Bisa dibilang setidaknya terdapat dua cyber security risk alias risiko keamanan siber dari generative AI (artificial intelligence) yang belakangan sedang ramai-ramainya digunakan maupun diperbincangkan. Kedua cyber security risk yang dimaksud adalah data leak dan phishing. Selain meningkatkan kesadaran dari karyawannya, organisasi juga bisa menekan risiko dari generative AI bersangkutan dengan menggunakan DLP (Data Loss Prevention). Hal tersebut diungkapkan Menlo Security ketika berdiskusi dengan sejumlah media tanah air belum lama ini di Jakarta.
AI, termasuk generative AI antara lain bisa membantu meningkatkan produktivitas karyawan. Seperti yang disampaikan InfoKomputer di sini, berdasarkan Microsoft Work Trend Index 2023, 75% responden di Indonesia akan mendelegasikan sebanyak mungkin pekerjaan kepada AI untuk meringankan beban kerja mereka. Tidak hanya karyawan, pengguna lain juga juga tak sedikit yang menggunakan generative AI alias AI generatif untuk meningkatkan produktivitasnya. Tak heran ChatGPT, salah satu generative AI populer, berhasil memliki pengguna sekitar 100 juta di dunia hanya dalam waktu dua bulan setelah peluncurannya.
“Jadi, melihat perihal generative AI, saya yakin kalian telah menulis berbagai artikel mengenainya, adalah sedang sangat populer. Kenapa? Ia membuat kita produktif, bukan? Jadi, kalian tahu, saya punya seorang putri yang butuh untuk menulis sebuah esai dan saya bilang pergi tulis di ChatGPT dulu, baru kemudian kamu bisa mempersonalisasinya. Jadi, jadi memiliki dampak, dampak yang sangat besar dalam produktivitas kita,” kata Poornima DeBolle (EVP, Chief Product Officer, dan Co-founder, Menlo Security).
“Jika kalian melihat pada, saya pikir kami sebelumnya melihat pada angka statistik dalam riset Microsoft, 78% dari, kalian tahu para profesional, seperti dalam pemasaran, layanan pelanggan, saya yakin kalian bisa menggunakannya dalam, dalam suatu cara yang besar juga, 78% dari orang hendak mendelegasikan, melengkapi pekerjaan mereka ke suatu platform generative AI, jadi meningkatkan produktivitas kalian,” sebut Poornima DeBolle lebih lanjut.
Data Leak dan Phishing
Generative AI seperti ChatGPT misalnya bisa digunakan karyawan untuk meringkas suatu hasil rapat maupun dokumen lain, melakukan debugging, dan membuat surat. Namun, agar generative AI bisa meringkas dokumen atau bisa melakukan debugging, karyawan yang memakainya tentu perlu untuk memberikan terlebih dahulu dokumen yang hendak diringkas atau kode program yang ingin di-debug itu kepada sang generative AI.
Di sinilah risiko data leak alias kebocoran data yang disebutkan Menlo Security tadi. Pasalnya, karyawan dapat memasukkan data yang bersifat rahasia yang seharusnya tidak boleh dibagi ke pihak lain — di luar organiasi. Karyawan contohnya bisa membagikan dokumen dan kode program yang merupakan rahasia organisasi ke generative AI yang dimaksud. Sang generative AI pun dapat menyimpan data tersebut dan menggunakannya untuk meningkatkan kemampuannya.
Masih ingat kasus Samsung dengan ChatGPT? Seperti yang dituliskan di sini, para karyawan Samsung dikabarkan “secara tidak sengaja” memberikan ke ChatGPT berbagai data yang bersifat rahasia. Mereka membagikannya karena menggunakan ChatGPT antara lain untuk meringkas hasil rapat dan melakukan debugging. ChatGPT pada kolom FAQ (frequently asked question) -nya mengatakan pula penguna sebaiknya tidak membagikan data sensitif kepadanya. Memang ada opsi bagi pengguna untuk meminta menghapus datanya, tetapi tidak diketahui apakah mencakup pengetahuan yang telah dipelajari ChatGPT atau tidak.
