Ketika Kebijakan Bertemu Perilaku Manusia
Seorang kontraktor pemerintah di bawah tekanan waktu untuk memproses aplikasi bantuan banjir FEMA menempel nama, alamat, detail kontak, dan data kesehatan pelamar bencana ke ChatGPT untuk memproses informasi lebih cepat. Niatnya tidak jahat—itu adalah keputusan produktivitas yang dibuat di bawah tekanan. Hasilnya adalah penyelidikan pemerintah, pengungkapan publik, dan insiden yang terdokumentasi yang mengilustrasikan mode kegagalan inti tata kelola AI berbasis kebijakan saja.
77% karyawan perusahaan berbagi informasi kerja sensitif dengan alat AI setidaknya setiap minggu meskipun kebijakannya melarang (eSecurity Planet/Cyberhaven 2025). Angka 77% mencerminkan bukan tenaga kerja pelanggaran kebijakan tetapi realitas bagaimana alat AI telah diadopsi: sebagai alat produktivitas yang pekerja raih secara refleksif ketika menghadapi tekanan waktu, tugas berulang, atau persyaratan analisis kompleks.
Analisis Q4 2025 Cyberhaven menemukan bahwa 34,8% semua input ChatGPT berisi data bisnis rahasia. Angka ini mencakup karyawan yang menyadari kebijakan penggunaan AI dan tidak bermaksud melanggarnya—mereka hanya tidak mengkategorikan data yang mereka tempel sebagai "rahasia" pada saat penempelan.
Masalah Kepatuhan Kebijakan
Kebijakan penggunaan AI menghadapi kesenjangan penegakan yang inheren. Tidak seperti kebijakan kontrol akses (yang dapat ditegakkan secara teknis melalui otentikasi) atau kebijakan klasifikasi data (yang dapat ditegakkan melalui DLP di lapisan email/penyimpanan), kebijakan penggunaan AI bergantung pada penilaian manusia pada saat memasukkan data.
Saat ketika karyawan memutuskan untuk menempel data pelanggan ke ChatGPT adalah keputusan perilaku split-second. Karyawan mungkin tidak mengingat kebijakan, mungkin telah menghitung bahwa keuntungan efisiensi mengatasi risiko yang dirasakan, atau mungkin benar-benar tidak mengenali data sebagai tercakup oleh kebijakan. Pelatihan kebijakan mengurangi frekuensi keputusan ini tetapi tidak dapat menghilangkannya dalam skala.
Insiden FEMA mendemonstrasikan arketipe: kontraktor menghadapi volume besar aplikasi, tenggat waktu, dan akses ke alat perangkuman yang kuat. Kepatuhan kebijakan memerlukan memilih pemrosesan manual atas bantuan AI. Di bawah tekanan waktu, alat menang.
Kontrol Teknis di Lapisan Aplikasi
Satu-satunya pendekatan tata kelola yang mengatasi mode kegagalan ini beroperasi pada lapisan teknis daripada lapisan kebijakan. Ekstensi Chrome mencegat konten papan klip sebelum mencapai antarmuka AI berbasis web apa pun—ChatGPT, Gemini, Claude.ai, Perplexity, atau lainnya. Pencegatan otomatis; itu tidak bergantung pada pengguna mengingat untuk menerapkan kebijakan.
Ketika kontraktor FEMA menyalin nama dan alamat pelamar dari sistem manajemen kasus dan menempel ke ChatGPT, ekstensi mendeteksi PII dalam konten papan klip, menganonimkannya, dan menyerahkan versi yang dianonimkan. Kontraktor melihat modal pratinjau menunjukkan apa yang akan diganti sebelum pengajuan. AI menerima data de-identified dan masih dapat melakukan tugas perangkuman. Nama, alamat, dan data kesehatan pelamar tidak pernah mencapai server ChatGPT.
Untuk organisasi yang kekhawatiran tata kelola AI berpusat pada alat coding (Cursor, GitHub Copilot), MCP Server menyediakan kontrol yang setara di lapisan aplikasi. Kode yang ditempel ke konteks model AI dicegat, kredensial dan pengidentifikasi proprietary diganti dengan token, dan AI menerima versi yang dianonimkan. Kedua saluran—AI berbasis browser dan AI berbasis IDE—dapat dilindungi melalui kontrol teknis yang beroperasi secara independen dari perilaku pengguna.
Skenario kontraktor FEMA akan memiliki hasil yang berbeda dengan kontrol teknis yang sudah ada. Kontraktor dapat memproses aplikasi secara efisien; data pelamar tidak akan pernah mencapai ChatGPT; penyelidikan tidak akan dipicu. Pelatihan kebijakan tidak mencegah insiden. Lapisan pencegatan teknis akan memiliki.
Sumber: