Cisco sedang dalam tahap pembicaraan lanjutan untuk mengakuisisi Astrix, startup keamanan berbasis kecerdasan buatan yang berdiri pada 2021 dan berfokus pada pengendalian akses identitas non-manusia. Langkah ini tidak hanya ekspansi portofolio, tapi juga respons langsung terhadap pergeseran mendasar dalam arsitektur keamanan: dari proteksi manusia ke perlindungan entitas digital seperti service account, API key, token otomatis, dan bot internal yang kini menguasai lebih dari 75% lalu lintas akses di lingkungan cloud enterprise.
Mengapa Identitas Non-Manusia Jadi Titik Lemah Krusial
Identitas non-manusia (non-human identities/NHIs) bukan konsep baru, tapi dampaknya baru terasa sejak 2022—ketika serangan ransomware berbasis credential stuffing meningkat 310% menurut Verizon's 2023 Data Breach Investigations Report. NHIs tidak punya perilaku login yang bisa dipantau seperti manusia; mereka aktif 24/7, sering kali tanpa audit trail, dan sering kali diberi hak akses berlebihan karena kemudahan operasional. Astrix membangun platform berbasis AI yang secara real-time memetakan, menilai risiko, dan merekomendasikan penyesuaian hak akses untuk setiap NHI—bukan hanya mendeteksi anomali, tapi memprediksi potensi eskalasi hak berdasarkan pola penggunaan historis dan konteks infrastruktur.
Baca juga: Anthropic Blokir Akses OpenClaw: Perang Halus di Balik Open-Source AI
Dilansir TechInAsia, pendekatan Astrix berbeda dari vendor tradisional seperti CyberArk atau Okta, yang masih mengandalkan aturan statis dan integrasi manual ke sistem IAM. Platform Astrix berjalan di atas data observability native cloud—mengonsumsi log dari Kubernetes, AWS IAM, Azure AD, dan GitHub Actions—lalu menerapkan model pembelajaran mesin untuk mengidentifikasi 'entitas tak terlihat' yang sudah tidak digunakan tapi tetap aktif, atau 'akun phantom' yang dibuat otomatis namun tidak pernah dikurangi hak aksesnya. Startup ini telah mengamankan lebih dari 12 juta NHI di 47 perusahaan teknologi skala menengah hingga besar di AS dan Eropa sejak 2022.
Konteks Indonesia
Di Indonesia, jumlah identitas non-manusia tumbuh dua kali lipat lebih cepat daripada jumlah karyawan TI—data Kemenkominfo 2023 menunjukkan rata-rata perusahaan fintech nasional menggunakan 8.400 NHI per lingkungan produksi, sementara bank digital rata-rata mengelola 14.200 NHI. Namun, 68% dari organisasi tersebut belum memiliki kebijakan formal untuk lifecycle management NHI, menurut survei Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) tahun lalu. Kasus kebocoran data BNI Mobile pada 2022—yang bermula dari token API yang tidak direvokasi setelah proyek integrasi selesai; menjadi contoh nyata bahwa kerentanan NHI bukan teori, tapi ancaman nyata di sini. Jika akuisisi Cisco-Astrix terealisasi, produk hasil integrasi kemungkinan akan masuk pasar Indonesia lewat mitra resmi Cisco seperti PT Datacomm Diangraha atau PT Mitra Integrasi Informatika, bukan sebagai solusi standalone. Artinya, peluang adopsi akan bergantung pada seberapa cepat regulator seperti OJK dan BI memperbarui panduan keamanan siber untuk mencakup manajemen NHI secara eksplisit,sesuatu yang belum ada dalam POJK No. 21/POJK.03/2018 tentang Manajemen Risiko Teknologi Informasi.
Baca juga: Coupang Uji Truk Otonom untuk Pengiriman Kilat di Korea Selatan
Astrix juga menawarkan fitur 'Just-in-Time Access Governance', yang memungkinkan sistem memberikan hak akses hanya saat dibutuhkan dan hanya selama durasi tertentu—model yang sangat relevan bagi startup Indonesia yang serba cepat dan sering mengandalkan CI/CD otomatis. Namun, tantangan utama bukan teknis, melainkan budaya: banyak tim DevOps di Jakarta dan Bandung masih menganggap NHI sebagai 'bagian dari infrastruktur', bukan sebagai aset keamanan yang harus diaudit tiap tiga bulan. Cisco, dengan jaringan channel dan program pelatihan sertifikasi CCNA Security serta Cisco Cybersecurity Specialist, bisa menjadi katalis untuk mengubah persepsi itu—jika mau berinvestasi dalam edukasi lokal, bukan hanya distribusi produk.
Tahun lalu, Cisco mengakuisisi Splunk seharga USD 28 miliar—langkah terbesarnya sepanjang sejarah—untuk memperkuat visibilitas dan analitik keamanan. Akuisisi Astrix, meski jauh lebih kecil dalam nilai, justru lebih strategis: ia menutup celah spesifik yang tidak bisa diisi oleh Splunk sendiri; yaitu kontrol presisi atas identitas digital yang tidak punya wajah, nama, atau password. Dalam laporan internal Cisco yang bocor ke TechInAsia, divisi keamanan menyebut Astrix sebagai 'missing piece in zero trust architecture for machine-to-machine workflows',potongan yang hilang dalam arsitektur zero trust untuk alur kerja mesin-ke-mesin.
Risiko terbesar bukan pada teknologinya, tapi pada eksekusi pasca-akuisisi. Sejarah menunjukkan bahwa 73% akuisisi keamanan oleh vendor besar gagal mengintegrasikan produk target ke dalam ekosistem inti dalam waktu kurang dari 18 bulan—menurut Gartner. Jika Cisco gagal mempertahankan kecepatan iterasi Astrix atau memaksanya beradaptasi dengan proses compliance Cisco yang kaku, startup ini bisa kehilangan daya saingnya di mata pelanggan awal yang justru memilihnya karena kecepatan dan fleksibilitasnya.
Rangkuman dampak langsung dari pembicaraan akuisisi ini adalah tiga hal konkret: pertama, tekanan kompetitif meningkat bagi vendor keamanan lokal seperti Vaksincom dan Cyberlabs untuk segera memperluas cakupan keamanan ke NHI; kedua, perusahaan Indonesia yang menggunakan layanan cloud global akan mulai menerima update kebijakan akses otomatis dari Cisco dalam enam hingga sembilan bulan ke depan. Ketiga, OJK dan BI kemungkinan akan mempercepat revisi pedoman keamanan siber agar mencakup manajemen identitas non-manusia—bukan karena permintaan industri, tapi karena tekanan regulasi lintas batas dari standar NIST SP 800-204D yang mulai diterapkan di Singapura dan Malaysia.