Pemerintah mungkin perlu mengambil pendekatan yang lebih hati-hati terhadap penerapan kecerdasan buatan (AI), khususnya AI generatif (gen AI), karena tugas utama mereka adalah memproses data pribadi masyarakat. Seiring dengan terus berkembangnya teknologi AI, hal ini juga harus mencakup penguatan pertahanan siber, yang berarti inilah saatnya untuk meninjau kembali hal-hal mendasar.
Olaf Pietschner, CEO Capgemini Asia Pasifik, mengatakan dalam sebuah wawancara video bahwa organisasi sektor swasta dan publik mengkhawatirkan masalah keselamatan dan etika dalam mengadopsi kecerdasan buatan generasi baru, namun mereka memiliki ekspektasi yang lebih tinggi terhadap masalah ini.
Ditambah lagi: Risiko AI ada dimana-mana — kini MIT menambahkan semuanya ke dalam repositori
Pietschner mengatakan pemerintah kini semakin menghindari risiko dan secara implisit menetapkan standar yang lebih tinggi bagi tata kelola dan batasan yang diperlukan untuk generasi baru kecerdasan buatan. Mereka perlu memberikan transparansi mengenai cara pengambilan keputusan, katanya, namun hal ini memerlukan tingkat kejelasan dalam proses yang digerakkan oleh AI.
Akibatnya, organisasi sektor publik memiliki toleransi yang lebih rendah terhadap isu-isu seperti ilusi yang dihasilkan oleh model AI dan informasi yang salah dan tidak akurat, tambahnya.
Ini akan fokus pada pembangunan arsitektur keamanan modern, kata Frank Briguglio, ahli strategi keamanan identitas sektor publik di vendor manajemen identitas dan akses SailPoint Technologies.
Ketika ditanya perubahan apa dalam tantangan keamanan yang berarti penerapan kecerdasan buatan bagi sektor publik, Briguglio menunjukkan kebutuhan yang lebih besar untuk melindungi data dan memasukkan kontrol yang diperlukan untuk memastikan data tidak terkena gangguan dari layanan kecerdasan buatan yang mengambil pelatihan data.
Juga: Bisakah pemerintah menerjemahkan retorika keselamatan AI menjadi tindakan?
Eduarda Camacho, chief operating officer penyedia keamanan manajemen identitas CyberArk, mengatakan manajemen identitas online khususnya memerlukan perubahan paradigma. Tidak lagi cukup hanya menggunakan autentikasi multi-faktor atau mengandalkan alat keamanan asli penyedia layanan cloud, tambahnya.
Selain itu, Camacho mengatakan dalam sebuah wawancara bahwa menerapkan perlindungan yang lebih kuat untuk akun yang memiliki hak istimewa tidaklah cukup. Dia menambahkan bahwa hal ini sangat relevan dengan munculnya generasi baru kecerdasan buatan dan deepfake yang menyertainya, yang menjadikan pembentukan identitas menjadi lebih kompleks.
Selain itu: Kebanyakan orang mengkhawatirkan deepfake — dan melebih-lebihkan kemampuan mereka untuk mengenali deepfake
Seperti Camacho, Briguglio juga mendukung manfaat pendekatan yang berpusat pada identitas, yang menurutnya mengharuskan organisasi untuk memahami di mana semua data mereka berada dan mengklasifikasikannya sehingga dapat diperlakukan dari perspektif privasi dan keamanan.
Mereka juga harus bisa langsung menerapkan kebijakan pada mesin yang juga bisa mengakses data, katanya dalam wawancara video. Pada akhirnya, katanya, hal ini menyoroti peran zero trust, yang mana setiap upaya untuk mengakses jaringan atau data dianggap bermusuhan dan dapat membahayakan sistem perusahaan.
Atribut atau kebijakan yang memberikan akses perlu diverifikasi dan dikelola secara akurat, dan pengguna bisnis harus yakin terhadap atribut ini. Briguglio mencatat bahwa prinsip yang sama berlaku untuk data dan organisasi yang perlu mengetahui di mana data berada, bagaimana data tersebut dilindungi, dan siapa yang memiliki akses terhadapnya.
