- NYDFS mengeluarkan panduan untuk mengatasi risiko keamanan siber dari AI.
- Penggunaan AI meningkatkan kompleksitas serangan siber dan risiko data.
- Entitas diatur harus melakukan penilaian risiko dan pelatihan keamanan.
pibitek.biz -Departemen Layanan Keuangan New York (NYDFS) mengeluarkan surat edaran kepada industri yang membahas tentang Risiko Keamanan Siber yang Berasal dari AI dan Strategi untuk Mengatasi Risiko Tersebut. Surat edaran ini merupakan panduan bagi entitas yang diatur oleh NYDFS, khususnya dalam menilai dan menanggapi risiko keamanan siber yang terkait dengan penggunaan AI. Surat edaran ini menekankan bahwa para pelaku kejahatan siber semakin lihai dalam memanfaatkan AI untuk melancarkan serangan siber yang lebih canggih.
2 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat 2 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat
3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
Selain itu, surat edaran tersebut juga membahas tentang risiko yang ditimbulkan oleh penggunaan AI oleh entitas yang diatur oleh NYDFS sendiri. NYDFS mencatat bahwa AI telah meningkatkan kemampuan para pelaku kejahatan siber untuk melakukan serangan yang lebih kompleks. AI dapat digunakan untuk meningkatkan teknik rekayasa sosial seperti serangan phishing, serangan dengan deepfake, dan penipuan lainnya. AI juga dapat digunakan untuk meningkatkan efektivitas, kecepatan, dan skala serangan siber yang sudah ada sebelumnya.
AI dapat membantu pengembangan malware dan memungkinkan pelaku kejahatan siber yang kurang berpengalaman untuk melakukan serangan yang lebih canggih dan efektif. Penggunaan AI oleh entitas yang diatur oleh NYDFS juga membawa risiko tersendiri. Sistem AI mengumpulkan sejumlah besar informasi pribadi, termasuk informasi sensitif seperti data biometrik. Hal ini membuat sistem AI menjadi target utama para pelaku kejahatan siber. Risiko ini semakin tinggi ketika AI memerlukan penyimpanan data biometrik seperti pemindaian wajah, sidik jari, dan sebagainya.
Informasi pribadi yang dikumpulkan oleh sistem AI dapat digunakan oleh para pelaku kejahatan siber untuk meniru pengguna yang sah dan melewati proteksi autentikasi multifaktor (MFA). Selain itu, pengumpulan data tersebut seringkali melibatkan perjanjian dengan vendor dan penyedia layanan pihak ketiga, yang menciptakan titik lemah tambahan yang dapat menjadi sasaran serangan. NYDFS menekankan pentingnya melakukan penilaian risiko, yang merupakan persyaratan utama dalam peraturan keamanan siber. Penilaian risiko harus mempertimbangkan risiko yang berasal dari deepfake dan ancaman lain yang ditimbulkan oleh AI.
Penilaian risiko juga harus mencakup risiko yang berasal dari penggunaan AI oleh entitas yang diatur oleh NYDFS sendiri, penggunaan AI oleh vendor dan penyedia layanan pihak ketiga, dan potensi kerentanan dalam aplikasi AI. Surat edaran tersebut juga merekomendasikan agar entitas yang diatur oleh NYDFS memiliki rencana respons insiden, rencana kontinuitas bisnis, dan rencana pemulihan bencana yang dirancang untuk mengatasi kejadian keamanan siber dan gangguan lainnya, termasuk yang terkait dengan AI. Selain itu, NYDFS menekankan pentingnya penggunaan autentikasi multifaktor sebagai tindakan pencegahan terhadap serangan rekayasa sosial yang ditingkatkan oleh AI, termasuk deepfake.
NYDFS menganjurkan penggunaan faktor autentikasi yang tidak dapat diatasi menggunakan serangan yang ditingkatkan oleh AI, seperti deepfake. NYDFS juga menekankan perlunya pelatihan keamanan siber bagi semua personel, termasuk para eksekutif senior dan anggota dewan pengarah. Pelatihan harus mencakup rekayasa sosial, yang merupakan area yang harus dipertimbangkan dalam pelatihan kesadaran keamanan siber. Entitas yang diatur oleh NYDFS juga disarankan untuk berhati-hati terhadap risiko yang ditimbulkan oleh AI bagi vendor dan penyedia layanan pihak ketiga.
