Delve – Layanan kepatuhan palsu

 (deepdelver.substack.com)
1 poin oleh GN⁺ 2026-03-21 | 1 komentar | Bagikan ke WhatsApp
  • Platform Delve terungkap beroperasi sebagai ‘sistem yang membuat tampak seolah-olah patuh’ tanpa kontrol keamanan yang nyata
  • Hasil investigasi internal dan analisis spreadsheet yang bocor menunjukkan bahwa laporan audit, pengujian, dan kesimpulan dibuat otomatis oleh Delve, lalu ditandatangani secara formalitas oleh lembaga sertifikasi berbasis India
  • Pelanggan menggunakan bukti palsu, notulen rapat fiktif, dan dokumen kebijakan yang terisi otomatis sehingga tampak seolah telah memperoleh sertifikasi SOC 2, ISO 27001, HIPAA, dan GDPR
  • Delve mengusung otomatisasi berbasis AI, tetapi pada praktiknya hanyalah sistem formulir yang berpusat pada input manual dan unggah tangkapan layar, dan sebagian besar fitur ‘integrasi’ tidak berfungsi
  • Akibatnya, ratusan perusahaan mengumumkan status keamanan palsu ke pihak luar dan terekspos pada risiko pelanggaran HIPAA, GDPR, serta tanggung jawab hukum

Masalah struktural Delve dan pengungkapan utama

  • Delve dipromosikan sebagai platform otomatisasi kepatuhan untuk SOC 2, ISO 27001, HIPAA, GDPR, dan lainnya, tetapi kenyataannya melanggar prinsip independensi audit dengan menyusun kesimpulan auditnya sendiri
    • Draf laporan audit sudah berisi kesimpulan dan prosedur pengujian yang ditulis Delve, sementara pelanggan hanya mengisi nama, tanda tangan, dan diagram
    • Semua laporan memiliki struktur kalimat dan salah ketik yang sama, dan lebih dari 99% dari 575 laporan memuat teks identik
  • Spreadsheet Google yang bocor memuat tautan laporan audit milik ratusan pelanggan, sehingga informasi sensitif seperti tanda tangan pribadi dan diagram sistem ikut terekspos
    • CEO Delve menyebutnya sebagai “email palsu yang dihasilkan AI”, tetapi dokumen aslinya terverifikasi di arsip publik

Pelanggaran independensi audit dan sistem audit palsu

  • Delve secara langsung menjalankan peran auditor, melanggar aturan AICPA
    • Kesimpulan audit ditulis terlebih dahulu, sehingga verifikasi independen menjadi mustahil
    • Lembaga sertifikasi berbasis India Accorp, Gradient, BQC, dan Glocert menandatangani laporan melalui cangkang badan hukum AS
    • Beberapa laporan memuat nomor lisensi auditor yang salah, menguatkan indikasi bahwa template yang sama disalin berulang kali
  • Jayshree Dutta, yang tercantum sebagai penanggung jawab audit, bukan CPA AS dan teridentifikasi berafiliasi dengan perusahaan India CyberTryZub serta BQC

Kepalsuan produk dan proses

  • ‘Otomatisasi AI’ Delve adalah sistem berbasis formulir manual dengan hampir tanpa fungsi AI nyata
    • Sebagian besar ‘integrasi’ hanya meminta unggah tangkapan layar tanpa proses autentikasi
    • Kebijakan, penilaian risiko, simulasi keamanan, dan lainnya disusun sebagai template dengan nilai bawaan yang bisa diselesaikan hanya dengan klik
  • Modul Pathways diklaim dikembangkan sendiri oleh Delve, tetapi ternyata menggunakan SimStudio open source tanpa izin
  • Pelanggan harus mengadopsi notulen rapat palsu, hasil uji keamanan palsu, dan dokumen kebijakan palsu, dan bila menolak, mereka harus mengerjakan sebagian besar proses secara manual

Laporan palsu dan manipulasi Trust Page

  • Trust Page milik Delve menandai kontrol keamanan yang sebenarnya tidak diterapkan sebagai ‘selesai’
    • Dari 322 pelanggan SOC 2, sebanyak 321 menggunakan 51 item kontrol yang identik
    • Langkah keamanan yang tidak benar-benar ada, seperti MDM, deteksi intrusi, backup, dan penghapusan data, ditampilkan otomatis
  • Laporan SOC 2 Type II menyatakan telah memenuhi seluruh kriteria seperti “security, availability, confidentiality, privacy”, tetapi pengujian yang benar-benar dilakukan hanya satu item keamanan
    • Semua laporan berakhir dengan frasa yang sama: “No exceptions noted”

