Martin Nababan 
Executive Summary
Pada 2026, risiko siber tidak lagi hanya berbicara tentang sistem yang diretas, password yang bocor, atau jaringan yang ditembus. Lanskap ancaman sudah bergerak ke wilayah yang lebih halus: manipulasi kepercayaan. World Economic Forum dalam Global Cybersecurity Outlook 2026 mencatat bahwa 87% responden melihat kerentanan terkait Artificial Intelligence sebagai risiko siber yang tumbuh paling cepat sepanjang 2025, sementara 94% pemimpin menilai Artificial Intelligence akan menjadi kekuatan paling berpengaruh dalam membentuk keamanan siber pada 2026. Pada sisi kerugian finansial, Federal Bureau of Investigation melalui Internet Crime Complaint Center melaporkan bahwa kerugian internet crime di Amerika Serikat mencapai USD 16,6 miliar pada 2024, naik 33% dibandingkan tahun sebelumnya.
Angka tersebut memberi sinyal penting: organisasi tidak hanya sedang menghadapi serangan terhadap sistem digital, tetapi juga serangan terhadap cara manusia mempercayai instruksi. Di era deepfake, suara pimpinan dapat dikloning, wajah dalam video meeting dapat direkayasa, dan pesan singkat dapat dibuat menyerupai gaya komunikasi orang tertentu. Deepfake adalah konten audio, video, atau gambar yang dimanipulasi menggunakan Artificial Intelligence, atau kecerdasan buatan, agar tampak atau terdengar seperti orang asli. Disinformasi adalah informasi palsu yang sengaja dibuat untuk memengaruhi persepsi, keputusan, atau kepercayaan.
Di sinilah prinsip Trust No Voice menjadi relevan. Maknanya bukan mengajak organisasi untuk curiga kepada semua orang, tetapi mengingatkan bahwa suara, wajah, video, dan pesan digital tidak boleh lagi menjadi bukti tunggal. Dalam dunia kerja lama, otoritas sering dikenali dari siapa yang berbicara. Dalam dunia baru, otoritas harus dibuktikan melalui proses: kanal resmi, approval berlapis, otorisasi tertulis, dan audit trail.
Approval adalah persetujuan formal dari pihak yang berwenang. Audit trail adalah jejak dokumentasi yang menunjukkan siapa memberi instruksi, siapa menyetujui, kapan keputusan dibuat, dan melalui dasar apa tindakan dijalankan. Dua hal ini penting karena serangan modern sering tidak dimulai dari pembobolan sistem, tetapi dari instruksi yang tampak sah. Pelaku bisa meniru suara atasan, membuat video call palsu, atau mengirim pesan mendesak yang seolah-olah berasal dari pimpinan.
Karena itu, keamanan komunikasi harus masuk ke agenda corporate governance. Corporate governance adalah sistem tata kelola yang memastikan keputusan organisasi dibuat dengan benar, dikendalikan dengan baik, dan dapat dipertanggungjawabkan. Jika instruksi penting dapat dipalsukan, maka rantai komando tidak cukup dilindungi oleh jabatan, budaya patuh, atau rasa percaya. Ia harus dilindungi oleh sistem validasi.
Artikel ini menawarkan pendekatan zero-trust communication. Zero trust berarti tidak ada kepercayaan otomatis tanpa verifikasi. Dalam konteks komunikasi organisasi, setiap instruksi penting tetap harus diperiksa, meskipun terdengar seperti suara pimpinan, terlihat seperti wajah direksi, atau datang melalui kanal yang biasa digunakan. Tujuannya bukan membuat organisasi lambat. Tujuannya adalah memastikan keputusan cepat tetap aman, sah, dan dapat dipertanggungjawabkan.
Pendahuluan
Ketika Kepercayaan Digital Tidak Lagi Bisa Diterima Apa Adanya
Dunia kerja sedang memasuki fase baru. Pada masa lalu, suara atasan, wajah pimpinan dalam video meeting, atau pesan dari nomor yang dikenal sering dianggap cukup untuk menggerakkan tindakan. Namun pada 2024, kasus Arup memberi peringatan keras kepada dunia korporasi. Perusahaan engineering global asal Inggris itu mengalami deepfake-enabled fraud di Hong Kong dengan nilai sekitar USD 25 juta setelah seorang karyawan mengikuti video conference yang tampak menghadirkan sejumlah pimpinan perusahaan. Kasus ini menunjukkan bahwa deepfake bukan lagi cerita masa depan. Ia sudah masuk ke ruang keputusan bisnis.
Pada saat yang sama, Microsoft dalam Cyber Signals Issue 9 menjelaskan bahwa penipuan berbasis Artificial Intelligence berkembang melalui deepfake, voice cloning, phishing, dan identitas digital palsu yang semakin meyakinkan. Voice cloning adalah teknik meniru suara seseorang menggunakan Artificial Intelligence. Phishing adalah penipuan digital melalui pesan, email, atau situs palsu untuk mencuri data, uang, atau akses. Jika phishing lama sering terlihat kaku, phishing baru dapat tampil jauh lebih natural karena dibantu Artificial Intelligence.
Masalahnya, banyak organisasi masih bekerja dengan kebiasaan komunikasi lama. Instruksi penting dikirim melalui aplikasi pribadi. Perintah mendesak disampaikan lewat telepon. Permintaan dokumen sensitif muncul dalam chat singkat. Perubahan rekening vendor masuk lewat email. Semua terasa cepat dan praktis, sampai suatu hari organisasi menyadari bahwa kecepatan tanpa validasi dapat berubah menjadi titik rawan.
Deepfake berbahaya karena ia tidak hanya menyerang perangkat, tetapi menyerang naluri manusia. Ketika seseorang mendengar suara yang familiar, melihat wajah yang tampak meyakinkan, dan menerima instruksi yang terdengar mendesak, reaksi pertama sering kali adalah patuh. Apalagi jika organisasi memiliki budaya hierarkis yang membuat bawahan tidak nyaman mengecek ulang instruksi pimpinan.
Karena itu, perlindungan organisasi tidak cukup hanya bergantung pada Teknologi Informasi, atau Information Technology. Teknologi Informasi adalah sistem digital yang mengelola data, aplikasi, jaringan, dan perangkat kerja organisasi. Teknologi Informasi tetap penting, tetapi deepfake bisa masuk melalui percakapan, meeting, pesan singkat, dan instruksi lisan. Dengan kata lain, serangannya mungkin digital, tetapi pintu masuknya sering sangat manusiawi.