“Bagaimana kalian yang sudah belajar berenang menghilangkan pengetahuan berenang tersebut? Bagaimana kalian yang sudah belajar berjalan menghilangkan pengetahuan berjalan tersebut? Bukan, bukan seperti besok kalian bisa menghilangkan pengetahuan cara bangun pagi, cara pergi ke toilet kan, hal-hal seperti itu,” jelas Stephanie Boo (SVP - International Sales, APAC & EMEA, Menlo Security).
“Dan itu tepatnya yang membuat AI bertenaga, karena ia seharusnya berpikir juga seperti seorang, seorang manusia, Anda tahu, dalam, dalam asumsi sebelumnya, dan ketika informasi benar-benar pergi ke dalam mesin AI, ia, Anda tahu, mencerna seperti halnya yang Anda akan lakukan dengan berbagai informasi lain, yang sungguh-sungguh mustahil sejauh ini untuk benar-benar bisa menghilangkan pengetahuan yang telah dipelajari atau semacam mencabut atau menghilangkan informasi dari mesin AI,” papar Stephanie Boo lagi.
Sementara, untuk risiko phishing adalah sedikit berbeda. Di sini, para cybercriminal alias penjahat siberlah yang memanfaatkan generative AI. Mereka menggunakannya untuk melakukan phishing yang lebih baik. Mereka misalnya bisa menggunakan generative AI dalam membuat surat dengan kandungan yang lebih baik untuk dipakai mengelabui calon korbannya. Surat dengan kandungan lebih baik sewajarnya akan lebih besar kemungkinannya untuk dipercaya.
E-mail phishing selama ini tak jarang mengandung kalimat dengan ejaan dan tata bahasa yang memiliki banyak kesalahan. Walau sebagian pihak mengatakan hal itu disengaja untuk mengelabui cyber security yang dipakai, Menlo Security menilai para cybercriminal bisa memanfaatkan generative AI dan membuat e-mail untuk phishing dengan ejaan serta tata bahasa yang bagus sehingga berpeluang lebih besar mengelabui karyawan yang menjadi calon korbannya.
Meningkatkan Kesadaran dan Menggunakan DLP
Seperti cyber security risk lainnya, salah satu cara untuk menekan kedua cyber security risk yang telah disebutkan adalah meningkatkan kesadaran karyawan. Karyawan misalnya bisa diberikan edukasi maupun pelatihan agar tidak memberikan data yang bersifat rahasia dan tidak boleh dibagikan ke pihak lain ke generative AI yang digunakan. Begitu pula dengan cara-cara untuk memastikan kesahihan suatu e-mail.
Tentunya kedua cyber security risk ini juga berlaku bagi pengguna pribadi. Pengguna pribadi juga bisa membagikan data rahasia yang seharusnya tidak dibagikan ke pihak lain ke generative AI. Begitu pula halnya dengan terkena phishing. Seperti karyawan, pengguna pribadi pun bisa meningkatkan kesadaran akan kedua cyber security risk tersebut untuk menekannya.
Selain itu, organisasi juga sebaiknya menggunakan DLP. DLP merupakan suatu produk cyber security yang bisa mencegah data sensitif alias data rahasia organisasi untuk dibagikan ke luar dari organisasi. Menlo Security menyebutkan DLP terletak antara pengguna — dalam hal ini karyawan — dan internet. DLP menginspeksi data dari karyawan suatu organisasi yang dikirimkan karyawan bersangkutan ke internet. DLP yang ditawarkan oleh Menlo Security adalah berupa SaaS (software as a service).
Menlo Security memastikan pula bahwa DLP yang ditawarkannya bisa menginspeksi seluruh data dari karyawan ke internet yang dimaksud, termasuk yang dienkripsi, berhubung memanfaatakan pendekatan yang berbasiskan isolasi. Dengan DLP dari Menlo Security, andai ada karyawan yang melanggar kebijakan organisasi dengan membagikan data organisasi yang bersifat rahasia ke internet, misalnya ke ChatGPT, pergerakan data yang dimaksud akan dihentikan sehingga tidak akan terjadi data leak.
Hal serupa juga berlaku bila karyawan itu berhasil dikelabui oleh phishing untuk membagikan data rahasia organisasi ke cybercriminal via internet. Bersama produk cyber security Menlo Security lainnya, Menlo Security pun menegaskan dapat menekan risiko phishing berhasil mencapai/mengelabui karyawan.