Mereka harus memastikan bahwa mereka memiliki kebijakan dan prosedur yang memastikan kehati-hatian sebelum melibatkan vendor dan penyedia layanan pihak ketiga. Entitas yang diatur oleh NYDFS juga harus memastikan bahwa vendor dan penyedia layanan pihak ketiga memiliki kontrol keamanan yang tepat untuk mengakses sistem atau informasi pribadi entitas yang diatur oleh NYDFS. Mereka juga harus menyertakan perwakilan dan jaminan tambahan dalam kasus di mana vendor dan penyedia layanan pihak ketiga menggunakan alat AI.
Entitas yang diatur oleh NYDFS juga didorong untuk mempertimbangkan untuk menyertakan klausul dalam perjanjian vendor dan penyedia layanan pihak ketiga yang mewajibkan vendor dan penyedia layanan pihak ketiga untuk memanfaatkan opsi privasi, keamanan, dan kerahasiaan yang ditingkatkan saat menggunakan produk atau layanan AI. NYDFS juga menekankan pentingnya pemantauan, yang merupakan bagian integral dari peraturan keamanan siber. Pemantauan harus mencakup pemantauan aktivitas pengguna pada sistem dan pemantauan untuk kerentanan keamanan baru.
Entitas yang diatur oleh NYDFS yang menggunakan produk yang didukung AI atau yang mengizinkan personel untuk menggunakan aplikasi AI harus mempertimbangkan untuk melakukan pemantauan tambahan. NYDFS juga menganjurkan entitas yang diatur oleh NYDFS untuk memblokir kueri yang dapat mengekspos informasi pribadi ke produk atau sistem AI publik. Entitas yang diatur oleh NYDFS harus membuang informasi pribadi yang tidak lagi diperlukan untuk operasi bisnis atau tujuan bisnis sah lainnya, termasuk informasi pribadi yang digunakan untuk pelatihan AI atau tujuan lainnya.
NYDFS juga menyadari bahwa AI memiliki manfaat keamanan siber yang signifikan. AI dapat diintegrasikan ke dalam alat keamanan siber untuk memantau sistem, menganalisis tren, dan memprediksi potensi ancaman. Surat edaran NYDFS merupakan bukti bahwa NYDFS memantau ketat perlombaan senjata AI yang terjadi antara penggunaan AI oleh para pelaku kejahatan siber untuk melancarkan serangan siber dan penggunaan alat pertahanan keamanan siber yang didukung AI. Surat edaran ini merupakan sinyal yang jelas tentang interpretasi NYDFS tentang peraturan yang ada dan wawasan tentang prioritas penegakannya.
Meskipun surat edaran ini dimaksudkan untuk membantu entitas yang diatur oleh NYDFS untuk menanggapi risiko keamanan siber yang terkait dengan AI, surat edaran tersebut juga merupakan bukti dari kontrol yang berlebihan oleh pemerintah atas penggunaan teknologi AI. Surat edaran ini menunjukkan bahwa pemerintah khawatir dengan potensi dampak negatif dari AI, namun pemerintah tampaknya kurang memahami kompleksitas dan potensi positif dari teknologi AI. Alih-alih mengeluarkan panduan yang merinci dan terbatas, pemerintah harus fokus pada pengembangan kebijakan yang mendorong inovasi dan penggunaan AI yang bertanggung jawab.
Regulasi yang berlebihan hanya akan menghambat pertumbuhan dan pengembangan teknologi AI, yang pada akhirnya akan merugikan masyarakat. Pemerintah harus menyadari bahwa AI adalah teknologi yang berkembang pesat dan berpotensi mengubah dunia, dan mereka harus berhati-hati dalam mengeluarkan peraturan yang dapat menghambat kemajuan teknologi. Surat edaran ini merupakan bukti dari intervensi yang berlebihan oleh pemerintah dalam dunia teknologi. NYDFS menekankan pentingnya penilaian risiko, respons insiden, autentikasi multifaktor, pelatihan keamanan siber, manajemen vendor, pemantauan, dan manajemen data untuk melindungi informasi pribadi.
Surat edaran ini menunjukkan bahwa AI menghadirkan risiko keamanan siber yang signifikan, dan entitas yang diatur oleh NYDFS harus waspada dan proaktif dalam melindungi sistem dan informasi mereka. NYDFS juga mengakui manfaat AI dalam meningkatkan keamanan siber. Surat edaran ini merupakan langkah penting dalam melindungi informasi pribadi dan meningkatkan keamanan siber dalam era AI.
