Bank harus serius dalam mengukur dan memitigasi risiko terkait AI

Dalam angsuran ketiga dari seri saya tentang teknologi perbankan Dan peraturankami menyelidiki isu kritis penipuan, cyber, dan risiko keamanan lainnya di era kecerdasan buatan dan teknologi modern.

Sekitar satu dekade yang lalu, CEO sebuah bank kecil mengatakan kepada saya bahwa mereka melindungi lembaga mereka dari serangan virus cyber wiper dengan mencetak semua catatan setiap malam. Meskipun ini mungkin merupakan strategi yang layak di masa lalu yang tenang, dunia saat ini berbeda. Kuda teknologi telah lama meninggalkan kandang, dan bisnis serta kehidupan pribadi kita saling terkait erat dengan dunia digital. AI, dengan potensi yang sangat besar dan risiko yang melekat, adalah kekuatan terbaru dan terkuat yang membentuk lanskap ini

Berdasarkan fondasi teknologi dan konektivitas yang ada, AI berpotensi meningkatkan kemampuan industri perbankan secara signifikan. Namun, teknologi yang sama ini juga memperbesar risiko pelanggaran keamanan dan aktivitas penipuan. Kita sudah menyaksikan tahap awal ancaman yang didorong oleh AI, dan risiko ini kemungkinan akan meningkat di masa mendatang.

Ancaman serangan siber yang paling berdampak berasal dari musuh pemerintah dan organisasi kriminal swasta. Musuh pemerintah kita, termasuk negara-negara dengan kemampuan siber yang signifikan, terus menyempurnakan taktik mereka di area ini. Musuh-musuh ini memiliki “pasukan siber” yang sangat besar, yang didanai dan dikelola dengan baik oleh pemerintah mereka, yang menggunakan ancaman persisten tingkat lanjut, atau APT, dalam serangan negara-bangsa yang menargetkan infrastruktur penting, termasuk lembaga keuangan.

Motif di balik serangan ini telah berevolusi. Meskipun keuntungan finansial pernah menjadi motif utama, khususnya bagi beberapa negara, kini negara lain semakin berfokus pada serangan “destruktif” yang ditujukan untuk mengganggu layanan penting dan menyebabkan kerugian ekonomi. Pergeseran ini mencerminkan lanskap geopolitik yang lebih luas, di mana operasi siber telah menjadi komponen penting dari strategi nasional. Pemain utama seperti Amerika Serikat, Tiongkok, dan Rusia memanfaatkan taktik siber untuk mencapai tujuan kebijakan luar negeri mereka. Misalnya, tuduhan spionase siber dan pencurian kekayaan intelektual telah menjadi sorotan dalam persaingan yang sedang berlangsung antara AS dan Tiongkok.

Di ranah kriminal, ancaman serangan siber telah menjadi lebih canggih dan terus-menerus. Risiko yang disebabkan AI, khususnya di sektor ritel dan kartu kredit, sangat signifikan. Dengan memfasilitasi pelanggaran data melalui teknik phishing yang lebih canggih dan menciptakan identitas sintetis, AI dapat mengumpulkan dan memanipulasi cukup banyak informasi pelanggan yang sebenarnya untuk menipu alat verifikasi ID bank. Bahkan saat ini, penjahat mengeksploitasi kerentanan ini untuk membuka akun palsu, memanfaatkan kredit, lalu menutup akun, yang menyebabkan kerugian besar bagi bank.

Bank, pemerintah, dan perusahaan teknologi harus memprioritaskan pengembangan atau akuisisi perangkat yang digerakkan oleh AI untuk memerangi ancaman kejahatan dunia maya dan penipuan yang terus meningkat. Sementara banyak pihak di industri ini terus mengandalkan autentikasi berlapis sebagai garis pertahanan pertama, semakin jelas bahwa perangkat pertahanan yang kuat dan didukung oleh AI akan sangat penting untuk melawan serangan canggih yang dimungkinkan oleh AI.

Ada kekhawatiran yang berkembang bahwa peraturan pemerintah dapat menghambat pengembangan dan adopsi produk AI di industri perbankan. Meskipun penting untuk mengatasi potensi bahaya AI, seperti risiko diskriminatif dan operasional, sama pentingnya untuk menghindari membuang bayi bersama air mandinya. Dengan hanya berfokus pada risiko, regulator dapat secara tidak sengaja menghambat inovasi dan membatasi manfaat yang dapat diberikan AI bagi sektor perbankan.

Departemen Keuangan baru-baru ini meminta masukan tentang penggunaan, peluang dan risiko AI di sektor keuangan, menawarkan Bahasa Inggris: Peluang penting bagi industri untuk mendidik regulator dan pembuat kebijakan. Dengan menyoroti manfaat perangkat yang didukung AI dalam mempertahankan diri dari ancaman dunia maya dan meningkatkan efisiensi operasional, bank dapat membantu memastikan bahwa regulasi mencapai keseimbangan antara mengurangi risiko dan mendorong inovasi.

