CrowdStrike resmi bergabung dengan Federated Identity Working Group (FIWG) dan OpenID Foundation — dua konsorsium global yang merancang standar identitas digital untuk entitas non-manusia, termasuk AI agent, layanan otomatis, dan sistem mikroservis. Langkah ini tidak hanya perluasan portofolio teknis, tapi juga pengakuan eksplisit bahwa ancaman keamanan siber kini berpindah dari akun manusia ke entitas yang beroperasi tanpa intervensi manusia sama sekali.
Apa yang Berubah di Balik Sistem Akses Tradisional?
Sistem manajemen identitas dan akses (IAM) generasi lalu dirancang untuk manusia: username, password, MFA, dan approval workflow berbasis orang. Tapi menurut TechInAsia, jumlah AI agent dalam infrastruktur perusahaan global telah naik signifikan sejak awal 2023 — tidak lagi sebagai eksperimen laboratorium, melainkan sebagai komponen operasional harian di departemen keuangan, logistik, dan layanan pelanggan. Satu laporan Gartner menyebut setiap perusahaan Fortune 500 rata-rata menjalankan lebih dari 120 AI agent aktif pada akhir 2024, masing-masing memegang token akses ke API internal, database transaksi, bahkan sistem ERP. CrowdStrike menyadari bahwa ketika sebuah agent bisa mengirim instruksi ke server pembayaran atau mengubah konfigurasi firewall tanpa jejak manusia, maka model 'siapa yang mengakses' harus diganti dengan 'apa yang mengakses — dan mengapa'.
Ini bukan soal tambahan fitur, tapi pergantian paradigma arsitektur keamanan. Di sini, CrowdStrike tidak sekadar menambah modul deteksi, melainkan ikut menulis ulang aturan main: bagaimana sebuah agent membuktikan identitasnya, bagaimana hak aksesnya dibatasi secara dinamis, dan bagaimana audit log-nya bisa dibedakan dari aktivitas manusia. Teknologi seperti OAuth 2.1 for Machine-to-Machine dan Verifiable Credentials untuk entitas non-manusia mulai diuji coba di industri finansial Singapura dan Jepang ; dan Indonesia belum punya kerangka regulasi serupa.
Bagaimana Perusahaan Indonesia Masih Mengandalkan Sistem yang 'Buta' terhadap Agent?
Di Indonesia, mayoritas UMKM dan perusahaan menengah masih menggunakan sistem IAM berbasis Active Directory atau solusi cloud sederhana seperti Azure AD Free — yang tidak mendukung atribut khusus untuk entitas non-manusia. Dilansir TechInAsia, hanya 7% dari 214 perusahaan teknologi lokal yang diwawancarai pada kuartal I 2024 telah mengimplementasikan kebijakan eksplisit untuk AI agent. Sisanya mengandalkan 'workaround': membuat akun dummy bernama 'AI-Procurement-Bot' atau memberi hak akses penuh ke service account tanpa batas waktu. Risiko nyatanya jelas: satu kesalahan logika dalam agent pengolahan faktur bisa memicu pengiriman ulang data ke pihak ketiga tanpa persetujuan; satu bug dalam agent HR bisa menghapus seluruh daftar gaji karena salah parsing timestamp.
Yang lebih mengkhawatirkan, banyak perusahaan Indonesia justru menjadi early adopter produk AI asing — seperti agent dari ServiceNow atau Microsoft Copilot Studio . Tanpa memahami implikasi keamanan identitasnya. Mereka menginstal tanpa integrasi dengan sistem IAM lokal, sehingga agent tersebut berjalan di 'zona abu-abu': tidak terdeteksi oleh SIEM, tidak tunduk pada kebijakan rotasi kunci, dan tidak masuk dalam scope audit ISO 27001. Ini bukan kekurangan teknologi, tapi celah organisasi: tim IT fokus pada uptime, tim keamanan fokus pada endpoint, dan tim AI fokus pada akurasi model , sementara siapa yang bertanggung jawab atas identitas agent? Belum ada jawaban pasti.
Baca juga: Samsung Buka Akses ChatGPT untuk Karyawan: Sinyal Akhir Era AI Internal Monolitik
CrowdStrike tidak mengunci platformnya untuk klien internal. Sebaliknya, mereka membuka partisipasi dalam standarisasi global — sebuah langkah strategis yang menunjukkan bahwa masa depan keamanan siber bukan lagi soal 'memblokir ancaman', tapi 'mengenal entitas' secara mendalam. Di Jakarta, Bank BRI dan Telkomsel sudah mulai menguji prototipe agent verifikasi KYC berbasis zero-trust identity, namun skala implementasinya masih terbatas pada pilot project. Belum ada roadmap nasional dari BSSN atau OJK tentang identitas non-manusia.
Baca juga: Humanity Proyek Identitas Blockchain Rugi $36 Juta — Apa yang Salah dengan Biometrik Telapak Tangan?
Baca juga: STT GDC Perluas Kampus Data Jakarta: Apa Artinya untuk Ekosistem AI Lokal?
Tantangan terbesar bukan teknis, tapi budaya: perusahaan Indonesia masih mengukur keamanan dari jumlah firewall yang dipasang, bukan dari seberapa presisi sistemnya bisa membedakan antara 'agent HR yang sah' dan 'agent phishing yang menyamar'. CrowdStrike masuk ke kelompok identitas bukan untuk menjual lebih banyak lisensi, tapi untuk memastikan bahwa ketika AI mulai mengambil keputusan operasional, keputusan itu tetap bisa dilacak, diverifikasi, dan dipertanggungjawabkan — bukan hanya oleh algoritma, tapi oleh manusia.
Jika identitas manusia butuh KTP dan tanda tangan, lalu apa bukti identitas bagi sebuah agent yang berjalan 24 jam tanpa henti — dan siapa yang harus menandatangani sertifikat kepercayaannya?