Juga: Para pemimpin TI khawatir akan dampak terburu-buru mengadopsi Gen AI terhadap infrastruktur teknologi
Dia menambahkan bahwa identitas harus divalidasi ulang sepanjang alur kerja atau aliran data, di mana keaslian kredensial dievaluasi ulang ketika digunakan untuk mengakses atau mentransfer data, termasuk kepada siapa data tersebut ditransfer.
Camacho mengatakan hal ini menggarisbawahi perlunya perusahaan untuk membangun kerangka manajemen identitas yang jelas, yang saat ini masih sangat terfragmentasi. Akses administratif tidak boleh berbeda hanya berdasarkan peran pengguna, katanya, sambil mendesak perusahaan untuk berinvestasi dalam strategi yang mengasumsikan setiap identitas di organisasi mereka memiliki hak istimewa.
Dia menambahkan bahwa secara hipotetis setiap identitas dapat dikompromikan, dan munculnya generasi baru kecerdasan buatan hanya akan memperburuk situasi ini. Organisasi dapat tetap menjadi yang terdepan dengan memiliki strategi keamanan yang kuat dan menerapkan manajemen perubahan internal dan pelatihan yang diperlukan, katanya.
Selain itu: Para pemimpin bisnis kehilangan kepercayaan terhadap TI, menurut penelitian dari IBM ini. itu sebabnya
Hal ini penting bagi sektor publik, terutama karena semakin banyak pemerintah yang mulai meluncurkan alat AI generasi baru ke dalam lingkungan kerja mereka.
Faktanya, survei Capgemini terhadap 1.100 eksekutif senior di seluruh dunia mengungkapkan bahwa 80% organisasi pemerintah dan sektor publik telah meningkatkan investasi pada kecerdasan buatan generasi mendatang dalam satu tahun terakhir. Sekitar 74% responden percaya bahwa teknologi ini transformatif dalam membantu mendorong pendapatan dan inovasi, dan 68% sudah melakukan beberapa uji coba AI generasi berikutnya. Namun, hanya 2% perusahaan yang telah mengaktifkan kemampuan AI generasi berikutnya di sebagian besar atau seluruh fungsi atau lokasi mereka.
Juga: Kurangnya tata kelola AI dan peta jalan yang jelas dalam adopsi perusahaan
Meskipun 98% organisasi di industri ini memperbolehkan karyawannya menggunakan kecerdasan buatan dalam kapasitas tertentu, 64% diantaranya sudah mempunyai langkah-langkah yang tepat untuk mengelola penggunaan kecerdasan buatan tersebut. Penelitian Capgemini mencatat bahwa 28% perusahaan lainnya membatasi penggunaan AI hanya untuk kelompok karyawan tertentu, dan 46% sedang mengembangkan pedoman untuk penggunaan AI generasi berikutnya secara bertanggung jawab.
Namun, ketika ditanya mengenai kekhawatiran mengenai etika AI, 74% organisasi sektor publik menyatakan kurang yakin terhadap keadilan alat gen AI, dan 56% menyatakan kekhawatiran bahwa bias dalam model gen AI dapat menyebabkan perilaku yang tidak dapat diterima ketika digunakan oleh pelanggan. Hasil yang memalukan. Sebanyak 48% responden lainnya menyoroti kurangnya kejelasan dalam data dasar yang digunakan untuk melatih aplikasi AI generasi berikutnya.
Fokus pada keamanan dan tata kelola data
Faktanya, seiring dengan semakin banyaknya layanan pemerintah yang beralih ke digital, kekhawatiran mengenai keamanan data semakin meningkat, sehingga meningkatkan risiko ancaman online.
Kementerian Pembangunan Digital dan Informasi Singapura (MDDI) mengungkapkan bulan lalu bahwa 201 insiden data terkait pemerintah terjadi pada tahun keuangan 2023, naik dari 182 yang dilaporkan pada tahun sebelumnya. Kementerian menghubungkan pertumbuhan ini dengan peningkatan penggunaan data karena semakin banyak layanan pemerintah yang didigitalkan untuk masyarakat dan dunia usaha.
