- Survei terbaru menyoroti ketidaksiapan perusahaan dalam manajemen risiko keamanan siber pihak ketiga.
VISI.NEWS | BANDUNG – Sebuah survei yang dirilis awal tahun ini menemukan bahwa hanya sedikit perusahaan yang menganggap ancaman keamanan siber pihak ketiga cukup serius sehingga mereka telah memiliki solusi manajemen risiko yang memadai. Meskipun 94% Chief Information Security Officer (CISO) mengkhawatirkan ancaman keamanan siber pihak ketiga – termasuk 17% yang memandangnya sebagai prioritas utama – hanya 3% yang sudah menerapkan solusi manajemen risiko siber pihak ketiga di organisasi mereka, dan 33% berencana menerapkannya tahun ini.
Panorays: Mengungkap Masalah Keamanan Jaringan
Perusahaan perangkat lunak manajemen risiko keamanan, Panorays, memberikan pencerahan baru tentang memburuknya masalah keamanan jaringan yang disebabkan oleh para pekerja. Ancaman internal ini terjadi ketika karyawan menggunakan jaringan organisasi mereka untuk bereksperimen dengan AI generatif dan alat AI lainnya.
Berdasarkan penelitian, 65% CISO memperkirakan anggaran manajemen risiko siber pihak ketiga akan meningkat. Dari responden tersebut, 40% mengatakan anggaran mereka akan meningkat dari 1% menjadi 10% tahun ini. Laporan tersebut juga mengungkapkan bahwa CISO di perusahaan besar (73%) lebih khawatir terhadap ancaman keamanan siber pihak ketiga dibandingkan perusahaan skala menengah (47%). Hanya 7% CISO yang mengatakan mereka tidak khawatir sama sekali.
Matan Or-El: Pentingnya Langkah Proaktif
“CISO memahami ancaman kerentanan keamanan siber pihak ketiga, namun terdapat kesenjangan antara kesadaran ini dan penerapan langkah-langkah proaktif,” kata CEO Panorays, Matan Or-El. Dia memperingatkan bahwa memberdayakan CISO untuk memperkuat pertahanan dengan menganalisis dan mengatasi kesenjangan secara cepat sangatlah penting dalam menavigasi lanskap dunia maya saat ini. Dengan pesatnya perkembangan AI, pelaku kejahatan akan terus memanfaatkan teknologi ini untuk melakukan pelanggaran data, gangguan operasional, dan banyak lagi.
Tantangan yang Terabaikan Meningkatkan Risiko Keamanan Siber
Tantangan utama yang dihadapi CISO dalam memperbaiki masalah manajemen risiko pihak ketiga adalah kepatuhan terhadap peraturan baru untuk manajemen risiko pihak ketiga, menurut 20% CISO yang merespons survei ini.
Mayoritas CISO yakin bahwa solusi AI dapat meningkatkan manajemen keamanan pihak ketiga. Namun, pakar siber lain yang tidak dirujuk dalam laporan Panorays berpendapat bahwa AI masih terlalu baru untuk memberikan solusi tersebut secara andal.
Tantangan yang Dihadapi CISO:
- Mengkomunikasikan pengaruh bisnis manajemen risiko pihak ketiga: 19%
- Tidak cukup sumber daya untuk mengelola risiko dalam rantai pasokan yang sedang berkembang: 18%
- Pelanggaran pihak ketiga berbasis AI meningkat: 17%
- Tidak ada visibilitas terhadap penggunaan Shadow IT di perusahaan mereka: 16%
- Memprioritaskan upaya penilaian risiko berdasarkan kekritisan: 10%
“Menghadapi perubahan peraturan dan meningkatnya risiko siber pihak ketiga adalah hal yang terpenting,” lanjut Or-El. “Meskipun terdapat keterbatasan sumber daya dan meningkatnya pelanggaran terkait AI, peningkatan alokasi anggaran untuk manajemen risiko siber merupakan langkah positif ke arah yang benar.”
Jason Casey: Mengurangi Risiko Keamanan Pihak Ketiga
Jason Casey, CEO perusahaan keamanan siber Beyond Identity, setuju bahwa akses terhadap alat AI dapat membuat perusahaan terkena serangan canggih. Alat-alat ini dapat dimanipulasi untuk mengungkap informasi hak milik atau berfungsi sebagai titik masuk ancaman siber.
