.png)
Meskipun kita tidak selalu menyadarinya, kecerdasan buatan kini ada di sekitar kita. Kita sudah terbiasa dengan sistem rekomendasi yang dipersonalisasi dalam e-commerce, chatbot layanan pelanggan yang didukung oleh AI percakapan, dan masih banyak lagi. Dalam bidang keamanan informasi, kita telah mengandalkan filter spam bertenaga AI selama bertahun-tahun untuk melindungi kita dari email berbahaya.
Itu semua adalah kasus penggunaan yang sudah mapan. Namun, sejak kebangkitan AI generatif yang pesat dalam beberapa tahun terakhir, mesin telah mampu melakukan lebih banyak hal. Dari deteksi ancaman hingga otomatisasi respons insiden hingga pengujian kesadaran karyawan melalui email phishing yang disimulasikan , peluang AI dalam keamanan siber tidak terbantahkan.
Namun, setiap peluang baru akan disertai risiko baru. Para pelaku ancaman kini menggunakan AI untuk meluncurkan serangan phishing yang semakin meyakinkan dalam skala yang sebelumnya tidak mungkin dilakukan. Untuk tetap unggul dalam menghadapi ancaman, mereka yang berada di garis pertahanan juga membutuhkan AI , tetapi penggunaannya harus transparan dan berfokus pada etika untuk menghindari taktik gray-hat.
Sekaranglah saatnya bagi para pemimpin keamanan informasi untuk mengadopsi strategi AI yang bertanggung jawab.
Menyeimbangkan privasi dan keamanan dalam alat keamanan bertenaga AI
Kejahatan adalah masalah manusia, dan kejahatan dunia maya tidak berbeda. Teknologi, termasuk AI generatif, hanyalah alat lain dalam gudang senjata penyerang. Perusahaan yang sah melatih model AI mereka pada sejumlah besar data yang diambil dari internet. Model-model ini tidak hanya sering dilatih berdasarkan upaya kreatif jutaan orang sungguhan — ada juga kemungkinan mereka mengumpulkan informasi pribadi yang berakhir di domain publik, baik sengaja maupun tidak sengaja. Akibatnya, beberapa pengembang model AI terbesar kini menghadapi tuntutan hukum, sementara industri secara umum menghadapi perhatian yang semakin besar dari regulator.
Meskipun pelaku kejahatan siber tidak terlalu peduli dengan etika AI, perusahaan yang sah dapat dengan mudah melakukan hal yang sama tanpa disadari. Misalnya, alat pengikisan web dapat digunakan untuk mengumpulkan data pelatihan guna membuat model untuk mendeteksi konten phishing. Namun, alat ini mungkin tidak dapat membedakan antara informasi pribadi dan informasi anonim — terutama dalam kasus konten gambar. Set data sumber terbuka seperti LAION untuk gambar atau The Pile untuk teks memiliki masalah serupa. Misalnya, pada tahun 2022, seorang seniman California menemukan bahwa foto medis pribadi yang diambil oleh dokternya berakhir di set data LAION-5B yang digunakan untuk melatih penyintesis gambar sumber terbuka populer Stable Diffusion.
Tidak dapat disangkal bahwa pengembangan model AI vertikal keamanan siber yang ceroboh dapat menimbulkan risiko yang lebih besar daripada tidak menggunakan AI sama sekali. Untuk mencegah hal itu terjadi, pengembang solusi keamanan harus mempertahankan standar kualitas dan privasi data tertinggi, terutama dalam hal anonimisasi atau pengamanan informasi rahasia. Undang-undang seperti Peraturan Perlindungan Data Umum (GDPR) Eropa dan Undang-Undang Privasi Konsumen California (CCPA), meskipun dikembangkan sebelum munculnya AI generatif, berfungsi sebagai pedoman berharga untuk menginformasikan strategi AI yang etis.
Penekanan pada privasi
Perusahaan telah menggunakan pembelajaran mesin untuk mendeteksi ancaman dan kerentanan keamanan jauh sebelum munculnya AI generatif. Sistem yang didukung oleh pemrosesan bahasa alami (NLP) , analisis perilaku dan sentimen, serta pembelajaran mendalam semuanya sudah mapan dalam kasus penggunaan ini. Namun, sistem tersebut juga menghadirkan teka-teki etika di mana privasi dan keamanan dapat menjadi disiplin ilmu yang saling bersaing.
Misalnya, pertimbangkan sebuah perusahaan yang menggunakan AI untuk memantau riwayat penelusuran karyawan guna mendeteksi ancaman internal. Meskipun hal ini meningkatkan keamanan, hal ini mungkin juga melibatkan pengambilan informasi penelusuran pribadi — seperti pencarian medis atau transaksi keuangan — yang diharapkan karyawan untuk tetap bersifat pribadi.
