%) karyawan mengakui bahwa mereka berbagi informasi pekerjaan yang sensitif dengan perangkat AI tanpa izin dari atasan mereka.²

AI bayangan dapat membuat perusahaan menghadapi beberapa risiko termasuk kebocoran data, denda atas ketidakpatuhan, dan kerusakan reputasi yang parah:

Salah satu risiko utama yang terkait dengan bayangan AI adalah potensi pelanggaran data. Ketika ada kurangnya pengawasan mengenai penggunaan AI, karyawan dapat secara tidak sengaja mengekspos informasi sensitif yang mengarah ke masalah  privasi data. Menurut jajak pendapat CISO baru-baru ini, 1 dari 5 perusahaan di Inggris mengalami kebocoran data karena karyawannya menggunakan gen AI.³ Risiko kebocoran data yang meningkat mungkin menjelaskan mengapa 3 perempat responden juga menyatakan bahwa orang dalam menimbulkan risiko yang lebih besar bagi organisasi daripada ancaman eksternal.⁴

Di banyak industri, kepatuhan terhadap peraturan tidak dapat dinegosiasikan. Menggunakan shadow AI dapat menyebabkan masalah kepatuhan, terutama terkait perlindungan data dan privasi. Organisasi mungkin diminta untuk mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR). Denda untuk ketidakpatuhan terhadap GDPR bisa sangat besar: pelanggaran besar (seperti memproses data untuk tujuan yang melanggar hukum) dapat merugikan perusahaan hingga EUR 20.000.000 atau 4% dari pendapatan organisasi di seluruh dunia pada tahun sebelumnya, mana saja yang lebih tinggi. 

Mengandalkan model AI yang tidak sah dapat memengaruhi kualitas pengambilan keputusan. Tanpa tata kelola yang tepat, hasil yang dihasilkan oleh model-model ini mungkin tidak selaras dengan tujuan organisasi atau standar etika. Data yang bias, overfitting, dan penyimpangan model adalah beberapa contoh risiko AI yang dapat menyebabkan pilihan strategis yang buruk dan merusak reputasi perusahaan. 

Penggunaan AI yang tidak sah juga dapat bertentangan dengan standar kualitas perusahaan dan merusak kepercayaan konsumen. Pertimbangkan reaksi keras ketika Sports Illustrated terpapar karena menerbitkan artikel yang ditulis oleh penulis yang dibuat dengan AI atau ketika Uber Eats ditegur karena menggunakan gambar makanan yang dibuat dengan AI.

Terlepas dari risikonya, bayangan AI menjadi lebih umum karena beberapa alasan. Organisasi menyambut transformasi digital dengan baik, yang memperluas ke integrasi teknologi AI untuk menata ulang alur kerja dan pengambilan keputusan. 

Berkembangnya alat bantu AI yang mudah digunakan berarti karyawan dapat dengan mudah mengakses solusi AI yang canggih untuk meningkatkan kemampuan mereka. Banyak aplikasi AI tersedia sebagai produk perangkat lunak sebagai layanan (SaaS), memungkinkan individu untuk dengan cepat mengadopsi alat ini tanpa harus melibatkan tim atau keamanan. Melalui demokratisasi AI, karyawan menemukan cara baru untuk:

• Meningkatkan produktivitas: Karyawan sering kali menggunakan alat bantu AI bayangan untuk meningkatkan produktivitas dan menghindari inefisiensi operasional. Dengan menggunakan aplikasi gen AI, individu dapat mengotomatiskan tugas-tugas yang berulang, menghasilkan konten dengan cepat, dan merampingkan proses yang seharusnya memakan waktu lebih lama.
• Mempercepat inovasi: Bayangan AI dapat menumbuhkan budaya inovasi, memungkinkan tim untuk bereksperimen dengan alat AI baru tanpa menunggu persetujuan resmi. Kelincahan ini dapat menghasilkan solusi kreatif dan alur kerja yang lebih baik, memberikan keunggulan kompetitif bagi organisasi di pasar yang berubah dengan cepat.
• Menyederhanakan solusi: Seringkali, bayangan AI memungkinkan tim untuk mengatasi tantangan secara real-time. Karyawan dapat menemukan solusi ad hoc dengan cepat menggunakan alat bantu AI yang tersedia, daripada mengandalkan metode tradisional yang lebih lambat. Responsivitas ini dapat meningkatkan layanan pelanggan dan meningkatkan efisiensi operasional.

Shadow AI terwujud dalam berbagai cara di seluruh organisasi, sering kali didorong oleh kebutuhan akan efisiensi dan inovasi. Contoh umum AI bayangan meliputi chatbot yang didukung AI, model ML untuk analisis data, alat otomatisasi pemasaran, dan alat visualisasi data.

