Shadow IT vs Shadow AI, Dua Ancaman Tersembunyi di Era Digital

Shadow IT vs Shadow AI, kedua fenomena ini mewakili penggunaan teknologi tanpa izin resmi di lingkungan perusahaan, namun dengan karakteristik dan tingkat risiko yang sangat berbeda. Shadow IT telah lama menjadi momok bagi departemen teknologi informasi, sementara Shadow AI muncul sebagai evolusi yang lebih berbahaya seiring pesatnya adopsi kecerdasan buatan (AI) seperti ChatGPT, Claude, atau Gemini tanpa pengawasan di tempat kerja.

Mengenal Konsep Shadow IT

Shadow IT mencakup segala bentuk teknologi—baik perangkat keras, perangkat lunak, maupun layanan berbasis cloud—yang digunakan karyawan tanpa persetujuan atau sepengetahuan departemen TI. Penting kamu pahami, fenomena ini jarang lahir dari niat jahat. Sebaliknya, Shadow IT muncul karena karyawan ingin bekerja lebih cepat, solusi resmi dianggap terlalu rumit, atau proses pengadaan teknologi perusahaan berbelit-belit.

Bentuk-Bentuk Shadow IT di Lingkungan Kerja

Shadow IT tidak melulu soal menginstal aplikasi ilegal. Cakupannya sangat luas dan sering kali tidak kamu sadari. Berikut beberapa contoh nyata yang mungkin terjadi di kantormu:

1. Shadow Applications (Aplikasi Bayangan)
   Kamu mungkin menggunakan aplikasi manajemen proyek tertentu karena fiturnya lebih lengkap daripada aplikasi resmi perusahaan. Atau, tim keuangan menggunakan alat pelaporan khusus karena platform BI perusahaan butuh waktu berminggu-minggu untuk dikonfigurasi . Contoh lainnya, tim sales menggunakan layanan file-sharing pribadi untuk menghindari prosedur approval yang panjang.
2. Shadow Devices (Perangkat Bayangan)
   Pernah menghubungkan laptop pribadi ke Wi-Fi kantor untuk mengerjakan tugas? Atau menggunakan ponsel pribadi untuk membuka email perusahaan? Selamat, kamu telah menciptakan perangkat bayangan. Perangkat pribadi biasanya tidak dilengkapi enkripsi, antivirus terbaru, atau sistem autentikasi sekuat perangkat resmi, sehingga menjadi target empuk peretas.
3. Shadow Infrastructure (Infrastruktur Bayangan)
   Tim pengembang sering menjadi pelaku utama bentuk ini. Mereka mungkin membuat mesin virtual baru, menjalankan server tambahan, atau menggunakan instance cloud tanpa sepengetahuan tim TI demi mempercepat pengujian sistem. Masalahnya, infrastruktur yang tidak terdokumentasi ini sering kali tidak mengikuti standar keamanan perusahaan .

Risiko Besar di Balik Shadow IT

Setiap teknologi yang tidak terdaftar secara resmi menciptakan titik buta dalam sistem keamanan perusahaan. Tim TI tidak bisa melindungi, memperbarui, atau mengaudit sesuatu yang tidak mereka ketahui keberadaannya . Berikut risikonya:

