Polisi perbankan terkemuka di New York mengeluarkan peringatan tentang risiko keamanan AI

Pada hari Rabu, Departemen Layanan Keuangan Negara Bagian New York (NYDFS) pedoman yang dikeluarkan menyoroti empat risiko utama yang ditimbulkan oleh AI terhadap keamanan siber di industri jasa keuangan dan mitigasi yang harus dilakukan perusahaan, sesuai dengan peraturan negara.

Empat risiko yang disoroti oleh departemen ini berkaitan dengan bagaimana pelaku ancaman dapat menggunakan AI terhadap perusahaan – rekayasa sosial yang didukung AI dan serangan keamanan siber yang ditingkatkan AI – dan ancaman yang ditimbulkan oleh penggunaan dan ketergantungan pada AI – paparan atau pencurian informasi non-publik dan peningkatan kerentanan. karena ketergantungan rantai pasok.

Enam contoh mitigasi yang disoroti departemen ini dalam surat industrinya sudah tidak asing lagi bagi banyak profesional keamanan siber dan risiko – di antaranya, program dan kebijakan berbasis risiko, manajemen vendor, kontrol akses, dan pelatihan keamanan siber. Namun, penyebutannya dalam pedoman ini penting karena departemen tersebut secara langsung menghubungkan praktik-praktik ini dengan persyaratan yang ditetapkan dalam peraturannya.

Adrienne A. Harris, pengawas departemen tersebut, mengakui bahwa meskipun panduan tersebut berfokus pada risiko AI, teknologi ini juga memberikan peluang bagi lembaga keuangan untuk meningkatkan keamanan siber mereka.

“AI telah meningkatkan kemampuan bisnis untuk meningkatkan deteksi ancaman dan strategi respons insiden, sekaligus menciptakan peluang baru bagi penjahat dunia maya untuk melakukan kejahatan dengan skala dan kecepatan yang lebih besar,” kata Harris dalam sebuah pernyataan. siaran pers. “New York akan terus memastikan bahwa ketika alat-alat yang mendukung AI menjadi lebih produktif, standar keamanan tetap ketat untuk melindungi data penting, sekaligus memberikan fleksibilitas yang diperlukan untuk mengatasi beragam profil risiko dalam lanskap digital yang terus berubah.”

Bagaimana pelaku ancaman menggunakan AI terhadap bank

Rekayasa sosial, yang mengandalkan manipulasi orang untuk membobol suatu sistem dibandingkan mengeksploitasi kerentanan teknis, telah lama menjadi perhatian dalam bidang keamanan siber. Banyak perusahaan termasuk KnowBe4, Fortinet, SANS Institute, dan lainnya menawarkan program pelatihan kesadaran keamanan yang berfokus pada mitigasi ancaman rekayasa sosial dengan mendidik karyawan tentang tanda-tanda bahwa mereka mungkin menjadi sasaran kampanye semacam itu.

Salah satu faktor yang membedakan kampanye rekayasa sosial yang lebih berbahaya dari kampanye lainnya adalah sejauh mana kampanye tersebut realistis, dan interaktivitas adalah salah satu kuncinya. AI telah meningkatkan kemampuan pelaku ancaman untuk menghadirkan tampilan yang lebih meyakinkan melalui deepfake, menurut panduan NYDFS.

Salah satu contoh panduan yang disebutkan terjadi pada bulan Februari, ketika seorang pegawai yang bekerja di sebuah perusahaan multinasional cabang Hong Kong mentransfer $25 juta kepada penipu setelah ditipu untuk bergabung dalam konferensi video di mana semua peserta lainnya adalah deepfake yang dibuat oleh AI, termasuk salah satu yang meniru identitas pelaku. kepala keuangan perusahaan. Hasilnya, petugas melakukan 15 transaksi ke lima rekening bank lokal pemberitaan media lokal.

AI juga dapat meningkatkan kemampuan teknis pelaku ancaman, menurut panduan NYDFS, memungkinkan pelaku yang kurang memiliki keterampilan teknis untuk melancarkan serangan sendiri, dan meningkatkan efisiensi pelaku yang lebih mahir secara teknis — seperti dengan mempercepat pengembangan malware. Dengan kata lain, AI dapat membantu pelaku ancaman di hampir setiap tahap serangan, termasuk di tengah-tengah intrusi.

“Saat berada di dalam sistem informasi suatu organisasi, AI dapat digunakan untuk melakukan pengintaian guna menentukan, antara lain, cara terbaik untuk menyebarkan malware dan mengakses serta menyaring informasi non-publik,” demikian isi panduan tersebut.

Bagaimana ketergantungan bank pada AI dapat menimbulkan ancaman

Pelaku ancaman tidak perlu menyusup ke sistem TI bank untuk mencuri data; mereka juga mencuri data dari pihak ketiga yang dipercayakan oleh bank. Memang benar, taktik ini semakin berkembang di kalangan pelaku ancaman yang ingin mencuri data konsumen, bahkan terlepas dari kebangkitan AI.

Apa yang disebut sebagai risiko pihak ketiga dan kerentanan rantai pasokan merupakan kekhawatiran umum di kalangan bank dan regulator, dan AI memperbesar kekhawatiran ini.

“Alat dan aplikasi yang didukung AI sangat bergantung pada pengumpulan dan pemeliharaan data dalam jumlah besar,” demikian bunyi panduan NYDFS. “Proses pengumpulan data tersebut sering kali melibatkan kerja sama dengan vendor dan penyedia layanan pihak ketiga. Setiap tautan dalam rantai pasokan ini menimbulkan potensi kerentanan keamanan yang dapat dieksploitasi oleh pelaku ancaman.”

