F5: Adopsi Agentic AI Melonjak, Keamanan API Indonesia Masih Tertinggal

Ringkasan berita:

• Adopsi agentic AI di Indonesia meningkat pesat. Namun, keamanan API sebagai komponen vital dalam infrastruktur AI modern masih tertinggal. Meski 76 persen perusahaan menilai keamanan API sangat krusial, hanya sekitar 40 persen yang berada pada tahap awal tata kelola API dan banyak yang masih menghadapi risiko seperti broken authentication, SSRF, hingga keberadaan Shadow API dan Zombie API.
• Perusahaan Indonesia mulai merespons ancaman ini dengan rencana peningkatan anggaran keamanan API hingga 84 persen, namun ahli menegaskan bahwa penguatan harus dilakukan lewat tata kelola terpadu. Mulai dari menunjuk pemimpin khusus, memonitor siklus hidup API, menggunakan pemantauan berbasis AI, hingga mengadopsi standar keamanan OWASP agar API tetap aman di era agentic AI.

– Adopsi teknologi kecerdasan buatan (AI) yang bisa bekerja dan menyelesaikan suatu perintah secara otomatis, alias agentic AI di Indonesia meningkat pesat.

Namun, peningkatan ini tidak diiringi penguatan keamanan sistem penghubung antar aplikasi alias API (application programming interface) yang justru menjadi titik paling rentan dalam infrastruktur AI modern. 

Hal ini disampaikan Country Manager F5 Networks Indonesia, Surung Sinamo ketika memaparkan laporan terbaru berjudul "2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC" khusus pasar Indonesia.

Laporan yang dibuat bersama firma riset pasar Twimbit tersebut mewawancara sekitar 1.000 responden profesional dari 10 negara di Asia Pasifik, termasuk Indonesia. 

Nah, dalam laporan tersebut, Surung mengeklaim bahwa lebih dari 76 persen organisasi di Indonesia menyatakan keamanan API sebagai faktor sangat krusial bagi kelangsungan bisnis dan transformasi AI. 

Namun, hanya sekitar 40 persen perusahaan di Indonesia yang mengaku bahwa mereka masih berada di fase awal dalam tata kelola API internal. Sementara sisanya, yaitu sekitar 60 persen, mengatakan tata kelola API sudah ada di tahap matang (mature).

Angka ini, menurut Surung, cukup rendah, mengingat di era agentic AI, API bukan sekadar "jembatan data" antar aplikasi, melainkan juga sebagai pusat eksekusi otomatis yang proses dan hasilnya bisa berbeda-beda setiap detik.

KOMPAS.com/Bill Clinten Isi riset yang menampilkan bahwa adopsi AI makin diminati, namun keamanan API masih lemah dan risiko juga mengintai, ditampilkan dalam acara F5 Media Roundtable di restoran Seribu Rasa, Plaza Indonesia, Jakarta Pusat, Selasa (9/12/2025).

"Tanpa kendali ketat, API yang tidak aman dan struktur akses yang keliru pada API dapat menyebabkan tindakan digital yang tak diinginkan, dan ini bahkan bisa berdampak sistemik," ujar Surung dalam acara F5 Media Roundtable di restoran Seribu Rasa, Plaza Indonesia, Jakarta Pusat, Selasa (9/12/2025).

Di Indonesia sendiri, sekitar 51 persen perusahaan yang ada dalam laporan di atas mengaku telah memiliki tim khusus yang menangani soal keamanan API.

Namun, implementasi pengawasan API, kata Surung, masih belum konsisten di seluruh siklus pengembangannya.

"Kondisi ini memperkuat temuan bahwa kebutuhan keamanan API meningkat lebih cepat dari kemampuan organisasi untuk mengelolanya, terutama ketika AI yang dipakai semakin canggih dan lebih bersifat otonom (agentic AI)," imbuh Surung.

Risiko keamanan API paling besar di Indonesia

Ketika ada celah keamanan dalam API, maka risiko keamanan tentunya akan mengintai.

Surung menyebut risiko keamanan yang paling banyak terjadi di Indonesia adalah broken authentication, dan hal ini dialami sekitar 32 persen perusahaan di Indonesia. 

Broken authentication adalah kondisi ketika mekanisme login dan verifikasi identitas di sebuah sistem/API tidak bekerja sebagaimana mestinya, sehingga penyerang dapat masuk sebagai pengguna sah tanpa kredensial yang valid.

