AI Membuat Penipu dan Hacker Lebih Canggih, Zero Trust Jadi Jawaban

Tren adopsi kecerdasan buatan (AI) telah mengubah cara dunia bekerja, termasuk bagaimana para peretas atau hacker melakukan serangan. Dari email phishing yang terlihat seperti dari rekan kerja hingga panggilan telepon yang terdengar mirip anggota keluarga, AI menjadi pedang bermata dua di ruang siber.

AI membuat proses peretasan menjadi lebih cepat. Jika pada 2021 rata-rata peretas butuh sembilan hari untuk mengekstraksi data, kini menjadi kurang dari satu jam. “AI membuat ancaman 100 kali lebih cepat,” kata Principal Architect for Government and Critical Infrastructure, Asia Pacific & Japan, Palo Alto Networks Tom Scully.

Jumlah serangan siber juga meningkat. Data Badan Siber dan Sandi Negara atau BSSN menunjukkan ada 3,64 miliar serangan siber atau anomali traffic sepanjang Januari – Juli 2025. Jumlahnya hampir menyamai total selama lima tahun terakhir.

Kini, tantangan utama bukan lagi sekadar memperbarui antivirus, tetapi membangun sistem pertahanan untuk mengimbangi kecepatan pelaku kejahatan siber berbasis AI. Infrastruktur penting seperti jaringan listrik hingga air juga menghadapi risiko baru, karena banyak sistem operasional masih berbasis teknologi lama.

Palo Alto Networks menilai bahwa pendekatan zero trust, yakni tidak mempercayai siapa pun atau sistem apa pun secara default, menjadi dasar untuk membangun pertahanan masa depan. “Masalah keamanan klasik kini muncul lagi dalam konteks AI, tapi dalam skala jauh lebih besar,” ujar Scully.

Untuk memahami lanskap ancaman baru ini, redaksi berbincang dengan Tom Scully tentang bagaimana AI menjadi enabler serangan siber, sekaligus alat paling efektif untuk melawannya. Ia juga berbagi pandangan tentang pentingnya pendidikan dan literasi AI di Indonesia, agar masyarakat dan perusahaan lebih siap menghadapi era ketika batas antara inovasi dan risiko semakin tipis.

Berikut wawancara lengkap dengan Tom Scully:

Bagaimana Anda melihat tren adopsi AI menjadi enabler serangan siber, terutama di Indonesia? Apakah AI menjadi tantangan baru?

Mungkin, bukan ancaman baru dari AI, melainkan tantangan yang bermuara pada prinsip keamanan fundamental yang sama (sejak dulu ada) yakni ‘siapa, mengakses data apa, untuk alasan apa’. Jadi, tetap harus memverifikasi dan melakukan inspeksi keamanan secara menyeluruh.

Di Palo Alto, kami melakukan prinsip zero trust architecture (ZTA) itu. Kami baru saja mengumumkan serangkaian kemampuan baru yang dirancang untuk mengamankan seluruh siklus hidup AI, mulai dari pengembangan hingga penerapan.

Fitur-fitur ini bukan sekadar tambahan, melainkan sesuatu yang benar-benar perlu diadopsi dan diterapkan secara menyeluruh. Hal ini mencakup berbagai pertanyaan penting, misalnya jika organisasi memiliki data sensitif, bagaimana cara yang tepat untuk memberikannya kepada model AI? Apakah data ini memang perlu diberikan kepada model AI? Mana data yang boleh dibagikan, dan tidak?

Selain itu, keamanan menyangkut operasi dan konsistensi model AI itu sendiri. Misalnya, apakah model AI itu benar-benar bekerja sesuai dengan yang diharapkan? Apakah AI tetap beroperasi dengan aman dari waktu ke waktu? Bagaimana memastikan data yang digunakan tidak terkontaminasi atau ‘diracuni’ oleh pihak tak bertanggung jawab?

Semua pertanyaan ini mencerminkan tantangan klasik dalam dunia keamanan data, yang kini muncul kembali dalam konteks teknologi AI. Artinya, masalah keamanan yang dulu dihadapi dalam sistem tradisional, kini harus dihadapi lagi, namun dalam skala dan kompleksitas yang jauh lebih besar.

