Shadow AI: Ancaman diam yang mengintai syarikat Malaysia

KECERDASAN buatan (AI) kini menjadi enjin utama produktiviti baharu di tempat kerja. Daripada Copilot yang meringkaskan laporan hingga chatbot yang menulis emel, semakin ramai pekerja menggunakan AI untuk bekerja lebih cepat dan efisien. Namun, di sebalik gelombang inovasi ini, muncul satu ancaman baharu yang kian membimbangkan iaitu Shadow AI.

Ringkasan AI

Shadow AI ialah penggunaan alat AI tanpa kebenaran syarikat, yang kini semakin biasa di tempat kerja di Malaysia.
Penggunaan tanpa kawalan ini boleh mendedahkan data sensitif dan maklumat syarikat kepada risiko keselamatan dan kebocoran.
Organisasi perlu bertindak bijak dengan memantau penggunaan AI, melatih pekerja, dan menggunakan alat AI yang diluluskan supaya inovasi dan keselamatan seimbang.

Shadow AI merujuk kepada penggunaan alat AI tanpa kebenaran atau pemantauan pasukan IT dan keselamatan syarikat. Menurut laporan Sophos Future of Cybersecurity in Asia Pacific and Japan 2025, sebanyak 91% organisasi di Malaysia telah menggunakan AI untuk tujuan perniagaan. Namun, 36% mengakui pekerja mereka turut menggunakan platform AI yang tidak dibenarkan. Ini bermakna ramai sedang bereksperimen dengan teknologi canggih tanpa kawalan dan panduan yang jelas.

Risikonya besar. Data sensitif syarikat, maklumat pelanggan, dan harta intelek boleh dimuat naik ke platform AI awam tanpa disedari. Laporan sama menunjukkan 41% organisasi tidak tahu alat AI mana sedang digunakan, manakala 35% menemui kelemahan keselamatan dalam alat tersebut. Dalam situasi tertentu, kelemahan ini boleh mendedahkan data sulit kepada pihak luar atau penjenayah siber.

Walaupun begitu, kebanyakan penggunaan Shadow AI tidak bertujuan jahat. Ia sering berlaku kerana pekerja mahu menjimatkan masa, penganalisis ingin mempercepatkan kerja, pasukan pemasaran mahu mencuba idea baharu, atau eksekutif mencari pandangan segera. Namun, satu aplikasi tanpa tapisan atau satu muat naik tersilap sudah cukup untuk mencetuskan krisis data.

Bagi sektor seperti kewangan, telekomunikasi dan syarikat berkaitan kerajaan, kegagalan mengurus AI bukan sekadar risiko, tetapi juga boleh menyalahi undang-undang di bawah Akta Perlindungan Data Peribadi (PDPA). Ia boleh menjejaskan reputasi dan kepercayaan pelanggan, sementara pasukan keselamatan siber terpaksa menanggung beban tambahan dalam menangani ancaman ini.

Bagaimana organisasi boleh bertindak tanpa menyekat inovasi?

1. Dapatkan keterlihatan penuh (Visibility) Organisasi perlu tahu siapa yang menggunakan AI, data apa yang digunakan dan ke mana ia dihantar. Tadbir urus AI perlu berasaskan prinsip zero-trust dan pemantauan berterusan. AI mencipta ruang serangan baharu dari data, identiti hingga tingkah laku pengguna yang perlu dilindungi.

2. Polisi perlu disokong dengan latihan Dasar penggunaan AI semata-mata tidak mencukupi. Pasukan perlu diberi kesedaran dan latihan supaya mereka faham bila berinteraksi dengan sistem AI luar dan pentingnya menjaga data organisasi.

3. Kepimpinan perlu memacu perubahan Melarang AI secara total bukan penyelesaian. Sebaliknya, pemimpin perlu menggalakkan penggunaan alat AI yang diluluskan, selamat dan dipantau. Shadow AI wujud apabila inovasi disekat atau IT dianggap penghalang. Galakkan penerokaan, tetapi dengan garis panduan yang jelas.

Kita kini memasuki “Generative Age”, era di mana AI menjadi sebahagian daripada kehidupan kerja harian. Inovasi dan keselamatan tidak harus dilihat bertentangan kedua-duanya perlu bergerak bersama.

Shadow AI tidak akan lenyap, kerana manusia akan sentiasa mencari cara lebih pantas untuk bekerja. Persoalannya, adakah organisasi bersedia menghadapinya dengan kawalan dan tadbir urus yang jelas, atau mahu menunggu pelanggaran data berlaku dari dalam?

Akhirnya, AI bukanlah musuh sebenar. Yang berbahaya ialah AI tanpa pemantauan. Syarikat yang mula bertindak hari ini membina dasar yang jelas, memantau penggunaan dan memupuk akauntabiliti bukan sahaja dapat mengurangkan risiko, tetapi juga membuka potensi sebenar AI dengan cara yang selamat dan mampan.