IBM Ungkap 13% Organisasi Alami Pelanggaran Model atau Apikasi AI
Jakarta, FORTUNE - IBM merilis Cost of a Data Breach Report tahunannya yang kali ini untuk pertama kalinya menyertakan analisis mendalam soal keamanan dan tata kelola kecerdasan buatan (AI). Temuannya cukup mencemaskan: sebanyak 13 persen organisasi melaporkan pelanggaran pada model atau aplikasi AI, dan 97 persen dari kasus tersebut terjadi di lingkungan yang tidak memiliki pengendalian akses AI yang memadai.
Riset yang dilakukan IBM bersama Ponemon Institute terhadap 600 organisasi secara global menunjukkan adanya kesenjangan signifikan antara kecepatan adopsi AI dan kesiapan keamanannya. IBM menyebut fenomena ini membuat AI menjadi target empuk bernilai tinggi bagi pelaku kejahatan siber.
“Data menunjukkan adanya kesenjangan nyata antara adopsi AI dan pengawasannya, dan para pelaku ancaman mulai mengeksploitasinya,” kata Suja Viswesan, Wakil Presiden Produk Keamanan dan Runtime, IBM, dalam keterangan resmi, Kamis (31/7).
Suja menambahkan, laporan ini menunjukkan absennya pengendalian akses dasar terhadap sistem AI, yang mengakibatkan data sangat sensitif terekspos dan model rentan dimanipulasi.
"Ketika AI semakin tertanam dalam operasi bisnis, keamanan AI harus menjadi pondasi utama. Biaya dari ketidaksiapan bukan hanya finansial, tetapi juga menyangkut hilangnya kepercayaan, transparansi, dan kendali," katanya,
Dari seluruh organisasi yang disusupi, 60 persen mengalami kebocoran data dan 31 persen mengalami gangguan operasional. Lebih lanjut, 8 persen organisasi bahkan tidak mengetahui apakah sistem AI mereka telah disusupi atau tidak.
Laporan ini juga mengungkap bahwa satu dari lima organisasi mengalami pelanggaran akibat shadow AI—yakni penggunaan AI tanpa izin atau pengawasan resmi. Hanya 37 persen organisasi yang memiliki kebijakan untuk mengelola atau mendeteksi keberadaan shadow AI. Insiden semacam ini terbukti lebih berisiko: organisasi dengan penggunaan shadow AI tinggi mencatat kerugian rata-rata US$670.000 lebih besar dibanding yang rendah atau tidak menggunakan shadow AI.
Data pribadi (65 persen) dan kekayaan intelektual (40 persen) menjadi jenis data yang paling sering terdampak dalam pelanggaran shadow AI, jauh di atas rata-rata global.
Sementara itu, 16 persenpelanggaran yang dikaji melibatkan penyerang yang menggunakan alat AI, terutama untuk melakukan serangan phishing dan deepfake impersonation.
Tren investasi keamanan mulai melemah
Secara global, rata-rata biaya pelanggaran data turun untuk pertama kalinya dalam lima tahun terakhir, menjadi US$4,44 juta. Namun, di Amerika Serikat, angkanya justru melonjak ke rekor baru, mencapai US$10,22 juta.
Waktu rata-rata untuk mendeteksi dan menanggulangi pelanggaran kini menurun menjadi 241 hari, lebih cepat 17 hari dibanding tahun sebelumnya. Organisasi yang mendeteksi pelanggaran secara internal mampu menghemat sekitar US$900.000 dibanding mereka yang diberitahu oleh pelaku.
Sektor kesehatan tetap menjadi industri dengan biaya pelanggaran tertinggi, rata-rata mencapai US$7,42 juta meski telah turun US$2,35 juta dibanding 2024. Waktu pemulihannya pun paling lama, yakni 279 hari atau lebih dari lima minggu di atas rata-rata global.
Laporan IBM juga mencatat penurunan minat investasi dalam keamanan siber setelah pelanggaran. Hanya 49 persen organisasi yang mengalami pelanggaran di 2025 berencana meningkatkan anggaran keamanan mereka, turun dari 63 persen pada 2024. Dari kelompok ini, kurang dari separuh yang berfokus pada solusi keamanan berbasis AI.
Padahal, organisasi yang menerapkan AI dan otomasi secara luas dalam sistem keamanannya terbukti lebih tahan terhadap pelanggaran. Mereka mencatat penghematan biaya rata-rata US$1,9 juta dan siklus pemulihan 80 hari lebih cepat.
Laporan IBM menekankan bahwa pelanggaran data tidak hanya berdampak pada aspek keamanan informasi, tetapi juga menyebabkan gangguan operasional jangka panjang. Sebagian besar organisasi membutuhkan lebih dari 100 hari untuk memulihkan operasional mereka pasca pelanggaran.
Selain itu, hampir separuh organisasi yang terdampak berencana menaikkan harga barang atau jasa sebagai dampak dari insiden pelanggaran. Bahkan, hampir sepertiga di antaranya akan menaikkan harga sebesar 15 persen atau lebih.
Laporan Cost of a Data Breach telah dikembangkan sejak 2005 dan telah mengkaji hampir 6.500 pelanggaran data. Evolusi ancaman siber tercermin jelas: dari risiko fisik seperti perangkat yang dicuri pada 2005 (45 persen pelanggaran), hingga meningkatnya ancaman digital berbasis cloud dan ransomware pada dekade berikutnya.
Kini, AI muncul sebagai ancaman baru yang menantang industri. Tahun 2025 menjadi momen pertama AI dianalisis secara menyeluruh dalam laporan ini, dan langsung dikategorikan sebagai target bernilai tinggi. Dengan tren adopsi AI yang terus melonjak, laporan ini menjadi pengingat penting bagi pelaku industri untuk tidak hanya mengejar inovasi, tetapi juga membangun fondasi keamanan yang kuat dan bertanggung jawab.
