Pertumbuhan ekonomi digital Indonesia yang semakin cepat memunculkan tantangan baru di bidang keamanan siber. Di tengah masifnya adopsi kecerdasan buatan (AI), komputasi awan (cloud computing), dan otomatisasi bisnis, jumlah identitas mesin kini berkembang lebih cepat dibandingkan identitas manusia, menciptakan risiko baru bagi perlindungan aset digital nasional.
Data Badan Siber dan Sandi Negara (BSSN) dalam Lanskap Keamanan Siber Indonesia 2024 menunjukkan terdapat lebih dari 330 juta aktivitas lalu lintas anomali sepanjang tahun lalu. Jumlah tersebut mencakup sekitar 81 juta insiden Mirai Botnet yang menyasar perangkat Internet of Things (IoT), 2,4 juta aktivitas Advanced Persistent Threat (APT), lebih dari 514.000 kasus ransomware, serta 26,7 juta upaya phishing.
Menurut Global Vice President (GVP) ASEAN SailPoint, Eric Kong, lonjakan ancaman tersebut terjadi seiring meningkatnya interaksi antar mesin dalam ekosistem digital modern.
“Data ini menunjukkan besarnya skala ancaman otomatis berbasis mesin yang telah beroperasi dalam ekosistem digital Indonesia,” ujarnya.
Eric menjelaskan bahwa identitas mesin mencakup API, bot, service account, dan cloud workload yang beroperasi secara otomatis di berbagai sistem perusahaan. Dalam lingkungan bisnis yang semakin mengandalkan AI dan otomatisasi, identitas mesin kini menjadi pintu masuk utama bagi operasional digital sekaligus sasaran potensial serangan siber.
Riset SailPoint menunjukkan sebanyak 69% perusahaan saat ini memiliki jumlah identitas mesin yang lebih banyak dibandingkan identitas manusia. Bahkan hampir separuh organisasi mengelola jumlah identitas mesin hingga 10 kali lebih banyak daripada jumlah karyawannya.
Menurut Eric, tantangan terbesar bukan hanya terletak pada jumlah identitas mesin yang terus bertambah, tetapi juga pada lemahnya tata kelola terhadap identitas tersebut.
“Meski jumlah dan perannya semakin krusial, identitas mesin sering kali tidak mendapatkan tingkat tata kelola yang setara dengan identitas manusia. Jika karyawan dilindungi oleh role based access control dan peninjauan akses secara berkala, identitas mesin justru kerap beroperasi tanpa pengawasan, tanpa mekanisme kedaluwarsa, dan tanpa kepemilikan yang jelas. Kesenjangan tata kelola ini pada akhirnya menjadikan identitas mesin sebagai target yang sangat menarik bagi pelaku kejahatan siber,” kata Eric.
Risiko tersebut semakin relevan di Indonesia. Kementerian Komunikasi dan Digital (Komdigi) melaporkan kejahatan siber menimbulkan kerugian hingga Rp476 miliar dalam periode November 2024 hingga Januari 2025.
Seiring meningkatnya digitalisasi di sektor perbankan, layanan keuangan, manufaktur, telekomunikasi, hingga sektor publik, permukaan serangan siber juga semakin luas.
Baca Juga: Gen Z Hadapi Persaingan Kerja Kian Ketat, Literasi AI Jadi Modal Utama Raih Peluang Karier.
Baca Juga: Komdigi Ingatkan Ancaman Hoaks dan AI Makin Sulit Dikenali Anak
Riset SailPoint menunjukkan 66% organisasi masih mengelola identitas mesin secara manual. Banyak perusahaan masih mengandalkan spreadsheet atau sistem yang terfragmentasi untuk membedakan akun manusia dan non-manusia.
Di sisi lain, identitas mesin umumnya memiliki hak akses yang lebih luas dibandingkan pengguna manusia. Identitas tersebut dapat mengakses data, menjalankan proses bisnis, terhubung ke API, hingga melakukan pengambilan keputusan otomatis dalam sistem berbasis AI.
Kondisi tersebut meningkatkan risiko apabila perusahaan masih menggunakan kredensial yang sudah usang, hardcoded secret, atau service account yang tidak lagi digunakan namun tetap aktif.
Laporan Data Breach Investigations Report Verizon menunjukkan serangan berbasis kredensial masih menjadi salah satu metode utama akses awal pelaku kejahatan siber secara global. Sementara itu, riset IBM mencatat rata-rata biaya kebocoran data di kawasan ASEAN mencapai US$3,67 juta pada 2025.
Temuan SailPoint juga menunjukkan 57% organisasi secara tidak sengaja memberikan akses berlebih kepada identitas mesin, sedangkan 60% menghadapi tantangan kepatuhan akibat lemahnya tata kelola identitas tersebut.
Salah satu risiko yang menjadi perhatian adalah keberadaan zombie account, yaitu identitas mesin yang masih aktif meskipun sudah tidak digunakan. Akun semacam ini kerap lolos dari proses audit dan berpotensi dimanfaatkan oleh pelaku serangan untuk mengakses sistem perusahaan.
Baca Juga: Nezar Patria Tegaskan AI Tak Boleh Ancam Demokrasi
Baca Juga: Perluas Pangsa Pasar, Perusahaan AI Asal Indonesia Ekspansi ke Amerika Serikat
Menurut Eric, kondisi tersebut membuat pengelolaan identitas mesin tidak lagi dapat diposisikan sebagai isu teknis semata, melainkan bagian dari strategi perlindungan aset digital dan keberlanjutan ekonomi digital.
Dengan jumlah identitas mesin yang kini melampaui identitas manusia di banyak organisasi, perusahaan dinilai perlu memperkuat otomatisasi dalam proses identifikasi, klasifikasi, pengelolaan akses, hingga pengawasan terhadap ribuan akun mesin yang digunakan dalam operasional bisnis.
