AI generatif (GenAI) telah berkembang pesat dan kini mulai menjadi bagian tak terpisahkan dari cara kita bekerja. Banyak karyawan memanfaatkannya untuk meningkatkan efisiensi, mencari ide, hingga menyusun dokumen dengan lebih cepat. Namun, di balik manfaat tersebut, tersimpan risiko yang sering luput dari perhatian. Tanpa disadari, penggunaan AI yang tidak terkontrol dapat membuka celah kebocoran data sensitif dan menciptakan ancaman baru bagi keamanan informasi perusahaan. Artikel ini akan mengulas bagaimana risiko-risiko tersebut muncul, serta langkah cerdas yang bisa diambil organisasi untuk tetap produktif tanpa mengorbankan keamanan.
Awalnya, AI Generatif seperti ChatGPT atau Gemini digunakan secara pribadi oleh individu untuk sekadar mencoba hal baru seperti menulis puisi, membuat gambar, atau membantu menjawab pertanyaan sehari-hari. Teknologi ini terasa seperti mainan canggih yang menghibur sekaligus mengagumkan. Tapi seiring waktu, banyak orang mulai menyadari bahwa kemampuan AI ini bisa dimanfaatkan untuk menyelesaikan pekerjaan lebih cepat dan lebih efisien, bahkan untuk tugas-tugas kompleks.
Peralihan dari penggunaan pribadi ke lingkungan kerja terjadi secara alami. Karyawan mulai menggunakan AI Generatif untuk menyusun email, meringkas laporan, atau merancang presentasi. Hasilnya? Produktivitas meningkat secara signifikan. Tapi di balik itu, muncullah tantangan baru. Karena tidak semua organisasi siap dengan regulasi internal yang mengatur penggunaan AI, banyak aktivitas ini dilakukan tanpa sepengetahuan tim IT atau manajemen.
Fenomena ini memunculkan apa yang disebut sebagai “penggunaan tidak resmi” AI di tempat kerja. Tanpa pedoman yang jelas, karyawan cenderung menggunakan perangkat pribadi atau akun pribadi mereka untuk mengakses AI Generatif, bahkan memasukkan data perusahaan yang sensitif ke dalam platform publik. Inilah titik awal dari risiko keamanan informasi yang lebih besar, di mana AI bukan hanya alat bantu kerja, tapi juga potensi celah kebocoran data yang tak terduga.
Baca juga: Bagaimana Hacker Memanfaatkan AI untuk Meningkatkan Serangan Siber?
Shadow AI adalah istilah untuk menggambarkan penggunaan alat AI seperti ChatGPT, Gemini, atau lainnya oleh karyawan tanpa pengawasan atau persetujuan resmi dari organisasi. Aktivitas ini sering kali terjadi di luar sistem yang dimonitor oleh tim IT, misalnya melalui perangkat pribadi atau akun email non-kantor. Meskipun sering dimaksudkan untuk membantu pekerjaan, penggunaan AI secara diam-diam ini justru menciptakan “titik buta” bagi perusahaan yang bisa berujung pada risiko serius, terutama dalam hal keamanan data.
Salah satu contoh nyata terjadi pada April 2023, ketika sebuah perusahaan elektronik multinasional dilaporkan mengalami insiden berulang: karyawan mereka secara tidak sengaja memasukkan kode sumber dan data sensitif lainnya ke ChatGPT. Karena platform AI publik dirancang untuk terus belajar dari interaksi, data yang dimasukkan bisa menjadi bagian dari pelatihan model dan secara teoritis dapat dimunculkan kembali dalam respons ke pengguna lain. Ini bukan hanya pelanggaran kebijakan internal, tapi juga ancaman nyata terhadap kerahasiaan dagang dan perlindungan data.
Jika informasi proprietary atau rahasia bisnis perusahaan bocor ke model publik, konsekuensinya bisa sangat merugikan, mulai dari hilangnya keunggulan kompetitif hingga potensi tuntutan hukum jika data konsumen ikut terekspos. Dan yang paling mengkhawatirkan, perusahaan sering kali tidak tahu bahwa kebocoran ini sudah terjadi hingga semuanya terlambat. Shadow AI bukan sekadar tantangan teknologi, tetapi krisis kepercayaan dan tata kelola yang harus segera ditangani dengan serius.
Banyak organisasi memilih jalan cepat dengan memblokir akses ke AI publik seperti ChatGPT sebagai upaya mencegah kebocoran data. Langkah ini tampaknya aman secara teknis, karena bisa menghentikan interaksi langsung antara karyawan dan platform AI eksternal. Namun, pendekatan ini sering kali bersifat reaktif dan tidak menyentuh akar masalah. Tanpa pemahaman yang cukup tentang kebutuhan pengguna dan pola kerja modern, larangan total justru menciptakan ilusi kontrol sambil mengabaikan kenyataan bahwa karyawan tetap akan mencari cara untuk menyelesaikan tugas mereka dengan lebih efisien.
