Oleh karena jumlah identitas non-manusia dan agen diperkirakan akan melampaui 45 miliar pada akhir 2025, lebih dari 12 kali lipat dari angkatan kerja global, implikasi bagi manajemen identitas dan akses (IAM) akan sangat besar. Model IAM tradisional yang berpusat pada identitas manusia, yang melibatkan penyediaan akun, penetapan peran, dan pengelolaan melalui izin statis, akan sulit menampung lonjakan agen AI yang bersifat sementara dan polimorfik.
Pergeseran dari Identitas Deterministik ke Adaptif
Aplikasi konvensional bersifat deterministik, mengikuti alur kerja yang dapat diprediksi. Sebaliknya, agen AI yang memiliki otonomi dapat menghasilkan keluaran yang berbeda bahkan dari masukan yang sama, membuat penetapan izin statis menjadi tidak memadai. Ketidakpastian ini mengikis dasar penetapan peran statis, karena izin tidak dapat ditetapkan sebelumnya ketika perilaku agen berubah dengan cepat. Persetujuan manual untuk setiap tindakan juga tidak praktis, sementara pemberian akses yang luas akan meningkatkan risiko keamanan.
Izin Dinamis dengan Kecepatan Mesin
Untuk mengelola lonjakan agen AI, izin harus diimplementasikan melalui model dinamis dan tepat waktu. Tim keamanan perlu merancang sistem yang mengeluarkan token berumur sangat pendek yang dibatasi untuk satu operasi. Token ini akan kedaluwarsa dalam hitungan detik, bukan jam atau hari, untuk menegakkan prinsip hak istimewa paling sedikit (least privilege) pada kecepatan mesin. Dengan cara ini, agen hanya mendapatkan akses yang diperlukan untuk tindakan spesifik, dan hak istimewa tersebut akan hilang setelah tindakan selesai. Jika agen terkompromi, dampaknya akan terbatas pada hitungan detik.
Masalah Persona Ganda
Agen AI sering kali bertindak baik sebagai dirinya sendiri maupun atas nama manusia. Ini menciptakan model persona ganda, di mana identitas manusia harus direpresentasikan bersamaan dengan konteks eksekusi independen agen. Sistem identitas tradisional tidak dirancang untuk menangkap dualitas ini, yang berisiko menyebabkan agen beroperasi di luar batas yang dimaksudkan, mengakses data sensitif, atau memodifikasi catatan di bawah model identitas yang salah.
Memperluas Nol Kepercayaan (Zero Trust) ke Agen
Perbatasan berikutnya adalah kepercayaan antar-agen. Kumpulan agen yang saling berkolaborasi di seluruh infrastruktur akan membutuhkan otentikasi, otorisasi, dan pencatatan setiap panggilan antar-agen, tanpa kepercayaan implisit atau saluran tersembunyi. Setiap agen harus diautentikasi, diotorisasi, dan dicatat, mirip dengan login manusia.
Sifat sementara agen AI, yang muncul dan menghilang dalam hitungan detik, menantang siklus hidup manajemen identitas konvensional. Setiap tindakan harus dapat diaudit untuk memastikan respons insiden dan kepatuhan. Diperlukan pencatatan dan keterlacakan yang disesuaikan untuk agen AI, yang menangkap tidak hanya apa yang dilakukan, tetapi juga di bawah identitas apa, atas nama siapa, dan dalam konteks apa.
Panduan Identitas Agen
Mengingat kecepatan, skala, dan ketidakpastian agen AI, model IAM statis yang dibangun untuk manusia tidak akan memadai. Pemimpin keamanan memerlukan pendekatan yang dibangun untuk mesin: dinamis, otomatis, dan tanpa kompromi. Empat praktik terbaik yang direkomendasikan meliputi:
- Otomatisasi siklus hidup identitas agen: Menyediakan, memantau, dan menghentikan agen secara real-time tanpa campur tangan manual.
- Penegakan hak istimewa paling sedikit secara dinamis: Memberikan izin tepat waktu dengan token berumur pendek yang dibatasi untuk operasi tunggal.
- Perluasan nol kepercayaan ke agen: Memperlakukan komunikasi antar-agen dengan pengawasan yang sama seperti login manusia, dengan otentikasi, otorisasi, dan audit setiap panggilan.
- Pemantauan dengan auditabilitas penuh: Memastikan setiap tindakan meninggalkan jejak yang dapat diverifikasi, bahkan untuk agen yang hanya ada sesaat.
Meskipun ada tantangan skala yang tak terhindarkan dalam manajemen identitas, perusahaan akan terus memanfaatkan agen AI karena kasus bisnisnya yang kuat. Tantangan bagi para pemimpin keamanan adalah memastikan agen beroperasi dalam batas yang telah ditentukan, yang membutuhkan pergeseran dari model IAM statis ke praktik yang dirancang untuk kecepatan mesin.
Investasi dalam sistem yang dapat menerbitkan dan mencabut kredensial secara otomatis, menyematkan konteks identitas dalam setiap alur kerja agen, dan menginstrumentasikan lalu lintas antar-agen sangat penting untuk mengamati dan mengontrol semua aktivitas. Membangun umpan balik yang menggunakan telemetri dan data audit untuk menyempurnakan kebijakan akan memungkinkan tim keamanan tidak hanya beradaptasi dengan agen AI, tetapi juga memanfaatkannya untuk mencapai kecepatan, ketahanan, dan kepercayaan dalam skala besar.
technewsworld
Relevansi untuk Indonesia: Menjembatani Kesenjangan Digital dengan Keamanan yang Adaptif
Munculnya agen AI dan tantangan yang ditimbulkannya terhadap manajemen identitas dan akses (IAM) memiliki relevansi yang signifikan bagi Indonesia. Seiring negara ini terus mendorong transformasi digitalnya dan mengadopsi teknologi baru di berbagai sektor, mulai dari layanan publik hingga industri keuangan, pemahaman dan penerapan praktik IAM yang adaptif menjadi krusial. Indonesia dapat memanfaatkan wawasan ini untuk memperkuat infrastruktur keamanan siber nasionalnya, memastikan bahwa adopsi AI tidak hanya membawa efisiensi tetapi juga keamanan yang kokoh. Dengan mengantisipasi dan mempersiapkan diri terhadap perubahan paradigma IAM ini, Indonesia dapat memposisikan dirinya untuk memimpin dalam ekosistem digital yang aman dan terpercaya di era kecerdasan buatan.
