Kenapa “AI ISSB breach disclosure playbook” jadi kebutuhan sekarang?

Insiden keamanan siber tidak lagi sekadar masalah teknis. Ia berdampak pada operasional, reputasi, keuangan, dan semakin sering dikaitkan dengan tata kelola, manajemen risiko, dan kewajiban pengungkapan. Di sisi lain, International Sustainability Standards Board (ISSB) melalui standar IFRS S1/S2 mendorong organisasi untuk menyajikan informasi material terkait risiko dan peluang—termasuk yang berhubungan dengan ketahanan operasional dan pengelolaan risiko.

Di titik ini, organisasi menghadapi tantangan ganda: (1) menanggapi insiden dengan cepat dan benar, dan (2) menyiapkan narasi pengungkapan yang konsisten, dapat diaudit, dan selaras dengan kerangka pelaporan. AI dapat membantu mempercepat proses ini, tetapi hanya aman bila digunakan dengan kontrol yang tepat agar tidak menambah risiko (misalnya kebocoran data, “hallucination”, atau pernyataan publik yang tidak akurat).

Artikel ini menyajikan playbook defensif untuk breach disclosure yang memadukan praktik incident response dengan pendekatan pelaporan risiko ala ISSB. Ini bukan panduan “cara menyerang”, melainkan cara mengelola insiden dan komunikasinya secara aman, terukur, dan dapat dipertanggungjawabkan.

ISSB dalam konteks insiden siber: apa relevansinya?

ISSB menekankan kualitas pengungkapan: relevansi, representasi setia, komparabilitas, dan keterverifikasian. Untuk risiko siber, implikasinya adalah organisasi perlu dapat menjelaskan secara konsisten:

  • Governance: siapa yang mengawasi risiko siber, bagaimana eskalasi, dan bagaimana keputusan disclosure dibuat.
  • Strategy: dampak risiko siber pada model bisnis, operasi, dan ketahanan.
  • Risk management: proses identifikasi, penilaian, mitigasi, dan pemantauan risiko siber.
  • Metrics & targets: metrik yang dipakai (misalnya waktu deteksi, waktu pemulihan, cakupan kontrol) dan target peningkatan.

Playbook disclosure yang matang membantu memastikan narasi insiden tidak berdiri sendiri, tetapi terhubung dengan kerangka governance dan risk management yang dapat ditunjukkan kembali saat audit, due diligence, atau komunikasi investor.

Prinsip dasar: disclosure yang cepat boleh, disclosure yang spekulatif jangan

Tekanan untuk segera “mengumumkan” sering membuat tim melompati tahap verifikasi. Padahal pernyataan publik yang keliru bisa memicu konsekuensi hukum, kebingungan pelanggan, serta merusak kredibilitas. Karena itu, pegang tiga prinsip berikut:

  • Truth over speed: cepat itu penting, tetapi akurasi dan batasan yang jelas lebih penting.
  • Minimum necessary disclosure: ungkapkan hal yang diperlukan dan material; hindari detail yang tidak perlu, terutama yang dapat meningkatkan risiko lanjutan.
  • Single source of truth: semua kanal (PR, customer support, regulator, investor relations) harus merujuk pada fakta dan timeline yang sama.

AI membantu merapikan informasi dan menyusun draft, namun keputusan akhir tetap harus melalui kontrol manusia dan persetujuan lintas fungsi.

AI-enabled Breach Disclosure Playbook (selaras ISSB): 8 fase operasional

1) Persiapan: bentuk “Disclosure Readiness” sebelum insiden terjadi

Fase ini menentukan seberapa baik organisasi menghindari kekacauan saat insiden. Minimal, siapkan:

  • RACI untuk keputusan disclosure (Security, Legal, PR/Comms, DPO/Privacy, Risk/ESG, serta pimpinan).
  • Playbook template untuk pernyataan awal, pembaruan berkala, FAQ pelanggan, dan talking points internal.
  • Data classification & retention agar tim tahu data apa yang boleh keluar dari lingkungan forensik.
  • AI usage policy: jenis data yang dilarang dimasukkan ke model, model yang disetujui, logging, dan kontrol akses.

Praktik baik: gunakan AI internal/enterprise (dengan kontrol data) untuk membantu penulisan, bukan AI publik yang tidak jelas kebijakan retensinya.

2) Deteksi & triase: tegakkan “fakta awal” yang bisa dipertanggungjawabkan

Di awal insiden, fokus pada tiga hal: apa yang terjadi, apa dampaknya, dan apa yang sedang dilakukan. Kumpulkan artefak terverifikasi dari SOC/IR (alert, log, tiket, indikator), lalu buat ringkasan “fakta awal” yang diberi label:

  • Confirmed: sudah diverifikasi.
  • Likely: indikasi kuat, perlu pembuktian.
  • Unknown: belum ada data.

