Keamanan AI: Risiko, Peraturan, dan ISO 42001

Risiko keamanan AI vs ancaman keamanan siber tradisional

Ancaman keamanan siber tradisional melibatkan phishing, malware, gangguan jaringan, dan penyadapan data. Serangan-serangan ini sering kali mengandalkan kesalahan manusia dan kelemahan dalam pertahanan teknis, dan, karena alasan ini, strategi mitigasi harus menggabungkan keamanan jaringan, enkripsi, dan pelatihan kesadaran pengguna.

Risiko keamanan AI memiliki beberapa kesamaan dengan risiko tradisional, tetapi menimbulkan tantangan baru:

• Serangan musuh - Penyerang memanipulasi model AI dengan membuat input yang menyebabkan mereka membuat keputusan yang salah.
• Bias - Model AI dapat mencerminkan bias dalam data pelatihan mereka, yang mengarah pada hasil yang tidak adil atau diskriminatif.
• Transparansi - Banyak model AI yang beroperasi sebagai "kotak hitam", sehingga sulit untuk menilai bagaimana mereka mengambil keputusan.
• Keracunan data - Penyerang mengkompromikan data pelatihan AI, menyebabkan model berperilaku tidak terduga.

Untuk memberikan beberapa contoh di atas: Filter spam bertenaga AI yang salah mengklasifikasikan email; persetujuan pinjaman AI yang bias; kendaraan otonom yang membuat pilihan yang tidak aman. Untuk mengatasi risiko-risiko ini, diperlukan protokol keamanan khusus AI, validasi model, pengurangan bias, dan teknik penjelasan. Entitas global pertama yang mulai membuat peraturan terkait mitigasi risiko mulai berlaku pada tanggal 2 Februari 2025, melalui Uni Eropa (UE).

Regulasi AI: Undang-Undang AI Uni Eropa, Indonesia, dan upaya global

Undang-Undang AI UE mengkategorikan sistem AI berdasarkan tingkat risiko, memberlakukan aturan ketat pada aplikasi berisiko tinggi seperti perawatan kesehatan dan keuangan. Undang-undang ini juga memberlakukan persyaratan transparansi dan hukuman untuk ketidakpatuhan.

Pemerintah lain juga mengambil tindakan: Reuters melaporkan bahwa Tiongkok telah memperkenalkan aturan tentang AI generatif, Inggris telah menyelenggarakan diskusi keamanan AI menurut Financial Times, dan AS telah mengeluarkan perintah eksekutif tentang keamanan AI. Sebagai tanggapan, ISO memperkenalkan Standar Internasional 42001, yang menawarkan panduan bagi organisasi untuk mengembangkan sistem manajemen AI yang dapat dipercaya.

Pemerintah Indonesia, melalui Kementerian Komunikasi dan Digital (Komdigi), tengah merancang regulasi terkait penerapan dan etika kecerdasan buatan (AI). Wakil Menteri Komunikasi dan Digital, Nezar Patria, mengungkapkan bahwa draft regulasi ini ditargetkan rampung pada kuartal ketiga tahun 2025. Aturan tersebut direncanakan akan dituangkan dalam bentuk Peraturan Presiden atau Peraturan Pemerintah, yang mencakup aspek etika, tata kelola, serta upaya mitigasi risiko penggunaan AI.

Sebagai langkah awal, Komdigi sebelumnya telah menerbitkan Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 yang menetapkan prinsip-prinsip etika dalam pengembangan dan pemanfaatan teknologi AI di Indonesia.

Menerapkan ISO 42001 dalam keamanan AI di perusahaan Anda

Organisasi yang sedang mempersiapkan audit Sistem Manajemen AI (AIMS) harus:

1. Membiasakan diri dengan ISO 42001.
2. Melakukan penilaian kesiapan.
3. Mengembangkan peta jalan, termasuk penilaian risiko AI.
4. Menerapkan AIMS dengan peningkatan berkelanjutan dan praktik AI yang etis.
5. Melibatkan pemangku kepentingan dan mengintegrasikan keamanan AI ke dalam operasi bisnis.

Lampiran B ISO 42001 memberikan panduan implementasi yang terperinci, sedangkan Lampiran C dan D mencakup tujuan, analisis risiko, dan aplikasi khusus industri. Jika Anda ingin tahu tentang apa artinya bagi perusahaan Anda, hubungi pakar kami hari ini.

Bagaimana ISO 42001 mendukung kepatuhan terhadap Undang-Undang AI UE

ISO 42001 selaras dengan UU AI UE dengan menawarkan kontrol terstruktur untuk keamanan dan tata kelola AI. Dokumen pemetaan tersedia yang menghubungkan klausul ISO 42001 dengan persyaratan UU AI UE, sehingga organisasi dapat menunjukkan kepatuhan.

Manfaat bisnis dengan mengadopsi ISO 42001

Industri yang mendapatkan manfaat dari kerangka kerja keamanan AI meliputi:

• Perusahaan teknologi - Memastikan pengembangan AI yang etis.
• Perawatan kesehatan - Mengamankan diagnostik bertenaga AI.
• Keuangan - Memperkuat penilaian risiko berbasis AI.
• Ritel - Meningkatkan sistem rekomendasi berbasis AI.
• Pemerintah - Meningkatkan pengambilan keputusan berbasis AI.

Adopsi ISO 42001 mengarah pada:

• Keamanan AI yang ditingkatkan - Melindungi dari ancaman musuh.
• Penghematan biaya - Merampingkan manajemen risiko AI.
• Kesiapan regulasi - Memenuhi persyaratan kepatuhan.
• Keunggulan kompetitif - Mendemonstrasikan praktik AI yang etis.

Mengapa perusahaan harus bertindak sekarang

Peraturan dan standar AI terus berkembang. Organisasi yang menyelaraskan dengan ISO 42001 akan lebih siap menghadapi pengawasan regulasi dan risiko keamanan. Tata kelola AI yang kuat juga membangun kepercayaan dan mengurangi eksposur hukum, sehingga menjadikannya prioritas strategis bagi perusahaan yang menggunakan AI.

Memilih DQS untuk sertifikasi ISO 42001 Anda berarti bermitra dengan lembaga sertifikasi tepercaya dengan keahlian yang luas, menawarkan dukungan komprehensif selama proses sertifikasi, memandu Anda mulai dari aplikasi awal hingga akreditasi akhir.

Apakah perusahaan Anda rentan terhadap risiko AI? Bicaralah dengan para ahli kami, tanpa kewajiban, untuk mengetahuinya.