tirto.id - Staf IT yang pakai kata sandi ala kadarnya, eksekutif yang entah lengah atau kurang paham dengan tetek bengek teknologi, sampai pengguna akhir yang tak bisa membedakan tautan asli dengan tautan phishing adalah sejumlah contoh yang menggambarkan bagaimana manusia selama ini dipandang sebagai titik terlemah dari suatu sistem keamanan siber. Frasa "humans are the weakest link", atau "manusia adalah mata rantai terlemah" pun jadi seperti mantra yang terus diulang dan tak terbantahkan dalam dunia keamanan siber.
Sampai akhirnya, laporan dari Tenable dirilis pada Februari 2026. Dalam laporan berjudul Cloud and AI Security Risk Report 2026, perusahaan keamanan siber asal Amerika Serikat tersebut dengan gamblang menyebut bahwa manusia, atau aksi yang dilakukan oleh manusia, kini bukan lagi titik terlemah dalam sistem keamanan siber. Menurut mereka, ada hal-hal lain yang lebih membahayakan, mulai dari tumpukan kode dari pihak ketiga yang tidak teraudit dengan baik, identitas digital yang terbengkalai, hingga agen-agen AI yang punya akses lebih besar dari yang semestinya.
Namun, sebelum lebih jauh membahas soal temuan Tenable tersebut, ada baiknya kita kembali ke tahun 2020, ketika peneliti Irlandia, Ciarán Mc Mahon, menulis sebuah artikel yang diterbitkan dalam jurnal Frontiers in Psychology. Dalam tulisan berjudul "In Defence of the Human Factor", Mc Mahon berupaya memutarbalikkan anggapan umum bahwa manusia adalah titik lemah keamanan siber.
Mc Mahon berargumen bahwa menyalahkan pengguna akhir sebenarnya adalah cara yang "nyaman", bukan cara yang "benar". Menurutnya, ketika sebuah kasus terjadi, jauh lebih mudah untuk memecat satu karyawan yang salah mengklik sebuah tautan daripada mengakui bahwa infrastruktur teknologi yang telah dibangun selama bertahun-tahun pada dasarnya tidak sekuat yang dibayangkan. Kata Mc Mahon, faktor manusia adalah "acceptable accident cause" atau penyebab kecelakaan yang mudah diterima secara sosial.
Mc Mahon menggunakan model keju Swiss yang dipopulerkan oleh pakar psikologi James Reason. Dalam sepotong keju Swiss, terdapat banyak lubang yang mewakili kelemahan atau celah dalam setiap lapisan. Ketika lubang-lubang itu berada dalam posisi sejajar, terbukalah sebuah jalur bagi terjadinya kecelakaan atau insiden. Dalam konteks keamanan siber, ini berarti terjadinya insiden tidak cuma disebabkan oleh satu faktor, melainkan kombinasi dari beberapa faktor, sehingga lebih layak disebut sebagai kegagalan sistemik.
Selain itu, Mc Mahon juga menyoroti otomasi. Menurutnya, semakin canggih sistem otomatis dalam menyaring ancaman seperti phishing, semakin jarang manusia terekspos pada ancaman itu secara langsung, dan semakin tidak terlatih pula mereka untuk mengenalinya ketika akhirnya lolos. Artinya, sistem yang ada didesain dengan manusia berada di luar sistem manajemen risiko. Namun, ketika seseorang melakukan sesuatu yang tidak dia ketahui benar dan salahnya, dialah yang disalahkan.
Dari Jejak "Terkompromi" hingga Kredensial Terbengkalai
Apa yang diungkapkan Mc Mahon enam tahun lalu kini semakin diperkuat oleh data-data yang diterbitkan Tenable. Laporan ini merupakan hasil analisis telemetri anonim dari berbagai lingkungan cloud publik dan enterprise yang dikumpulkan antara April hingga Oktober 2025, dengan temuan khusus terkait AI yang diperpanjang hingga Desember 2025.
Dalam laporan itu disebutkan bahwa 86 persen organisasi yang dianalisis memiliki setidaknya satu paket kode pihak ketiga yang mengandung kerentanan dengan tingkat keparahan kritis. Ini berbahaya karena penggunaan paket kode dari pihak ketiga adalah praktik umum dari pembangunan piranti lunak modern dan letak dari risikonya mustahil untuk dilacak sejak awal.
