Apa yang Harus Dituntut Dewan Direksi di Era Eksploitasi Otomatisasi AI

Era eksploitasi otomatisasi AI telah mengubah lanskap keamanan siber secara drastis, khususnya dalam bagaimana backlog kerentanan yang sebelumnya dianggap sebagai masalah yang bisa ditoleransi sekarang menjadi ancaman nyata dan mendesak yang harus segera ditangani oleh dewan direksi.

Transformasi Ancaman: AI Mempercepat Eksploitasi Kerentanan

Selama bertahun-tahun, banyak tim eksekutif dan dewan direksi menganggap tumpukan ribuan kerentanan dengan tingkat keparahan tinggi dan kritis sebagai sesuatu yang mengganggu tapi bisa diterima, dengan alasan prioritas lain, keterbatasan sumber daya, dan proses yang lama. Namun, di dunia lama, eksploitasi kerentanan berjalan lambat dan manual, sehingga risiko dianggap terkendali.

Sekarang, AI telah meruntuhkan hambatan tersebut. Sistem AI agentik digunakan oleh pelaku ancaman untuk mempercepat seluruh proses ofensif — mulai dari pengintaian, penemuan kerentanan, pengembangan eksploit, hingga peningkatan kecepatan operasi. Contohnya, Anthropic mengungkapkan bagaimana penggunaan AI seperti Claude telah meningkatkan kecepatan dan skala kampanye spionase siber, memungkinkan kelompok dengan kemampuan terbatas melakukan serangan yang sebelumnya membutuhkan tim ahli berpengalaman.

Dampak Backlog Kerentanan di Era AI

Dengan otomatisasi AI, backlog kerentanan tidak lagi dapat dipandang sebagai masalah manajemen risiko yang bisa ditunda. Sebuah backlog besar, seperti 13.000 kerentanan tingkat tinggi, kini bisa dengan cepat dieksploitasi, mengubah “kami sedang menangani backlog” menjadi alasan yang tidak dapat diterima.

Kalimat paling berbahaya di ruang rapat adalah, “Tenang saja, CISO sudah mengatasi.” Meskipun CISO dapat membangun program dan menetapkan prioritas, masalah backlog kerentanan sering kali lebih besar daripada kapasitas satu eksekutif saja.

Faktor-faktor seperti ketergantungan sistem lama, kecepatan rilis yang lambat, lingkungan produksi yang rapuh, dan keterbatasan sumber daya teknik membuat masalah ini menjadi tanggung jawab sistemik yang tidak bisa didelegasikan hanya ke CISO. Dewan direksi harus terlibat dalam pengawasan yang nyata dan aktif.

Apa yang Harus Dituntut Dewan Direksi?

Dewan direksi harus menuntut kebenaran operasional tentang ketahanan teknologi perusahaan, bukan hanya kepatuhan regulasi. Pertanyaan kunci yang harus diajukan meliputi:

• Bagaimana program manajemen kerentanan kami berjalan dari awal hingga akhir?
• Berapa banyak kerentanan (terutama yang kritis dan tinggi) yang masih ada dalam produk kami saat ini?
• Berapa lama waktu yang dibutuhkan untuk menuntaskan perbaikan kerentanan kritis dan tinggi dalam kuartal terakhir dan sepanjang tahun?
• Jika ditemukan kerentanan 0-day di produk terlaris kami hari ini, berapa lama waktu yang dibutuhkan untuk memastikan keamanan produk kepada pelanggan?
• Berapa biaya finansial dari backlog kerentanan yang ada? (Hitung dari jam kerja yang dibutuhkan x biaya penuh teknisi untuk membuat angka yang bisa diawasi dewan.)

Dengan pertanyaan-pertanyaan tersebut, backlog kerentanan menjadi nyata dan tidak bisa lagi disembunyikan di balik alasan yang abstrak.

“Patch Lebih Cepat” Bukan Solusi Lengkap

Menanggapi tekanan dewan dengan janji untuk mempercepat patch memang membantu, tetapi sering kali menimbulkan risiko baru seperti gangguan produksi. Jika patch darurat menyebabkan dampak negatif pada pelanggan, organisasi akan menghadapi dilema antara menerima risiko keamanan atau downtime.

Model keamanan modern harus mampu mengurangi frekuensi dan dampak perbaikan darurat, bukan sekadar mempercepat proses yang rapuh.

Perubahan Tanggung Jawab dalam Rantai Pasokan Perangkat Lunak

Regulator dan pengadilan kini semakin fokus pada kebersihan rantai pasokan perangkat lunak dan ketahanan operasional. Di Uni Eropa, Cyber Resilience Act (CRA) yang mulai berlaku penuh pada Desember 2027 akan menetapkan standar ketat untuk penanganan kerentanan dan praktik keamanan sepanjang siklus hidup perangkat lunak.

Selain itu, DORA (Digital Operational Resilience Act) mengharmonisasi pengelolaan risiko ICT dan ketahanan operasional di sektor jasa keuangan UE. Sementara di Amerika Serikat, muncul gugatan class action terkait kelalaian keamanan yang menyebabkan kebocoran data.

Mengurangi Backlog Kerentanan dengan Pendekatan Desain

Menurut pandangan redaksi, saat ini masih terlalu banyak organisasi yang menganggap risiko sebagai sesuatu yang statis dan bisa diterima, seakan-akan penyerang akan bergerak dengan kecepatan lama. Ini adalah kesalahan fatal di era AI.

CISO dan dewan direksi harus menolak asumsi tersebut dan berinvestasi dalam mengurangi eksposur kerentanan sejak awal desain perangkat lunak. Contohnya, pendekatan Chainguard yang memulai dengan komponen perangkat lunak secure-by-default dapat menurunkan akumulasi kerentanan dan mengurangi siklus patch darurat serta gangguan operasional.

Dengan mengurangi backlog secara struktural, tim teknik dapat mengalihkan fokus dari pemadam kebakaran tanpa hasil menjadi inovasi yang menghasilkan keuntungan kompetitif dan pendapatan.

Analisis Redaksi

Menurut pandangan redaksi, era otomatisasi AI dalam eksploitasi kerentanan menuntut perubahan paradigma dalam tata kelola keamanan siber di tingkat dewan direksi. Risiko backlog yang dulunya dianggap sebagai masalah teknis kini menjadi masalah strategis yang berpotensi mengguncang reputasi dan keberlangsungan bisnis.

Dewan tidak bisa lagi bersembunyi di balik jargon teknis atau menyerahkan seluruh tanggung jawab kepada CISO. Keterlibatan aktif dan pengawasan yang mendalam terhadap manajemen kerentanan adalah keharusan. Lebih jauh, organisasi harus berani mengadopsi pendekatan secure-by-design yang mengurangi permukaan serangan secara fundamental, bukan hanya mempercepat patching yang rentan menimbulkan masalah baru.

Ke depan, kita harus mengawasi bagaimana regulasi baru semakin memperkuat tanggung jawab hukum dan finansial atas keamanan perangkat lunak. Organisasi yang mengabaikan perubahan ini tidak hanya menghadapi risiko serangan, tetapi juga potensi tuntutan hukum dan kerugian bisnis yang besar. Oleh karena itu, langkah proaktif dan terukur dari dewan dan manajemen keamanan adalah kunci untuk bertahan dan berkembang di era AI ini.

Dengan kesadaran dan aksi bersama, bukan tidak mungkin kita bisa mengubah sistem yang selama ini membiarkan backlog kerentanan menumpuk menjadi sistem yang benar-benar meminimalkan risiko dan meningkatkan ketahanan siber perusahaan.