Liputan6.com, Jakarta - Di banyak kantor sekarang, AI sudah jadi “teman kerja” baru. Karyawan memakai chatbot AI untuk merangkum meeting, membuat draft presentasi, menyusun email, menterjemahkan dokumen, sampai membantu dalam coding atau analisis data. Praktis. Cepat. Kadang hasilnya juga lumayan bagus. Buat banyak karyawan, rasanya kerja jadi jauh lebih ringan.
Angkanya juga tak main-main. Data dari Kementerian Komunikasi dan Digital RI menyebut penggunaan AI di Indonesia sudah mencapai 92%. Microsoft mendapati semakin banyak karyawan di Indonesia memanfaatkan AI karena ketersediaan dan fungsinya yang praktis. Mereka mengandalkan AI karena tersedia 24 jam penuh (48%), lebih cepat (28%), dan kemampuan berpikirnya yang kreatif (38%).
Advertisement
Dari sisi produktivitas, tentu ini terlihat menjanjikan. Perusahaan senang karena pekerjaan bisa selesai lebih cepat. Karyawan juga merasa terbantu. Bahkan, menurut temuan IDC, setiap US$1 yang diinvestasikan oleh perusahaan untuk peningkatan keterampilan AI karyawannya akan mendorong adopsi solusi AI dan berpotensi menciptakan nilai ekonomi baru sebesar US$75 bagi perekonomian Indonesia.
Tapi ada satu masalah yang mulai membuat banyak tim IT dan cybersecurity waspada: sebagian besar penggunaan AI ini terjadi tanpa kontrol yang jelas.
Diam-diam, banyak karyawan mulai mengunggah dokumen internal ke AI publik. Ada yang memasukkan data pelanggan ke chatbot untuk dibantu diringkas. Ada juga yang memakai AI tools gratisan yang bahkan belum pernah dicek atau disetujui tim security perusahaan.
Kelihatannya sepele. Padahal di situlah bibit masalah mulai muncul. Fenomena ini sekarang dikenal dengan istilah Shadow AI.
Sederhananya, Shadow AI terjadi ketika karyawan menggunakan tools AI di luar pengawasan perusahaan. Bisa berupa chatbot publik, AI assistant gratis, extension browser berbasis AI, sampai tools coding berbasis generative AI yang langsung dipakai untuk kerja harian.
Dan alasannya sebenarnya sangat manusiawi. Kadang tools resmi kantor dianggap ribet. Proses approval lama. Atau aplikasinya terasa kurang praktis dibanding AI publik yang tinggal buka browser lalu langsung jalan. Akhirnya banyak orang memilih shortcut. Masalahnya, shortcut di era AI bisa mahal konsekuensinya.
Gartner pernah menemukan 74% karyawan rela mengabaikan aturan keamanan demi mengejar target kerja. Sekarang bayangkan kebiasaan itu dikombinasikan dengan AI generatif yang bisa mengakses, memproses, bahkan “mempelajari” data yang diberikan pengguna.
Risikonya jadi jauh lebih besar. Bayangkan seorang staf mengunggah draft kontrak ke chatbot AI supaya bahasanya lebih rapi. Atau tim sales memasukkan data pelanggan untuk dibuatkan analisis otomatis. Secara teknis, data itu sebenarnya sudah keluar dari lingkungan perusahaan.
Dan yang keluar bukan cuma file biasa. Bisa saja yang ikut terekspos adalah kredensial login, source code, strategi bisnis, informasi finansial, sampai data pribadi pelanggan. Dalam beberapa kasus, data tersebut bahkan dapat dipakai untuk melatih model AI pihak ketiga.
Bukan Hanya Isu Keamanan
Di tangan pelaku kejahatan siber, potongan informasi seperti ini sangat berharga. Serangan sekarang sudah banyak berubah. Hacker tidak selalu mengandalkan malware yang rumit. Banyak serangan justru dimulai dari social engineering yang kelihatannya normal-normal saja. Email phishing hari ini bahkan bisa ditulis dalam Bahasa Indonesia yang sangat natural, lengkap dengan konteks pekerjaan korban. AI membuat semuanya jauh lebih meyakinkan.