Prinsip Trust No Voice mengajak organisasi membangun ulang cara memverifikasi kepercayaan. Suara dapat menjadi sinyal awal, tetapi bukan bukti akhir. Wajah dapat terlihat meyakinkan, tetapi tetap perlu validasi. Jabatan tetap dihormati, tetapi instruksi penting harus mengikuti prosedur. Di era deepfake, verifikasi bukan tanda tidak percaya. Verifikasi adalah cara baru menjaga kepercayaan agar tidak dimanfaatkan pihak yang salah.
Chapter 1.The Strategic Urgency: Deepfake Sudah Menjadi Risiko Keputusan
Deepfake menjadi ancaman strategis karena ia dapat mengubah instruksi palsu menjadi sesuatu yang terasa sah. Dalam organisasi, banyak keputusan bergerak karena kombinasi otoritas, waktu, dan kepercayaan. Ketika tiga hal ini dimanipulasi, orang dapat mengambil tindakan besar tanpa menyadari bahwa dasar keputusannya palsu.
Pelaku serangan memahami ritme organisasi. Mereka tahu bahwa instruksi dari pimpinan sering diprioritaskan. Mereka tahu bahwa kata “urgent” dapat membuat prosedur dipercepat. Mereka tahu bahwa permintaan yang dibungkus sebagai arahan rahasia dapat menekan bawahan untuk tidak bertanya. Karena itu, deepfake bukan hanya risiko teknologi. Ia adalah risiko terhadap disiplin pengambilan keputusan.
Untuk memperkuat urgensi tersebut, tabel berikut disajikan agar pembaca melihat bahwa risiko berbasis Artificial Intelligence muncul di tengah kenaikan ancaman siber global. Data ini dipilih secara terbatas agar pembahasan tetap fokus dan tidak berubah menjadi laporan teknis.
Tabel 1. Indikator Global Risiko Siber dan Fraud Berbasis Artificial Intelligence
No. | Indikator Risiko | Data Kuantitatif | Periode | Sumber Utama |
|---|---|---|---|---|
1 | Responden yang melihat AI-related vulnerabilities sebagai risiko siber paling cepat tumbuh | 87% | 2025 | World Economic Forum |
2 | Pemimpin yang menilai Artificial Intelligence sebagai kekuatan paling berpengaruh dalam membentuk cybersecurity | 94% | 2026 | World Economic Forum |
3 | Responden yang terdampak cyber-enabled fraud langsung atau melalui jaringan profesional/pribadi | 73% | 2025 | World Economic Forum |
4 | Kerugian internet crime yang dilaporkan ke Internet Crime Complaint Center Amerika Serikat | USD 16,6 miliar | 2024 | Federal Bureau of Investigation |
5 | Kenaikan kerugian internet crime dibandingkan tahun sebelumnya | 33% | 2024 | Federal Bureau of Investigation |
6 | Jumlah laporan internet crime yang diterima Internet Crime Complaint Center | 859.532 laporan | 2024 | Federal Bureau of Investigation |
Sumber Data : World Economic Forum Global Cybersecurity Outlook 2026 dan Federal Bureau of Investigation Internet Crime Complaint Center 2024 Internet Crime Report; periode data utama 2024–2026.
Tabel ini menunjukkan bahwa deepfake berada dalam ekosistem risiko yang lebih luas: fraud digital, manipulasi identitas, phishing, dan penggunaan Artificial Intelligence untuk memperkuat penipuan. Ketika 87% responden global melihat kerentanan Artificial Intelligence sebagai risiko siber yang tumbuh paling cepat, organisasi tidak lagi bisa memperlakukan deepfake sebagai isu eksperimental.
Data kerugian USD 16,6 miliar juga memberi perspektif finansial. Risiko digital sudah cukup besar untuk masuk ke pembahasan direksi, komite audit, risk management, dan governance. Dalam konteks perusahaan, deepfake dapat menjadi pintu masuk bagi Business Email Compromise, yaitu penipuan yang memanfaatkan email bisnis palsu atau akun yang disusupi untuk meminta pembayaran, mengubah rekening, atau mengambil informasi sensitif.
Inti pembacaan dari bagian ini adalah bahwa organisasi perlu memperluas definisi keamanan. Perlindungan sistem tetap penting, tetapi perlindungan keputusan menjadi sama pentingnya. Jika instruksi palsu masih bisa menggerakkan uang, data, akses, atau operasi, maka organisasi belum benar-benar aman.
Chapter 2.The Diagnostic Phase: Titik Lemah Berada di Jalur Instruksi
Diagnosis risiko deepfake harus dimulai dari pertanyaan sederhana: instruksi penting di organisasi bergerak melalui jalur apa? Pertanyaan ini tampak administratif, tetapi sangat menentukan. Banyak kelemahan tidak muncul karena organisasi tidak punya sistem, melainkan karena sistem resmi sering dilewati oleh kebiasaan informal.
Instruksi pembayaran bisa muncul dari chat pribadi. Permintaan dokumen bisa datang lewat pesan singkat. Perubahan rekening vendor bisa dikirim lewat email. Perintah lapangan bisa diberikan melalui telepon tanpa dokumentasi. Dalam keadaan normal, semua ini terlihat efisien. Namun dalam skenario deepfake, pola seperti ini membuat organisasi sulit membedakan mana instruksi asli dan mana manipulasi.
Karena itu, organisasi perlu memetakan instruksi kritis. Instruksi kritis adalah perintah yang jika salah dijalankan dapat menimbulkan kerugian besar. Contohnya adalah transfer dana, pembukaan akses sistem, pengiriman dokumen rahasia, perubahan data vendor, keputusan pengadaan, perubahan jadwal operasi, atau arahan lapangan yang menyangkut keselamatan.
Setelah itu, organisasi perlu memetakan high-risk identity. Istilah ini berarti identitas individu yang memiliki daya perintah tinggi dan berpotensi ditiru. Direksi, komisaris, kepala divisi, kepala proyek, pejabat finance, pejabat procurement, dan pemilik akses sistem kritis masuk dalam kategori ini. Semakin tinggi otoritas seseorang, semakin besar nilai identitasnya bagi pelaku serangan.