Penerapan AI secara luas tidak dapat dihindari, terlepas dari upaya regulasi. Baik pelaku bisnis yang sah maupun pelaku kriminal akan memanfaatkan AI untuk mendapatkan keuntungan di berbagai bidang, termasuk perbankan. Upaya untuk menghentikan pengembangan dan penggunaan AI sama saja dengan Upaya sia-sia Raja Canute untuk menghentikan gelombang pasang.

Jika regulator terlalu membatasi pendekatan mereka terhadap adopsi AI oleh bank, hal itu dapat menciptakan ketidakseimbangan yang berbahaya. Organisasi kriminal dan penyerang dunia maya yang disponsori negara mungkin dapat mengeksploitasi teknologi AI secara lebih efektif, sehingga memperoleh keuntungan signifikan dalam perang melawan penipuan dan kejahatan dunia maya. Untuk memberi bank peluang untuk menang, pemerintah harus mengizinkan bank untuk secara kuat memanfaatkan dan bereksperimen dengan perangkat AI yang dapat secara efektif melawan serangan canggih.

Lebih jauh lagi, sebagian besar inovasi AI, seperti kemajuan teknologi lainnya, tidak akan dikembangkan oleh bank sendiri. Inovasi tersebut akan dibangun oleh perusahaan kecil dan besar yang mengkhususkan diri dalam AI dan teknologi terkait lainnya. Kunci bagi bank adalah mengintegrasikan teknologi baru yang digerakkan oleh vendor ini ke dalam sistem mereka melalui API dan antarmuka lainnya, dengan cermat memantau teknologi ini untuk mengidentifikasi dan mengurangi potensi risiko siber, penipuan, atau operasional yang mungkin ditimbulkannya.

Langkah-langkah utama yang harus diambil bank untuk melindungi diri terhadap ancaman dunia maya yang baru dan lebih kuat adalah dengan menerapkan manajemen risiko pihak ketiga yang kuat, manajemen identitas dan akses, manajemen ancaman dan kerentanan, dan program perlindungan data, melakukan komunikasi dan kampanye kesadaran, dan memastikan teknologi selalu mutakhir dengan rilis terbaru.

Terlepas dari apakah teknologi tersebut dikembangkan secara internal atau oleh pihak ketiga, perusahaan memikul tanggung jawab utama untuk memastikan keamanannya. Sangat penting untuk merekrut pemimpin dan staf siber dan teknologi yang kuat untuk mengawasi upaya ini dan mempertahankan tingkat keamanan yang tinggi. Dalam hal ini, perlu dicatat bahwa ancaman yang lebih tradisional belum hilang — misalnya, karyawan nakal. Mereka tetap menjadi bagian dari serangkaian tantangan siber yang semakin kompleks.

Di bidang ancaman siber, industri jasa keuangan telah bekerja sama secara efektif dengan lembaga pemerintah untuk meningkatkan pemahaman tentang risiko terkini dan mengembangkan solusi. Pusat Analisis dan Pembagian Informasi, seperti FS-ISAC untuk jasa keuangan dan Dewan Koordinasi Sektor Jasa Keuangan, atau FSSCC, memainkan peran penting dalam memfasilitasi pembagian informasi dan kolaborasi termasuk intelijen ancaman dan strategi mitigasi.

Untuk pemerintah, Departemen Keuangan memimpin, berkoordinasi dengan badan-badan lain seperti Badan Keamanan Nasional, FBI, Badan Keamanan Siber & Infrastruktur, dan lain-lain untuk berbagi intelijen ancaman secara real-time. FSSCC, yang mencakup perusahaan jasa keuangan dan regulator mereka (melalui Komite Informasi Infrastruktur Keuangan dan Perbankan), mengadakan pertemuan tahunan untuk membahas ancaman yang muncul dan strategi mitigasi. Ancaman AI semakin menjadi fokus diskusi ini. Dengan bekerja sama, industri dan pemerintah dapat lebih memahami dan mengatasi lanskap siber yang terus berkembang.

Meskipun ada kemajuan signifikan yang telah dicapai dalam menangani ancaman siber, sungguh mengejutkan bahwa risiko teknologi belum diperlakukan sebagai vektor risiko utama di semua lembaga keuangan, setara dengan risiko kredit, risiko kepatuhan, penipuan, dan risiko siber. Ini bukan hanya masalah regulasi pemerintah, tetapi masalah mendasar dari praktik perbankan yang baik.

Penting untuk mempertimbangkan risiko operasional sehari-hari dan risiko sampingan yang terkait dengan teknologi. Bagi banyak bank, tata kelola di area ini masih lemah, dan CEO mungkin tidak memiliki pemahaman penuh tentang risiko yang dihadapi atau tindakan yang diambil untuk menguranginya.