Kombinasi antara Shadow AI dan social engineering ini yang mulai jadi mimpi buruk baru perusahaan. Bukan cuma meningkatkan risiko kebocoran data, tapi juga mendorong biaya insiden naik hingga ratusan ribu dolar AS.
Yang sering luput, isu ini sekarang bukan cuma soal keamanan. Tapi juga compliance. Sejak implementasi UU Perlindungan Data Pribadi (UU PDP), perusahaan tidak bisa lagi sekadar berharap semua karyawan akan hati-hati. Harus ada governance yang jelas. Harus ada audit trail. Harus ada kontrol yang benar-benar bisa diverifikasi.
Sebab ketika data pelanggan bocor, regulator tidak akan terlalu peduli apakah itu terjadi sengaja atau tidak. Yang akan dilihat adalah: apakah perusahaan punya perlindungan yang memadai?
Ironisnya, Shadow AI justru sering muncul karena niat baik: orang ingin bekerja lebih cepat dan lebih efisien. Itulah kenapa masalah ini tidak bisa diselesaikan hanya dengan melarang AI. Pendekatan seperti itu sudah tidak realistis. AI sudah telanjur jadi bagian dari cara kerja modern. Yang dibutuhkan sekarang adalah visibilitas dan kontrol.
Tantangannya, Shadow AI sering berjalan diam-diam. Orang bisa mengakses AI dari browser pribadi, laptop pribadi, atau cloud app yang bahkan tidak terdeteksi sistem perusahaan. Banyak aktivitas ini lolos dari radar IT.
Makanya pendekatan keamanan lama sudah mulai kewalahan menghadapi pola kerja baru seperti ini. Perusahaan butuh visibilitas yang lebih dalam terhadap aktivitas endpoint, cloud application, perilaku user, sampai anomali transfer data. Di sinilah pendekatan modern seperti XDR (Extended Detection and Response) menjadi penting.
Lewat platform management security terpusat seperti ESET, perusahaan bisa punya gambaran yang lebih jelas tentang apa yang sebenarnya terjadi di dalam ekosistem digital mereka. Mulai dari perangkat yang digunakan, aplikasi yang terhubung, sampai aktivitas mencurigakan yang sebelumnya mungkin tidak terlihat.
Pendekatan multilayered security banyak dilakukan oleh vendor, salah satunya ESET, yang memiliki keunggulan untuk mendeteksi potensi ancaman lebih awal, termasuk penggunaan aplikasi tidak resmi atau perpindahan data yang tidak wajar. Ditambah lagi dengan kemampuan seperti XDR, threat intelligence, vulnerability management, hingga Cloud Workload Protection, perusahaan bisa mulai menutup blind spot yang selama ini sering dimanfaatkan Shadow AI.
Tapi teknologi tetap bukan jawaban tunggal. Perusahaan juga perlu mulai membangun awareness internal yang lebih realistis. Banyak karyawan sebenarnya tidak sadar bahwa memasukkan data sensitif ke AI publik bisa berujung pada kebocoran data atau insiden siber.
Ada beberapa langkah yang bisa diterapkan oleh perusahaan di Indonesia. Perusahaan perlu membuat policy penggunaan AI yang jelas, menentukan tools AI yang boleh digunakan oleh karyawan, memberikan pelatihan awareness terkait Shadow AI, memonitor aktivitas aplikasi dan data, serta membangun kontrol keamanan berbasis zero trust.
Pada akhirnya, ancaman terbesar dari Shadow AI bukan sekadar teknologinya. Tetapi rasa aman palsu bahwa “Selama ini belum pernah ada masalah”. Dalam cybersecurity, justru itu yang paling berbahaya karena kenyamanan bisa menurunkan kewaspadaan.