Telah dikatakan bahwa data adalah minyak di era informasi. Dan jika memang benar demikian, maka Pekan Privasi Data merupakan pengingat yang baik bahwa informasi Anda sangat berharga. Acara internasional ini memberikan saran kepada individu tentang cara melindungi data mereka, mengelola pengaturan privasi, dan membuat keputusan yang lebih tepat tentang siapa (dan apa) yang menerima data tersebut.
Pekan Privasi Data juga merupakan momen yang tepat bagi organisasi untuk mempertimbangkan praktik perlindungan data mereka. Dengan semakin banyaknya solusi yang menerapkan AI dan menelan data pengguna, pekerjaan hibrida, serta semakin banyaknya pengguna, perangkat, hak, dan lingkungan dari sebelumnya, maka akan muncul risiko baru dan kompleks terhadap data organisasi.
Untuk Pekan Privasi Data, saya akan mengulas beberapa risiko baru tersebut. Saya akan menjelaskan bagaimana asisten digital dan model AI baru dapat menimbulkan risiko keamanan baru, mengapa solusi tata kelola dan administrasi identitas (IGA) menjadi dasar perlindungan data, dan menyarankan beberapa praktik terbaik yang dapat dilakukan organisasi untuk menjaga keamanan data mereka.
Tema Pekan Privasi Data tahun ini adalah "kendalikan data Anda." Itu adalah tujuan yang baik untuk dimiliki, tetapi seperti kebanyakan hal lainnya, hal ini lebih mudah diucapkan daripada dilakukan. Setiap perangkat, pengguna, akun mesin, dan sumber daya menciptakan, mengirimkan, dan memproses data. Itulah mengapa organisasi membutuhkan program IGA, yang menyediakan kemampuan yang dibutuhkan organisasi:
- Menjaga visibilitas dan kontrol atas semua data organisasi: Anda tidak dapat mengontrol apa yang tidak Anda lihat atau pahami. IGA membantu memastikan akun yang tepat memiliki akses ke data yang tepat dengan menerapkan tinjauan akses secara teratur dan memberdayakan pemilik data untuk menyetujui atau mencabut izin sesuai kebutuhan. IGA juga memberi admin Anda visibilitas ke dalam apa yang saat ini dapat diakses oleh pengguna
- Memastikan kepatuhan yang berkelanjutan: Salah satu manfaat IGA dan visibilitas ke dalam data organisasi Anda? Mendemonstrasikan kontrol tersebut kepada regulator. IGA dapat mengotomatiskan alur kerja, pelaporan audit, dan sertifikasi akses untuk menunjukkan kepatuhan terhadap GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA, dan peraturan utama lainnya.
- Melindungi data sensitif: Solusi IGA dapat memberikan wawasan yang dapat ditindaklanjuti kepada tim keamanan Anda mengenai akses data untuk mengidentifikasi dan memitigasi akses yang tidak sah, membantu melindungi data pelanggan dan kekayaan intelektual.
Model AI generatif dan Large Language Model (LLM) memperkenalkan risiko baru yang perlu diperhitungkan oleh organisasi. Contoh Microsoft Copilot, DeepSeek, dan ChatGPT bergantung pada masukan pengguna untuk melatih model mereka. Secara garis besar, ini berarti apa pun yang dimasukkan pengguna ke dalam prompt akan menjadi bagian dari model. Selain itu, jika organisasi Anda menggunakan asisten AI, maka alat ini mungkin memiliki akses yang lebih luas ke data organisasi, dan mungkin tidak memiliki perlindungan yang membatasi kapan, jika, atau bagaimana seharusnya menggunakan data tersebut.
Hal ini jelas dapat menimbulkan risiko yang signifikan. Lihatlah layanan Azure Health Bot dari Microsoft, yang "memungkinkan pergerakan lateral di seluruh jaringan, dan dengan demikian mengakses data pasien yang sensitif," per TechRadar. Laporan pada April 2024 mencatat bahwa 20% perusahaan di Inggris "memiliki data perusahaan yang berpotensi sensitif yang terekspos melalui penggunaan AI generatif (GenAI) oleh karyawan," per Majalah Infosecurity. Cisco memperkirakan bahwa seperempat perusahaan telah melarang AI generatif karena kekhawatiran ini.
Kekhawatiran ini cukup beralasan. LLM membutuhkan beragam data pelanggan untuk melatih model mereka, dan pengguna telah dilatih untuk mempercayai "kotak ajaib" dari pencarian Google dan mengetikkan apa pun yang mereka cari tanpa rasa takut. Hal ini dapat membahayakan informasi keuangan, IP, PII, atau data sensitif lainnya.
Bukan hanya input pengguna yang berisiko. Jika LLM sedang dilatih dengan data Anda, maka pihak ketiga mungkin dapat menanyakannya untuk menemukan informasi yang tidak Anda inginkan untuk dipublikasikan. Demikian juga, ada risiko bahwa asisten itu sendiri dapat menyiarkan informasi pada saluran keluar apa pun yang dapat dikomunikasikannya.
