Matriks Tingkat Keparahan Insiden GenAI: Model Penilaian Kustom untuk Respons Keamanan Siber

Insiden Teknologi Informasi (TI):

Insiden TI adalah setiap gangguan yang tidak direncanakan atau penurunan kualitas layanan TI. Insiden berkisar dari masalah kecil, seperti aplikasi yang lambat, hingga gangguan kritis, termasuk pemadaman server. Manajemen Insiden (IM) bertujuan untuk menangani insiden-insiden ini secara efektif, memastikan layanan TI dipulihkan dengan cepat.

Insiden Siber:

Suatu kejadian yang dapat membahayakan kerahasiaan, integritas, atau ketersediaan informasi atau sistem informasi, atau merupakan ancaman terhadap kebijakan keamanan atau prosedur keamanan.

Respons Insiden Siber dan Tingkat Keparahan:

Respons Insiden (IR) adalah proses terorganisir yang diikuti organisasi untuk pulih dari insiden keamanan. Tujuan utama program Respons Insiden keamanan siber adalah untuk membatasi kerusakan dan mengurangi biaya serta waktu pemulihan dari pelanggaran keamanan, memastikan kelangsungan bisnis dan menjaga integritas sistem dan data.

\ Insiden harus memiliki tingkat keparahan yang berbeda karena tidak semua kejadian memiliki dampak yang sama pada bisnis. Menetapkan tingkat keparahan adalah langkah penting yang menentukan kecepatan dan cakupan sumber daya yang didedikasikan untuk respons.

Insiden GenAI dan Matriks Keparahan:

Penggunaan umum metode Kecerdasan Buatan (AI), termasuk AI Generatif (GenAI) dan model bahasa besar (LLM) untuk aktivitas pribadi dan profesional, menjadi mungkin karena kemajuan teknologi dalam sistem Transformer Pra-terlatih Generatif (GPT). Aplikasi GenAI telah menciptakan risiko keamanan baru, yang mengharuskan tim keamanan informasi untuk memperluas tanggung jawab perlindungan mereka ke sistem-sistem ini.

\ Jenis insiden yang mungkin terjadi termasuk chatbot yang menyesatkan pelanggan, kebocoran data oleh agen AI, dan banyak lagi. Pusat Operasi Keamanan (SOC) dan tim Respons Insiden (IR) memerlukan matriks keparahan yang diterapkan untuk insiden AI guna menciptakan sistem standar yang menentukan efek aktual dan tingkat keparahan peristiwa terkait AI.

\ Alat yang dijelaskan dalam artikel ini berfungsi untuk menentukan tingkat keparahan insiden untuk distribusi sumber daya IR yang tepat. Sistem baru mengintegrasikan data numerik dengan faktor penilaian manusia dengan menggunakan metode evaluasi berbasis matriks.

\ Matriks tersebut berisi lima 'Dimensi Dampak' yang menilai efek pada Fungsionalitas AI, Integritas Data, Ketersediaan Operasi, Reputasi, dan upaya Remediasi.

\ Alat ini memungkinkan evaluasi setiap dimensi melalui sistem penilaian, yang dapat memiliki skor Rendah (1), Sedang (2), Tinggi (3), atau Kritis (4).

Faktor-faktor yang Perlu Dipertimbangkan Sebelum Deklarasi Insiden:

Penilaian awal perlu dilakukan sebelum mendeklarasikan insiden AI karena membantu menetapkan kebutuhan akan sumber daya substansial dan prosedur triase segera. Sistem AI memiliki karakteristik berbeda yang membedakannya dari semua sistem lainnya.

\ Penilaian perlu mengidentifikasi sistem AI mana yang terlibat dalam insiden dan menentukan signifikansinya terhadap keamanan operasional dan operasi bisnis. Beberapa contoh sistem adalah chatbot, model visi komputer, sistem rekomendasi, agen kustom, dll. Evaluasi dampak fungsional mengharuskan peneliti untuk menganalisis bagaimana desain operasional berubah ketika sistem AI menghadapi serangan adversarial.