Akibatnya, penggunaan AI hanya berpindah ke luar radar pengawasan resmi perusahaan. Karyawan mungkin mulai menggunakan perangkat pribadi, mengirim dokumen ke email pribadi, atau bahkan mengambil tangkapan layar data kerja dan memindahkannya ke platform AI lewat jalur yang tidak diawasi. Perilaku semacam ini justru meningkatkan risiko kebocoran dan membuat tim keamanan kehilangan visibilitas terhadap aktivitas yang sebenarnya terjadi. Lebih parah lagi, organisasi kehilangan kesempatan untuk mengarahkan pemanfaatan AI ke arah yang aman dan produktif.
Untuk menghadapi risiko AI Generatif di tempat kerja tanpa harus mengorbankan inovasi, organisasi perlu menerapkan strategi yang seimbang dan menyeluruh. Pendekatan ini tidak cukup hanya dengan membatasi akses, melainkan harus membangun sistem yang cerdas, adaptif, dan memberdayakan karyawan. Berikut adalah empat strategi utama yang dapat diterapkan:
Langkah pertama adalah memahami seberapa luas dan bagaimana AI Generatif digunakan di lingkungan kerja. Dengan menggunakan alat pemantauan yang tepat, tim IT dapat melacak pola penggunaan AI oleh karyawan, mendeteksi aplikasi mana yang paling sering digunakan, serta mengidentifikasi perilaku yang berpotensi berisiko, misalnya upaya mengunggah data sensitif. Tanpa visibilitas ini, organisasi berjalan dalam kegelapan dan tidak bisa merespons ancaman dengan akurat.
Daripada memberlakukan larangan total yang justru mendorong praktik Shadow AI, lebih baik organisasi menyusun kebijakan berbasis konteks. Ini berarti mengenali bahwa tidak semua penggunaan AI itu berbahaya. Misalnya, browser isolation dapat diterapkan agar karyawan bisa menggunakan AI untuk tugas umum, tapi dicegah dari mengunggah dokumen sensitif. Di sisi lain, organisasi juga bisa menyediakan akses ke platform AI enterprise yang lebih aman dan sesuai standar, sebagai alternatif resmi.
Teknologi DLP berperan penting sebagai lapisan pelindung terakhir. Sistem ini secara otomatis dapat mendeteksi dan memblokir upaya pengiriman data sensitif ke platform AI publik atau aplikasi yang tidak diizinkan. Penerapan DLP secara real-time membantu mencegah kebocoran data akibat kelalaian, tanpa harus mengganggu alur kerja karyawan. Ini menjadi jaring pengaman penting dalam menghadapi risiko AI Generatif.
Teknologi dan kebijakan tidak akan efektif tanpa dukungan perilaku yang tepat. Maka dari itu, edukasi menjadi kunci. Karyawan perlu diberi pemahaman tentang risiko penggunaan AI, apa saja batasannya, dan konsekuensi jika aturan dilanggar. Program pelatihan yang menyampaikan panduan praktis serta kampanye internal yang menumbuhkan rasa tanggung jawab akan menciptakan budaya kerja yang lebih sadar risiko, sekaligus memperkuat keamanan dari sisi manusia.
AI Generatif tidak seharusnya dianggap sebagai ancaman yang harus dihindari sepenuhnya. Justru sebaliknya, teknologi ini membuka peluang besar untuk meningkatkan efisiensi, kreativitas, dan daya saing di tempat kerja. Namun, seperti semua alat canggih, AI juga membawa risiko yang perlu dikelola dengan hati-hati. Menolak AI secara total hanya akan menghambat pertumbuhan, sementara membiarkannya tanpa pengawasan bisa membuka pintu bagi kebocoran data dan masalah keamanan lainnya.
Organisasi yang sukses di era digital adalah mereka yang mampu memadukan produktivitas dengan proteksi, bukan memilih salah satu. Dengan strategi yang tepat seperti visibilitas penggunaan, kebijakan yang kontekstual, proteksi data yang kuat, dan edukasi berkelanjutan, AI bisa diintegrasikan dengan aman dalam budaya kerja sehari-hari. Jika dikelola dengan bijak, AI Generatif bukanlah musuh, melainkan mitra masa depan yang membantu perusahaan bertumbuh secara berkelanjutan dan lebih siap menghadapi tantangan digital yang terus berkembang.
Baca juga: Eksploitasi ChatGPT: Bagaimana AI Bisa Disalahgunakan untuk Kejahatan?
AI Generatif bukanlah musuh, melainkan peluang besar yang menunggu untuk dimanfaatkan dengan cara yang benar. Selama organisasi mampu mengelola penggunaannya secara bijak dengan kebijakan yang tepat, edukasi yang kuat, dan perlindungan data yang andal, maka AI bisa menjadi pendorong kemajuan, bukan sumber risiko. Kini saatnya Anda mengevaluasi kembali kebijakan penggunaan AI di tempat kerja, meningkatkan kesadaran tim terhadap bahaya Shadow AI, dan mulai membangun pendekatan yang menyeimbangkan inovasi dengan keamanan.