Dalam layanan pelanggan, tim mungkin beralih ke chatbot AI yang tidak sah untuk menghasilkan jawaban atas pertanyaan. Misalnya, perwakilan layanan pelanggan mungkin mencoba menjawab pertanyaan pelanggan dengan meminta jawaban kepada chatbot alih-alih melihat materi yang disetujui perusahaan. Hal ini dapat mengakibatkan pesan yang tidak konsisten atau salah, potensi miskomunikasi dengan pelanggan, dan risiko keamanan jika pertanyaan perwakilan berisi data sensitif perusahaan.

Karyawan mungkin menggunakan model machine learning eksternal untuk menganalisis dan menemukan pola dalam data perusahaan. Meskipun alat ini dapat menghasilkan insight berharga, penggunaan layanan AI yang tidak sah dapat menciptakan kerentanan keamanan. Sebagai contoh, seorang analis dapat menggunakan model perilaku prediktif untuk lebih memahami perilaku pelanggan dari kumpulan data, tanpa disadari mengekspos informasi sensitif dalam prosesnya.

Tim pemasaran mungkin berusaha untuk mengoptimalkan kampanye menggunakan alat AI bayangan, yang dapat mengotomatiskan upaya pemasaran email atau menganalisis data keterlibatan media sosial. Penggunaan alat-alat ini dapat mengarah pada peningkatan hasil pemasaran. Namun, tidak adanya tata kelola dapat mengakibatkan ketidakpatuhan terhadap standar perlindungan data, terutama jika data pelanggan salah ditangani.

Banyak organisasi menggunakan alat visualisasi data yang didukung AI untuk membuat peta panas, diagram garis, diagram batang, dan banyak lagi dengan cepat. Alat-alat ini dapat membantu meningkatkan kecerdasan bisnis dengan menampilkan hubungan dan insight data yang kompleks dengan cara yang mudah dipahami. Namun, memasukkan data perusahaan tanpa persetujuan IT dapat menyebabkan ketidakakuratan dalam pelaporan dan potensi masalah keamanan data.

Untuk mengelola risiko AI bayangan, organisasi mungkin mempertimbangkan beberapa pendekatan yang mendorong penggunaan AI yang bertanggung jawab dan menyadari perlunya fleksibilitas dan inovasi:

Dialog terbuka antara departemen IT, tim keamanan, dan unit bisnis dapat memfasilitasi pemahaman yang lebih baik tentang kemampuan dan keterbatasan AI. Budaya kolaborasi dapat membantu organisasi mengidentifikasi alat bantu AI mana yang bermanfaat sekaligus membantu memastikan kepatuhan terhadap protokol perlindungan data.

Kerangka kerja tata kelola dapat mengakomodasi sifat adopsi AI yang serba cepat sambil mempertahankan langkah-langkah keamanan. Kerangka kerja ini dapat mencakup pedoman yang jelas tentang jenis sistem AI mana yang dapat digunakan, bagaimana informasi sensitif harus ditangani dan pelatihan apa yang dibutuhkan karyawan mengenai etika dan kepatuhan.

Pagar pembatas di sekitar penggunaan AI dapat memberikan jaring pengaman, membantu memastikan bahwa karyawan hanya menggunakan alat yang disetujui dalam parameter yang ditentukan. Pagar pembatas dapat mencakup kebijakan mengenai penggunaan AI eksternal, lingkungan sandbox untuk menguji aplikasi AI atau firewall untuk memblokir platform eksternal yang tidak sah.

Mungkin sulit untuk menghilangkan semua bayangan AI. Oleh karena itu, organisasi bisa menerapkan alat pemantauan jaringan untuk melacak penggunaan aplikasi dan membuat kontrol akses untuk membatasi perangkat lunak yang tidak disetujui. Audit rutin dan pemantauan aktif terhadap saluran komunikasi juga dapat membantu mengidentifikasi jika, dan bagaimana, aplikasi yang tidak sah digunakan.

Lingkungan AI bayangan terus berkembang, menghadirkan tantangan baru bagi organisasi. Perusahaan dapat membuat komunikasi reguler, seperti buletin atau pembaruan kuartal, untuk memberi tahu karyawan tentang bayangan AI dan risiko terkait.

Dengan meningkatkan kesadaran akan implikasi penggunaan alat AI yang tidak sah, organisasi dapat menumbuhkan budaya penggunaan AI yang bertanggung jawab. Pemahaman ini dapat mendorong karyawan untuk mencari alternatif yang disetujui atau berkonsultasi dengan bagian IT sebelum menerapkan aplikasi baru.