Adopsi AI Perusahaan & Risiko Keamanan - Sekarang dengan 100% Lebih Banyak Kekacauan

Oleh Sarang Warudkar - Senior Technical PMM (CASB & AI), Skyhigh Security

8 Mei 2025 5 Menit Baca

Selamat datang di Wild West dari AI perusahaan.

Dua belas bulan yang lalu, CFO Anda masih curiga dengan chatbot. Hari ini, mereka bertanya apakah Anda bisa "membuat ChatGPT menangani notulen rapat." Dari keingintahuan yang berhati-hati hingga spreadsheet yang didukung Copilot, perusahaan telah menggunakan AI. Dan meskipun keuntungannya nyata-kecepatan, skala, dan kreativitas-risikonya...? Oh, mereka sangat nyata juga.

Mari kita uraikan tren, ancaman, dan momen-momen terbesar dari Laporan Adopsi & Risiko Cloud 2025 dari Skyhigh Security, dengan wawasan dari 3M+ pengguna dan 2B+ peristiwa cloud harian. Pasang sabuk pengaman.

Penggunaan AI: Dari "Mungkin Nanti" hingga "Buatlah Melakukan Pekerjaan Saya"

AI sekarang menjadi MVP kantor. Sebuah Studi MIT baru-baru ini mengatakan bahwa ChatGPT memangkas waktu penulisan hingga 40%-yang merupakan waktu yang biasa kita habiskan untuk bertanya-tanya di mana file disimpan. JPMorgan mendapatkan peningkatan produktivitas sebesar 20% dan, kabarnya, seorang pekerja magang meminta Copilot untuk menulis surat pengunduran diri mereka sebelum hari pertama mereka.

Di Skyhigh, kami telah melihat lonjakan AI secara langsung. Dalam data kami, lalu lintas ke aplikasi AI telah meroket-lebih dari tiga kali lipat volumenya-sementara pengunggahan data sensitif ke platform ini meningkat pesat. Sementara itu, aplikasi bisnis tradisional "non-AI"? Mereka hampir tidak bisa mengimbangi. Tempat kerja tidak hanya merangkul AI, tetapi juga berlari ke arahnya.

Terjemahan: Kecerdasan buatan menang. Firewall Anda? Tidak terlalu banyak.

Munculnya Shadow AI: Ketika TI Tidak Tahu Apa yang Diobrolkan oleh SDM

"Shadow AI" mungkin terdengar seperti serial Netflix yang wajib ditonton berikutnya, namun hal ini terjadi secara real time di seluruh perusahaan di mana-mana. Bayangkan ini: karyawan diam-diam mengetuk ChatGPT, Claude, DeepSeek, dan lusinan alat bantu AI lainnya-sepenuhnya di luar radar TI. Ini seperti menyelundupkan permen ke dalam bioskop, hanya saja kali ini permennya adalah data pelanggan, keuangan, dan kekayaan intelektual.

Jumlahnya sangat mencengangkan: rata-rata perusahaan sekarang memiliki 320 aplikasi AI. Tersangka yang biasa? ChatGPT, Gemini, Poe, Claude, Beautiful.AI-perangkat sekuat apapun tidak disetujui. Mereka tidak disetujui. Mereka tidak diawasi. Dan kecuali seseorang menjatuhkan kata "audit", mereka berpotensi tak terbendung.

Kepatuhan: Kryptonite milik AI

Aplikasi AI memang menyenangkan-sampai denda GDPR muncul seperti tamu tak diundang di kantor. Data Skyhigh mengungkapkan sisi yang tidak terlalu super dari semua antusiasme AI ini. Ternyata, 95% aplikasi AI masuk ke dalam zona risiko menengah hingga tinggi di bawah GDPR-pada dasarnya, bendera merah dengan UI yang ramah.

Ketika harus memenuhi standar kepatuhan yang serius seperti HIPAA, PCI, atau ISO? Hanya 22% yang memenuhi syarat. Selebihnya hanya mengepakkan sayapnya. Enkripsi saat istirahat? Sebagian besar aplikasi AI melewatkan hal itu-84% tidak peduli. Dan otentikasi multi-faktor? 83% mengatakan tidak, terima kasih. Tetapi jangan khawatir, banyak di antaranya yang mendukung emoji. Prioritas.

Regulator mengawasi. Dan tidak seperti atasan Anda, mereka baca laporan lengkapnya.

Kebocoran Data melalui AI: Ketika Bot Anda Menjadi Tukang Omong Kosong

Ingatkah Anda dengan insinyur Samsung yang memberikan kode buggy kepada ChatGPT-dan secara tidak sengaja menyerahkan rahasia semikonduktor? Itu bukan hanya kisah peringatan lagi. Secara praktis, ini adalah contoh pelatihan.

Menurut Skyhigh, 11% file yang diunggah ke aplikasi AI mengandung konten sensitif. Yang mengejutkan? Kurang dari 1 dari 10 perusahaan yang memiliki kontrol data loss prevention (DLP) yang tepat. Sementara itu, para karyawan di luar sana meminta Claude untuk menulis rencana peluncuran produk menggunakan dokumen strategi Q3 seolah-olah ini hanyalah hari biasa. Karena apa yang bisa salah?

