Peringatan firma riset global Gartner mengenai potensi kegagalan konfigurasi kecerdasan buatan (AI) yang dapat melumpuhkan infrastruktur kritis di negara-negara G20 pada 2028 memicu kekhawatiran di kalangan pelaku industri keamanan siber.
CEO sekaligus Co-founder Keeper Security, Darren Guccione, menilai ancaman tersebut bukan sekadar spekulasi. Menurut dia, risiko itu mencerminkan persoalan struktural yang berkembang seiring percepatan adopsi AI di berbagai sektor vital.
Guccione menyebut integrasi AI kini telah meluas ke jaringan energi, sistem transportasi, layanan kesehatan, hingga sektor keuangan. Namun, kecepatan penerapannya dinilai belum diimbangi dengan kematangan tata kelola, kontrol identitas, serta manajemen konfigurasi yang memadai.
Ia menekankan skenario kegagalan yang paling realistis bukan berasal dari AI yang berkembang tanpa kendali, melainkan dari kesalahan konfigurasi yang diperbesar oleh otomatisasi dan kompleksitas sistem. Infrastruktur AI modern, kata dia, bergantung pada ekosistem yang mencakup akun berhak istimewa, kunci API, identitas layanan, skrip otomatisasi, hingga integrasi dengan pihak ketiga.
“Ketika identitas digital tidak dikelola dengan baik, memiliki izin berlebihan, atau tidak diawasi secara konsisten, maka kerentanan sistemik akan terbentuk,” ujar Guccione dalam pernyataannya.
Salah satu faktor yang disebut memperbesar risiko adalah meningkatnya jumlah identitas non-manusia, seperti akun layanan, token otomatisasi, serta agen AI. Dalam banyak sistem infrastruktur modern, jumlah identitas tersebut bahkan diklaim telah melampaui pengguna manusia.
Guccione menilai identitas non-manusia kerap beroperasi dengan akses aktif secara berkelanjutan dan minim pengawasan. Kondisi ini membuka peluang serangan siber, misalnya ketika satu kredensial berhasil diretas atau jalur deployment model tidak aman, sehingga memicu efek berantai pada berbagai sistem yang saling terhubung.
Menurut dia, otomatisasi yang menjadi kekuatan utama AI justru dapat mempercepat penyebaran dampak kegagalan apabila mekanisme pengamanan tidak dirancang secara ketat.
Untuk mengurangi risiko, operator infrastruktur kritis didorong mengadopsi tata kelola identitas yang mencakup pengguna manusia maupun identitas non-manusia. Guccione menyebut pendekatan arsitektur zero-trust, penerapan prinsip least-privilege, serta pemantauan berkelanjutan terhadap akun berhak istimewa perlu diperluas hingga mencakup model AI, lingkungan pelatihan, dan infrastruktur cloud pendukung.
Selain aspek teknis, tekanan regulasi global juga disebut meningkat seiring berkembangnya penggunaan AI di sektor strategis. Sejumlah kerangka regulasi internasional mulai menempatkan tanggung jawab ketahanan operasional dan keamanan sistem pada tingkat pimpinan organisasi.
Guccione menegaskan mekanisme override atau kendali manual tetap penting dalam sistem teknologi operasional berbasis AI. Namun, efektivitas kontrol tersebut dinilai sangat bergantung pada kekuatan sistem identitas dan pengelolaan akses yang terintegrasi.
Ia memperingatkan bahwa tanpa visibilitas menyeluruh terhadap akses berhak istimewa, organisasi berisiko gagal menunjukkan kesiapan operasional dalam menghadapi ancaman pada infrastruktur berbasis AI. Menurutnya, ketahanan nasional di era AI tidak lagi hanya ditentukan oleh kecanggihan teknologi, melainkan juga disiplin operasional dan kualitas tata kelola sistem.
“Dewan direksi dan regulator perlu menjadikan tata kelola konfigurasi AI sebagai indikator utama ketahanan infrastruktur, bukan sekadar aspek teknis tambahan,” tutup Guccione.