BSSN mencatat ada 3,64 miliar serangan siber selama Januari – Juli 2025. Bagaimana AI memperkuat atau mengembangkan modus operasi peretasan?

Saya tidak bisa berkomentar terlalu banyak tentang Indonesia. Namun di Australia, pemerintah mulai mengatur penggunaan AI di lingkungan pemerintahan.

Pada Juli, pemerintah Australia merilis kerangka kebijakan keamanan protektif yang memberikan panduan jelas bagi lembaga pemerintah tentang bagaimana cara menggunakan AI secara aman dan bertanggung jawab.

Jika lembaga pemerintah ingin mengadopsi AI, mereka harus melakukannya sesuai prosedur dan standar tertentu. Pemerintah juga memberikan rekomendasi resmi mengenai praktik terbaik dalam penerapan AI di sektor publik.

Selain itu, Australia mengembangkan Gov AI, model percakapan berbasis GPT yang dirancang khusus untuk lembaga pemerintah. Model ini telah diterapkan di berbagai instansi sebagai alat bantu kerja.

Sistemnya menggunakan pendekatan federatif (federated model) di tingkat nasional, yang memungkinkan lembaga-lembaga itu menggunakan AI secara terkontrol dan aman.

Pendekatan ini membantu dalam menyeimbangkan antara kebutuhan terhadap keamanan dan aksesibilitas, sehingga pegawai pemerintah tidak perlu menggunakan aplikasi AI publik di ponsel pribadi untuk keperluan pekerjaan. Ini langkah yang dinilai positif dari sisi keamanan data.

Pendekatan semacam ini mulai terlihat di banyak wilayah lain. Bahkan di luar pemerintahan, banyak organisasi yang kini berada dalam tahap penyesuaian kebijakan AI. Ada yang melarang, ada yang memperbolehkan dengan batasan tertentu. Misalnya, beberapa perusahaan hanya mengizinkan penggunaan AI untuk tugas-tugas tertentu.

Di sisi lain, terdapat pengguna tingkat lanjut, seperti perusahaan farmasi dan riset ilmiah, yang justru mengembangkan model AI sendiri untuk tujuan lebih kompleks, seperti menciptakan formula kimia baru atau melakukan eksperimen ilmiah. Tentu saja, setiap sektor dan tingkat penggunaan AI ini memiliki risiko dan tantangan keamanan yang berbeda-beda.

Bagaimana AI memperkuat atau mengembangkan modus operandi kejahatan siber saat ini?

Ya, ini benar-benar perubahan besar. Dengan memanfaatkan AI, penyerang bisa bergerak lebih cepat, dalam skala yang lebih besar, dan melakukan serangan yang jauh lebih canggih.

Dari faktor kecepatan, misalnya pada 2021, rata-rata hacker melakukan eksfiltrasi data selama sembilan hari. Sekarang, dua hari. Bahkan dalam 20% kasus, waktunya kurang dari satu jam.

Jadi, penyerang dapat merencanakan serangan, masuk, menemukan data yang mereka inginkan, dan mengeluarkannya, kurang dari satu jam.

Dari sisi skala, mereka bisa menemukan lebih banyak target, lebih banyak kerentanan, dan menyerang beberapa target sekaligus.

Dari sisi kecanggihan, kami membuat uji coba, dengan meniru serangan siber yang sebelumnya membutuhkan waktu dua hari untuk berhasil. Setelah memasukkan AI generatif di setiap langkah pengulangan serangan siber itu, serangan berhasil dalam 25 menit, atau 100 kali lebih cepat. Ini menunjukkan bagaimana AI membuat serangan menjadi jauh lebih otomatis, canggih, dan sulit untuk dilawan.

Ilustrasi, serangan ransomware. (Freepik)

Bagaimana pengelola data atau regulator bisa mengatasi risiko ancaman serangan siber berbasis AI?

Kami telah memanfaatkan AI generatif atau kemampuan AI lainnya untuk mengembangkan teknologi keamanan siber selama lebih dari satu dekade. Kami sangat berpengalaman dan memahami seluk-beluknya.

Kami juga memiliki akses luar biasa ke data ancaman dan umpan ancaman yang kaya. Data inilah yang kami gunakan untuk melatih model agar selalu selangkah lebih maju dalam memprediksi bagaimana penyerang akan memanfaatkan AI.