Diagnosis juga harus menyentuh budaya. Dalam organisasi yang terlalu hierarkis, orang sering merasa tidak nyaman mengecek ulang instruksi atasan. Padahal, dalam era deepfake, budaya sungkan bisa menjadi kelemahan serius. Karyawan yang memverifikasi instruksi penting seharusnya tidak dipandang sebagai penghambat, tetapi sebagai penjaga risiko.
Pada tahap ini, organisasi belum perlu langsung membeli alat baru. Titik awal yang paling penting adalah melihat ulang bagaimana instruksi bernilai tinggi bergerak: siapa yang memberi perintah, kanal apa yang digunakan, siapa yang menyetujui, bagaimana dokumentasinya, dan kapan eksekusi boleh dilakukan. Dari peta sederhana itu, risiko yang selama ini tersembunyi akan terlihat lebih jelas.
Chapter 3.The Blueprint Framework: Zero-Trust Communication
Setelah titik lemah ditemukan, organisasi membutuhkan kerangka kerja yang jelas. Di sinilah zero-trust communication menjadi penting. Konsep ini mengambil inspirasi dari Zero Trust Architecture, yaitu arsitektur keamanan yang tidak memberikan kepercayaan otomatis hanya karena seseorang berada di dalam jaringan perusahaan atau pernah diverifikasi sebelumnya. National Institute of Standards and Technology menerbitkan Zero Trust Architecture pada 2020 sebagai rujukan untuk memperbaiki postur keamanan teknologi informasi perusahaan, terutama ketika batas jaringan semakin kabur akibat remote working, cloud, dan penggunaan perangkat yang semakin beragam.
Dalam konteks komunikasi organisasi, zero-trust communication berarti instruksi penting harus melalui jalur yang sah. Jika ada perintah transfer dana, harus ada approval resmi. Jika ada permintaan dokumen rahasia, harus ada otorisasi tertulis. Jika ada perubahan instruksi lapangan, harus ada kanal operasi yang tervalidasi. Dengan cara ini, identitas yang tampak benar tidak langsung diterima sebagai dasar tindakan.
Kerangka ini harus dibuat proporsional. Tidak semua pesan perlu validasi berat. Koordinasi ringan tetap dapat berjalan cepat. Namun instruksi yang menyangkut uang, data, akses, keselamatan, reputasi, dan operasi kritis harus memiliki standar lebih tinggi. Tanpa klasifikasi, organisasi akan jatuh pada dua ekstrem: terlalu longgar sehingga mudah dimanipulasi, atau terlalu birokratis sehingga lambat bergerak.
Tabel berikut disajikan untuk membantu organisasi membedakan jenis komunikasi, tingkat risiko, pemilik kontrol, dan bukti minimum yang harus tersedia. Klasifikasi ini penting agar tabel tidak hanya menjadi daftar kategori, tetapi menjadi alat praktis untuk mengambil keputusan.
Tabel 2. Klasifikasi Instruksi Kritis, Pemilik Kontrol, dan Bukti Validasi Minimum
No. | Kategori Instruksi | Contoh Praktis | Level Risiko | Pemilik Kontrol Utama | Bukti Validasi Minimum |
|---|---|---|---|---|---|
1 | Komunikasi umum | Informasi rapat, koordinasi ringan, update kegiatan | Rendah | Unit kerja terkait | Kanal kerja normal |
2 | Instruksi operasional | Perubahan jadwal, permintaan laporan, koordinasi vendor | Menengah | Kepala unit operasional | Konfirmasi melalui kanal resmi unit |
3 | Instruksi finansial | Transfer dana, perubahan rekening, pembayaran vendor | Sangat tinggi | Finance, treasury, internal control | Approval berlapis, dokumen transaksi, audit trail |
4 | Instruksi data | Pengiriman dokumen kontrak, data pelanggan, data karyawan | Sangat tinggi | Legal, data owner, Teknologi Informasi | Otorisasi tertulis, hak akses terbatas, log pengiriman |
5 | Instruksi akses sistem | Reset password, pembukaan akses aplikasi, perubahan privilege | Tinggi hingga sangat tinggi | Teknologi Informasi, cybersecurity, system owner | Ticket resmi, approval role owner, log akses |
6 | Instruksi keselamatan dan operasi kritis | Perintah lapangan, akses fasilitas, perubahan prosedur darurat | Sangat tinggi | Operation, Health Safety Security Environment, crisis team | Validasi komando, dokumentasi real-time, escalation record |
Sumber Data : Sintesis penulis berdasarkan National Institute of Standards and Technology Zero Trust Architecture, Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model, praktik internal control, enterprise risk management, dan fraud prevention periode 2020–2026.
Tabel ini membuat prinsip Trust No Voice menjadi lebih operasional. Pembaca tidak hanya melihat bahwa instruksi penting perlu divalidasi, tetapi juga memahami siapa yang harus memegang kontrol dan bukti minimum apa yang perlu tersedia. Dengan cara ini, artikel bergerak dari gagasan ke tindakan.
Dari sisi manajemen, pembagian level risiko membantu organisasi menjaga keseimbangan antara kecepatan dan kontrol. Komunikasi umum tetap bisa ringan. Namun instruksi finansial, data, akses sistem, dan keselamatan harus memiliki pagar yang lebih kuat. Ini penting karena deepfake sering memanfaatkan area abu-abu, yaitu instruksi yang terlihat biasa tetapi sebenarnya berdampak besar.
Implikasi organisasinya jelas: keamanan komunikasi bukan hanya urusan Teknologi Informasi. Finance, legal, operation, Health Safety Security Environment, internal control, dan pimpinan unit memiliki peran yang sama pentingnya. Di era deepfake, organisasi yang paling aman bukan yang paling banyak memiliki tools, tetapi yang paling jelas membagi tanggung jawab kontrol.
Chapter 4.The Core Analytics: Membaca Anomali sebelum Kerugian Terjadi
Deepfake yang baik mungkin sulit dikenali dari kualitas suara atau wajah. Namun pola instruksinya sering meninggalkan tanda yang janggal. Instruksi terlalu mendesak. Permintaan meminta kerahasiaan berlebihan. Kanal komunikasi tidak lazim. Gaya bahasa berubah. Waktu pengiriman tidak biasa. Atau perintah meminta tindakan yang melewati prosedur normal.
