Dalam dunia yang semakin didominasi oleh kecerdasan buatan (AI), standar keamanan siber mengalami perubahan yang belum pernah terjadi sebelumnya. Salah satu respons regulasi yang dianggap sebagai terobosan adalah ISO 42001:2023, sebuah standar baru yang diklaim sebagai solusi bagi tata kelola kecerdasan buatan. Namun, pertanyaannya adalah, apakah ini benar-benar langkah maju, atau hanya strategi kosmetik yang menghindari masalah nyata dalam integrasi Large Language Models (LLMs) ke dalam sistem keamanan siber?
Jurnal yang ditulis oleh McIntosh et al. (2024) berupaya mengkaji empat framework utama---NIST CSF 2.0, COBIT 2019, ISO 27001:2022, dan ISO 42001:2023---untuk mengukur kesiapan mereka dalam menghadapi peluang dan risiko yang muncul dari adopsi LLMs. Analisis mereka mengklaim bahwa ISO 42001:2023 menawarkan pendekatan paling komprehensif dalam mengelola risiko dan peluang AI. Namun, seperti banyak regulasi yang lahir dari birokrasi, standar ini tampaknya lebih berfungsi sebagai justifikasi legal daripada sebagai solusi konkret yang dapat diterapkan secara efektif.
Regulasi yang Selalu Tertinggal
Sejarah keamanan siber penuh dengan contoh regulasi yang selalu datang terlambat. Dari standar ISO 27001 hingga NIST, kita telah melihat bagaimana regulasi sering kali mengejar perkembangan teknologi yang jauh lebih cepat. Masalahnya bukan hanya keterlambatan, tetapi juga sifat birokratis yang membuat standar ini terlalu kaku untuk diterapkan dalam dunia yang bergerak dinamis.
ISO 42001 mengklaim sebagai solusi bagi manajemen AI yang lebih baik, tetapi McIntosh et al. (2024) sendiri menyoroti bagaimana framework ini tetap gagal dalam beberapa aspek kritis. Misalnya, framework ini masih tidak memiliki mekanisme yang jelas dalam menangani hallucination LLM, yakni fenomena ketika AI menciptakan informasi yang tampak valid tetapi sepenuhnya salah. Jika framework yang secara khusus dirancang untuk AI saja masih tidak mampu menangani aspek paling mendasar dari AI, bagaimana mungkin kita mengandalkannya untuk melindungi sistem keamanan nasional atau data sensitif perusahaan?
ISO 42001 dan Kebijakan yang Tidak Berdaya
Di permukaan, ISO 42001 tampaknya menjanjikan pendekatan baru yang lebih relevan untuk AI. Namun, tanpa adanya regulasi yang mengikat dan penegakan yang nyata, standar ini tidak lebih dari sekadar daftar periksa yang dapat dimanipulasi untuk kepentingan korporasi. Tidak ada mekanisme sanksi yang jelas, tidak ada kewajiban audit yang ketat, dan yang paling mengkhawatirkan, tidak ada kepastian bahwa perusahaan akan benar-benar menerapkan rekomendasi yang ada.
McIntosh et al. (2024) menyoroti bahwa tidak ada framework yang benar-benar siap untuk menangani risiko besar LLM. Bahkan dalam aspek-aspek dasar seperti transparansi dan pengawasan manusia (human-in-the-loop), framework ini masih memiliki celah besar. Jika framework keamanan siber hanya berfungsi sebagai alat kepatuhan administratif tanpa dampak nyata terhadap keamanan, maka pada akhirnya standar ini hanya menjadi dokumen yang akan berakhir di laci tanpa pernah benar-benar diterapkan.
COBIT 2019: Masih Lebih Baik?
Yang mengejutkan, COBIT 2019 justru lebih sejalan dengan regulasi ketat seperti EU AI Act dibandingkan framework yang lebih baru seperti ISO 42001. Ini menunjukkan bahwa regulasi lama masih memiliki relevansi yang lebih kuat dibandingkan dengan upaya branding baru yang dibuat dengan alasan mengikuti tren. COBIT 2019 memiliki pendekatan yang lebih kuat terhadap tata kelola AI, dengan penekanan pada akuntabilitas dan audit yang lebih baik.
Namun, seperti disebutkan dalam jurnal McIntosh et al. (2024), COBIT juga masih kurang dalam menangani aspek spesifik AI seperti mitigasi bias dan validasi konten LLM. Ini berarti bahwa meskipun framework ini lebih mapan, ia tetap tidak cukup fleksibel untuk menghadapi tantangan AI modern. Hal ini membawa kita pada pertanyaan lebih besar: Apakah kita benar-benar memiliki framework yang cukup baik untuk menghadapi AI, atau apakah kita hanya bermain-main dengan regulasi yang tidak memiliki dampak nyata?
Peluang atau Ilusi?
Studi ini mengklaim bahwa semua framework memiliki kekurangan yang signifikan dalam menangani risiko LLM. Bahkan, yang paling "siap" sekalipun, ISO 42001, tetap gagal dalam mengakomodasi aspek-aspek kunci dari AI generatif. Ini mengindikasikan bahwa regulasi saat ini lebih didorong oleh keinginan untuk menunjukkan kepatuhan (compliance theater) daripada upaya nyata untuk mengatasi ancaman siber yang semakin kompleks.
Kita harus bertanya, apakah kita benar-benar memperkuat keamanan siber dengan regulasi seperti ISO 42001, atau apakah kita hanya menciptakan ilusi perlindungan? Tanpa tindakan nyata, audit yang ketat, dan keterlibatan lebih dalam dari komunitas teknologi, regulasi ini berisiko menjadi sekadar alat pemasaran bagi perusahaan yang ingin terlihat responsible tanpa harus benar-benar berubah.
Referensi