Selain itu, kini semakin banyak pejabat pemerintah yang menyadari perlunya melaporkan insiden, yang menurut MDDI dapat menyebabkan peningkatan insiden data.
Juga: Demam emas Kecerdasan Buatan membuat keamanan dan kebersihan data dasar menjadi penting
Dalam pembaruan tahunannya mengenai upaya sektor publik Singapura untuk melindungi data pribadi, MDDI mengatakan 24 tindakan telah diterapkan dalam setahun terakhir dari April 2023 hingga Maret 2024. Sebuah fitur baru yang menganonimkan 20 juta dokumen dan mendukung lebih dari 20 kasus penggunaan kecerdasan buatan di sektor publik.
Alat Perlindungan Kehilangan Data (DLP) milik pemerintah, yang dirancang untuk mencegah hilangnya data rahasia atau sensitif secara tidak sengaja dari jaringan dan perangkat pemerintah, telah ditingkatkan lebih lanjut.
Semua sistem pemerintahan yang memenuhi syarat kini juga menggunakan alat manajemen akun pusat yang secara otomatis menghapus akun pengguna yang tidak lagi diperlukan, kata MDDI. Hal ini mengurangi risiko akses tidak sah oleh pensiunan pejabat serta pelaku ancaman yang menggunakan akun tidak aktif untuk mengeksploitasi kerentanan.
Juga: Panduan keamanan memberikan perlindungan data lapisan pertama yang diperlukan untuk demam emas AI
Pietschner mengatakan seiring dengan semakin populernya layanan digital, risiko yang ditimbulkan oleh paparan data, pengawasan manusia, atau pelanggaran keamanan teknis semakin meningkat. Ketika terjadi masalah, seperti terungkapnya pemadaman CrowdStrike, organisasi berupaya mendorong inovasi lebih cepat dan mengadopsi teknologi lebih cepat, katanya.
Hal ini menyoroti pentingnya penggunaan alat-alat TI terkini dan penerapan strategi manajemen patch yang kuat, jelasnya, seraya mencatat bahwa teknologi lama yang belum di-patch tetap menjadi risiko terbesar bagi bisnis.
Briguglio lebih lanjut menambahkan bahwa hal ini juga menunjukkan perlunya mematuhi prinsip-prinsip dasar. Dia mengatakan patch keamanan dan perubahan pada inti tidak boleh diluncurkan tanpa pengujian regresi atau pengujian di sandbox terlebih dahulu.
Ditambah lagi: Para pemimpin TI khawatir akan dampak terburu-buru mengadopsi Gen AI terhadap infrastruktur teknologi
Pietschner menambahkan bahwa kerangka tata kelola yang memandu bagaimana organisasi merespons ketika terjadi insiden data juga sama pentingnya. Misalnya, ia mengatakan organisasi sektor publik harus transparan dan mengungkap pelanggaran sehingga masyarakat tahu kapan data pribadi mereka terekspos.
Kerangka tata kelola juga harus diterapkan untuk aplikasi AI generasi baru, katanya. Hal ini harus mencakup kebijakan untuk memandu karyawan dalam mengadopsi alat Gen AI.
Namun, 63% organisasi sektor publik belum memutuskan struktur tata kelola untuk rekayasa perangkat lunak, menurut studi lain yang dilakukan Capgemini terhadap 1.098 eksekutif senior dan 1.092 profesional perangkat lunak di seluruh dunia.
Meskipun demikian, 88% profesional perangkat lunak di industri ini menggunakan setidaknya satu alat AI generasi berikutnya yang tidak diizinkan atau didukung secara resmi oleh organisasi mereka. Capgemini mencatat, angka ini merupakan yang tertinggi di antara seluruh vertikal industri yang disurvei dalam studi global tersebut.
Pietschner mengatakan hal ini menunjukkan bahwa tata kelola pemerintahan sangatlah penting. Jika pengembang menggunakan alat kecerdasan buatan yang tidak sah, mereka dapat secara tidak sengaja mengekspos materi internal yang seharusnya dilindungi, katanya.
Ia mencatat bahwa beberapa pemerintah telah menciptakan model AI yang disesuaikan untuk menambah lapisan kepercayaan dan memungkinkan mereka memantau penggunaannya. Hal ini memastikan karyawan hanya menggunakan alat AI resmi – melindungi data yang digunakan.