Jika organisasi Anda akan memasang asisten digital, ada beberapa praktik terbaik yang perlu Anda lakukan untuk menjaganya dan tim Anda tetap aman.
Pertama, mintalah tim kepemimpinan Anda menjelaskan apa saja risikonya. Jelaskan jenis informasi apa yang dapat dimasukkan oleh pengguna dan apa yang tidak. Di RSA, kami telah menjelaskan kepada tim kami bahwa mereka bisa memasukkan informasi yang ditujukan untuk konsumsi publik. Hal lainnya tidak boleh menjadi bagian dari pertanyaan pengguna.
Kedua, pastikan Anda mengaktifkan kontrol yang tepat. Hal itu mungkin tidak selalu menjadi pengaturan default asisten: Jika dikonfigurasi dengan tidak benar, asisten AI dapat memiliki akses ke semua hal di seluruh organisasi. Pastikan chatbot Anda mengetahui informasi apa yang dapat ditanyakan dan informasi apa yang dapat dikembalikan. Organisasi perlu memisahkan data dengan tepat, sehingga Pengguna X tidak menerima tanggapan berdasarkan file Pengguna Y; jika tidak, Anda berisiko membuat karyawan Anda membaca email satu sama lain dan mengakses informasi yang tidak diinginkan.
Anda juga perlu mengetahui apa saja yang dapat diakses oleh sistem Anda, kapan sistem memiliki akses tersebut, dan kapan sistem memberikan rekomendasi kepada pengguna. Pastikan untuk menerapkan perangkat aturan tersebut di semua alat AI yang Anda gunakan (ada beberapa versi Copilot Microsoft). Dan alat-alat tersebut harus sesuai dengan postur keamanan yang selaras.
Terakhir, tanyakan kepada vendor Anda apa yang terjadi dengan pencari, data, dan tanggapan Anda. Apakah vendor menyimpannya? Jika ya, untuk berapa lama? Apakah contoh lain dari solusi tersebut dilatih dengan model Anda, atau apakah semuanya tetap menjadi milik Anda?
Sebagian besar saya telah membahas risiko yang ditimbulkan oleh LLM dan AI generatif terhadap postur keamanan siber organisasi. Model-model AI tersebut cenderung menjadi berita utama dan mewakili beberapa risiko terbesar, jika hanya karena lebih banyak pengguna yang memasukkan perintah ke ChatGPT, Copilot, dll.
Keamanan siber juga bisa mendapatkan manfaat dari AI-tetapi tim Anda perlu menggunakan model yang tepat. Secara garis besar, LLM dan AI generatif tidak tepat untuk operasi keamanan saat ini. Mereka adalah kotak hitam yang menghasilkan hasil yang tidak selalu dapat divalidasi oleh operator manusia, dan keluarannya tidak selalu membantu.
Model-model tersebut didasarkan pada model non-deterministik (saya memasukkan nilai X, saya tidak tahu apa yang akan keluar). Model deterministik (saya memasukkan nilai X, saya tahu apa hasilnya dan bagaimana solusi akan sampai pada keluaran itu) bisa sangat berguna untuk keamanan siber.
Kami telah menggunakan RSA® Risiko AI selama beberapa dekade untuk memberikan wawasan waktu nyata tentang permintaan otentikasi. Risk AI adalah model pembelajaran mesin deterministik berbasis risiko yang menilai alamat IP pengguna dan sinyal jaringan, analisis perilaku, geolokasi, sinyal berbasis waktu, sinyal aplikasi, sinyal terkait perangkat, dan banyak lagi untuk mengevaluasi risiko. Jika sinyal dan perilaku tersebut mencerminkan perilaku khas pengguna relatif terhadap diri mereka sendiri dan seluruh organisasi, maka mereka dianggap berisiko rendah dan dapat mengautentikasi menggunakan metode standar. Jika perilaku tersebut menyimpang secara signifikan, maka sistem akan mengotomatiskan tantangan autentikasi tingkat lanjut dan dapat menandainya ke tim keamanan.
Yang penting, RSA Risk AI tidak mengumpulkan informasi organisasi, dan kami tidak menggunakan informasi apa pun dari penerapan yang diberikan untuk melatih iterasi di masa mendatang. Kami melakukan hash dan tokenisasi terhadap semua data Risk AI. Setiap contoh Risk AI diterapkan untuk setiap organisasi pelanggan ke organisasi, dan penerapan tersebut disesuaikan dengan data mereka dan data mereka saja.
Jangan biarkan praktik terbaik teknis atau poin-poin tentang arsitektur keamanan mengaburkan poin utama: data Anda sangat berharga. Sebaiknya organisasi menginvestasikan waktu dan sumber daya untuk berinvestasi pada alat, proses, dan prosedur yang dapat menjaganya tetap aman.
Jika Anda memiliki pertanyaan tentang cara melakukannya, kami siap membantu Anda bantuan.