Di sinilah organisasi membutuhkan kemampuan membaca anomali. Anomali adalah pola yang menyimpang dari kebiasaan normal. Dalam konteks komunikasi, anomali dapat muncul dari waktu, gaya bahasa, nilai transaksi, kanal yang digunakan, atau permintaan yang tidak sesuai kewenangan.
Analitik adalah proses membaca data untuk menemukan pola, risiko, atau sinyal yang tidak langsung terlihat. Dalam organisasi modern, analitik dapat membantu menandai login dari lokasi tidak biasa, permintaan akses di luar jam kerja, perubahan rekening vendor, atau approval yang tidak mengikuti alur normal. Namun teknologi hanya memberi sinyal. Keputusan akhir tetap membutuhkan manusia yang paham konteks.
Karena itu, organisasi perlu membangun bahasa bersama tentang red flag, yaitu tanda bahaya awal yang menunjukkan potensi risiko. Red flag harus sederhana, mudah diingat, dan langsung terhubung dengan tindakan. Karyawan tidak harus menjadi ahli deepfake. Mereka hanya perlu tahu kapan harus berhenti sejenak dan melakukan validasi.
Tabel berikut disajikan untuk memperjelas pola instruksi yang harus segera dicurigai. Dengan tambahan level risiko dan trigger eskalasi, pembaca dapat memahami kapan sebuah instruksi harus dihentikan sementara dan dibawa ke jalur formal.
Tabel 3. Red Flag Instruksi Palsu, Level Risiko, dan Trigger Eskalasi
No. | Tanda Bahaya | Contoh Situasi | Risiko Utama | Level Risiko | Trigger Eskalasi |
|---|---|---|---|---|---|
1 | Mendesak secara tidak wajar | “Transfer sekarang, jangan tunggu proses normal.” | Fraud pembayaran | Sangat tinggi | Nilai transaksi besar atau melewati approval normal |
2 | Meminta kerahasiaan berlebihan | “Jangan bahas dengan siapa pun dulu.” | Manipulasi otoritas | Sangat tinggi | Instruksi melarang konfirmasi kepada pihak berwenang |
3 | Kanal tidak lazim | Instruksi pembayaran via aplikasi pribadi | Keputusan tanpa audit trail | Tinggi | Instruksi kritis tidak masuk melalui sistem resmi |
4 | Identitas tampak benar, prosedur salah | Video call meyakinkan tetapi melewati approval | Keputusan berbasis deepfake | Sangat tinggi | Perintah bernilai tinggi hanya berbasis lisan atau visual |
5 | Perubahan data sensitif | Nomor rekening vendor berubah mendadak | Business Email Compromise | Sangat tinggi | Perubahan master data vendor tanpa validasi independen |
6 | Waktu dan pola tidak biasa | Instruksi sensitif muncul di luar jam kerja tanpa konteks | Penyalahgunaan otoritas | Menengah hingga tinggi | Instruksi tidak sesuai pola kerja historis |
7 | Permintaan akses tidak proporsional | Pembukaan akses sistem untuk orang yang tidak relevan | Kebocoran data atau sabotase sistem | Tinggi | Akses diminta tanpa justifikasi jabatan atau kebutuhan kerja |
Sumber Data : Sintesis penulis berdasarkan Microsoft Cyber Signals Issue 9, World Economic Forum Global Cybersecurity Outlook 2025–2026, Federal Bureau of Investigation Internet Crime Report 2024, dan praktik fraud prevention periode 2024–2026.
Tabel ini memberi nilai praktis karena tidak berhenti pada daftar tanda bahaya. Pembaca langsung melihat level risiko dan trigger eskalasi. Dengan format seperti ini, karyawan tidak hanya diminta “lebih hati-hati”, tetapi diberi peta kapan harus berhenti, kapan harus bertanya, dan kapan harus menaikkan isu ke jalur resmi.
Risiko paling tinggi biasanya muncul ketika ada kombinasi antara urgensi, kerahasiaan, dan bypass prosedur. Satu tanda bahaya saja sudah perlu diperhatikan, tetapi jika beberapa tanda muncul bersamaan, instruksi harus diperlakukan sebagai potensi insiden. Ini membuat organisasi lebih cepat menahan keputusan sebelum kerugian terjadi.
Tabel ini juga cocok dijadikan bahan pelatihan internal karena bahasanya dekat dengan situasi harian. Finance, procurement, legal, operation, sekretariat pimpinan, customer service, dan tim lapangan dapat memakai red flag yang sama. Ketika seluruh organisasi memakai bahasa risiko yang seragam, deepfake kehilangan salah satu senjata terbesarnya: kebingungan manusia di bawah tekanan.
Chapter 5. The Operationalization: Verifikasi Harus Dilatih dan Dilindungi
Banyak organisasi memiliki kebijakan, tetapi tetap gagal ketika menghadapi tekanan nyata. Penyebabnya sederhana: karyawan pernah membaca prosedur, tetapi belum pernah berlatih menghadapi skenario manipulasi. Padahal deepfake bekerja melalui tekanan psikologis. Ia membuat korban merasa harus cepat, harus diam, dan harus patuh.
Karena itu, implementasi Trust No Voice harus masuk ke pelatihan organisasi. Cybersecurity awareness berarti kesadaran karyawan terhadap risiko keamanan digital. Namun awareness saja tidak cukup. Organisasi perlu naik ke simulation-based training, yaitu pelatihan berbasis simulasi agar karyawan mengalami skenario palsu secara aman sebelum menghadapi kejadian nyata.
Simulasi dapat dibuat sederhana tetapi realistis. Misalnya, panggilan suara yang meniru atasan dan meminta pembayaran cepat. Video meeting yang terlihat resmi tetapi meminta data sensitif. Pesan vendor yang mengubah nomor rekening. Instruksi lapangan yang datang dari kanal tidak lazim. Dari latihan seperti ini, karyawan belajar mengelola tekanan, bukan hanya menghafal prosedur.
Pimpinan memiliki peran paling menentukan. Jika pimpinan marah ketika instruksinya diverifikasi, budaya Trust No Voice akan gagal. Sebaliknya, jika pimpinan menerima validasi sebagai standar kerja, organisasi akan memiliki budaya keamanan yang lebih dewasa. Di era deepfake, keteladanan pimpinan lebih kuat daripada poster awareness.