Juga: Seiring dengan meningkatnya minat terhadap kecerdasan buatan, transparansi menjadi sangat kurang
Terlebih lagi, katanya, organisasi sektor publik dapat menghilangkan bias atau ilusi apa pun dari model AI dan harus menerapkan perlindungan yang diperlukan untuk memitigasi risiko model tersebut menghasilkan respons yang bertentangan dengan nilai atau niat pemerintah.
Ia menambahkan, strategi zero trust lebih mudah diterapkan di sektor publik yang memiliki tingkat standardisasi lebih tinggi. Misalnya, sering kali terdapat layanan pemerintah yang dibagikan dan proses pengadaan yang terstandarisasi, yang mempermudah penerapan kebijakan zero-trust.
Pada bulan Juli, Singapura mengumumkan rencana untuk mengeluarkan pedoman teknis dan memberikan “langkah-langkah praktis” untuk meningkatkan keamanan alat dan sistem kecerdasan buatan. Pemerintah mengatakan panduan sukarela ini dimaksudkan sebagai referensi bagi para profesional keamanan siber yang ingin meningkatkan keamanan alat kecerdasan buatan, dan dapat diadopsi bersamaan dengan proses keamanan yang ada untuk mengatasi potensi risiko dalam sistem kecerdasan buatan.
JUGA: Bagaimana Singapura dapat menciptakan AI yang lebih inklusif
Briguglio mengatakan Gen AI berkembang pesat dan semua orang belum sepenuhnya memahami kekuatan sebenarnya dari teknologi dan cara menggunakannya. Laporan ini menyerukan organisasi-organisasi yang berencana menggunakan kecerdasan buatan dalam proses pengambilan keputusan, termasuk di sektor publik, untuk memastikan adanya pengawasan dan tata kelola manusia dalam mengelola akses dan data sensitif.
“Saat kita membangun dan mematangkan sistem ini, kita perlu yakin bahwa kendali kita terhadap kecerdasan buatan cukup untuk mencapai tujuan yang ingin kita lindungi,” katanya. “Kita perlu mengingat dasar-dasarnya.”
Namun, Eric Trexler, kepala operasi sektor publik AS di Para Alto Networks, mengatakan bahwa jika digunakan dengan benar, kecerdasan buatan dapat bekerja dengan manusia untuk bertahan lebih baik dari musuh yang menggunakan alat kecerdasan buatan yang sama dalam serangan.
Ditambah lagi: Kecerdasan buatan mengubah keamanan siber, dan perusahaan harus mewaspadai ancaman tersebut
Kesalahan bisa saja terjadi sehingga diperlukan check and balances yang tepat. Trexler merinci dalam wawancara videonya bahwa jika dilakukan dengan benar, kecerdasan buatan akan membantu organisasi mengimbangi kecepatan dan volume ancaman online.
Mengingat pengalamannya sebelumnya mengelola tim yang melakukan analisis malware, dia mengatakan otomatisasi memberikan kecepatan untuk mengimbangi musuh. “Kami hanya kekurangan orang, dan ada tugas-tugas yang bisa dilakukan mesin dengan lebih baik,” ujarnya.
Ia mengatakan bahwa alat kecerdasan buatan, termasuk gen AI, dapat membantu “menemukan jarum di tumpukan jerami,” yang sulit dilakukan manusia ketika jumlah insiden dan peringatan keamanan mencapai jutaan setiap hari. Dia menambahkan bahwa AI dapat mencari penanda atau indikator di berbagai sistem multifaset yang mengumpulkan data dan membuat ringkasan peristiwa yang kemudian dapat ditinjau oleh manusia.
Ditambah: Kecerdasan Buatan, Kecemasan Nyata: Mengapa Kita Tidak Bisa Berhenti Khawatir dan Mencintai Kecerdasan Buatan
Trexler juga menekankan pentingnya menyadari bahwa masih ada kemungkinan yang salah dan menetapkan kerangka kerja yang diperlukan (termasuk tata kelola, kebijakan, dan pedoman) untuk memitigasi risiko tersebut.