Industri jasa keuangan (FS) kini jadi sorotan karena memiliki tingkat insiden keamanan terkait AI yang paling tinggi dibanding sektor lain—lebih tinggi dari kesehatan, manufaktur, maupun pemerintahan. Sayangnya, banyak organisasi masih menganggap agen AI sebagai beban tambahan, padahal mereka bukan sekadar itu.
Sektor ini dibangun di atas data yang sangat sensitif dan sistem yang saling terhubung. Maka dari itu, risikonya jauh lebih besar. Jika terjadi insiden, dampaknya bisa mencakup pengungkapan data besar-besaran, kerugian finansial, pelanggaran regulasi, hingga kehilangan kepercayaan pelanggan, yang pada gilirannya dapat mengganggu sistem secara keseluruhan jika layanan penting terpengaruh.
Masalah ini bukan sesuatu yang terpisah. Ketika sektor jasa keuangan sering kali menjadi pionir dalam mengadopsi teknologi baru, cara mereka menangani AI hari ini akan menjadi acuan bagaimana industri lain mengikuti jejaknya. Jika salah langkah, ini bisa menjadi pelajaran buruk yang ditiru oleh orang lain.
Apa yang Salah?
Mengapa hal ini bisa terjadi? Banyak organisasi di sektor FS yang terburu-buru menerapkan agen non-deterministik tanpa kontrol yang memadai.
Data menunjukkan bahwa masalahnya bukan pada AI-nya, tetapi pada akses yang diberikan padanya. Organisasi yang memberikan akses luas pada agen AI mencatat tingkat insiden yang jauh lebih tinggi dibandingkan mereka yang menerapkan kontrol akses minimal.
Ini menciptakan kelas risiko baru yang skalanya bisa sangat cepat berkembang. Berbeda dengan perangkat lunak tradisional, agen AI beroperasi secara mandiri, dengan kecepatan mesin, 24/7, dan mereka tidak pernah lelah. Ketika diberi izin berlebihan, mereka tidak hanya membawa risiko, tetapi juga memperbesar dampaknya.
Akses yang luas di dunia keuangan adalah hal yang umum. Namun, inilah awal mula masalah. Agen yang memiliki terlalu banyak wewenang tidak hanya meningkatkan kemungkinan pengungkapan data, tetapi juga membuat pengawasan menjadi lebih sulit, kontrol tidak jelas, dan memenuhi persyaratan audit menjadi tantangan. Ketika terjadi masalah, dampaknya bisa menyebar dengan cepat.
Kecenderungan untuk bergerak cepat dan mengadopsi alat AI memang bisa dimaklumi. Namun, kecepatan tanpa kontrol justru menciptakan masalah—apalagi dalam lingkungan yang sudah berjuang dengan identitas terfragmentasi, penyebaran kredensial, dan pemerintahan identitas yang tidak konsisten.
Inti dari permasalahan ini adalah ketidakcocokan. Model manajemen identitas tradisional menganggap pengguna bersifat statis dan akses yang dapat diprediksi. Sementara agen AI bersifat dinamis, non-deterministik, dan terus berinteraksi dengan berbagai sistem. Model lama jelas tidak lagi relevan.
Tapi jangan khawatir, krisis keamanan ini masih bisa diperbaiki. Berikut adalah langkah-langkah yang bisa diambil.
Apa yang Perlu Diubah?
1. Anggap agen AI sebagai identitas utama
Pertama, identitas perlu dipikir ulang dari nol. Setiap aktor—manusia, mesin, atau AI—harus beroperasi dalam kerangka yang aman dan dapat diaudit.
Bagi agen AI, ini dimulai dengan identitas yang unik dan dapat diverifikasi sejak mereka dibuat. Tanpa kredensial yang dibagikan, tanpa ambiguitas, dan tanpa celah.
Langkah-langkah berikutnya tergantung pada pengaturan identitas yang baik di fase awal. Karena jika kita tidak bisa mengidentifikasi agen dengan tepat, kita tidak bisa mengendalikannya, apalagi mengamankannya.
2. Terapkan prinsip akses minimal sebagai kontrol inti
Selanjutnya, batasi akses hanya pada yang benar-benar diperlukan. Audit agen yang ada, identifikasi akses yang berlebihan, dan batasi izin untuk tugas, sistem, dan dataset tertentu.
Akses harus tepat dan terikat pada waktu, apabila ada akses lebih dari itu, berarti ada risiko yang tidak perlu—sebuah prinsip inti dari akses tanpa percaya.
3. Hapus ketergantungan pada kredensial statis
Kredensial statis, seperti kata sandi dan kunci API, menciptakan akses permanen yang sulit dikendalikan. Mereka bersifat menetap, menyebar, dan terpakai kembali. Semua ini berkontribusi pada penyebaran kredensial yang tidak terkendali.
Alih-alih, ganti dengan akses berbasis identitas yang bersifat jangka pendek dan terikat pada konteks. Tanpa rahasia tetap. Hanya identitas yang terverifikasi. Ini sangat penting saat mengelola identitas mesin dan beban kerja secara besar-besaran.
4. Pastikan visibilitas dan auditabilitas penuh
Tanpa visibilitas, risiko akan berkembang secara diam-diam—hingga menjadi tidak terkendali. Agen AI tidak bisa beroperasi sebagai kotak hitam. Setiap tindakan harus dicatat, dan setiap pergerakan mesti bisa dilacak di seluruh sistem dan alur kerja. Dan visibilitas ini perlu terhubung dengan monitoring dan deteksi yang ada.
Tanpa visibilitas, tidak ada akuntabilitas. Dan tanpa pemerintahan identitas yang efektif.
Ubah Manajemen Identitas untuk Dunia Berbasis AI
Identitas harus menjadi disiplin rekayasa, bukan sekadar fungsi keamanan. Ini berarti tim platform, rekayasa, dan keamanan harus berkolaborasi di sekitar model identitas yang sama—bukan hanya menyatukan alat setelah agen mulai beroperasi.
Keselarasan ini harus mengonsolidasikan sistem terfragmentasi menjadi satu lapisan identitas yang terintegrasi untuk mengurangi kompleksitas dan memperkuat kontrol. Perlakukan identitas sebagai infrastruktur inti—bukan sekadar tambahan.
Agen AI sudah tertanam dalam sektor jasa keuangan, dan itu tidak akan berubah. Namun, cara mereka diamankan harus berubah. Memperlakukan agen otonom seperti beban kerja tradisional itu tidak cukup, dan menganggap mereka cocok dengan model identitas yang ada adalah pandangan yang sangat optimis.
Di sektor jasa keuangan, identitas bukanlah sekadar centang kepatuhan. Ini adalah infrastruktur yang menentukan apakah kita bisa mengembangkan penggunaan AI atau tidak.