Kebijakan juga harus melindungi karyawan. Orang yang menunda eksekusi instruksi berisiko tinggi untuk validasi tidak boleh dihukum. Ia justru sedang menjalankan kontrol organisasi. Tanpa perlindungan seperti ini, semua framework akan kalah oleh rasa takut kepada hierarki.
Pada akhirnya, operationalization bukan hanya soal prosedur, tetapi soal keberanian yang dilembagakan. Organisasi harus membuat verifikasi terasa normal, aman, dan dihargai. Jika itu terjadi, deepfake akan lebih sulit memanfaatkan rasa sungkan, tekanan waktu, dan kebiasaan patuh tanpa bertanya.
Case Study 1.Arup, 2024: Harga Mahal dari Kepercayaan yang Tidak Diverifikasi
Arup adalah perusahaan global asal Inggris yang bergerak di bidang desain, engineering, dan consulting. Pada 2024, Arup menjadi salah satu contoh paling penting dalam pembelajaran risiko deepfake di dunia korporasi. Perusahaan ini mengalami deepfake-enabled fraud di Hong Kong setelah seorang karyawan finance mengikuti video conference yang tampak menghadirkan sejumlah pimpinan perusahaan. Setelah rapat digital itu, dana sekitar USD 25 juta ditransfer kepada pelaku. Arup kemudian menyatakan bahwa stabilitas keuangan dan operasional perusahaan tidak terdampak secara material, tetapi kasus ini tetap menjadi alarm besar bagi dunia bisnis.
Bahaya utama dalam kasus Arup bukan hanya pada kemampuan teknologi menciptakan wajah atau suara palsu. Bahaya yang lebih besar adalah kemampuan deepfake menciptakan suasana otoritas yang terasa normal. Dalam dunia kerja modern, video meeting sering dianggap lebih meyakinkan daripada pesan teks karena menghadirkan wajah, suara, dan interaksi langsung. Namun kasus ini menunjukkan bahwa medium yang terlihat lebih nyata justru bisa menjadi lebih berbahaya jika organisasi menjadikannya dasar keputusan tanpa validasi tambahan.
Masalah dalam kasus Arup dapat diidentifikasi dari beberapa tanda. Instruksi bernilai finansial tinggi muncul dalam forum digital yang sangat bergantung pada identitas visual. Keputusan transfer berjalan karena peserta rapat mempercayai wajah, suara, dan konteks yang tampil di layar. Proses validasi tidak cukup kuat untuk memisahkan antara rapat yang terlihat sah dan otorisasi yang benar-benar sah. Di titik ini, celah governance terlihat jelas: transaksi besar masih bisa bergerak karena keyakinan terhadap identitas, bukan karena bukti otorisasi yang lengkap.
Pendekatan solusi untuk kasus seperti Arup bukan sekadar membeli alat pendeteksi deepfake. Deteksi memang penting, tetapi tidak boleh menjadi satu-satunya benteng. Way out yang lebih kuat adalah membuat aturan bahwa keputusan finansial bernilai tinggi tidak boleh dieksekusi hanya berdasarkan video meeting, instruksi lisan, atau tekanan waktu. Harus ada approval tertulis, kanal resmi kedua, validasi kontak terverifikasi, pembatasan perubahan rekening, dan audit trail yang jelas. Dengan begitu, sekalipun pelaku berhasil meniru wajah dan suara, instruksi tetap tidak bisa langsung menggerakkan uang.
Impact dari kasus Arup terasa jauh melampaui satu perusahaan. Kasus ini mengubah cara banyak organisasi melihat video conference, executive impersonation, dan instruksi finansial digital. Executive impersonation adalah upaya meniru identitas pimpinan atau pejabat berwenang untuk memengaruhi keputusan. Setelah kasus seperti ini, rapat digital tidak lagi bisa dianggap otomatis aman. Wajah di layar tidak lagi cukup. Suara yang familiar tidak lagi final.
Ke depan, perusahaan harus memperlakukan fungsi finance sebagai garis pertahanan utama terhadap deepfake. Setiap permintaan transfer besar, perubahan rekening, pembayaran mendesak, atau instruksi yang meminta bypass prosedur harus masuk kategori risiko tinggi. Organisasi juga perlu melatih tim finance, treasury, procurement, dan sekretariat pimpinan untuk mengenali pola manipulasi otoritas. Pelajaran terbesar dari Arup sederhana tetapi tajam: uang tidak boleh bergerak hanya karena instruksi terlihat meyakinkan.
Tabel berikut disajikan untuk memperlihatkan alur pembelajaran dari Arup secara lebih sistematis, mulai dari masalah yang dihadapi sampai agenda pencegahan ke depan.
Tabel 4. Case Study Arup, 2024: Dari Deepfake Video Call ke Perbaikan Governance
No. | Elemen Analisis | Temuan Utama | Implikasi bagi Perusahaan |
|---|---|---|---|
1 | Nama organisasi | Arup, perusahaan engineering dan consulting asal Inggris | Baik dijadikan contoh karena kasusnya nyata, relevan, dan berdampak besar |
2 | Tahun kejadian | 2024 | Risiko deepfake sudah menjadi risiko bisnis aktual |
3 | Masalah yang dihadapi | Video conference palsu menampilkan deepfake pimpinan | Identitas visual dan suara tidak bisa menjadi bukti tunggal |
4 | Potensi bahaya | Transfer dana sekitar USD 25 juta | Deepfake dapat menimbulkan kerugian finansial material |
5 | Cara identifikasi | Instruksi finansial besar muncul melalui rapat digital dan tekanan otoritas | Transaksi bernilai tinggi harus selalu dianggap high-risk instruction |
6 | Pendekatan solusi | Approval tertulis, kanal kedua, validasi kontak, audit trail | Proses harus lebih kuat daripada tampilan identitas |
7 | Impact | Korporasi global melihat deepfake sebagai risiko bisnis nyata | Finance, procurement, dan executive office harus menjadi prioritas kontrol |
8 | Antisipasi ke depan | Simulasi deepfake, pembatasan perubahan rekening, escalation protocol | Organisasi lebih cepat menahan instruksi palsu sebelum kerugian terjadi |
Sumber Data : World Economic Forum, Financial Times, The Guardian, dan laporan media internasional terkait kasus Arup; periode kejadian dan pelaporan utama 2024–2025.
