Human Risk vs Teknologi AI, Mana yang Lebih Berbahaya?

Di tengah meningkatnya serangan siber global, satu perdebatan terus muncul di ruang diskusi para profesional keamanan siber: apakah ancaman terbesar bagi organisasi berasal dari kesalahan manusia, atau dari perkembangan teknologi AI yang semakin canggih? Banyak pihak langsung menjawab "AI" karena terdengar lebih modern dan mengkhawatirkan. Namun jawaban itu seringkali terburu-buru. Artikel ini memaparkan perbandingan menyeluruh antara human risk (risiko manusia) dan risiko teknologi AI — termasuk bagaimana keduanya berinteraksi, mana yang lebih sulit dikendalikan, dan apa yang seharusnya menjadi prioritas mitigasi organisasi Anda saat ini.

Apa Itu Human Risk dalam Keamanan Siber?

Human risk merujuk pada potensi kerugian yang timbul akibat perilaku, keputusan, atau kelalaian manusia di dalam maupun di sekitar organisasi. Risiko ini tidak hanya berkaitan dengan kurangnya pengetahuan tentang keamanan siber, tetapi juga mencakup berbagai tindakan yang dapat membuka celah bagi terjadinya insiden keamanan. Bentuk-bentuk human risk yang paling umum meliputi:

1. Phishing dan Social Engineering – Menurut Verizon Data Breach Investigations Report (DBIR) 2023, lebih dari 74% pelanggaran data melibatkan elemen manusia, baik melalui kesalahan, penyalahgunaan hak akses, maupun manipulasi sosial. Phishing tetap menjadi salah satu metode serangan yang paling efektif karena menargetkan psikologi manusia, bukan kelemahan teknologi.
2. Kesalahan Konfigurasi dan Kelalaian – Kesalahan dalam pengaturan akses, penggunaan kata sandi yang lemah, atau tindakan seperti mengklik tautan berbahaya tanpa verifikasi dapat menciptakan celah keamanan yang berdampak luas bagi organisasi.
3. Insider Threat – Ancaman dari orang dalam, baik yang disengaja maupun tidak disengaja, juga merupakan bagian dari human risk. Contohnya meliputi mantan karyawan yang masih memiliki akses atau pegawai yang menyalahgunakan hak akses yang dimilikinya.
4. Kurangnya Kesadaran Keamanan (Security Awareness) – Rendahnya pemahaman terhadap risiko keamanan siber sering kali menjadi akar berbagai insiden. Ketika individu tidak memahami dampak dari tindakan digital yang mereka lakukan, setiap akun, perangkat, dan akses yang dimiliki dapat menjadi titik kerentanan bagi organisasi.

Baca juga: Apakah Face Recognition Masih Aman di Era Deepfake?

Apa Itu Risiko Teknologi AI dalam Konteks Keamanan?

Teknologi AI menghadirkan berbagai manfaat dan transformasi yang signifikan bagi organisasi. Namun, di balik manfaat tersebut, terdapat sejumlah risiko baru yang perlu dipahami dan dikelola. Dalam konteks keamanan siber, risiko AI dapat dilihat dari dua sisi: AI sebagai alat yang dimanfaatkan oleh penyerang dan AI sebagai sistem yang memiliki kerentanannya sendiri. AI dapat dimanfaatkan oleh pelaku kejahatan siber untuk meningkatkan efektivitas serangan, antara lain melalui:

• Spear Phishing yang Lebih Meyakinkan – AI generatif mampu membuat email phishing yang lebih personal, minim kesalahan, dan disesuaikan dengan karakteristik target sehingga lebih sulit dikenali.
• Deepfake dan Manipulasi Identitas – Teknologi AI dapat digunakan untuk meniru suara maupun wajah seseorang guna melakukan penipuan, rekayasa sosial, atau penyalahgunaan identitas.
• Malware yang Adaptif – AI memungkinkan pengembangan malware yang lebih dinamis dan mampu berubah secara otomatis untuk menghindari deteksi oleh sistem keamanan tradisional.

Selain dimanfaatkan oleh penyerang, penerapan AI di dalam organisasi juga membawa risiko internal yang perlu diperhatikan, seperti:

1. Bias Algoritma yang dapat menghasilkan keputusan yang tidak akurat atau diskriminatif.
2. Kebocoran Data Pelatihan (Training Data Leakage) yang berpotensi mengungkap informasi sensitif.
3. Prompt Injection, yaitu upaya memanipulasi perilaku model AI melalui input yang dirancang secara khusus.
4. Shadow AI, yaitu penggunaan alat AI oleh karyawan tanpa pengawasan atau persetujuan dari tim TI maupun keamanan informasi.

Perbandingan Langsung: Human Risk vs Risiko Teknologi AI

Meskipun sama-sama dapat menyebabkan insiden keamanan siber, human risk dan risiko teknologi AI memiliki karakteristik yang berbeda. Memahami perbedaan keduanya penting agar organisasi dapat menerapkan strategi mitigasi yang tepat.

Human Risk

• Sumber Risiko – Berasal dari perilaku, keputusan, kesalahan, atau kelalaian individu.
• Frekuensi Kejadian – Sangat tinggi dan terjadi dalam aktivitas operasional sehari-hari.
• Dampak Potensial – Bervariasi, mulai dari insiden kecil hingga pelanggaran data yang signifikan.
• Kemampuan Mitigasi – Dapat dikurangi melalui pelatihan, edukasi, dan peningkatan kesadaran keamanan.
• Skalabilitas Ancaman – Umumnya terbatas pada individu atau kelompok tertentu.
• Kecepatan Evolusi – Cenderung berubah secara bertahap seiring perubahan perilaku manusia.