Dengan kemampuan itu, kami dapat melihat dan memperkirakan bagaimana suatu serangan bisa dimodifikasi agar lebih efektif. Lalu, membangun model AI generatif yang dapat mendeteksi email phishing berbahaya atau muatan payload berbahaya.

Kami sudah menggunakan apa yang kami sebut AI presisi, yaitu memadukan semua data ancaman dengan AI generatif agar deteksi menjadi lebih akurat dan lebih tepat sasaran dalam menghadapi para penyerang.

(halaman selanjutnya tentang Pusat Data Nasional Sementara Indonesia dibobol hacker)

Pusat Data Nasional Sementara Indonesia dibobol hacker Ransomware pada 2024. Mengapa infrastruktur nasional menjadi target penyerangan? Bagaimana AI akan memudahkan hacker menyerang infrastruktur penting seperti pusat data?

Memang ada faktor serangan baru yang muncul. Dampaknya akan sangat bergantung pada bagaimana AI diintegrasikan ke dalam infrastruktur penting.

Oleh karena itu, kami selalu menekankan pentingnya mengadopsi arsitektur zero trust sejak awal. Pendekatan ini menjadi fondasi yang sangat penting sebelum menerapkan AI generatif.

Tanpa penerapan zero trust, risiko dan kompleksitas teknis dalam mengintegrasikan solusi AI ke sistem infrastruktur penting akan meningkat tajam, sehingga potensi serangan pun bisa semakin besar.

Oleh karena itu, membangun rasa aman dan kepercayaan terhadap sistem menjadi hal yang sangat penting. Saat kita mulai memasuki era ketika AI berperan semakin besar sehingga kita tidak lagi melakukan banyak hal sendiri, melainkan menyerahkannya kepada sistem atau pihak lain, maka kita harus memastikan bahwa semua penerapan dilakukan dengan cara yang benar dan aman sejak awal.

Saya pikir menerapkan konsep zero trust di seluruh organisasi merupakan salah satu strategi paling efektif untuk memperkuat postur keamanan siber, yakni:

• Memahami posisi keamanan saat ini
• Membuat peta jalan untuk mencapai sistem zero trust secepat mungkin
• Memperhatikan manajemen permukaan serangan (attack surface management). Teknologi ini memungkinkan kita melihat organisasi dari perspektif penyerang, bagaimana tampilan dari luar, di mana letak kerentanan, sistem apa yang terhubung ke internet, serta risiko apa yang menyertainya.
• Dengan begitu, bisa menentukan alokasi anggaran secara lebih tepat, memprioritaskan area paling berisiko, dan mengurangi celah keamanan secara strategis.

Pendekatan ini penting karena program peningkatan zero trust biasanya membutuhkan waktu cukup lama, tergantung pada kondisi organisasi. Dengan manajemen permukaan serangan yang dijalankan secara paralel, Anda dapat mengurangi risiko dengan cepat sembari terus membangun sistem keamanan zero trust secara bertahap.

Satu hal lain yang ingin saya tekankan adalah kemampuan menghadapi ancaman pasca-kuantum (post-quantum capabilities). Saat ini, sudah ada fokus yang cukup besar terhadap ancaman kuantum di masa depan, terutama menjelang 2030 hingga 2035, ketika komputer kuantum mulai berkembang pesat.

Oleh karena itu, mulai sekarang kita perlu memikirkan strategi, teknologi, dan tata kelola yang relevan untuk menghadapi era tersebut. Dengan perencanaan dini, kita dapat memastikan organisasi tidak tertinggal dan tetap siap menghadapi tantangan keamanan baru yang muncul di masa depan.

Tampilan maket bagian depan untuk Pusat Data Nasional (PDN) Cikarang. Foto diambil di kantor PDN Cikarang, Kabupaten Bekasi, Jawa Barat, pada Februari (ANTARA/Livia Kristianti)

Sektor bisnis atau infrastruktur apa yang paling banyak menjadi sasaran serangan siber berbasis AI?

Saya rasa tidak ada satu sektor tertentu yang menjadi fokus utama. Akan tetapi, ketika berbicara tentang sektor Operational Technology seperti kontrol SCADA alias Supervisory Control and Data Acquisition, utilitas, listrik, air, dan sebagainya, sektor-sektor inilah yang kemungkinan memberikan dampak paling besar.