1. Visibilitas Terbatas dan Permukaan Serangan yang Meluas
   Ketika tim keamanan tidak memiliki peta lengkap tentang perangkat dan aplikasi yang digunakan, mereka tidak bisa menerapkan perlindungan yang memadai. Akibatnya, permukaan serangan (attack surface) organisasi menjadi lebih luas. Peretas bisa masuk melalui celah yang tidak terpantau, dan aktivitas mencurigakan mungkin tidak terdeteksi hingga terjadi insiden besar.
2. Masalah Kepatuhan (Compliance)
   Perusahaan di sektor keuangan, kesehatan, atau pemerintahan harus mematuhi regulasi ketat seperti GDPR, HIPAA, atau aturan privasi lainnya. Ketika karyawan menggunakan aplikasi yang tidak memenuhi standar kepatuhan, perusahaan menghadapi risiko denda finansial yang besar. Pelanggaran GDPR, misalnya, bisa mencapai €20 juta atau 4% dari omset global tahunan.
3. Kebocoran dan Pencurian Data
   Shadow IT menjadi pintu masuk bagi serangan siber. Aplikasi yang tidak diverifikasi mungkin tidak memiliki perlindungan data yang memadai. Jika layanan tersebut diretas, informasi perusahaan—mulai dari data pelanggan hingga rahasia dagang—bisa terekspos. Data penting yang tersimpan di sistem bayangan juga sering tidak tercadangkan, sehingga jika terjadi kegagalan sistem, data bisa hilang permanen.
4. Data Silo dan Beban Teknis (Technical Debt)
   Penggunaan aplikasi berbeda di setiap tim tanpa koordinasi menyebabkan terbentuknya data silo. Data tersimpan terpisah di berbagai sistem yang tidak saling terhubung. Akibatnya, kolaborasi antar tim terhambat, pengambilan keputusan bisnis menjadi kurang efektif, dan ketika sesuatu rusak, perbaikannya menjadi krisis karena tidak ada dokumentasi yang jelas.

Mengenal Shadow AI

Seiring pesatnya perkembangan kecerdasan buatan, muncullah Shadow AI. Istilah ini merujuk pada penggunaan alat, API, atau model AI tanpa persetujuan atau pengawasan resmi dari perusahaan.

Fenomena ini mendapatkan perhatian besar sejak peluncuran publik ChatGPT pada akhir 2022. Karyawan tidak menunggu izin TI; mereka langsung menggunakan alat AI yang menawarkan kemudahan akses—cukup buka browser, daftar dengan email pribadi, dan siap digunakan. Hambatan masuknya hampir nol.

Yang membedakan Shadow AI dari Shadow IT biasa adalah kemampuan AI untuk belajar dari data. Jika aplikasi bayangan biasa hanya menyimpan data perusahaan, Shadow AI justru bisa memproses, menganalisis, dan bahkan menggunakan data tersebut untuk melatih modelnya.

Contoh Shadow AI yang Sering Terjadi

Shadow AI bisa muncul dalam berbagai bentuk, dan mungkin kamu sendiri pernah melakukannya tanpa sadar:

1. Model AI Generatif Publik
   Kamu menggunakan ChatGPT untuk membantu menulis laporan, merangkum dokumen panjang, atau mencari ide presentasi. Atau menggunakan Gemini untuk menganalisis data. Masalahnya, ketika kamu memasukkan data internal perusahaan—seperti laporan keuangan, strategi pemasaran, atau data pelanggan—ke dalam platform tersebut, data itu kini berada di luar kendali perusahaan. Banyak platform AI menyimpan input pengguna untuk melatih model mereka, sehingga data sensitifmu bisa saja muncul di respons yang diberikan kepada pengguna lain.
2. Asisten Kode Berbasis AI
   Para pengembang sering menggunakan asisten kode AI seperti GitHub Copilot untuk menulis kode lebih cepat. Namun, jika alat tersebut mengakses repositori kode sumber perusahaan, ada risiko kode proprietary (kode milik perusahaan) tersimpan di sistem pihak ketiga. Lebih berbahaya lagi, kode yang dihasilkan AI belum tentu aman atau sesuai standar keamanan perusahaan. Peneliti keamanan menemukan bahwa AI terkadang menawarkan tautan ke pustaka kode yang tidak ada atau bahkan berbahaya, membuka peluang serangan rantai pasokan.
3. Fitur AI dalam Aplikasi yang Sudah Disetujui
   Shadow AI juga bisa bersembunyi di aplikasi yang sudah kamu gunakan sehari-hari. Banyak platform SaaS modern diam-diam menambahkan fitur AI yang bisa diaktifkan dengan satu klik. Misalnya, fitur ringkasan AI di Slack atau Notion AI. Fitur-fitur ini sering menyatu dengan antarmuka sehingga sulit dideteksi oleh tim TI. Padahal, mengaktifkannya bisa menyebabkan dokumen sensitif diproses oleh model pihak ketiga tanpa sepengetahuanmu .