\ Sistem menunjukkan berbagai tingkat malfungsi, yang mencakup masalah kinerja kecil yang mempengaruhi akurasi dan kecepatan, dan masalah besar yang mengakibatkan kerusakan sistem dan hasil yang berbahaya atau tidak adil. Beberapa masalah kinerja mungkin terkait dengan akurasi yang berkurang dan latensi yang meningkat dalam respons dari model.

\ Sistem memerlukan identifikasi dua hal menurut kerangka kerja ATLAS: sifat anomali yang terdeteksi dan apakah itu berasal dari serangan adversarial atau malfungsi sistem. MITRE ATLAS (MITRE, 2025) memungkinkan pengguna untuk mengidentifikasi teknik serangan tertentu (misalnya, Injeksi Prompt LLM, Data Pelatihan Beracun, Penolakan Layanan AI), yang menunjukkan tujuan serangan dan klasifikasi yang sesuai.

\ Penilaian mencakup verifikasi integritas data dan kerahasiaan dengan memeriksa adanya kompromi data pelatihan atau validasi dan informasi sensitif (PII, PHI, IP model kepemilikan) dan eksfiltrasi. Proses evaluasi harus menentukan seberapa besar output sistem AI mempengaruhi elemen layanan bisnis operasional dan sistemik yang bergantung pada hasilnya. Penentuan harus dibuat tentang tingkat bahaya fisik serta kerugian finansial bagi bisnis.

Menghitung Keparahan Insiden yang Dideklarasikan

Evaluasi insiden yang dideklarasikan membutuhkan metode standar untuk menetapkan prosedur respons yang sesuai. Penilaian keparahan insiden memerlukan baik titik data numerik maupun penilaian manusia melalui sistem berbasis matriks untuk mencapai evaluasi yang akurat. Tingkat keparahan insiden mencapai nilai maksimumnya dari kategori dampak yang relevan, yang memungkinkan elemen parah meningkatkan seluruh insiden ke status prioritas yang lebih tinggi.

Sistem penilaian untuk setiap dimensi yang relevan (A-E) berjalan dari 1 hingga 4 untuk menentukan keparahan insiden bagi organisasi. Peringkat keparahan insiden menjadi skor maksimum dari semua dimensi yang dievaluasi, yang menentukan tingkat keparahan lengkap. Insiden dapat mencapai status 'Kritis' jika skor Dampak Fungsional adalah '2', tetapi Dampak Data mencapai '4' sementara dimensi lain berkisar dari '1' hingga '2'. Proses evaluasi terstruktur memungkinkan organisasi mendapatkan hasil standar sambil mempercepat proses evaluasi.

\ Organisasi perlu memilih antara menerapkan kerangka kerja ini apa adanya atau membuat versi mereka sendiri yang sesuai dengan sistem perhitungan yang ada untuk menetapkan tingkat keparahan Insiden AI.

Prioritaskan Risiko Berdasarkan Keparahan Insiden AI:

Perhitungan tingkat keparahan membantu tim respons insiden memutuskan risiko mana yang memerlukan perhatian segera saat merencanakan respons dan mengalokasikan sumber daya. Respons terhadap insiden parah menuntut pengerahan segera tim khusus yang terdiri dari pakar Keamanan Siber, Insinyur AI/ML, Ilmuwan Data, profesional Hukum, dan perwakilan PR. Respons terhadap insiden dengan tingkat keparahan lebih rendah membutuhkan lebih sedikit personel untuk mengelolanya.

\ Insiden kritis memerlukan pemberitahuan segera kepada eksekutif dan anggota dewan, tim hukum, badan pengatur, dan pemangku kepentingan publik, tetapi insiden dengan keparahan rendah hanya boleh menerima pembagian informasi internal yang terbatas. Penonaktifan sistem, bersama dengan pemutusan API, berfungsi sebagai mekanisme pertahanan pertama yang menghentikan penyebaran insiden dengan keparahan tinggi. Proses penahanan untuk insiden dengan keparahan lebih rendah perlu menghentikan gangguan operasional besar yang mungkin terjadi.