Alasannya, banyak teknologi yang digunakan di bidang itu sudah diterapkan 20 hingga 30 tahun lalu, dan sering kali tidak diperbarui secara berkala. Dalam banyak kasus, perangkat yang digunakan masih berada di lapangan. Untuk memperbaruinya pun harus dilakukan secara manual, bahkan dengan mengirim orang untuk mengganti atau memperbaiki perangkat secara fisik.

Selain itu, industri-industri ini cenderung memprioritaskan waktu operasional dan ketersediaan sistem dibandingkan keamanan dan integritas perangkat. Oleh karena itu, sektor Operational Technology menjadi area yang sangat penting untuk diperhatikan.

Apalagi, kita sekarang mulai melihat perkembangan seperti jaringan listrik pintar dan berkelanjutan, serta baterai pintar yang dapat menyimpan energi, menyalurkannya kembali ke jaringan listrik, atau mengambil daya dari jaringan itu.

Di masa depan, sistem seperti itu berpotensi dikendalikan oleh algoritma AI, yang berarti risiko keamanannya akan meningkat. Oleh sebab itu, kita perlu memastikan semua sistem benar-benar aman sebelum teknologi AI diintegrasikan lebih jauh ke dalam infrastruktur penting seperti ini.

Di Indonesia, ada tren penipuan berbasis AI seperti video deepfake hingga penelepon palsu yang meniru suara. Bagaimana Anda melihat tren ini?

Ini baru satu bagian dari keseluruhan ancaman. Saat ini, kita melihat bahwa para penyerang benar-benar memanfaatkan AI di setiap tahap rantai serangan siber.

Jika mengacu pada rantai serangan siber Lock Bit Malware, yang mencakup tahapan mulai dari pengintaian (reconnaissance) hingga tindakan objektif (objective actions), para penyerang kini bekerja berdampingan dengan AI sebagai pengganda kekuatan untuk bergerak jauh lebih cepat dan efisien.

Dalam praktiknya, yang paling sering kita lihat yakni penggunaan AI pada tahap awal serangan, upaya masuk ke dalam jaringan target. Biasanya, mereka melakukannya dengan cara rekayasa sosial, seperti menulis email palsu atau bahkan menggunakan video deepfake untuk meyakinkan korban. Metode ini sangat efektif karena menyerang sisi manusia dari sistem keamanan.

Namun, jika kita singkirkan semua aspek teknis, inti dari masalah ini sebenarnya soal identitas. Pertanyaannya sederhana, “bagaimana kita tahu bahwa orang yang menghubungi kita benar-benar adalah orang yang dia klaim?”

Ilustrasi hacker klona suara pakai AI (Gemini, suratkabar.id/Desy Setyowati)

Sebelum seseorang mengeklik tautan di email atau menanggapi panggilan telepon, langkah pertama yang harus dipastikan adalah memverifikasi identitas pihak tersebut. Ini alasan mengapa kami selalu menekankan pentingnya penerapan prinsip zero trust.

Salah satu dari lima pilar utama zero trust adalah identitas. Oleh karena itu, jika kita melihat ke depan, dalam rentang waktu enam, 12 hingga 18 bulan ke depan, kemampuan organisasi untuk membangun, memverifikasi, dan mengelola identitas digital secara efektif akan menjadi faktor penentu keberhasilan dalam menghadapi serangan di setiap tahap rantai siber.

Bagaimana perusahaan menghadapi tren penipuan berbasis AI?

Saya rasa, salah satu penerapan terbaik untuk menghadapi ancaman deepfake yakni menggunakan autentikasi multifaktor. Misalnya, dalam panggilan video, seseorang mungkin terlihat dan terdengar seperti orang yang kita kenal.

Namun, jika kita menambahkan langkah keamanan tambahan, seperti mengatakan, “baiklah, saya akan mengirimkan kode terlebih dahulu sebelum kita melanjutkan”, maka deepfake tidak akan bisa mengakses kode itu.

Banyak industri kini mulai menerapkan sistem semacam ini. Misalnya, ketika saya menghubungi pihak bank atau perusahaan asuransi, mereka biasanya akan menanyakan tiga atau empat faktor verifikasi, baik melalui telepon maupun panggilan video, sebelum proses bisa dilanjutkan.

