Ancaman baru apa yang diidentifikasi oleh laporan Kordia 2026 selain pencurian data?

Laporan ini menandai penggunaan AI yang tidak semestinya oleh karyawan sebagai salah satu ancaman baru yang paling mendesak, seperti staf yang memasukkan data sensitif ke dalam alat AI eksternal atau menggunakan platform AI yang tidak disetujui.

Apakah penyalahgunaan alat AI oleh karyawan biasanya dianggap disengaja atau tidak disengaja?

Menurut laporan tersebut, penggunaan AI yang tidak semestinya oleh staf umumnya tidak didorong oleh niat jahat, melainkan oleh kemudahan yang mengalahkan kehati-hatian.

Mengapa data pribadi cenderung terekspos dalam proporsi insiden siber yang berhasil yang begitu tinggi?

Informasi pribadi disimpan di berbagai sistem, dibagikan secara luas, dan diakses secara rutin di berbagai tingkatan organisasi, yang berarti setiap intrusi yang berhasil memiliki kemungkinan yang wajar untuk menyentuh data pribadi sebelum terdeteksi.

Jenis organisasi apa yang disurvei oleh laporan Kordia?

Laporan Kordia mensurvei bisnis-bisnis Selandia Baru di berbagai sektor dan ukuran, menjadikannya gambaran regional tentang bagaimana insiden siber sebenarnya terjadi dalam praktik.

Laporan Kordia 2026: 17% Insiden Siber di NZ Berujung pada Pencurian Data

Sebuah laporan industri yang baru dirilis memberikan angka yang tepat untuk masalah yang diketahui oleh sebagian besar organisasi tetapi sulit diukur: insiden siber pencurian data pribadi kini menyumbang porsi yang signifikan dari semua kejadian keamanan. Menurut Laporan Keamanan Siber Bisnis Selandia Baru Kordia 2026, 17% insiden siber — kira-kira satu dari enam — mengakibatkan akses tidak sah atau pencurian informasi pribadi. Selain angka tersebut, laporan ini menandai penggunaan AI yang tidak semestinya oleh karyawan sebagai salah satu ancaman baru yang paling mendesak yang dihadapi organisasi saat ini.

Bersama-sama, temuan-temuan ini menggambarkan lingkungan ancaman yang berubah lebih cepat daripada kemampuan banyak pertahanan konvensional untuk mengatasinya.

Apa yang Sebenarnya Ditemukan dalam Laporan Kordia 2026

Laporan Kordia mensurvei bisnis-bisnis Selandia Baru di berbagai sektor dan ukuran, menjadikannya salah satu gambaran regional yang paling membumi tentang bagaimana insiden siber sebenarnya terjadi dalam praktik. Angka utama — 17% insiden yang berakhir dengan paparan data pribadi — patut diperhatikan karena menangkap hasil spesifik, bukan sekadar volume atau jenis serangan.

Banyak laporan keamanan siber berfokus pada bagaimana serangan dimulai: email phishing, kredensial yang dikompromikan, perangkat lunak yang tidak ditambal. Laporan ini menarik perhatian pada ke mana serangan berakhir, dan untuk proporsi yang signifikan, titik akhir tersebut adalah informasi pribadi seseorang yang keluar dari kendali organisasi. Perbedaan itu penting untuk memahami risiko dalam istilah yang benar-benar diperhatikan oleh regulator, pelanggan, dan dewan direksi.

Laporan ini juga menyoroti penggunaan AI yang tidak semestinya oleh staf sebagai tantangan yang berkembang. Hal ini mengacu pada karyawan yang memasukkan data sensitif ke dalam alat AI eksternal, menggunakan platform AI yang tidak disetujui, atau berbagi informasi rahasia saat mencoba mengotomatiskan pekerjaan mereka. Dalam sebagian besar kasus, ini bukan niat jahat. Ini adalah kemudahan yang mengalahkan kehati-hatian.

Mengapa Satu dari Enam Insiden Berakhir dengan Pelanggaran Data

Angka 17% mencerminkan beberapa realitas struktural tentang cara organisasi modern mengelola data. Informasi pribadi cenderung disimpan di berbagai sistem, dibagikan secara luas di dalam organisasi, dan diakses secara rutin oleh karyawan di berbagai tingkatan. Distribusi tersebut berarti setiap intrusi yang berhasil memiliki kemungkinan yang wajar untuk menyentuh data pribadi sebelum terdeteksi dan ditangani.

Hal ini juga mencerminkan nilai tinggi informasi pribadi sebagai target. Penyerang yang mendapatkan akses ke jaringan sering kali secara khusus mencari nama, detail kontak, catatan keuangan, dan informasi identitas. Ini memiliki nilai jual langsung dan dapat digunakan dalam serangan penipuan lanjutan dan rekayasa sosial.

Kesenjangan antara terjadinya insiden dan dikonfirmasinya data pribadi yang dikompromikan juga merupakan faktor. Keterlambatan deteksi memberi penyerang lebih banyak waktu untuk menemukan dan mengekstrak catatan yang paling berharga. Organisasi yang tidak memiliki pencatatan log, segmentasi, atau pemantauan yang kuat lebih mungkin menemukan pelanggaran hanya setelah data telah keluar.

Pola ini tidak unik di Selandia Baru. Pola ini selaras dengan apa yang telah didokumentasikan para peneliti secara global: entitas yang diregulasi dan organisasi dengan sumber daya yang baik masih secara rutin menangani data pribadi dengan sembarangan, seperti yang dieksplorasi dalam aplikasi verifikasi usia UE yang dibobol dalam hitungan menit setelah diluncurkan, di mana asumsi desain tentang keamanan terbukti terlalu optimis hampir seketika.