Risiko Spesifik Shadow AI

Shadow AI memperkuat setiap risiko yang sudah ada di Shadow IT, sekaligus memperkenalkan ancaman baru yang unik:

1. Kebocoran Data dan Kontaminasi Pelatihan (Training Contamination)
   Ketika karyawan menempelkan informasi rahasia ke dalam alat AI, mereka sering tidak sadar bahwa data tersebut mungkin digunakan untuk melatih model. Data seperti kontrak pelanggan, kode proprietary, proyeksi keuangan, dan rahasia dagang bisa berakhir memengaruhi keluaran yang ditampilkan kepada pengguna lain, termasuk pesaingmu. Studi menunjukkan skala masalah ini sangat besar: 48% karyawan mengaku pernah mengunggah data sensitif perusahaan atau pelanggan ke alat AI generatif publik, dan 44% mengakui menggunakan AI di tempat kerja melanggar kebijakan perusahaan. Bahkan, 91% alat AI yang digunakan di perusahaan sama sekali tidak terkelola.
2. Pelanggaran Regulasi dan Kepatuhan
   Shadow AI menciptakan titik buta kepatuhan yang serius. Alat AI memproses data melintasi yurisdiksi dengan cara yang mungkin melanggar persyaratan residensi data. Tanpa jejak audit yang memadai, perusahaan kesulitan membuktikan kepatuhan terhadap regulasi kepada auditor.
3. Risiko Halusinasi dan Akurasi
   Alat AI menghasilkan konten yang terdengar masuk akal tetapi bisa sepenuhnya salah—fenomena ini dikenal sebagai halusinasi AI. Ketika karyawan mengandalkan keluaran ini tanpa verifikasi, kesalahan merambat ke komunikasi pelanggan, laporan, dan keputusan strategis. Contoh nyata terjadi pada dua pengacara di New York yang mengajukan dokumen pengadilan berisi kutipan palsu hasil generasi ChatGPT, yang berujung pada sanksi publik dan denda.
4. Risiko Keamanan Siber Spesifik AI
   Model AI membawa vektor serangan baru yang tidak bisa dideteksi alat keamanan tradisional:

• Serangan injeksi prompt (Prompt Injection) : Input berbahaya yang dirancang untuk memanipulasi perilaku AI, menyebabkan model mengungkapkan informasi sensitif atau menghasilkan konten berbahaya.
• Peracunan data (Data Poisoning) : Peretas merusak data pelatihan sehingga model menghasilkan keluaran yang salah atau mengandung pintu belakang (backdoor).
• API key yang terekspos: Pengembang yang mengimplementasikan Shadow AI mungkin secara tidak sengaja mengekspos kunci API dalam kode atau file konfigurasi, menciptakan celah keamanan.

Shadow IT vs Shadow AI: Perbandingan

Meskipun Shadow AI merupakan bagian dari Shadow IT, keduanya memiliki karakteristik dan dampak yang berbeda secara fundamental. Memahami perbedaan ini penting agar kamu bisa merancang strategi penanganan yang tepat.

Aspek	Shadow IT	Shadow AI
Objek Penggunaan	Perangkat lunak, perangkat keras, layanan cloud tidak sah	Alat AI, model, API, dan fitur AI tidak sah
Mekanisme Penyebaran	Instalasi aplikasi, penggunaan perangkat pribadi	Berbasis browser, integrasi API, fitur tersembunyi di SaaS
Dampak Data	Data diproses sesuai fungsi aplikasi	Data dapat digunakan untuk melatih model, memengaruhi keluaran ke pengguna lain
Jenis Kerentanan	CVE tradisional, miskonfigurasi	Injeksi prompt, peracunan model, ekstraksi data pelatihan
Deteksi	Pemantauan jaringan, inventaris SaaS	Memerlukan alat sadar AI dengan kemampuan pemindaian model
Jejak Audit	Umumnya tersedia di aplikasi enterprise	Sebagian besar alat konsumen tidak memiliki log audit

Intinya: Shadow IT adalah masalah aplikasi tidak sah, sementara Shadow AI adalah masalah kecerdasan buatan yang tidak terkelola—dan yang terakhir ini jauh lebih sulit dikendalikan karena sifatnya yang dinamis dan kemampuannya belajar dari data .

Strategi Mengatasi Shadow IT dan Shadow AI

Melarang total penggunaan teknologi tidak sah bukanlah solusi. Pendekatan ini hanya akan mendorong karyawan bertindak lebih sembunyi-sembunyi. Sebaliknya, perusahaan perlu pendekatan strategis yang menyeimbangkan antara inovasi dan keamanan .

1. Kontrol Dasar untuk Semua Teknologi Tidak Sah

• Tingkatkan Edukasi Karyawan
  Banyak karyawan tidak menyadari bahwa tindakan sederhana seperti mengunggah dokumen ke platform AI dapat membahayakan perusahaan. Lakukan pelatihan rutin dengan contoh kasus nyata, seperti insiden kebocoran data Samsung atau denda akibat pelanggaran GDPR. Ketika karyawan memahami mengapa suatu kebijakan ada, mereka cenderung lebih patuh.
• Terapkan Alat Pemantauan Jaringan
  Gunakan Cloud Access Security Brokers (CASB) seperti Netskope atau Zscaler untuk mengidentifikasi aplikasi tidak sah yang mengakses data perusahaan. Alat ini memantau lalu lintas jaringan dan menandai penggunaan SaaS bayangan secara real-time.
• Sediakan Alternatif Resmi yang Praktis
  Salah satu penyebab utama Shadow IT adalah karyawan merasa alat resmi kurang memadai. Sediakan platform kolaborasi resmi, layanan penyimpanan cloud yang aman namun mudah digunakan, atau alat AI internal yang telah diaudit. Jika karyawan punya akses ke alat sama praktisnya dengan aplikasi publik, mereka tidak perlu mencari solusi bayangan.
• Terapkan Kebijakan yang Jelas dan Proses Cepat
  Buat kebijakan penggunaan teknologi yang mudah dipahami. Jelaskan aplikasi apa saja yang diperbolehkan, prosedur pengajuan alat baru, dan tanggung jawab setiap pengguna. Pastikan proses persetujuan cepat dan transparan—jika terlalu berbelit, karyawan akan kembali menggunakan jalur bayangan.

2. Kontrol Spesifik untuk Shadow AI

• Pantau Penggunaan AI
  Gunakan DNS filtering dan alat deteksi endpoint untuk mengidentifikasi lalu lintas ke ChatGPT, Claude, Gemini, dan layanan AI konsumen lainnya. Ini memberi visibilitas awal tentang alat AI apa yang digunakan karyawan.
• Terapkan Kebijakan Data Loss Prevention (DLP)
  Konfigurasi aturan DLP untuk memblokir atau memberi peringatan ketika karyawan mencoba menempelkan data sensitif—seperti catatan pelanggan, kode sumber, atau informasi keuangan—ke dalam alat AI berbasis browser.
• Sediakan Toolkit AI yang Disetujui
  Alih-alih melarang AI, sediakan platform AI enterprise dengan kontrol keamanan bawaan. Opsi seperti Microsoft Copilot untuk Microsoft 365, Google Gemini untuk Workspace, atau deployment LLM kustom memberikan kemampuan AI kepada karyawan tanpa risiko kebocoran data .
• Gunakan Data Lineage untuk Kontrol Eksposur
  Alih-alih memblokir semua model, kendalikan datanya. Alat seperti Cyberhaven melacak data lineage secara real-time, menunjukkan persis kapan karyawan menyalin informasi sensitif ke dalam prompt AI. Ini memungkinkanmu menghentikan tindakan berisiko spesifik (misalnya, menempelkan kode sumber) tanpa memblokir alat sepenuhnya untuk penggunaan aman.
• Lakukan Audit Logging untuk AI
  Terapkan solusi AI enterprise yang mencatat setiap prompt dan respons. Ini menciptakan jejak audit untuk tinjauan kepatuhan dan memungkinkan tim keamanan menyelidiki insiden ketika data sensitif terekspos.