AI dapat membantu mengkonsolidasikan laporan teknis menjadi ringkasan eksekutif, tetapi inputnya harus disanitasi (hilangkan data sensitif, token, atau detail yang tidak perlu).

3) Materiality & kewajiban pelaporan: satukan Security + Legal + ESG

Di sinilah keselarasan dengan ISSB terlihat. Tim perlu menilai apakah insiden berpotensi material terhadap operasi/keuangan/kepercayaan, serta kewajiban notifikasi regulator/otoritas privasi/mitra. Buat matriks penilaian yang konsisten, misalnya:

  • Skala dampak: layanan kritikal terdampak, downtime, biaya pemulihan, potensi denda.
  • Cakupan data: jenis data, jumlah subjek data, sensitivitas.
  • Risiko lanjutan: fraud, penyalahgunaan identitas, gangguan supply chain.
  • Eksposur kontraktual: kewajiban notifikasi ke pelanggan enterprise/mitra.

AI dapat membantu memetakan fakta terhadap checklist kebijakan internal, namun keputusan materialitas tetap keputusan organisasi yang harus dapat dijelaskan.

4) Narrative control: satu timeline, banyak audiens

Siapkan satu timeline inti yang menjadi sumber semua komunikasi. Dari timeline tersebut, turunkan versi untuk audiens berbeda:

  • Regulator/otoritas: lebih formal, fokus kewajiban dan langkah mitigasi.
  • Pelanggan/publik: jelas, empatik, actionable (apa yang harus dilakukan pengguna).
  • Investor/board: ringkas, fokus dampak material, kontrol, dan rencana pemulihan.

AI sangat efektif untuk menghasilkan variasi bahasa, tetapi harus dijaga agar semua versi konsisten (tanggal, ruang lingkup, status investigasi). Terapkan review berlapis: Security memastikan fakta, Legal memastikan kepatuhan, PR memastikan tone.

5) Draft disclosure dengan AI: aman, terbatas, dan dapat diaudit

Gunakan AI sebagai “asisten editorial”, bukan sumber kebenaran. Praktik defensif yang disarankan:

  • Prompt berbasis fakta: masukkan poin-poin confirmed saja, dan minta AI menulis dengan frasa kehati-hatian untuk hal yang masih diselidiki.
  • Redaction dulu: hapus IP, hostname, detail konfigurasi, atau data personal.
  • Traceability: simpan versi draft, siapa menyetujui, perubahan apa, dan rujukan ke tiket IR.
  • Guardrails: larang AI membuat asumsi (misalnya “data pasti bocor”) jika belum confirmed.

Output AI harus diuji dengan pertanyaan sederhana: “Jika kalimat ini dikutip di sidang/audit, apakah kita bisa membuktikannya?” Jika tidak, revisi.

6) Konten yang “ISSB-friendly”: kaitkan insiden dengan governance & risk management

Tanpa membuka detail sensitif, disclosure yang matang menjelaskan bagaimana organisasi mengelola risiko. Elemen yang umumnya aman dan berguna:

  • Governance: ada pengawasan manajemen/komite risiko; eskalasi berjalan; keputusan berdasarkan proses.
  • Risk management: investigasi forensik, isolasi sistem, reset kredensial, monitoring lanjutan, dan hardening terukur.
  • Perbaikan berkelanjutan: review pasca insiden, peningkatan kontrol, dan timeline implementasi.

Ini membuat pengungkapan tidak hanya “apa yang terjadi”, tetapi juga “bagaimana organisasi mengelola dan belajar”—sejalan dengan ekspektasi pelaporan risiko yang lebih luas.

7) Komunikasi berkelanjutan: pembaruan berkala tanpa kontradiksi

Insiden jarang selesai dalam satu pengumuman. Buat ritme pembaruan (misalnya setiap 24–72 jam atau ketika ada temuan material). Gunakan AI untuk:

  • Merangkum perkembangan teknis menjadi bullet points yang mudah dipahami.
  • Menyusun FAQ yang meminimalkan beban customer support.
  • Mengecek konsistensi antar versi (tanggal, jumlah sistem terdampak, status pemulihan).

Namun tetap terapkan “no speculation policy”: jika belum tahu, katakan masih diselidiki dan jelaskan langkah yang sedang dilakukan.

8) Post-incident & pelaporan tahunan: integrasikan pelajaran ke kerangka ISSB

Setelah insiden, lakukan post-incident review yang menghasilkan artefak untuk audit dan pelaporan: akar penyebab tingkat tinggi, kontrol yang diperbaiki, metrik respons (MTTD/MTTR), dan rencana peningkatan. Dari sini, organisasi dapat memperkuat bagian governance/risk management dalam laporan tahunan atau laporan keberlanjutan, tanpa menambah risiko keamanan.