Karena banyaknya data yang harus dikumpulkan oleh bank dan pihak ketiga untuk mengaktifkan dan meningkatkan model AI mereka, NYDFS juga menyebut paparan atau pencurian harta karun yang sangat besar ini sebagai risiko jika mengandalkan AI.

“Menyimpan informasi non-publik dalam jumlah besar menimbulkan risiko tambahan bagi entitas yang mengembangkan atau menerapkan AI karena mereka perlu melindungi lebih banyak data secara signifikan, dan pelaku ancaman memiliki insentif yang lebih besar untuk menargetkan entitas-entitas ini dalam upaya mengekstraksi informasi non-publik untuk kepentingan mereka.” keuntungan finansial atau tujuan jahat lainnya,” demikian isi panduan tersebut.

Enam strategi untuk mitigasi risiko

Panduan dari NYDFS menekankan perlunya perusahaan jasa keuangan untuk mempraktikkan prinsip tersebut pertahanan yang mendalamyang merupakan jargon untuk keamanan berlapis. Praktik ini memastikan bahwa, ketika satu pengendalian mungkin gagal atau tidak cukup mengurangi risiko, pengendalian lain dapat memberikan perlindungan yang diperlukan.

Dari perspektif kepatuhan, langkah pertama dan terpenting yang dapat diterapkan oleh bank yang beroperasi di New York adalah penilaian risiko keamanan siber. Ini adalah salah satu aspek paling penting dari Peraturan Keamanan Siber NYDFS, yang juga dikenal sebagai Bagian 500, yang terakhir diubah oleh departemen tersebut pada November 2023.

Peraturan Keamanan Siber mengharuskan bank untuk mempertahankan program, kebijakan, dan prosedur yang didasarkan pada penilaian risiko ini, yang menurut pedoman tersebut “harus mempertimbangkan risiko keamanan siber yang dihadapi oleh entitas yang tercakup, termasuk deepfake dan ancaman lain yang ditimbulkan oleh AI, untuk menentukan mana yang bersifat defensif. langkah-langkah yang harus mereka terapkan.”

Peraturan Keamanan Siber juga mewajibkan bank-bank yang beroperasi di negara bagian tersebut untuk “menetapkan, memelihara, dan menguji rencana yang berisi langkah-langkah proaktif untuk menyelidiki dan memitigasi peristiwa keamanan siber,” seperti pelanggaran data atau serangan ransomware. Sekali lagi, panduan NYDFS mengindikasikan bahwa risiko terkait AI harus diperhitungkan dalam rencana ini.

Kedua, NYDFS “sangat menyarankan” agar setiap bank mempertimbangkan, antara lain, faktor-faktor yang menjadi ancaman yang dihadapi penyedia layanan pihak ketiga akibat penggunaan AI dan bagaimana ancaman ini dapat dieksploitasi terhadap bank itu sendiri. Upaya untuk memitigasi ancaman ini dapat mencakup penerapan persyaratan pada pihak ketiga untuk memanfaatkan opsi peningkatan privasi, keamanan, dan kerahasiaan yang tersedia, sesuai dengan panduan tersebut.

Ketiga, bank perlu menerapkan autentikasi multifaktor, yang mana Peraturan Keamanan Siber mewajibkan semua bank untuk menggunakannya pada bulan November 2025. Departemen telah dikatakan sebelumnya bahwa otentikasi multifaktor adalah “salah satu cara paling ampuh untuk mengurangi risiko dunia maya.” Hal ini karena, seperti halnya keamanan berlapis yang melindungi sistem bank, otentikasi berlapis juga melindungi akun — baik akun pengguna atau akun karyawan — dari akses tidak sah.

Keempat, departemen tersebut mengingatkan bank akan perlunya memberikan “pelatihan keamanan siber untuk semua personel” setidaknya setiap tahun, dan pelatihan ini harus mencakup rekayasa sosial – persyaratan lain yang ditetapkan oleh Peraturan Keamanan Siber. Hal ini memastikan bahwa personel bank memahami bagaimana pelaku ancaman dapat menggunakan AI untuk meningkatkan kampanye mereka.

“Misalnya, pelatihan harus menjawab kebutuhan untuk memverifikasi identitas pemohon dan keabsahan permintaan tersebut jika seorang karyawan menerima permintaan transfer uang yang tidak terduga melalui telepon, video, atau email,” demikian bunyi panduan tersebut.

Kelima, entitas yang dilindungi “harus memiliki proses pemantauan” yang dapat mengidentifikasi kerentanan keamanan baru dengan segera sehingga mereka dapat memperbaikinya dengan cepat. Panduan ini mengingatkan bank bahwa Peraturan Keamanan Siber mengharuskan mereka memantau aktivitas pengguna (terutama karyawan), termasuk lalu lintas email dan web, untuk memblokir konten berbahaya dan melindungi dari pemasangan kode berbahaya.

“Entitas Tercakup yang menggunakan produk atau layanan berkemampuan AI, atau mengizinkan personel menggunakan aplikasi AI seperti ChatGPT, juga harus mempertimbangkan pemantauan perilaku kueri yang tidak biasa yang mungkin mengindikasikan upaya untuk mengekstrak NPI dan memblokir kueri dari personel yang mungkin memaparkan NPI ke a produk atau sistem AI publik,” demikian bunyi panduan tersebut.

Keenam dan terakhir, panduan ini merekomendasikan bank untuk menggunakan praktik pengelolaan data yang efektif. Salah satu contoh penting adalah membuang data yang tidak terpakai ketika tidak lagi diperlukan untuk operasional bisnis. Praktik ini diwajibkan oleh peraturan departemen, dan mulai November 2025, bank juga perlu memelihara dan memperbarui inventaris data. Hal ini “harus” mencakup mengidentifikasi semua sistem informasi yang mengandalkan atau menggunakan AI, sesuai dengan panduan.