Tabel ini menunjukkan bahwa kasus Arup tidak hanya berbicara tentang fraud, tetapi tentang runtuhnya asumsi lama bahwa wajah dan suara cukup untuk membuktikan otoritas. Dalam dunia kerja digital, rapat virtual dapat terlihat profesional, tetapi tetap menyimpan risiko jika tidak ditutup dengan validasi formal.
Dari sisi governance, solusi atas kasus seperti Arup harus ditempatkan di level proses, bukan sekadar teknologi. Kalau perusahaan hanya memasang detektor deepfake, pelaku masih bisa mencari celah lain melalui tekanan psikologis, urgensi transaksi, atau kanal komunikasi informal. Tetapi jika perusahaan menutup jalur eksekusi dengan approval berlapis dan audit trail, peluang kerugian dapat ditekan jauh lebih kuat.
Bagi fungsi keuangan, pelajaran praktisnya sangat jelas. Finance tidak boleh menjadi penerima pasif instruksi pimpinan. Finance harus menjadi penjaga validitas transaksi. Dalam era deepfake, tugas finance bukan hanya membayar dengan cepat, tetapi memastikan bahwa perintah membayar benar-benar sah.
Case Study 2.NIST dan CISA, 2020–2023: Dari Standar Zero Trust ke Keamanan Instruksi
Case study berikut mengambil contoh dari 2 lembaga yang baik dijadikan rujukan pembelajaran: National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency di Amerika Serikat. National Institute of Standards and Technology menerbitkan Zero Trust Architecture pada 2020, sedangkan Cybersecurity and Infrastructure Security Agency menerbitkan Zero Trust Maturity Model versi 2.0 pada 2023 untuk membantu organisasi menyusun strategi dan rencana implementasi zero trust. Dua rujukan ini penting karena memberi standar yang lebih matang untuk menjawab masalah kepercayaan digital.
Masalah yang dihadapi banyak organisasi saat ini adalah model kepercayaan lama sudah tidak cukup. Dulu, sistem keamanan sering dibangun dengan logika perimeter: jika seseorang sudah berada di dalam jaringan perusahaan, memakai perangkat yang dikenal, atau menggunakan akun yang tampak sah, maka ia cenderung dianggap tepercaya. Namun dalam dunia cloud, remote working, vendor digital, aplikasi pihak ketiga, dan Artificial Intelligence, batas “dalam” dan “luar” semakin kabur. Identitas yang terlihat sah tetap bisa disusupi, ditiru, atau dimanipulasi.
Dalam konteks deepfake dan disinformasi, masalahnya menjadi lebih luas. Yang perlu diverifikasi bukan hanya login ke sistem, tetapi juga instruksi yang menggerakkan organisasi. Seseorang bisa terlihat seperti pimpinan di video call. Pesan bisa tampak berasal dari email resmi. Suara bisa terdengar familiar. Tetapi jika prosesnya tidak valid, instruksi itu tetap berbahaya. Di sinilah zero trust perlu diterjemahkan menjadi zero-trust communication.
Cara mengetahui masalahnya adalah dengan memeriksa titik-titik keputusan yang selama ini mendapat automatic trust. Automatic trust berarti kepercayaan diberikan secara otomatis tanpa validasi memadai. Misalnya, apakah instruksi pembayaran dari pimpinan langsung dianggap sah? Apakah permintaan dokumen dari email tertentu langsung dilayani? Apakah perubahan data vendor dapat diproses hanya karena datang dari kontak yang dikenal? Apakah instruksi operasional darurat bisa berjalan tanpa kanal resmi? Jika jawabannya ya, berarti organisasi masih memiliki celah yang dapat dieksploitasi.
Pendekatan solusi dari National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency memberi arah yang jelas. Prinsip verify explicitly berarti identitas dan konteks harus dibuktikan secara jelas. Least privilege berarti akses diberikan hanya sesuai kebutuhan. Assume breach berarti organisasi menganggap celah bisa terjadi, sehingga instruksi janggal harus diperlakukan sebagai potensi insiden. Continuous monitoring berarti aktivitas dipantau secara berkelanjutan. Auditability berarti tindakan penting harus dapat ditelusuri. Ketika prinsip-prinsip ini diterjemahkan ke komunikasi organisasi, kepercayaan berpindah dari “siapa yang tampak berbicara” menjadi “proses apa yang membuktikan instruksi itu sah”.
Hasil dan impact dari pendekatan ini bukan hanya peningkatan keamanan teknis. Dampak yang lebih besar adalah perubahan cara organisasi mengambil keputusan. Instruksi tidak lagi dipatuhi hanya karena datang dari orang yang tampak berwenang. Instruksi harus melewati jalur yang tepat. Dengan cara ini, organisasi tetap menghormati otoritas, tetapi tidak membiarkan otoritas dipalsukan dan disalahgunakan.
Ke depan, perusahaan perlu mengadopsi zero trust sebagai standar operasional komunikasi kritis. Ini bukan hal yang sepenuhnya baru, karena prinsip zero trust sudah menjadi rujukan industri dalam keamanan siber. Namun penerapannya pada rantai komando, approval, dan komunikasi organisasi menjadi semakin mendesak karena deepfake mengubah wajah risiko. Perusahaan yang berhasil menerjemahkan zero trust dari sistem ke proses keputusan akan lebih siap menghadapi deepfake, disinformasi, dan manipulasi identitas.
Tabel berikut disajikan untuk menunjukkan bagaimana National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency dapat dijadikan benchmark standard dalam membangun pendekatan zero-trust communication. Tabel ini memperjelas bahwa pembelajaran kedua bukan insiden, melainkan rujukan standar yang bisa diadaptasi oleh organisasi.