Privasi juga menjadi perhatian dalam keamanan fisik. Misalnya, pengenalan sidik jari berbasis AI dapat mencegah akses tidak sah ke situs atau perangkat sensitif, tetapi juga melibatkan pengumpulan data biometrik yang sangat sensitif, yang jika disusupi, dapat menyebabkan masalah jangka panjang bagi individu yang bersangkutan. Lagi pula, jika data sidik jari Anda diretas, Anda tidak bisa mendapatkan jari baru. Itulah mengapa sangat penting bahwa sistem biometrik dijaga dengan keamanan maksimum dan didukung dengan kebijakan penyimpanan data yang bertanggung jawab.
Menjaga keterlibatan manusia dalam pertanggungjawaban pengambilan keputusan
Mungkin hal terpenting yang perlu diingat tentang AI adalah, seperti halnya manusia, AI dapat melakukan kesalahan dalam berbagai cara. Salah satu tugas utama dalam mengadopsi strategi AI yang etis adalah TEVV, atau pengujian, evaluasi, validasi, dan verifikasi. Hal itu terutama berlaku dalam bidang yang sangat penting seperti keamanan siber.
Banyak risiko yang menyertai AI muncul selama proses pengembangan. Misalnya, data pelatihan harus melalui TEVV menyeluruh untuk jaminan kualitas, serta untuk memastikan bahwa data tersebut tidak dimanipulasi. Hal ini penting karena keracunan data kini menjadi salah satu vektor serangan nomor satu yang digunakan oleh penjahat dunia maya yang lebih canggih.
Masalah lain yang melekat pada AI — seperti halnya pada manusia — adalah bias dan keadilan. Misalnya, alat AI yang digunakan untuk menandai email berbahaya mungkin menargetkan email yang sah karena email tersebut menunjukkan tanda-tanda bahasa sehari-hari yang umumnya dikaitkan dengan kelompok budaya tertentu. Hal ini mengakibatkan pembuatan profil yang tidak adil dan penargetan kelompok tertentu, sehingga menimbulkan kekhawatiran tentang tindakan tidak adil yang dilakukan.
Tujuan AI adalah untuk menambah kecerdasan manusia, bukan untuk menggantikannya. Mesin tidak dapat dimintai pertanggungjawaban jika terjadi kesalahan. Penting untuk diingat bahwa AI melakukan apa yang dilatihkan manusia. Karena itu, AI mewarisi bias manusia dan proses pengambilan keputusan yang buruk. Sifat "kotak hitam" dari banyak model AI juga dapat membuatnya sangat sulit untuk mengidentifikasi akar penyebab masalah tersebut, hanya karena pengguna akhir tidak diberi wawasan tentang bagaimana AI menghasilkan keputusan yang dibuatnya. Model-model ini tidak memiliki kemampuan menjelaskan yang penting untuk memperoleh transparansi dan akuntabilitas dalam pengambilan keputusan yang digerakkan oleh AI.
Tetapkan kepentingan manusia sebagai pusat pengembangan AI
Baik dalam pengembangan maupun keterlibatan dengan AI — dalam keamanan siber atau konteks lainnya — sangat penting untuk melibatkan manusia dalam proses tersebut. Data pelatihan harus diaudit secara berkala oleh tim yang beragam dan inklusif serta disempurnakan untuk mengurangi bias dan misinformasi. Meskipun manusia sendiri rentan terhadap masalah yang sama, pengawasan berkelanjutan dan kemampuan untuk menjelaskan bagaimana AI menarik kesimpulan dapat mengurangi risiko ini secara signifikan.
Di sisi lain, sekadar memandang AI sebagai jalan pintas dan pengganti manusia pasti akan menyebabkan AI berevolusi dengan caranya sendiri, dilatih berdasarkan keluarannya sendiri hingga pada titik ia hanya memperbesar kekurangannya sendiri — sebuah konsep yang dikenal sebagai penyimpangan AI.
Peran manusia dalam menjaga AI dan bertanggung jawab atas adopsi dan penggunaannya tidak dapat diremehkan. Itulah sebabnya, alih-alih berfokus pada AI sebagai cara untuk mengurangi jumlah karyawan dan menghemat uang, perusahaan harus menginvestasikan penghematan tersebut untuk melatih ulang dan mentransisikan tim mereka ke peran baru yang terkait dengan AI. Itu berarti semua profesional keamanan informasi harus mengutamakan penggunaan AI yang etis (dan dengan demikian manusia).
Comments
Post a Comment