Ancaman Orang Dalam Terkait AI yang Tidak Bisa Diselesaikan oleh VPN Sendirian

Temuan penggunaan AI layak mendapat perhatian khusus karena mewakili kategori risiko yang sebagian besar alat keamanan yang ada tidak dirancang untuk mengatasinya. Ketika seorang karyawan menempelkan catatan klien ke dalam asisten AI publik atau menggunakan alat produktivitas yang tidak disetujui untuk memproses data SDM, tidak ada firewall yang terpicu, tidak ada tanda VPN yang aktif, dan tidak ada sistem deteksi intrusi yang membunyikan alarm. Data keluar melalui saluran yang sepenuhnya sah.

Inilah inti masalah paparan yang didorong oleh orang dalam: sering kali terlihat identik dengan pekerjaan normal. VPN mengamankan koneksi antara perangkat dan jaringan perusahaan. VPN tidak mengatur apa yang dilakukan karyawan dengan data setelah mereka memiliki akses yang sah. Enkripsi melindungi data dalam perjalanan antara titik akhir yang tepercaya; enkripsi tidak melindungi data yang dipilih oleh pengguna yang berwenang untuk dikirim ke suatu tempat yang tidak sah.

Organisasi yang telah banyak berinvestasi dalam alat keamanan perimeter — termasuk VPN, perlindungan titik akhir, dan firewall — masih bisa terekspos jika mereka belum menangani lapisan manusia dan kebijakan. Temuan Kordia menunjukkan bahwa kesenjangan ini semakin melebar seiring alat AI menjadi lebih murah, lebih mampu, dan lebih tertanam dalam alur kerja sehari-hari.

Tantangan ini semakin rumit karena betapa cepatnya lanskap alat AI berubah. Kebijakan yang ditulis enam bulan lalu mungkin tidak mencakup platform yang digunakan karyawan saat ini.

Membangun Pertahanan Privasi yang Melampaui VPN

Mengatasi baik tingkat pencurian data maupun ancaman orang dalam terkait AI memerlukan pendekatan berlapis yang menggabungkan kontrol teknis dengan kebijakan organisasi dan edukasi pengguna.

Di sisi teknis, alat pencegahan kehilangan data (DLP) dapat dikonfigurasi untuk mendeteksi ketika kategori informasi sensitif dikirim ke platform eksternal, termasuk layanan AI. Pemantauan jaringan yang mencatat transfer data keluar dapat membantu mengidentifikasi pola yang tidak biasa. Kontrol akses yang membatasi karyawan mana yang dapat mengakses data mana mengurangi dampak dari setiap insiden tunggal.

Di sisi kebijakan, organisasi memerlukan panduan yang jelas dan terkini tentang alat AI yang disetujui, kategori data apa yang dapat diproses secara eksternal, dan apa konsekuensi dari pelanggaran kebijakan. Ambiguitas adalah kewajiban. Karyawan yang tidak yakin apakah suatu alat disetujui sering kali akan tetap menggunakannya, terutama jika itu memudahkan pekerjaan mereka.

Edukasi pengguna tetap penting. Sebagian besar karyawan yang menciptakan insiden paparan data terkait AI tidak bertindak dengan niat jahat. Mereka berusaha bekerja secara efisien. Pelatihan yang menjelaskan secara spesifik mengapa data tertentu tidak boleh dimasukkan ke dalam alat AI eksternal — bukan hanya bahwa itu tidak boleh — cenderung menghasilkan kepatuhan yang lebih baik daripada pengingat keamanan umum.

Bagi individu, laporan ini adalah pengingat yang berguna untuk memeriksa data pribadi apa yang dimiliki organisasi tentang mereka dan bagaimana data tersebut dilindungi. Undang-undang seperti California Consumer Privacy Act memberikan beberapa konsumen hak formal atas data mereka, meskipun penegakan CCPA memiliki kesenjangan yang signifikan dalam praktiknya, dan menjalankan hak-hak tersebut memerlukan upaya aktif.

Apa Artinya Bagi Anda

Laporan Kordia 2026 adalah studi yang berfokus pada Selandia Baru, tetapi temuannya mencerminkan pola yang dapat dikenali di berbagai industri dan geografi. Satu dari enam insiden yang mengakibatkan pencurian data pribadi adalah tingkat yang signifikan, dan munculnya penggunaan AI yang tidak semestinya sebagai ancaman orang dalam menambahkan dimensi baru yang masih dikejar oleh banyak program keamanan.

Bagi individu, ini adalah dorongan untuk memikirkan data pribadi apa yang Anda bagikan dengan bisnis, seberapa besar data itu bisa terekspos dalam sebuah pelanggaran, dan apakah Anda menjalankan hak-hak yang tersedia untuk meminimalkan paparan tersebut. Bagi organisasi, laporan ini adalah alasan untuk menggeser percakapan keamanan melampaui alat perimeter menuju tata kelola data yang komprehensif.

Pertahanan teknis diperlukan tetapi tidak cukup. Angka 17% menunjukkan bahwa bahkan setelah insiden terjadi, membatasi dampak data pribadi memerlukan kecepatan, visibilitas, dan kebijakan yang jelas yang masih terus dikembangkan oleh sebagian besar organisasi. Meninjau jejak data Anda sendiri, memahami hak-hak yang Anda miliki berdasarkan undang-undang privasi yang berlaku, dan tetap terinformasi tentang bagaimana pelanggaran sebenarnya terjadi adalah langkah pertama yang praktis yang dapat diambil siapa pun hari ini.