3. Pendekatan Kolaboratif dan Budaya Terbuka

• Bangun Komunikasi Terbuka Antara TI dan Unit Bisnis
  Tim TI seharusnya tidak hanya berperan sebagai pengawas, tetapi juga mitra yang membantu karyawan menemukan solusi terbaik. Gantilah ketakutan dengan keterbukaan. Dorong tim untuk berbagi alat AI apa yang membantu mereka bekerja lebih baik. Ketika komunikasi terbuka, Shadow AI muncul lebih awal, memungkinkan tim TI membimbing karyawan menuju alternatif yang aman.
• Fokus pada Membangun Ketahanan, Bukan Sekadar Pembatasan
  Alih-alih berusaha menghilangkan semua risiko, fokuslah meminimalkan kerusakan ketika sesuatu berjalan salah. Bangun ketahanan, bukan sekadar pembatasan. Pendekatan ini lebih realistis dan efektif di era di inovasi bergerak sangat cepat.
• Jadikan Shadow IT sebagai “Detak Jantung” Kebutuhan Karyawan
  Beberapa pemimpin TI mulai melihat Shadow IT secara berbeda. Alih-alih mematikannya, organisasi yang berpikiran maju mengidentifikasi apa yang berhasil, menilai risikonya, dan memperbesar alat terbaik. Shadow IT bisa menjadi “detak jantung” yang menunjukkan di mana sistem internal perusahaan masih kurang.

Fakta dan Statistik yang Perlu Kamu Ketahui

• 320+ aplikasi AI tidak sah digunakan per perusahaan enterprise, dengan lalu lintas aplikasi AI melonjak 200% tahun lalu .
• 11% file yang diunggah ke AI mengandung data perusahaan sensitif .
• 18% karyawan menempelkan data ke alat GenAI, dengan 50% di antaranya adalah informasi perusahaan .
• 20% pengguna enterprise telah memasang ekstensi browser GenAI, dan 58% ekstensi ini memiliki izin tinggi atau kritis—5,6% di antaranya berbahaya dan mampu mencuri data .
• Hanya 48% pengembang yang menggunakan alat AI yang disetujui TI—sisanya menggunakan AI dalam bayangan .
• 1 dari 5 perusahaan di Inggris mengalami kehilangan data akibat penggunaan GenAI oleh karyawan .
• 38% karyawan mengaku membagikan informasi kerja sensitif dengan alat AI tanpa izin atasan.

Kesimpulan

Shadow IT vs Shadow AI bukanlah musuh yang harus dilawan habis-habisan. Keduanya adalah konsekuensi alami dari era di mana teknologi bergerak lebih cepat dari kemampuan perusahaan untuk mengaturnya.

Pendekatan terbaik bukanlah membangun tembok yang lebih tinggi, melainkan membangun jembatan. Jembatan antara kebutuhan karyawan akan kecepatan dan tanggung jawab perusahaan akan keamanan. Antara inovasi liar yang lahir dari kreativitas tim dan tata kelola yang melindungi aset berharga.

Ketika kamu memahami mengapa rekan kerja menggunakan aplikasi bayangan, kamu akan menemukan celah dalam sistem resmi yang perlu diperbaiki. Ketika kamu membuka komunikasi tentang penggunaan AI, kamu mengubah ancaman tersembunyi menjadi inovasi yang terkelola.

Ingatlah: Di era di setiap karyawan bisa menjadi pengembang dengan bantuan AI, tembok pemisah antara TI dan unit bisnis harus runtuh. Yang tersisa hanyalah kemitraan untuk menciptakan lingkungan kerja yang aman, inovatif, dan produktif.