Tabel 5. Case Study NIST dan CISA, 2020–2023: Benchmark Standard untuk Zero-Trust Communication
No. | Elemen Analisis | Temuan Utama | Implikasi bagi Perusahaan |
|---|---|---|---|
1 | Nama lembaga | National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency | Baik dijadikan benchmark karena menjadi rujukan standar keamanan modern |
2 | Tahun rujukan utama | Zero Trust Architecture 2020 dan Zero Trust Maturity Model 2023 | Zero trust sudah menjadi standar industri yang terus berkembang |
3 | Jenis pembelajaran | Standar, maturity model, dan panduan implementasi | Bukan case insiden, tetapi acuan untuk mencegah insiden |
4 | Masalah yang dihadapi | Model kepercayaan lama terlalu bergantung pada identitas yang tampak sah | Identitas digital, suara, wajah, dan kanal tidak boleh dipercaya otomatis |
5 | Potensi bahaya | Akun sah, perangkat sah, atau wajah yang terlihat sah dapat disalahgunakan | Instruksi palsu bisa masuk melalui jalur yang tampak normal |
6 | Cara identifikasi | Audit titik eputusan yang masih memiliki automatic trust | Organisasi dapat menemukan celah di pembayaran, data, akses, dan operasi |
7 | Pendekatan solusi | Verify explicitly, least privilege, assume breach, continuous monitoring, auditability | Kepercayaan dipindahkan dari persepsi ke proses |
8 | Impact | Keputusan kritis lebih terlindungi dan lebih mudah ditelusuri | Risiko impersonasi, fraud, dan kebocoran data dapat ditekan |
9 | Antisipasi ke depan | Terapkan zero-trust communication pada instruksi bernilai tinggi | Perusahaan lebih siap menghadapi deepfake dan disinformasi |
Sumber Data : National Institute of Standards and Technology Zero Trust Architecture 2020, Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model 2023, Microsoft Cyber Signals 2025, dan World Economic Forum Global Cybersecurity Outlook 2026.
Tabel ini memperjelas posisi National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency sebagai benchmark standard, bukan sebagai kasus kegagalan. Ini penting agar pembaca tidak salah memahami fungsi pembelajaran kedua. Arup memberi contoh bahaya nyata, sedangkan kedua lembaga ini memberi peta bagaimana organisasi dapat membangun pertahanan yang lebih matang.
Pendekatan zero trust menjadi kuat karena dapat diterjemahkan ke banyak area: identitas, akses, data, perangkat, aplikasi, hingga komunikasi. Ketika prinsip ini dibawa ke rantai komando, organisasi memiliki bahasa baru untuk menolak kepercayaan otomatis tanpa harus menciptakan budaya curiga.
Kekuatan benchmark ini ada pada kematangannya. National Institute of Standards and Technology memberi dasar arsitektur, sementara Cybersecurity and Infrastructure Security Agency memberi model perkembangan. Jika digabungkan dengan pengalaman kasus seperti Arup, perusahaan bisa bergerak lebih praktis: mulai dari audit titik instruksi kritis, klasifikasi risiko, validasi kanal kedua, hingga simulasi deepfake untuk fungsi yang paling rawan.
Kesimpulan
Membaca Dua Case Study: Satu Menunjukkan Bahaya, Satu Menunjukkan Standar Pertahanan
Dua case study dalam artikel ini memiliki fungsi yang berbeda, tetapi saling melengkapi. Arup, 2024 menunjukkan sisi krisis: deepfake sudah dapat menembus ruang keputusan korporasi dan menghasilkan kerugian besar. National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency, 2020–2023 menunjukkan sisi standar: organisasi dapat membangun sistem kepercayaan baru yang tidak bergantung pada tampilan identitas, tetapi pada proses validasi.
Persamaan kedua case study terletak pada isu utama: kepercayaan otomatis sudah tidak cukup. Dalam kasus Arup, kepercayaan kepada wajah dan suara dalam video meeting menghasilkan risiko finansial besar. Dalam pendekatan National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency, kepercayaan otomatis juga dianggap sebagai kelemahan karena identitas, perangkat, akun, atau kanal yang terlihat sah tetap bisa disalahgunakan.
Perbedaannya terletak pada posisi cerita. Arup adalah contoh insiden aktual yang memperlihatkan akibat ketika instruksi palsu berhasil melewati proses organisasi. National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency adalah contoh lembaga rujukan yang menyediakan standar pencegahan. Dengan kata lain, Arup memperlihatkan harga mahal dari kelemahan, sedangkan kedua lembaga tersebut memperlihatkan cara membangun ketahanan.
Solusi yang diberikan juga berbeda sifatnya. Pada kasus Arup, solusi bersifat korektif dan preventif: memperkuat approval transaksi, validasi kanal kedua, pembatasan perubahan rekening, dan pelatihan tim finance. Pada pendekatan National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency, solusi bersifat sistemik: membangun prinsip verify explicitly, least privilege, assume breach, continuous monitoring, dan auditability ke dalam proses organisasi. Keduanya bukan saling menggantikan. Keduanya harus berjalan bersama.
Apakah ini hal baru? Jawabannya: sebagian baru, sebagian mengikuti standar yang sudah ada. Zero trust bukan konsep baru di industri cybersecurity. Namun penerapannya ke komunikasi, rantai komando, instruksi finansial, dan keputusan operasional menjadi semakin mendesak karena deepfake mengubah wajah risiko. Yang baru bukan prinsip dasarnya, tetapi konteks ancamannya dan kebutuhan untuk memperluas zero trust dari sistem digital ke perilaku organisasi.
Tabel berikut disajikan untuk membandingkan kedua case study secara langsung, sehingga pembaca dapat melihat persamaan, perbedaan, solusi, status standar, dan lesson learned dengan lebih jelas.