“Sifat model AI yang bersifat probabilistik berarti mereka dapat ditipu untuk melewati langkah-langkah keamanan, menyoroti pentingnya praktik keamanan yang ketat dan perlunya alat AI yang memprioritaskan privasi dan perlindungan data,” katanya kepada TechNewsWorld. Casey menambahkan bahwa Shadow IT, khususnya penggunaan alat AI yang tidak sah, secara signifikan melemahkan upaya keamanan siber organisasi. Hal ini meningkatkan risiko pelanggaran data dan mempersulit respons insiden dan upaya kepatuhan.
“Untuk mengatasi tantangan yang ditimbulkan oleh IT bayangan, organisasi harus mendorong transparansi, memberikan alternatif yang aman terhadap alat AI yang populer, dan menerapkan kebijakan yang ketat namun dapat disesuaikan yang memandu penggunaan AI dalam perusahaan,” ujarnya.
Organisasi dapat mengelola risiko yang terkait dengan teknologi tidak sah ini dengan lebih baik dengan mengatasi akar penyebab TI bayangan, seperti kurangnya alat yang tersedia dan disetujui untuk memenuhi kebutuhan karyawan. CISO harus menyediakan solusi AI yang aman dan disetujui untuk memitigasi risiko kebocoran informasi. Mereka dapat mengurangi ketergantungan pada aplikasi AI eksternal yang kurang aman dengan menawarkan alat AI internal yang menghormati privasi dan integritas data.
Menyeimbangkan Inovasi dan Keamanan
Meskipun formula untuk memperbaikinya mungkin terdengar sederhana, namun mewujudkannya adalah salah satu kendala terbesar yang dihadapi CISO saat ini. Di antara tantangan yang paling berat adalah pesatnya kemajuan teknologi dan taktik inovatif yang digunakan oleh musuh dunia maya.
“Menyeimbangkan dorongan untuk berinovasi dengan kebutuhan akan langkah-langkah keamanan yang komprehensif, terutama dalam menghadapi perkembangan teknologi AI dan fenomena TI bayangan, memerlukan kewaspadaan dan kemampuan beradaptasi yang terus-menerus. Selain itu, mengatasi kelelahan keamanan di kalangan karyawan dan mendorong postur keamanan yang proaktif masih menjadi tantangan besar,” kata Casey.
Peningkatan paling signifikan dalam penggunaan dan adopsi gen AI dan alat AI lainnya terjadi di sektor-sektor yang memperoleh manfaat dari analisis data, otomatisasi, dan peningkatan proses pengambilan keputusan. Ini termasuk keuangan, layanan kesehatan, dan teknologi.
“Peningkatan ini memerlukan pemahaman yang lebih mendalam mengenai manfaat dan risiko AI, dan mendesak organisasi untuk mengadopsi praktik AI yang aman dan etis secara proaktif,” katanya.
Mengurangi Risiko Paparan IT Bayangan
Para pemimpin TI harus memprioritaskan pembentukan pelatihan keamanan yang berpusat pada AI, menurut Casey. Pekerja perlu menyadari bahwa setiap interaksi dengan AI berpotensi melatih model intinya. Dengan menerapkan autentikasi anti-phishing, organisasi dapat beralih dari pelatihan keamanan phishing tradisional menjadi mendidik karyawan tentang penggunaan alat AI yang benar. Fokus pada pendidikan ini akan membentuk pertahanan yang kuat terhadap pelanggaran data yang tidak disengaja dan memberikan titik awal yang baik untuk melakukan pertahanan terhadap serangan siber pihak ketiga.
Tindak lanjut yang bermanfaat bagi CISO adalah mengembangkan kebijakan dinamis yang memperhitungkan sifat alat AI yang terus berkembang dan risiko keamanan yang terkait. Kebijakan harus membatasi masukan rahasia dan hak milik ke layanan AI publik, sehingga mengurangi risiko terungkapnya rincian ini.
“Selain itu, kebijakan-kebijakan ini harus adaptif, ditinjau secara berkala, dan diperbarui agar tetap efektif dalam menghadapi ancaman baru,” kata Casey. “Dengan memahami dan membuat undang-undang yang melarang penyalahgunaan AI, termasuk potensi jailbreak, CISO dapat melindungi organisasi mereka dari ancaman yang muncul.”
@uli/technewsworld.com