Artinya, lapisan verifikasi identitas yang beragam menjadi kunci utama dalam mencegah penipuan berbasis deepfake.

Selain itu, dengan munculnya agen AI, yaitu sistem AI yang bisa melakukan berbagai tugas tanpa interaksi manusia, memiliki pilar identitas yang kuat juga menjadi sangat penting.

Sebab, agen AI akan menjalankan ribuan transaksi otomatis, dan tidak semuanya bisa diawasi langsung oleh manusia. Maka, memastikan setiap proses memiliki validasi identitas yang aman dan berlapis akan menjadi hal yang sangat krusial.

(halaman selanjutnya: dampak tren edit foto pakai AI ke penipuan)

Di Indonesia, ada tren edit foto berbasis AI dan aplikasi pengenalan wajah. Apakah ini bisa digunakan untuk penipuan berbasis AI?

Saat ini, kami melihat peningkatan besar dalam praktik credential stuffing, yaitu ketika pelaku kejahatan siber mengumpulkan data pribadi dalam jumlah besar, lalu menjual atau memanfaatkannya untuk menyerang sistem lain.

Cara Edit Foto Gemini AI di Lift (Teknologi.id )

FotoYu (Google Play Store FotoYu)

Kasus seperti ini sudah banyak terjadi di berbagai negara, termasuk di Australia, di mana informasi identitas penting yang selama bertahun-tahun kita gunakan kini tersebar luas di dunia maya.

Akibatnya, para pelaku bisa dengan mudah meniru identitas seseorang, bahkan meyakinkan petugas di pusat bantuan agar memberikan akses tertentu.

Masalah ini akan menjadi lebih kompleks jika biometrik mulai disalahgunakan. Sebab, data semacam itu jauh lebih sulit diubah dibandingkan kata sandi. Maka dari itu, kita perlu kembali menegakkan pilar-pilar utama dalam sistem identitas, terutama prinsip zero-trust.

Prinsip zero-trust berarti tidak ada entitas, baik di dalam maupun di luar jaringan, yang langsung dipercaya.

Jika risiko pencurian identitas dan penyalahgunaan data semakin meningkat, kita tidak cukup hanya memverifikasi siapa pengguna itu, tapi juga memantau perilaku mereka di dalam sistem. Misalnya:

• Apakah mereka mengakses sistem yang memang seharusnya mereka buka?
• Apakah perilaku mereka sesuai dengan pola normal penggunaan data?
• Apakah ada indikasi payload berbahaya atau tanda serangan yang terdeteksi sistem keamanan (IPS signature)?
• Semua aktivitas tersebut perlu diawasi secara berlapis. Jika ditemukan perilaku yang mencurigakan atau melanggar aturan, sistem harus segera membatasi akses, menghentikan aktivitas, dan memverifikasi ulang identitas pengguna.

Artinya, identitas tidak bisa dijadikan satu-satunya benteng keamanan. Kita perlu menggabungkannya dengan seluruh prinsip zero-trust lainnya, seperti pemantauan berkelanjutan, validasi perilaku, dan pembatasan hak akses, agar sistem tetap aman. Langkah ini semakin penting karena erosi identitas digital akan terus terjadi seiring meningkatnya kebocoran dan penyalahgunaan data pribadi.

Bagaimana kesiapan regulasi, SDM, dan teknologi Indonesia mengantisipasi serangan siber dan penipuan berbasis AI?

Tren AI dan berbagai kemampuan yang muncul bersamanya, akan secara signifikan meningkatkan cara para pelaku kejahatan siber beroperasi. Mereka akan semakin kreatif dalam memanfaatkan teknologi ini untuk mencapai tujuan mereka, dan AI akan menjadi alat yang sangat kuat untuk membantu mereka melancarkan serangan dengan cara yang lebih cepat, lebih efisien, dan lebih sulit dideteksi.

Namun, bagaimana tepatnya hal itu akan berkembang masih sulit diprediksi. Dunia siber selalu berubah dengan cepat, dan kita baru akan benar-benar melihat dampaknya seiring waktu berjalan.