AI dapat membantu menyusun ringkasan eksekutif post-mortem dan memetakan rekomendasi ke program kontrol (misalnya peningkatan deteksi, segmentasi, backup, pelatihan). Pastikan semua klaim dapat dibuktikan dengan evidence.

Checklist ringkas: sebelum menekan tombol “publish”

  • Konsistensi: timeline dan istilah seragam di semua kanal.
  • Akurasi: hanya “confirmed” yang dinyatakan sebagai fakta.
  • Legal/privacy: sudah ditinjau kewajiban notifikasi dan dampak data pribadi.
  • Keamanan: tidak ada detail teknis yang memudahkan penyalahgunaan atau memperluas dampak.
  • Empati & aksi: pengguna diberi langkah konkret (misalnya reset password, waspada phishing) tanpa menakut-nakuti.
  • Audit trail: ada catatan persetujuan dan versi dokumen.

Kesalahan umum saat memakai AI untuk breach disclosure (dan cara menghindarinya)

  • Hallucination: AI menambahkan detail yang tidak ada. Solusi: batasi input pada fakta, minta AI menulis “berdasarkan poin berikut saja”, dan lakukan fact-check ketat.
  • Data leakage: memasukkan log mentah atau data personal ke layanan AI yang tidak terkontrol. Solusi: redaction, gunakan lingkungan enterprise, dan terapkan kontrol akses.
  • Over-disclosure: terlalu detail menjelaskan vektor serangan atau kelemahan. Solusi: fokus pada dampak dan mitigasi, bukan teknik.
  • Inconsistent updates: pembaruan bertentangan dengan pengumuman awal. Solusi: single source of truth dan pemeriksaan konsistensi.

FAQ

Apa yang dimaksud “ISSB-friendly breach disclosure”?

Ini adalah pengungkapan insiden yang tidak hanya menjelaskan kejadian, tetapi juga mengaitkannya dengan governance, strategi, dan manajemen risiko secara konsisten. Tujuannya agar pemangku kepentingan memahami bagaimana organisasi mengelola risiko siber sebagai bagian dari ketahanan bisnis, sejalan dengan ekspektasi pelaporan risiko ala ISSB.

Apakah aman memakai AI untuk menulis pernyataan publik terkait insiden?

Aman jika AI dipakai sebagai asisten penulisan dengan kontrol yang ketat: data disanitasi, model/lingkungan disetujui (enterprise), ada fact-check oleh Security dan Legal, serta ada audit trail. AI tidak boleh menjadi sumber kebenaran atau pengambil keputusan materialitas.

Informasi apa yang sebaiknya tidak dimasukkan ke prompt AI?

Hindari data sensitif seperti data pribadi, kredensial, token, potongan log mentah yang mengandung identifier, detail konfigurasi keamanan, serta detail teknis yang dapat meningkatkan risiko lanjutan. Gunakan ringkasan terverifikasi dan sudah di-redact.

Bagaimana menyeimbangkan transparansi dan keamanan saat disclosure?

Transparan berarti jujur tentang status investigasi, dampak yang diketahui, dan langkah mitigasi yang diambil. Aman berarti tidak membeberkan detail yang dapat disalahgunakan. Praktiknya: ungkapkan apa yang material bagi pengguna dan bisnis, berikan tindakan yang bisa dilakukan pengguna, dan simpan detail teknis sensitif untuk kanal yang tepat (misalnya koordinasi tertutup dengan pihak terkait).

Kapan organisasi perlu memperbarui disclosure?

Perbarui ketika ada informasi baru yang material (misalnya perubahan ruang lingkup dampak, konfirmasi data terdampak, atau pemulihan layanan), atau sesuai jadwal pembaruan yang telah ditetapkan untuk menjaga kepercayaan publik. Pastikan setiap pembaruan konsisten dengan timeline inti dan melalui review lintas fungsi.

Penutup

“AI ISSB breach disclosure playbook” bukan tentang membuat pengumuman lebih cepat semata, tetapi tentang membuat pengungkapan yang akurat, terkendali, dan selaras dengan tata kelola risiko. Dengan memadukan disiplin incident response, kontrol penggunaan AI, serta struktur pelaporan yang konsisten dengan kerangka ISSB, organisasi bisa merespons insiden dengan lebih tenang—tanpa mengorbankan keamanan, kepatuhan, maupun kepercayaan pemangku kepentingan.

AIbreach disclosureComplianceCybersecurityESG reportingGovernanceIFRS S1incident responseISSBRisk Management
By