Risiko Teknologi AI

• Sumber Risiko – Berasal dari sistem AI, algoritma, maupun pihak yang memanfaatkan AI untuk melakukan serangan.
• Frekuensi Kejadian – Terus meningkat seiring semakin luasnya adopsi teknologi AI.
• Dampak Potensial – Berpotensi menimbulkan dampak yang lebih luas dan lebih sulit dideteksi.
• Kemampuan Mitigasi – Membutuhkan kombinasi kontrol teknis, tata kelola, dan kebijakan organisasi.
• Skalabilitas Ancaman – Memungkinkan serangan dilakukan dalam skala besar dengan biaya yang relatif rendah.
• Kecepatan Evolusi – Berkembang sangat cepat dan terus memunculkan risiko-risiko baru.

Mana yang Lebih Berbahaya Saat Ini?

Tidak mudah menentukan apakah human risk atau risiko teknologi AI lebih berbahaya, karena keduanya memiliki karakteristik dan dampak yang berbeda. Namun, jika dinilai berdasarkan kondisi saat ini, human risk masih menjadi ancaman yang lebih dominan, lebih sering terjadi, dan lebih sulit dikendalikan dalam jangka pendek. Sebagian besar insiden keamanan siber masih melibatkan unsur manusia, baik melalui kesalahan, kelalaian, penyalahgunaan akses, maupun keberhasilan serangan rekayasa sosial.

Pada praktiknya, teknologi AI yang digunakan oleh penyerang tetap membutuhkan manusia sebagai titik masuk utama. Serangan phishing, deepfake, maupun berbagai bentuk manipulasi berbasis AI akan jauh lebih sulit berhasil apabila individu memiliki kesadaran keamanan yang baik serta mengikuti prosedur verifikasi yang tepat. Hal ini menunjukkan bahwa human risk sering kali berperan sebagai faktor pengali yang dapat memperbesar dampak dari berbagai ancaman keamanan lainnya, termasuk ancaman yang memanfaatkan AI.

Meski demikian, risiko teknologi AI tidak dapat dianggap remeh. Perkembangannya berlangsung sangat cepat dan memungkinkan berbagai teknik serangan menjadi lebih murah, lebih otomatis, dan lebih mudah diakses dibandingkan sebelumnya. Organisasi yang hanya berfokus pada pengelolaan human risk tanpa mempersiapkan diri menghadapi ancaman berbasis AI berisiko tertinggal. Oleh karena itu, pendekatan keamanan yang efektif perlu mempertimbangkan kedua aspek tersebut secara bersamaan, baik dari sisi manusia maupun teknologi.

Strategi Mitigasi yang Tepat: Tidak Harus Memilih Salah Satu

Salah satu kesalahan yang sering terjadi dalam perencanaan keamanan siber adalah memperlakukan human risk dan risiko teknologi AI sebagai dua masalah yang terpisah. Padahal, keduanya saling berkaitan dan dapat saling memperkuat dampak satu sama lain. Oleh karena itu, strategi mitigasi yang efektif perlu menggabungkan aspek manusia, proses, dan teknologi dalam satu pendekatan yang terintegrasi.

1. Bangun Budaya Keamanan Berbasis Pelatihan Berkelanjutan
   Program security awareness training yang efektif tidak hanya berfokus pada penyelesaian pelatihan, tetapi juga mencakup simulasi serangan, pembaruan materi sesuai perkembangan ancaman, serta pengukuran perubahan perilaku pengguna.
2. Terapkan Kebijakan Penggunaan AI yang Jelas
   Organisasi perlu memiliki kebijakan yang mengatur penggunaan alat AI, baik yang disediakan perusahaan maupun layanan pihak ketiga. Kebijakan yang jelas membantu mengurangi risiko penggunaan AI tanpa pengawasan (shadow AI).
3. Deteksi Ancaman AI dengan Teknologi AI
   Pemanfaatan AI dalam sistem keamanan dapat membantu mendeteksi pola anomali dan aktivitas mencurigakan yang sulit diidentifikasi melalui pendekatan tradisional atau aturan manual.
4. Jadikan Zero Trust sebagai Fondasi Keamanan
   Prinsip zero trust yang menekankan verifikasi terhadap setiap akses dan aktivitas dapat membantu mengurangi dampak kesalahan manusia sekaligus membatasi ruang gerak ancaman yang memanfaatkan teknologi AI.

Tidak ada solusi tunggal yang dapat menghilangkan seluruh risiko keamanan siber. Organisasi perlu membangun keseimbangan antara peningkatan kesadaran manusia dan penguatan kontrol teknologi agar mampu menghadapi ancaman yang terus berkembang, baik yang berasal dari faktor manusia maupun pemanfaatan AI.

Baca juga: Manusia sebagai Kunci Utama dalam Mencegah Kejahatan Siber di Kantor

Kesimpulan

Human risk dan risiko teknologi AI bukanlah dua ancaman yang berdiri sendiri, melainkan saling berkaitan dan dapat memperkuat dampak satu sama lain. Dalam lanskap ancaman saat ini, human risk masih menjadi titik lemah yang paling sering dieksploitasi, sementara AI berperan sebagai faktor yang mempercepat dan memperbesar skala serangan. Karena itu, organisasi perlu membangun pertahanan yang mampu mengelola kedua risiko tersebut secara bersamaan.

Investasi dalam security awareness dan pengelolaan risiko manusia bukan sekadar biaya, melainkan fondasi yang menentukan efektivitas seluruh kontrol keamanan lainnya. Melalui pendekatan Human Risk Management, SiberMate membantu organisasi membangun budaya keamanan yang lebih kuat, mengukur tingkat risiko manusia, serta mengurangi kemungkinan terjadinya insiden yang dipicu oleh faktor manusia maupun pemanfaatan teknologi AI.