Jadi, dalam banyak hal, kita masih menunggu dan melihat bagaimana para penyerang akan terus berinovasi menggunakan AI.

Kementerian Komdigi sedang menyusun peta jalan AI. Adakah rekomendasi untuk regulasi AI di Indonesia?

Saya pikir hal terpenting yakni memastikan adanya kolaborasi erat antara sektor publik dan swasta, serta kemampuan semua pihak untuk saling memberi masukan dan perspektif yang konstruktif. Kemitraan semacam ini menjadi kunci agar kita dapat menghadapi perkembangan teknologi dengan pendekatan yang menyeluruh dan adaptif.

Jika melihat contoh di Australia, kami telah mengembangkan peta jalan strategis dalam beberapa tahun terakhir. Ada berbagai uji coba dan bukti konsep yang dilakukan bersama sejumlah vendor untuk memperkaya kebijakan tersebut, disertai dengan proses konsultasi publik yang sangat luas. Langkah ini memastikan bahwa berbagai pandangan dan kepentingan dapat diakomodasi.

Saya percaya, pendekatan seperti itu sangat penting karena tidak ada satu pun yang benar-benar tahu ke mana arah perkembangan teknologi ini akan membawa kita. Yang jelas, perubahan ini akan mengubah dunia secara mendasar, sama seperti revolusi industri yang pernah terjadi di masa lalu.

Kita mungkin tidak selalu berhasil dalam setiap langkahnya, tetapi melibatkan sebanyak mungkin pihak dalam proses kolaborasi dan konsultasi adalah kunci untuk menghadapi masa depan dengan lebih siap dan seimbang.

Pertanyaan penting yang perlu diajukan oleh setiap organisasi adalah alat AI apa yang paling nyaman dan tepat untuk digunakan? Apakah itu ChatGPT, Gemini, atau model internal yang dikembangkan sendiri oleh perusahaan? Setelah itu, penting juga untuk memahami tujuan penggunaannya, apakah untuk melakukan kueri (pencarian dan analisis cepat), menulis materi pemasaran, atau bahkan memproses data sensitif.

ChatGPT Go (Koran Jakarta)

Kita harus jelas tentang untuk apa seharusnya alat-alat tersebut digunakan? Selain itu, organisasi perlu menetapkan batasan mengenai data apa saja yang boleh dimasukkan ke dalam sistem AI.

Banyak perusahaan yang memulai perjalanan AI dengan langkah sederhana seperti ini: “kami telah membeli model AI dari vendor tertentu. Anda boleh mengajukan pertanyaan atau melakukan kueri untuk membantu pekerjaan Anda menjadi lebih efisien. Namun, Anda tidak diperbolehkan memasukkan data internal perusahaan atau informasi sensitif ke dalam sistem tersebut.”

Jadi, sejak awal, organisasi harus mendefinisikan dengan jelas:

• Model AI apa yang digunakan,
• Siapa saja pengguna yang memiliki akses, dan
• Jenis data apa yang aman untuk diolah di dalamnya.

Ketiga hal itu merupakan fondasi dasar yang harus ditetapkan sebelum memulai perjalanan penerapan AI di lingkungan perusahaan. Dengan begitu, organisasi dapat memanfaatkan potensi AI secara maksimal tanpa mengorbankan keamanan dan integritas data mereka.

Bagaimana regulasi AI di Australia?

Ada sejumlah langkah, misalnya Pusat Keamanan Siber Australia atau ACSC menerbitkan panduan arsitektur dan teknis yang sangat komprehensif dalam 12 hingga 24 bulan terakhir. Panduan ini berisi berbagai pertimbangan penting dalam membangun dan mengintegrasikan sistem AI ke dalam organisasi.

Namun, panduan ini bukanlah kebijakan wajib yang harus diikuti. Melainkan berupa praktik terbaik, rekomendasi, dan saran bagi pasar untuk membantu mereka menavigasi penerapan AI di tengah kekosongan standar regulasi global.

Saat ini, standar seperti ISO 42001 memang masih dalam tahap awal perkembangan. Oleh karena itu, panduan dari ACSC menjadi sangat berguna bagi para anggota dewan dan pimpinan organisasi. Mereka dapat menjadikannya acuan untuk mulai membangun kerangka tata kelola AI dan strategi mitigasi risiko di tingkat dewan.