Untuk membangun piranti lunak, para pengembang hampir tidak pernah menulis semua kode dari nol. Mereka mengandalkan library dan package siap pakai dari repositori publik, yang masing-masing bisa bergantung pada puluhan package lain di bawahnya. Sekarang bayangkan apabila salah satu lapisan itu mengandung kerentanan atau sejak awal sudah disusupi oleh aktor jahat. Itu berarti, risiko bakal ikut masuk ke dalam sistem tanpa ada satu kesalahan pun dari karyawan.
Celakanya lagi, 13 persen dari organisasi-organisasi yang dianalisis tadi telah menggunakan paket kode yang punya rekam jejak "terkompromi" atau sebelumnya sudah pernah disusupi. Ada dua contoh konkret yang disebut Tenable, yaitu worm bernama s1ngularity dan Shai Hulud.

Worm s1ngularity bekerja seperti tukang gembok yang menyimpan kunci duplikat dari gembok yang baru saja kita beli, lalu diam-diam masuk ke dalam sistem untuk mencuri informasi penting. Sementara itu, worm Shai Hulud bekerja seperti cacing raksasa Shai Hulud dari novel Dune. Ia menelan segalanya. Setelah berhasil masuk ke sebuah sistem, worm ini akan terus berjalan ke sistem-sistem lain dan menyerangnya secara otomatis sampai semuanya terinfeksi.
Sekali lagi, menggunakan kode pihak ketiga adalah praktik yang lumrah dan karyawan yang menggunakan langkah tersebut tidak bisa dipersalahkan. Mereka tidak salah mengklik, melainkan membuat keputusan teknis yang masuk akal. Akan tetapi, tanpa kesalahan pun, risiko itu memang selalu ada karena sudah tersembunyi sedemikian rupa sehingga hampir selalu luput dari deteksi.
Berikutnya, ancaman lain datang dari identitas non-manusia, entah itu agen AI, akun layanan otomatis, maupun entitas-entitas digital lain yang bekerja di balik layar.
Laporan Tenable menemukan bahwa identitas non-manusia kini memiliki profil risiko yang lebih tinggi dibandingkan pengguna manusia. Sebanyak 52 persen identitas non-manusia dinilai memiliki izin akses yang berlebihan, sementara angka serupa untuk pengguna manusia hanya 37 persen. Artinya, robot-robot digital yang diciptakan untuk memudahkan pekerjaan, kini justru menjadi titik lemah yang lebih besar dari manusia itu sendiri.
Salah satu pihak yang pernah jadi korban adalah Cloudflare. Pada 2023, setelah mengalami security breach lewat Okta, Cloudflare bergerak cepat dengan merotasi lebih dari 5.000 kredensial dan memindai hampir 5.000 sistem. Akan tetapi, mereka melewatkan satu token akses dan tiga kredensial akun layanan. Ini semua merupakan kredensial atau identitas non-manusia. Dan hanya dari empat pintu itu, dari total ribuan yang ada, para penyerang siber sudah bisa menyusup ke dalam jaringan dan mengakses dokumen-dokumen sensitif.
Situasi semacam itu diperparah dengan apa yang disebut "dormancy gap" atau kesenjangan dorman. Tenable mencatat, 73 persen peran (roles) Amazon SageMaker dan 70 persen peran agen Amazon Bedrock saat ini tidak aktif.
Amazon SageMaker dan Amazon Bedrock merupakan layanan AI milik Amazon yang digunakan perusahaan untuk membangun dan menjalankan model kecerdasan buatan di cloud. Sedangkan "peran" yang dimaksud adalah kartu akses virtual otomatis yang diberikan kepada layanan-layanan tersebut agar bisa bekerja. Biasanya, kartu akses itu dibuat saat proyek dimulai, tetapi kemudian terlupakan begitu saja ketika proyek selesai. Nah, menurut Tenable, meski terlupakan, peran-peran itu masih punya izin akses yang bisa digunakan siapa pun yang bisa masuk ke dalam sistem.
