Meningkatnya penggunaan kecerdasan buatan di tempat kerja memicu peningkatan pesat dalam konsumsi data, sehingga menantang kemampuan perusahaan untuk melindungi data sensitif.
Sebuah laporan yang dirilis pada bulan Mei dari Data Security Institute surga dunia maya, berjudul “The Cubicle Culprits,” menyoroti tren adopsi AI dan korelasinya dengan risiko tinggi. Analisis Cyberhaven menggunakan kumpulan data pola penggunaan dari tiga juta pekerja untuk menilai adopsi AI dan dampaknya terhadap lingkungan perusahaan.
Pertumbuhan pesat AI meniru perubahan transformasional sebelumnya seperti Internet dan komputasi awan. Menurut CEO Cyberhaven Howard Ting, sama seperti para pengguna cloud awal menghadapi tantangan baru, perusahaan-perusahaan saat ini harus menghadapi kompleksitas yang ditimbulkan oleh adopsi AI secara luas.
“Penelitian kami mengenai penggunaan dan risiko AI tidak hanya menyoroti dampak teknologi ini namun juga menggarisbawahi risiko yang muncul, serupa dengan risiko yang dihadapi selama pergolakan teknologi signifikan di masa lalu,” katanya kepada TechNewsWorld.
Temuan ini memberikan peringatan mengenai potensi penyalahgunaan AI
Laporan Cubicle Culprits mengungkapkan percepatan adopsi AI di tempat kerja dan penggunaan oleh pengguna akhir yang jauh melampaui TI korporat. Tren ini memicu akun-akun “AI bayangan” yang berisiko, termasuk lebih banyak jenis data sensitif perusahaan.
Produk dari tiga raksasa teknologi AI – OpenAI, Google, dan Microsoft – mendominasi penggunaan AI. Produk mereka menyumbang 96% penggunaan AI di tempat kerja.
Menurut penelitian, pekerja di seluruh dunia memasukkan data sensitif perusahaan ke dalam alat AI, yang meningkat sebesar 485% dari Maret 2023 hingga Maret 2024. Hanya 4,7% karyawan di perusahaan keuangan, 2,8% di bidang farmasi dan ilmu hayati, dan 0,6% di perusahaan manufaktur menggunakan alat AI.
Sebanyak 73,8% penggunaan ChatGPT di tempat kerja dilakukan oleh akun non-perusahaan. “Berbeda dengan versi perusahaan, akun ini menyematkan data bersama dalam model publik, yang menimbulkan risiko signifikan terhadap keamanan data sensitif,” Ting memperingatkan.
“Sebagian besar data sensitif perusahaan dikirim ke akun non-perusahaan. Sekitar setengahnya mencakup kode sumber (50,8%), materi penelitian dan pengembangan (55,3%), serta catatan SDM dan karyawan (49,0%), katanya.
Data yang dibagikan oleh akun non-perusahaan ini disertakan dalam model publik. Persentase penggunaan rekening non-korporat bahkan lebih tinggi pada Gemini (94,4%) dan Beard (95,9%).
Data AI mengalami pendarahan yang tidak terkendali
Tren ini menunjukkan adanya kerentanan yang kritis. Ting mengatakan akun non-perusahaan tidak memiliki langkah keamanan yang kuat untuk melindungi data tersebut.
Tingkat adopsi AI dengan cepat menjangkau disiplin ilmu baru dan kasus penggunaan yang melibatkan data sensitif. 27% data yang dimasukkan karyawan ke dalam alat AI bersifat sensitif, naik dari 10,7% pada tahun lalu.
Misalnya, 82,8% dokumen hukum yang ditempatkan di alat AI oleh karyawan kemungkinan besar akan masuk ke akun non-perusahaan, sehingga berpotensi mengungkap informasi tersebut ke publik.
Ting memperingatkan bahwa memasukkan materi yang dipatenkan ke dalam konten yang dihasilkan oleh alat AI akan meningkatkan risiko. Penyisipan kode sumber yang dibuat oleh AI di luar alat pengkodean dapat menimbulkan risiko kerentanan.
Hanya sedikit perusahaan yang tidak tahu cara menghentikan aliran data tidak sah dan sensitif yang diekspor ke alat AI di luar lingkup TI. Mereka mengandalkan alat keamanan data yang ada yang hanya memindai konten data untuk menentukan jenisnya.
“Tidak ada konteks dari mana data itu berasal, siapa yang berinteraksi dengannya, dan di mana data itu disimpan. Pertimbangkan contoh di mana seorang karyawan menempelkan kode ke akun AI pribadi untuk membantu proses debug,” Ting menawarkan. “Apakah ini kode sumber dari repositori? Apakah itu data pelanggan dari aplikasi SaaS?”
Dimungkinkan untuk mengontrol aliran data
Ting meyakinkan bahwa mendidik pekerja tentang masalah kebocoran data adalah bagian dari solusi jika dilakukan dengan benar. Banyak perusahaan telah mengadakan pelatihan kesadaran keamanan secara berkala.
“Namun, video yang harus ditonton pekerja dua kali setahun akan segera terlupakan. Pendidikan yang paling efektif adalah segera memperbaiki perilaku buruk,” ujarnya.
“Cyberhaven menemukan bahwa ketika pekerja menerima pesan popup selama aktivitas berisiko, seperti menempelkan kode sumber ke akun ChatGPT pribadi, perilaku buruk yang berkelanjutan berkurang sebesar 90%,” kata Ting.
Teknologi perusahaannya, Deteksi dan Respons Data (DDR), memahami bagaimana data berpindah dan menggunakan konteks tersebut untuk melindungi data sensitif. Teknologi ini juga memahami perbedaan antara akun korporat dan pribadi untuk ChatGPT.
Kemampuan ini memungkinkan perusahaan menerapkan kebijakan yang mencegah karyawan menempelkan data sensitif ke akun pribadi sekaligus membiarkan data mengalir ke akun perusahaan.
Hal yang mengejutkan adalah siapa yang salah
Cyberhaven menganalisis prevalensi risiko orang dalam berdasarkan pengaturan tempat kerja, termasuk jarak jauh, di lokasi, dan hibrida. Para peneliti menemukan bahwa lokasi pekerja pada saat terjadi insiden keselamatan mempengaruhi penyebaran data.
“Penelitian kami menemukan perubahan yang mengejutkan dalam narasi tersebut. Karyawan di tempat kerja, yang secara tradisional dianggap sebagai tempat yang aman, kini berada di garis depan dalam penyelundupan data perusahaan,” ungkapnya.
Sebaliknya, pekerja kantoran 77% lebih mungkin mengekspos data sensitif dibandingkan pekerja jarak jauh. Namun, ketika karyawan kantoran masuk dari luar kantor, mereka 510% lebih mungkin membocorkan data dibandingkan saat mereka berada di dalam kantor, menjadikannya saat yang paling berbahaya bagi data perusahaan, menurut Ting.