KOMPAS.com/Bill Clinten Country Manager F5 Networks Indonesia, Surung Sinamo dalam acara F5 Media Roundtable di restoran Seribu Rasa, Plaza Indonesia, Jakarta Pusat, Selasa (9/12/2025).

Di bawahnya, ada risiko-risiko keamanan API lainnya seperti:

• Server-Side Request Forgery (31 persen): Penyerang bisa memaksa server mengakses alamat atau sistem lain yang seharusnya tidak boleh diakses, sehingga hacker dapat mencuri data internal, memindai jaringan, atau masuk ke sistem belakang layar tanpa izin.
• Unrestricted Resource Consumption (30 persen): API tidak membatasi jumlah permintaan (request), sehingga penyerang bisa membanjiri server sampai lambat atau mati total (down)—mirip serangan DDoS tapi lewat jalur API.
• Broken Object-Level Authorization (29 persen): API tidak memvalidasi dengan benar siapa yang boleh mengakses data tertentu, sehingga pengguna biasa bisa mengakses data sensitif milik pengguna lain, termasuk profil, transaksi, atau dokumen internal.

"Celah-celah seperti ini dapat dimanfaatkan untuk mengambil alih sesi, memanipulasi fungsi, hingga memicu respons AI yang bergerak tanpa kontrol manusia," jelas Surung.

Selain risiko di atas, fenomena seperti Shadow API dan Zombie API juga bisa meningkatkan risiko keamanan. 

Zombie API adalah API yang sudah tidak digunakan tetapi tetap dibiarkan aktif, sehingga menjadi celah terbuka yang mudah dimanfaatkan peretas.

Sedangkan Shadow API adalah API yang berjalan tanpa tercatat dalam inventaris resmi atau API lama yang masih terbuka namun tidak terpakai, sehingga tidak terpantau dan tidak terlindungi oleh kontrol keamanan.

Dalam laporan F5 di atas, Surung menyebut sebanyak 41 persen organisasi di Indonesia mengaku memiliki Shadow API, dan 53 persen mengakui masih menyimpan Zombie API.

Rencana peningkatan anggaran

KOMPAS.com/Bill Clinten Keunggulan platform pengaman API F5 Networks, ditampilkan dalam acara F5 Media Roundtable di restoran Seribu Rasa, Plaza Indonesia, Jakarta Pusat, Selasa (9/12/2025).

Nah, karena risiko keamanan API ini cukup besar, Surung mengatakan sekitar 84 persen perusahaan di Indonesia berencana meningkatkan anggaran keamanan API mereka. 

Namun, Surung menegaskan bahwa anggaran tetap harus disertai tata kelola terpadu, agar tidak malah menciptakan fragmentasi sistem keamanan dan benar-benar memperkuat ketahanan siber. 

Bersamaan dengan penyiapan anggaran, perusahaan di Indonesia juga bisa melakukan atau mempersiapkan lima hal berikut ini supaya API mereka aman:

• Tunjuk satu pemimpin di level direksi yang benar-benar bertanggung jawab atas seluruh pengelolaan API.
• Utamakan pengawasan penuh terhadap siklus hidup API, mulai dari pendataan, aturan akses, pemantauan saat berjalan, hingga pengujiannya.
• Gunakan pemantauan otomatis berbasis AI untuk memantau seluruh aktivitas API secara real-time.
• Gunakan standar keamanan OWASP dalam setiap interaksi API, baik yang dijalankan oleh manusia maupun oleh sistem AI.
• Pastikan setiap aktivitas API selaras dengan tujuan penggunaan AI dan kepentingan bisnis melalui aturan tata kelola yang jelas.

Surung menekankan bahwa pengamanan API kini tidak boleh lagi dilakukan setelah sistem berjalan, melainkan harus dimulai sejak tahap perencanaan, dan berlanjut hingga tahap pengembangan.

"Dengan AI yang makin cerdas di era agentic AI, perusahaan tidak bisa lagi pakai sistem keamanan API yang terpisah-pisah. Semua harus terintegrasi dalam satu platform yang lengkap," pungkas Surung.

Tag:  #adopsi #agentic #melonjak #keamanan #indonesia #masih #tertinggal