Baca juga:

• Cara Kerja, Manfaat, dan 5 Fungsi Load Balancing
• Apa itu SSD (Solid State Drive)? Fungsi, Kelebihan, Kekurangan
• 10 Kekurangan dan Kelebihan Mail Server
• 10 Manfaat Cyber Security
• 15+ Jenis-Jenis Malware yang Wajib di Ketahui

Referensi

1. Chin, T., Li, Q., Mirone, F., & Papa, A. (2025). Conflicting impacts of shadow AI usage on knowledge leakage in metaverse-based business models: a Yin-Yang paradox framing. Technology in Society, 81, 102793.
2. Silic, M., Silic, D., & Kind‐Trüller, K. (2025). From shadow it to shadow AI–threats, risks and opportunities for organizations. Strategic Change.
3. Puthal, D., Mishra, A. K., Mohanty, S. P., Longo, A., & Yeun, C. Y. (2025). Shadow AI: Cyber security implications, opportunities and challenges in the unseen frontier. SN Computer Science, 6(5), 405.
4. Orr, S. G., Bonyadi, C. J., Golaszewski, E., Sherman, A. T., Peterson, P. A., Forno, R., … & Rodriguez, J. (2024). Shadow IT in higher education: survey and case study for cybersecurity. Cryptologia, 48(1), 26-90.
5. IBM. (2024). Hidden Risk of Shadow Data and Shadow AI Leads to Higher Breach Costs. Tersedia di: https://www.ibm.com/think/insights/hidden-risk-shadow-data-ai-higher-costs 

Pertanyaan yang Sering Diajukan (FAQ)

1. Apa perbedaan utama antara Shadow IT dan Shadow AI?

Shadow IT adalah penggunaan teknologi, perangkat lunak, atau layanan cloud apa pun tanpa izin resmi TI. Shadow AI secara spesifik merujuk pada penggunaan alat, model, atau API kecerdasan buatan (AI) tanpa pengawasan. Perbedaan utamanya terletak pada objek dan dampaknya: Shadow AI melibatkan teknologi yang bisa belajar dari data dan menghasilkan konten baru, sehingga risiko kebocoran data jauh lebih tinggi.

2. Bagaimana cara perusahaan mendeteksi penggunaan Shadow AI di lingkungannya?

Perusahaan dapat mendeteksi Shadow AI melalui beberapa cara: memantau lalu lintas jaringan ke domain AI publik, menggunakan Cloud Access Security Brokers (CASB) untuk mengidentifikasi aplikasi SaaS tidak sah, memeriksa izin OAuth yang diberikan ke aplikasi AI, menerapkan alat Data Loss Prevention (DLP) yang bisa mendeteksi data dikirim ke platform AI, dan melakukan survei anonim untuk memahami alat apa yang digunakan karyawan.

3. Apakah menggunakan ChatGPT di kantor selalu dianggap Shadow AI?

Tidak selalu. Penggunaan ChatGPT disebut Shadow AI jika kamu menggunakan versi publik/gratis tanpa persetujuan TI, atau memasukkan data sensitif perusahaan ke dalamnya. Namun, jika perusahaan sudah meninjau, menyetujui, dan memasang mekanisme pengamanan (misalnya ChatGPT Enterprise dengan kontrol keamanan bawaan), maka penggunaannya tergolong Sanctioned AI atau AI yang disetujui.

4. Industri apa yang paling terdampak oleh Shadow IT dan Shadow AI?

Sektor yang paling terdampak adalah industri dengan regulasi ketat seperti keuangan, perawatan kesehatan, dan pemerintahan. Sektor ini memiliki aturan ketat tentang penanganan data (HIPAA, GDPR, PCI DSS). Alat SaaS tersembunyi atau adopsi AI tidak terpantau dapat langsung memicu pelanggaran kepatuhan yang berujung pada denda besar dan sanksi hukum .

5. Apakah melarang semua alat AI tidak sah adalah solusi terbaik?

Tidak. Larangan total justru kontraproduktif dan hanya mendorong penggunaan yang lebih tersembunyi. Pendekatan yang lebih baik adalah menyediakan alternatif resmi yang aman namun sama praktisnya dengan aplikasi publik, membuat proses persetujuan yang cepat dan transparan, serta mendidik karyawan tentang risiko keamanan. Dengan cara ini, kamu bisa memanfaatkan inovasi AI tanpa mengorbankan keamanan.