Krisis Identitas Non-Manusia: Mengapa Identitas Mesin Jadi Celah Terbesar Governance Anda

Dalam dunia keamanan siber, pembahasan risiko identitas selama ini lebih terfokus pada manusia: pengguna dengan hak istimewa, akun yang diretas, atau ancaman dari dalam organisasi. Namun, untuk sebagian besar perusahaan saat ini, risiko terbesar justru telah bergeser dan tidak lagi terkait dengan karyawan manusia.

Identitas non-manusia (NHI)—termasuk akun layanan, kunci API, token OAuth, kunci SSH, bot RPA, kredensial beban kerja cloud, dan agen AI—menjadi permukaan serangan yang paling cepat berkembang namun paling minim pengawasan dalam perusahaan modern. Industri keamanan kini mulai menyadari dampak serius dari kondisi ini.

Skala Masalah Identitas Non-Manusia

Data dari Rubrik Zero Labs mengungkapkan rasio identitas non-manusia terhadap manusia mencapai 45:1 di perusahaan modern. Bahkan dalam lingkungan cloud-native dan DevOps, penelitian Entro Labs pada paruh pertama 2025 menunjukkan rasio tersebut melonjak hingga 144:1.

Identitas- identitas ini bukanlah entitas pasif; mereka terus melakukan autentikasi, mengakses sistem sensitif, dan memiliki izin yang seandainya dimiliki oleh akun manusia akan langsung menimbulkan alarm.

Sayangnya, sebagian besar NHI ini beroperasi dalam vakum governance:

• 8% identitas perusahaan tidak memiliki pemilik yang tercatat dalam sistem HR—pembuatnya telah keluar, tetapi akun dan akses penuh tetap aktif.
• 47% NHI berusia lebih dari satu tahun tanpa pergantian kredensial.
• Dua pertiga perusahaan mengalami pelanggaran akibat identitas non-manusia yang dikompromikan, menurut data industri terbaru.

Ancaman ini bukan sekadar teori. Satu token yang dicuri dari log CI/CD, ekspor dukungan, atau email mitra dapat menyebar ke CRM, penyimpanan data, dan lingkungan produksi, dengan token yang dikloning dan pekerjaan latar belakang berjalan tanpa terdeteksi. Log yang terbagi antara SIEM internal dan sistem penyedia membuat proses pelacakan menjadi panjang dan penuh tuding-menuding.

Risiko Agentik AI dalam Identitas Non-Manusia

Agentik AI menambah dimensi risiko NHI secara signifikan. Berbeda dengan akun layanan statis, agen AI beroperasi secara otonom. Mereka dapat melakukan serangkaian tindakan, memanggil API eksternal, menciptakan sub-agen, menulis dan menjalankan kode, serta memperoleh izin baru secara dinamis saat runtime.

Dalam kerangka governance NHI tradisional, kunci API memiliki ruang lingkup yang tetap dan dapat diaudit. Namun, agen AI yang beroperasi dengan akses delegasi dapat meningkatkan ruang lingkup itu tanpa terduga, sehingga radius dampak serangan menjadi jauh lebih besar dan jejak audit menjadi jauh lebih tipis.

Banyak organisasi yang kini menggunakan agen AI menghadapi celah governance yang mendesak. Sebagian besar belum memiliki kerangka manajemen siklus hidup NHI yang formal, apalagi untuk identitas agen AI secara khusus.

"Sejarah akan menyalahkan industri karena menganggap bot-bot itu di luar cakupan." — Chris Ray, Field CTO Security dan Risiko, GigaOm

Dimensi Kepatuhan yang Semakin Ketat

Selain risiko pelanggaran, proliferasi NHI juga memperumit kepatuhan perusahaan. Standar seperti SOC 2, ISO 27001, PCI DSS, dan NIST 800-53 mensyaratkan pengelolaan akses yang seharusnya berlaku sama untuk identitas mesin dan manusia. Namun, praktik audit selama ini masih terlalu fokus pada pengguna manusia, sehingga NHI berada di zona abu-abu.

Zona abu-abu ini kini semakin menyempit. Regulator dan auditor makin sering menanyakan tentang governance identitas mesin. Jawaban seperti "kami menggunakan vault" atau "kami tinjau akun layanan secara berkala" tidak cukup memuaskan. Organisasi yang gagal menunjukkan pengelolaan siklus hidup, akuntabilitas kepemilikan, dan penerapan prinsip hak akses minimum untuk NHI akan menanggung risiko kepatuhan yang bertambah bersama risiko keamanan.

Menuju Governance NHI yang Matang

Solusi pasar sebelumnya cenderung fokus pada penyimpanan kredensial (credential vaulting). Platform PAM (Privileged Access Management) memang dapat menyimpan rahasia, membatasi akses, dan mencatat sesi. Namun, itu hanya langkah awal yang mengamankan kredensial saat tidak digunakan, tanpa menjawab pertanyaan-pertanyaan penting berikut:

1. Identitas non-manusia apa saja yang ada di lingkungan hybrid saya, termasuk yang dikelola oleh penyedia platform?
2. Siapa yang bertanggung jawab untuk masing-masing identitas itu? Apa justifikasi bisnisnya?
3. Apakah identitas tersebut memiliki hak akses berlebihan dibandingkan fungsinya?
4. Kapan terakhir kali kredensialnya diganti dan bagaimana kebijakan rotasinya?
5. Apa yang terjadi pada identitas tersebut saat aplikasi atau proyek pemiliknya dihentikan?

Model governance NHI yang matang harus mampu menjawab semua pertanyaan ini melalui penegakan kebijakan, manajemen siklus hidup otomatis, dan kemampuan audit berkelanjutan. Riset dari GigaOm bersama One Identity telah menyusun kerangka kematangan yang membantu organisasi bertransformasi dari pengelolaan NHI yang reaktif dan terpisah-pisah menjadi tata kelola identitas terpadu yang meliputi manusia dan non-manusia dalam kerangka kebijakan dan audit yang sama.

Analisis Redaksi

Menurut pandangan redaksi, krisis identitas non-manusia merupakan masalah yang selama ini kurang mendapat perhatian serius, padahal potensi dampaknya bisa jauh lebih besar dibandingkan risiko dari akun manusia. Saat ini, banyak organisasi masih menganggap NHI sebagai aset sekunder, padahal akses tanpa pengawasan terhadap identitas ini bisa menjadi celah utama yang dimanfaatkan pelaku serangan untuk merusak sistem secara luas dan sulit dilacak.

Selain itu, kemunculan agentic AI yang mampu beroperasi secara otonom memperbesar kompleksitas pengelolaan identitas mesin. Tanpa kerangka governance yang matang, organisasi berisiko membuka pintu bagi eskalasi hak akses tak terkendali dan pelanggaran keamanan yang sulit diantisipasi.

Ke depan, perusahaan wajib beradaptasi dengan cepat untuk menerapkan manajemen siklus hidup NHI secara komprehensif dan terintegrasi. Best practice ini tidak hanya mengurangi risiko pelanggaran, tapi juga memperkuat posisi kepatuhan terhadap regulasi yang semakin ketat. Para pemangku kepentingan harus memprioritaskan pengembangan kebijakan dan teknologi yang mampu memberikan visibilitas penuh serta kontrol otomatis terhadap seluruh identitas mesin dalam ekosistem IT mereka.

Untuk pembaca yang ingin memahami lebih dalam dan mendapatkan langkah praktis pengelolaan NHI, mengikuti webinar gratis dari One Identity dan GigaOm bisa menjadi pilihan tepat untuk mulai membangun program governance yang efektif dalam 90 hari.