Masalah terakhir adalah "ghost secrets", atau kredensial cloud yang tidak digunakan atau tidak pernah dirotasi, tapi masih aktif. Sebanyak 65 persen organisasi kedapatan memiliki kredensial semacam ini. Yang lebih mengejutkan, 17 persen dari kredensial yang terbengkalai itu terhubung dengan hak akses administratif tingkat tertinggi. Itu berarti, siapa pun yang menemukannya bisa punya kendali penuh atas sistem.
Lagi-lagi, tidak ada manusia yang secara aktif melakukan kesalahan di sini. Kredensial-kredensial itu hanya terlupakan. Tim datang silih berganti, proyek datang dan pergi, dan semua kredensial yang terabaikan itu kemudian terakumulasi. Di sini, kesalahan tidak terletak pada individu yang menggunakan password lemah atau lupa mengamankan komputernya, tetapi lebih kepada mekanisme prosedural yang tidak cukup ketat untuk menghindari kesalahan seperti ini.
Jebakan Kecepatan
Pertanyaannya, bukankah masalah-masalah di atas itu sebenarnya juga sudah eksis sejak lama? Mengapa baru sekarang mereka menjadi masalah yang benar-benar serius?
Jawabannya ada pada kecepatan. Tenable menyebutnya "velocity trap" atau jebakan kecepatan. Adopsi AI dan penggunaan paket kode pihak ketiga telah mempercepat laju pembangunan sistem digital jauh melampaui kemampuan manusia untuk menilai, memprioritaskan, dan memperbaiki risiko.
Contohnya, 70 persen organisasi kini telah mengintegrasikan setidaknya satu paket AI atau Model Context Protocol (MCP) pihak ketiga ke dalam infrastruktur produksi mereka, dan ini sering kali dilakukan tanpa pengawasan keamanan terpusat. Liat Hayun, Wakil Presiden Bidang Manajemen Produk dan Riset di Tenable, menilai ini sebagai risiko terbesar yang ada saat ini.
"Sistem AI yang tertanam dalam infrastruktur memunculkan risiko yang mesti ditangani oleh para petugas keamanan siber, selain mengantisipasi ancaman-ancaman lain yang mungkin muncul dari AI dan teknologi komputasi awan. Kurangnya visibilitas dan tata kelola membuat para pelaku industri kini rentan berhadapan dengan paparan baru, termasuk identitas-identitas dengan akses berlebih yang ada di cloud," ujarnya.
Setiap keputusan teknis yang masuk akal ternyata meninggalkan jejak risiko. Secara individual, risiko-risiko itu kecil dan tidak berbahaya. Akan tetapi, tanpa pengawasan yang memadai, mereka membentuk apa yang disebut Tenable sebagai "AI exposure gap". Ini adalah lapisan paparan risiko yang sebagian besar tidak terlihat dan sebagian besar tim keamanan belum siap mengelolanya.
Apa yang diucapkan Hayun senada dengan argumen Mc Mahon soal manusia versus kualitas infrastruktur itu sendiri. Sedari awal, infrastruktur teknologi yang ada dan dibangun memang sudah tidak aman. Dan kini, musuh yang dihadapi bukan lagi kecerobohan manusia, melainkan hal-hal tak kasatmata yang bisa bergerak dengan sangat cepat di dalam infrastruktur itu sendiri.
Tentu saja, manusia sebagai pembangun infrastruktur punya tanggung jawab. Akan tetapi, tingkat tanggung jawabnya sudah jauh lebih besar ketimbang sekadar karyawan yang salah klik atau memakai password yang mudah ditebak. Permasalahan ada pada tata kelola atau bahkan ketiadaan aksi sama sekali untuk mengatasi masalah yang mungkin sudah diketahui sebelumnya. Organisasi-organisasi yang menggunakan kode pihak ketiga terkompromi tadi bisa jadi contoh.
Maka, yang harus dilakukan kini bukan sekadar mengedukasi orang-orang agar lebih berhati-hati, tetapi juga melakukan pembenahan secara menyeluruh. Edukasi untuk menghindari kecerobohan memang tetap diperlukan. Akan tetapi, yang lebih mendesak adalah mengatasi semua masalah yang ada pada infrastruktur sekaligus memperbaiki tata kelola dalam menjalankan semua proyek digital.
Penulis: Yoga Cholandha
Editor: Irfan Teguh Pribadi
Masuk tirto.id