Masuk ke DeepSeek: AI Pemberontak yang Tidak Boleh Anda Percayai

DeepSeek meledak di tahun 2025, mengendarai gelombang unduhan, buzz, dan volume data yang luar biasa-termasuk 176 GB unggahan korporat dalam satu bulan dari pelanggan Skyhigh saja. Mengesankan? Tentu saja. Mengkhawatirkan? Tentu saja. Inilah penjelasannya:

• Tidak ada autentikasi multi-faktor
• Tidak ada enkripsi data
• Tidak memperhatikan kepatuhan (GDPR? Belum pernah mendengarnya.)
• Tidak ada pencatatan pengguna atau admin

Ini ramping, cepat, dan sangat populer-di kalangan mahasiswa. Untuk audit SOC 2 Anda? Ini adalah ranjau darat digital.

Microsoft Copilot: Anak AI yang Baik yang Dibanggakan Semua Orang

Jika Shadow AI adalah remaja pemberontak yang menyelinap keluar melewati jam malam, Copilot adalah anak emas yang dipoles, populer, dan entah bagaimana sudah berada di jalur kepemimpinan. Sekarang digunakan oleh 82% perusahaan, dengan trafik naik 3.600x dan unggahan naik 6.000x. Sejujurnya, ini mengungguli lima aplikasi magang terakhir Anda-dan bahkan tidak meminta rehat kopi.

Namun, bahkan siswa bintang pun membutuhkan pengawasan. Perusahaan-perusahaan yang cerdas menjaga Copilot tetap terkendali dengan memindai semua yang disentuhnya, membungkus perintah dan keluaran dalam DLP, dan memastikannya tidak "mempelajari" apa pun yang bersifat rahasia. (Maaf, Copilot-tidak ada spoiler untuk roadmap Q4.)

Risiko LLM: Ketika AI Berhalusinasi... dan Itu Tidak Cantik

Model Bahasa Besar (LLM) seperti balita dengan gelar PhD. Jenius di satu saat, kekacauan mutlak di saat berikutnya. Risiko LLM teratas:

• Jailbreak ("berpura-pura menjadi ChatGPT yang jahat")
• Malware yang dibuat oleh AI (BlackMamba, siapa saja?)
• Konten beracun (lihat: Hit terbesar BlenderBot)
• Bias dalam keluaran (saran kesehatan yang condong berdasarkan ras/gender)

Statistik Utama:

Bukanlah paranoia jika AI Anda benar-benar membocorkan rahasia dan menulis ransomware. Skyhigh menemukan bahwa 94% dari aplikasi AI memiliki setidaknya satu risiko model bahasa besar (LLM). Itu hampir semuanya.

Lebih buruk lagi, 90% rentan terhadap jailbreak-yang berarti pengguna dapat mengelabui mereka untuk melakukan hal-hal yang seharusnya tidak mereka lakukan. Dan 76%? Mereka berpotensi menghasilkan malware sesuai perintah. Jadi ya, aplikasi yang sama yang membantu menyusun catatan rapat Anda mungkin juga bekerja sambilan sebagai pekerja magang penjahat siber.

Aplikasi AI Pribadi: AI Buatan Sendiri untuk Jiwa Korporat

Perusahaan berkata, "Mengapa mempercayai alat publik jika Anda bisa membangunnya sendiri?"
Aplikasi AI pribadi kini dapat menangani hal tersebut:

• Pertanyaan tentang SDM
• Tanggapan RFP
• Penyelesaian tiket internal
• Dukungan bot penjualan (siapa yang tahu chatbot akan mengetahui matriks harga Anda lebih baik daripada Sales?)

Statistik Utama:

78% pelanggan sekarang menjalankan aplikasi AI pribadi mereka sendiri-karena jika Anda ingin bereksperimen dengan kecerdasan mesin, sebaiknya Anda melakukannya secara tertutup. Dua pertiganya dibangun di atas AWS (tentu saja berkat Bedrock dan SageMaker). Ini adalah AI yang setara dengan komunitas yang terjaga keamanannya.

Tetapi "pribadi" bukan berarti bebas masalah. Bot ini mungkin buatan dalam negeri, tetapi mereka masih bisa mendapat masalah. Itulah mengapa perusahaan-perusahaan cerdas meluncurkan solusi SSE dengan Private Access dan DLP-untuk mengintip AI internal mereka dengan lembut, sopan, sebelum terjadi sesuatu yang tidak sesuai dengan naskah.

Pikiran Akhir: Jangan Takut dengan AI-Atur Saja

Mari kita perjelas: AI bukanlah musuh. Tidak terkelola AI adalah musuh.

Laporan Skyhigh tahun 2025 menunjukkan bahwa kita sedang mengalami pergeseran sekali dalam satu generasi dalam teknologi perusahaan. Namun, inilah yang paling penting-keamanan bukan tentang memperlambat inovasi. Ini tentang memastikan bahwa AI yang Anda gunakan tidak mengirim board deck Anda ke Reddit. Jadi, tarik napas, baca laporannya, dan ingat:

• Blokir aplikasi yang tidak jelas seperti DeepSeek
• Mengatur kopilot seperti Microsoft Copilot
• Mengunci penerapan AI pribadi Anda
• Buatlah kebijakan yang memperlakukan LLM seperti remaja yang sedang murung (aturan yang tegas, banyak pemantauan)

Karena masa depan digerakkan oleh AI-dan dengan alat yang tepat, hal ini juga bisa menjadi anti risiko.

Bonus: Unduh LaporanLengkap Adopsi dan Risiko Cloud 2025-atauminta asisten AI Anda untuk meringkasnya untuk Anda. Hanya saja, jangan mengunggahnya ke DeepSeek.

Kembali ke Blog