Tabel 6. Perbandingan Case Study Arup dan NIST–CISA
No. | Aspek Perbandingan | Arup, 2024 | NIST–CISA, 2020–2023 | Pesan Utama |
|---|---|---|---|---|
1 | Jenis case | Insiden fraud nyata pada perusahaan | Benchmark standard dari lembaga rujukan | Satu menunjukkan bahaya, satu menunjukkan standar pertahanan |
2 | Nama organisasi | Arup | National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency | Perusahaan dan lembaga sama-sama memberi pembelajaran |
3 | Masalah utama | Deepfake video call memicu transfer sekitar USD 25 juta | Kepercayaan otomatis membuat sistem dan instruksi rentan | Identitas yang tampak sah tidak cukup |
4 | Titik bahaya | Finance, video meeting, tekanan otoritas | Identitas, akses, kanal komunikasi, proses approval | Risiko muncul di persimpangan teknologi dan manusia |
5 | Cara identifikasi | Melihat instruksi finansial besar yang datang melalui kanal rapat digital tanpa validasi kuat | Mengaudit titik keputusan yang masih memiliki automatic trust | Organisasi harus tahu di mana kepercayaan bergerak tanpa kontrol |
6 | Solusi utama | Approval tertulis, validasi kanal kedua, audit trail, pembatasan perubahan rekening | Verify explicitly, least privilege, assume breach, continuous monitoring, auditability | Solusi harus mengikat manusia, proses, dan teknologi |
7 | Status solusi | Korektif dan preventif setelah melihat risiko nyata | Mengikuti standar industri yang sudah berkembang | Standar lama perlu diperluas ke komunikasi dan rantai komando |
8 | Lesson learned | Wajah dan suara dalam meeting tidak bisa menjadi dasar eksekusi transaksi besar | Kepercayaan harus dibuktikan secara terus-menerus | Verifikasi adalah fondasi baru governance |
9 | Agenda ke depan | Latih finance, procurement, dan executive office menghadapi deepfake | Terapkan zero-trust communication untuk instruksi kritis | Organisasi harus cepat, tetapi tidak boleh kehilangan kontrol |
Sumber Data : Sintesis penulis berdasarkan case study Arup 2024, National Institute of Standards and Technology Zero Trust Architecture 2020, Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model 2023, Microsoft Cyber Signals 2025, dan World Economic Forum Global Cybersecurity Outlook 2026.
Tabel ini menjadi penutup analitis yang kuat karena menyatukan dua dunia: insiden nyata dan standar pertahanan. Arup adalah alarm yang membuat risiko terasa dekat. National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency adalah peta jalan yang membantu organisasi bergerak dari kekhawatiran menuju desain perlindungan.
Lesson learned dari Arup adalah bahwa transaksi besar tidak boleh bergantung pada keyakinan visual dan suara. Lesson learned dari National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency adalah bahwa kepercayaan harus dibuktikan secara berulang, terutama ketika keputusan menyangkut uang, data, akses, keselamatan, operasi, dan reputasi. Ketika keduanya digabungkan, lahirlah disiplin baru: komunikasi kritis harus selalu tervalidasi.
Solusi yang dibutuhkan bukan sekadar teknologi baru. Perusahaan memang dapat menggunakan alat deteksi deepfake, tetapi perlindungan yang lebih kokoh tetap berasal dari proses. Approval, otorisasi, kanal resmi, pembatasan akses, audit trail, simulasi, dan budaya verifikasi adalah kombinasi yang lebih kuat. Di era deepfake, alat membantu mendeteksi, tetapi governance menentukan apakah kerugian bisa dicegah.
Penutup
Di Era Deepfake, Organisasi Harus Belajar Percaya dengan Cara Baru
Pembahasan ini membawa kita pada satu refleksi penting: masa depan keamanan organisasi tidak hanya ditentukan oleh seberapa canggih sistem digitalnya, tetapi juga oleh seberapa matang cara organisasi memperlakukan kepercayaan. Deepfake membuat suara tidak lagi cukup. Video tidak lagi otomatis meyakinkan. Pesan mendesak tidak lagi boleh langsung mengalahkan prosedur. Dunia kerja digital menuntut organisasi untuk tetap cepat, tetapi tidak lagi polos.
Case study Arup memperlihatkan bahwa risiko ini sudah nyata. Satu video meeting yang tampak sah dapat berubah menjadi kerugian besar ketika instruksi tidak diverifikasi dengan benar. National Institute of Standards and Technology dan Cybersecurity and Infrastructure Security Agency memperlihatkan bahwa jalan keluarnya bukan sekadar lebih curiga, tetapi lebih disiplin. Organisasi perlu memindahkan dasar kepercayaan dari “siapa yang tampak berbicara” menjadi “proses apa yang membuktikan bahwa instruksi itu sah.”
Di sinilah Trust No Voice menemukan makna terdalamnya. Ia bukan slogan anti-kepercayaan. Ia adalah ajakan untuk menjaga kepercayaan agar tidak dicuri oleh pihak yang salah. Pimpinan tetap harus dihormati. Rantai komando tetap harus berjalan. Keputusan tetap harus cepat. Tetapi semua itu harus berdiri di atas proses yang bisa dibuktikan, bukan sekadar suara yang terdengar familiar.
Bagi pimpinan, tantangannya adalah menciptakan budaya yang tidak mempermalukan orang karena bertanya ulang. Di era deepfake, karyawan yang memverifikasi instruksi penting bukan sedang meragukan otoritas. Ia sedang melindungi otoritas tersebut. Bagi karyawan, tantangannya adalah berani menahan tindakan ketika instruksi terasa janggal, meskipun datang dari sosok yang tampak berwenang.
Pada akhirnya, rantai komando yang sehat bukan rantai komando yang hanya patuh. Rantai komando yang sehat adalah rantai komando yang mampu memastikan kebenaran sebelum bertindak. Di era deepfake, organisasi yang kuat bukan yang paling cepat percaya, tetapi yang paling disiplin menjaga agar setiap keputusan besar lahir dari instruksi yang benar, sah, dan tervalidasi.
Referensi
- Digital Security Risk Management for Economic and Social Prosperity, Organisation for Economic Co-operation and Development, OECD Publishing, 2015.
- Framework for Improving Critical Infrastructure Cybersecurity Version 1.1, National Institute of Standards and Technology, National Institute of Standards and Technology, 2018.
- Zero Trust Architecture, Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly, National Institute of Standards and Technology, 2020.
- Zero Trust Maturity Model Version 2.0, Cybersecurity and Infrastructure Security Agency, Cybersecurity and Infrastructure Security Agency, 2023.
- UK Engineering Firm Arup Falls Victim to £20m Deepfake Scam, Dan Milmo, The Guardian, 2024.
- 2024 Internet Crime Report, Federal Bureau of Investigation Internet Crime Complaint Center, Federal Bureau of Investigation, 2025.
- Cyber Signals Issue 9: AI-powered Deception, Emerging Fraud Threats and Countermeasures, Microsoft Security Team, Microsoft Security, 2025.
- Cybercrime: Lessons Learned from a USD 25 Million Deepfake Attack, David Elliott, World Economic Forum, 2025.
- Global Risks Report 2025, World Economic Forum, World Economic Forum, 2025.
- Global Cybersecurity Outlook 2026, World Economic Forum, World Economic Forum, 2026.