Beberapa organisasi bahkan telah mengambil langkah proaktif dengan membentuk struktur tata kelola dan manajemen AI internal, meskipun belum ada aturan yang sepenuhnya jelas. Langkah ini memungkinkan perusahaan menyusun dokumentasi dan pedoman internal, agar mereka dapat mengomunikasikan secara terbuka “ya, kami berkomitmen mengadopsi AI. Kami akan melakukannya dengan tingkat risiko yang bisa diterima, dan penerapannya akan mencakup aktivitas-aktivitas tertentu.”

Ke depan, panduan dan kebijakan ini akan terus diperbarui seiring perkembangan situasi dan keluarnya arahan resmi yang lebih jelas dari pemerintah. Menurut saya, pendekatan seperti ini sangat bermanfaat dalam membantu organisasi bersiap menghadapi era AI dengan cara yang aman dan bertanggung jawab.

Adakah rekomendasi kurikulum pendidikan di Indonesia agar siap menghadapi era AI?

Palo Alto Networks mengumumkan program bernama CyberLight, yaitu inisiatif yang berfokus pada pendidikan dan literasi terkait AI generatif di semua tingkatan. Program ini menjadi salah satu pilar utama dalam strategi keamanan mereka.

Kemampuan untuk memberikan pelatihan secara luas kepada seluruh karyawan ini penting. Artinya, organisasi harus mampu menjelaskan kepada para pegawai, “apa itu AI generatif, apa risikonya, dan bagaimana cara melindungi diri dari potensi ancamannya”.

Langkah ini sama pentingnya seperti pelatihan keamanan siber yang kita kenal sebelumnya, seperti pelatihan dasar tentang phishing, keamanan email, atau cara mengenali serangan siber sederhana. Prinsipnya sama: edukasi dan latihan berulang dapat memperkuat kewaspadaan dan kesiapan organisasi.

Setelah memberikan pemahaman dan pelatihan yang tepat, langkah berikutnya adalah berlatih secara nyata. Artinya, jangan hanya memberi informasi, tetapi juga menerapkan dan mempraktikkan langkah-langkah keamanan yang sudah diajarkan. Dengan begitu, budaya keamanan dan kesadaran terhadap risiko AI dapat benar-benar tertanam dalam perilaku seluruh anggota organisasi.

Palo Alto Networks juga memiliki program CyberSafe Kids, salah satu inisiatif untuk mengedukasi anak-anak dan orang tua tentang cara menggunakan AI dan perangkat teknologi digital secara cerdas. Ini sudah diterapkan di Indonesia.

Palo Alto Networks telah menjalin kolaborasi dengan universitas di Indonesia. Ini salah satu rencana besar, inisiatif, dan komitmen jangka panjang yang dimiliki Palo Alto Networks untuk pendidikan semacam ini.

Masukan saya, ada modul tentang teknologinya, bagaimana cara menggunakannya, dan apa saja risikonya.

Jadi, sebenarnya kita tidak boleh membatasi atau melarang penggunaan teknologi digital atau standar dari anak-anak. Akan tetapi, pada titik tertentu, kita perlu mendorong mereka untuk menggunakan perangkat secara cerdas.

Bukan hanya anak-anak, tetapi juga organisasi. Kita ingin memiliki alat yang hebat dan ampuh ini, tetapi di saat yang sama kita tidak ingin membiarkan semua orang menggunakannya untuk segala hal. Ada keseimbangan antara tidak menggunakannya dan membiarkan kita melakukan segalanya, baik itu anak-anak maupun di mana pun.

Itulah mengapa saya mengatakan bahwa kerangka kerja tata kelola tentang bagaimana kita akan menggunakannya, siapa yang dapat menggunakannya, untuk metode apa dan data apa yang dapat kita masukkan ke dalamnya sangatlah penting.

Jika Anda telah mendefinisikannya, langkah selanjutnya adalah bagaimana saya memastikan bahwa tata kelola benar-benar terjadi dan sekarang tersedia alat untuk melakukannya. Perhatikan interaksi antara pengguna dan model, lalu data yang digunakan, dan pastikan semuanya dilakukan dengan tepat sesuai dengan tata kelola.

Semua hal itu adalah kuncinya.