Industri jasa keuangan (FS) memegang rekor tertinggi terkait insiden keamanan yang melibatkan kecerdasan buatan (AI) dibandingkan sektor lainnya seperti kesehatan, manufaktur, atau pemerintahan. Menariknya, banyak organisasi masih memperlakukan agen AI seperti beban kerja biasa, padahal tidak demikian.
Sektor yang dibangun di atas data yang sangat sensitif dan sistem yang saling terhubung ini memiliki risiko yang jauh lebih besar. Ancaman yang ada tidak hanya bersifat terisolasi, melainkan dapat mencakup kebocoran data dalam skala besar, kerugian finansial, pelanggaran regulasi, hilangnya kepercayaan pelanggan, bahkan gangguan sistemik jika layanan vital terganggu.
Masalah ini tidak bisa dianggap sepele, karena dampaknya meluas. Mengingat FS sering menjadi sektor pertama yang mengadopsi teknologi baru, cara mereka menangani AI hari ini akan menjadi acuan bagi industri lainnya di masa depan.
Apa yang Salah
Lalu, kenapa ini bisa terjadi? Organisasi FS terburu-buru menerapkan agen yang tidak selalu dapat diprediksi tanpa adanya pengendalian yang memadai. Data menunjukkan bahwa bukan AI-nya yang berisiko, melainkan akses yang diberikan kepadanya. Organisasi yang memberikan akses luas kepada agen AI mengalami insiden jauh lebih banyak daripada yang menerapkan kontrol akses minimal.
Hal ini menciptakan kelas risiko baru yang bisa meluas dengan cepat. Berbeda dengan perangkat lunak tradisional, agen AI beroperasi secara otonom, dengan kecepatan mesin, 24/7, tanpa merasakan kelelahan. Jadi, ketika mereka diberikan izin yang berlebihan, bukan hanya risiko meningkat, tetapi juga amplifikasi dari risiko itu sendiri.
Di sektor FS, agen AI digunakan dalam onboarding pelanggan atau manajemen risiko, yang membutuhkan akses ke berbagai data untuk menarik wawasan. Dengan infrastruktur yang kompleks dan saling terkait, tim sering mengambil jalan pintas dengan memberikan izin luas agar semuanya dapat berjalan dengan baik. Di sinilah masalah mulai muncul.
Agen yang terlalu berwenang bukan hanya meningkatkan kemungkinan kebocoran data, tetapi juga menyulitkan pengawasan situasi, membuktikan pengendalian, dan memenuhi persyaratan audit. Ketika kesalahan terjadi, konsekuensinya tidak akan terisolasi — dampaknya dapat cepat meluas.
Apa yang Harus Diubah
1. Perlakukan agen AI sebagai identitas utama
Langkah pertama adalah mendefinisikan kembali identitas. Setiap aktor — manusia, mesin, atau AI — harus beroperasi dalam kerangka kerja yang aman, dapat diaudit, dan konsisten. Untuk agen AI, ini dimulai dengan identitas unik dan dapat diverifikasi sejak penciptaan. Tidak ada kredensial yang dibagikan, tidak ada ambiguitas, tidak ada celah.
Segala yang lain berdiri di atas landasan ini. Langkah selanjutnya bergantung pada identitas yang benar dari awal. Jika tidak bisa mengidentifikasi agen dengan tepat, kontrol dan keamanan tidak akan efektif.
2. Terapkan kontrol akses minimal sebagai prinsip utama
Kurangi akses ke hal-hal yang benar-benar diperlukan. Audit agen yang ada, identifikasi akses yang terlalu luas, dan batasi izin hanya untuk tugas, sistem, dan dataset tertentu. Akses harus tepat dan berbatas waktu, karena lebih dari itu hanya menambah risiko yang tidak perlu.
3. Hilangkan ketergantungan pada kredensial statis
Kredensial statis seperti kata sandi dan kunci API menciptakan akses yang sulit dikendalikan dan malah menyebar. Untuk itu, gantikan dengan akses berbasis identitas yang bersifat sementara dan terikat pada konteks. Tidak perlu ada rahasia tetap; hanya identitas yang sudah terverifikasi. Ini sangat penting saat mengelola identitas mesin dan beban kerja dalam skala besar.
4. Bangun visibilitas dan auditabilitas penuh
Tanpa visibilitas, risiko akan terakumulasi secara diam-diam hingga tiba saatnya hancur. Agen AI tidak bisa beroperasi sebagai kotak hitam. Setiap tindakan harus dicatat, dan setiap gerakan harus dapat dilacak di seluruh sistem dan alur kerja. Visibilitas ini harus terhubung dengan sistem pemantauan dan deteksi yang ada.
Merombak Manajemen Identitas untuk Era AI
Manajemen identitas harus menjadi disiplin rekayasa, bukan sekadar fungsi keamanan. Ini berarti tim platform, rekayasa, dan keamanan harus berkoordinasi mengikuti satu model identitas. Konfigurasi sistem yang terfragmentasi menjadi lapisan identitas yang terpadu, sehingga menurunkan kompleksitas dan meningkatkan kontrol. Perlakuan identitas sebagai infrastruktur inti, bukan sekadar tambahan.
Agen AI sudah terbenam di dalam layanan keuangan, dan ini tidak akan berubah. Namun, cara mereka diamankan harus diperbarui. Menganggap agen otonom seperti beban kerja tradisional tidaklah cukup, dan mengandalkan model identitas yang sudah ada adalah kekeliruan.
Dalam dunia jasa keuangan, identitas bukanlah sekadar kotak centang untuk kepatuhan. Ini adalah infrastruktur yang menentukan apakah kita bisa memperluas penggunaan AI.
