Laporan terbaru Cost of a Data Breach Report 2025 yang dirilis oleh IBM dan Ponemon Institute mengungkapkan fakta mengejutkan: organisasi yang memiliki tingkat penggunaan Shadow AI yang tinggi harus menanggung biaya pelanggaran data rata-rata USD4,74 juta, atau lebih mahal USD670.000 (sekitar Rp10,5 miliar) dibandingkan organisasi dengan tingkat Shadow AI yang rendah atau tidak ada sama sekali.
Shadow AI terjadi ketika karyawan menggunakan aplikasi AI generatif, model, atau alat otomatisasi yang tidak dikelola atau disetujui oleh tim IT perusahaan untuk menyelesaikan pekerjaan mereka. Niat karyawan mungkin baik—untuk bekerja lebih cepat—namun dampaknya bisa fatal karena alat-alat ini sering kali tidak memiliki standar keamanan perusahaan.
Laporan tersebut mencatat bahwa 20% organisasi mengalami pelanggaran data yang secara khusus disebabkan oleh insiden keamanan yang melibatkan Shadow AI. Angka ini bahkan mungkin lebih tinggi, mengingat 11% organisasi lainnya mengaku "tidak yakin" apakah insiden yang mereka alami melibatkan Shadow AI atau tidak, yang menunjukkan betapa sulitnya mendeteksi aktivitas ini.
Kerugian akibat Shadow AI tidak hanya berupa uang, tetapi juga hilangnya data sensitif yang berharga. Laporan IBM menemukan bahwa insiden yang melibatkan Shadow AI mengakibatkan kompromi data yang lebih parah dibandingkan jenis pelanggaran lainnya.
Sebanyak 65% insiden Shadow AI mengakibatkan kebocoran Informasi Identitas Pribadi (PII) pelanggan, seperti nomor identitas pajak, email, dan alamat rumah. Selain itu, 40% insiden juga menyebabkan kebocoran kekayaan intelektual (Intellectual Property) perusahaan.
Hal ini terjadi karena satu sistem AI yang tidak terpantau dapat menyebabkan paparan data yang luas yang sering kali tersebar di berbagai lingkungan penyimpanan.
Meningkatnya biaya ini diperparah oleh kurangnya kesiapan perusahaan. Laporan tersebut menemukan bahwa 63% organisasi yang mengalami pelanggaran data tidak memiliki kebijakan tata kelola untuk mengelola penggunaan AI atau mendeteksi Shadow AI.
Lebih mengkhawatirkan lagi, 97% pelanggaran keamanan terkait AI terjadi pada sistem yang tidak memiliki kontrol akses yang memadai. Tanpa aturan main yang jelas, karyawan terus memasukkan data sensitif ke dalam platform AI publik yang tidak aman, menciptakan "blind spot" atau titik buta bagi tim keamanan.
Selain biaya yang membengkak, Shadow AI juga memperlambat kerja tim keamanan. Insiden yang melibatkan Shadow AI membutuhkan waktu identifikasi dan pembendungan yang lebih lama—rata-rata sekitar satu minggu lebih lambat dibandingkan rata-rata global. Keterlambatan ini berkontribusi langsung pada membengkaknya total kerugian finansial yang harus ditanggung perusahaan.
Temuan ini menjadi sinyal keras bagi para pemimpin bisnis. Melarang penggunaan AI sepenuhnya mungkin bukan solusi efektif di era digital. Sebaliknya, perusahaan didorong untuk segera menutup celah tata kelola, menetapkan kebijakan penggunaan AI yang aman, dan memfasilitasi karyawan dengan alat AI resmi yang diawasi (sanctioned AI) agar produktivitas tidak harus dibayar mahal dengan keamanan data.
Cek Berita dan Artikel yang lain di
Google News