Risiko regulasi dan hukum

  • Proses palsu Delve menempatkan pelanggan dalam kondisi melanggar GDPR dan HIPAA
    • Pelanggaran HIPAA dapat berujung pada sanksi pidana, dan pelanggaran GDPR dapat dikenai denda hingga 4% dari pendapatan global
    • Karena ada juga perusahaan yang memproses data medis dan pertahanan, situasinya menimbulkan risiko setingkat keamanan nasional
  • Pelanggan Delve tanpa sadar telah menyerahkan laporan sertifikasi palsu ke pihak eksternal dan dapat menanggung tanggung jawab kontraktual maupun reputasional

Kesimpulan dan rekomendasi

  • Delve adalah contoh industrialisasi struktur ‘otomatisasi kepatuhan palsu’ yang mengekspos pelanggan pada risiko hukum
  • Pelanggan yang sudah ada sebaiknya mencatat seluruh komunikasi dengan Delve secara tertulis dan secara jelas menanyakan pembuatan audit, independensi auditor, serta cakupan kebocoran data
  • “Proses kepercayaan berbasis AI” yang diklaim Delve pada dasarnya hanyalah sistem pembuat dokumen formalitas tanpa kemampuan verifikasi keamanan yang substantif
  • Insiden ini menunjukkan runtuhnya kepercayaan di pasar otomatisasi kepatuhan dan kembali menegaskan pentingnya audit independen serta kontrol keamanan yang nyata

Bacaan terkait

1 komentar

 
GN⁺ 2026-03-21
Komentar Hacker News

  • Banyak startup bergerak cepat dengan tim kecil
    Jika membuat produk yang bagus, perusahaan besar ingin berlangganan, tetapi proses sertifikasi jadi diperlukan
    Checklist memang berguna, tetapi terlalu disesuaikan dengan birokrasi gaya Eropa
    Kita jadi mendapat pertanyaan seperti, “Mana risk register untuk perusahaan berisi 7 orang?” lalu malah sibuk mengerjakan dokumen alih-alih pekerjaan utama
    Akhirnya membuat dokumen yang sebenarnya tidak akan dibaca siapa pun, mengarang proses yang tidak ada, dan menerjemahkan perusahaan yang lincah ke dalam bahasa perusahaan raksasa
    Kita butuh standar yang praktis dan proporsional untuk tim kecil

    • Sangat setuju. Tapi saya juga berpikir, kalau perusahaan besar menerapkan standar seperti ini dengan lebih cerdas, bukankah itu justru bisa jadi keunggulan kompetitif?
      Perusahaan saya adalah Fortune 500, tetapi proses pengadaannya begitu rumit sehingga sulit mengadopsi SaaS
      Sementara itu, pesaing kami lebih fleksibel dan bisa cepat mendapatkan vendor yang bagus. Perbedaan seperti ini pada akhirnya menjadi daya saing
    • Menurut saya CIS Controls v8.1 realistis dan benar-benar membantu keamanan
      Level 1 bagus sebagai dasar, dan Level 2 bisa diterapkan secara selektif sesuai risiko bisnis
      CIS Benchmarks juga layak dilihat. Itu kumpulan praktik terbaik untuk keamanan cloud, SaaS, dan OS
    • Jika tim belum siap, sebaiknya jangan memaksa diri lolos due diligence
    • Tujuan bisnis pada akhirnya adalah menghasilkan keuntungan
      Jika ‘teater korporat (corporate theater)’ ini menghasilkan pendapatan, maka itu juga bagian dari bisnis
      Jika Anda tidak menyediakan produk dengan cara yang diminta pelanggan, pada akhirnya Anda akan tersingkir dari pasar
    • Saya pikir proses sertifikasi yang rumit seperti ini adalah mekanisme yang dirancang sebagian pihak untuk mengendalikan akses ke pelanggan
      Orang-orang yang mengendalikan checklist adalah pihak yang diuntungkan

  • Compliance tidak terlalu sulit jika dilakukan dengan benar dan diberi waktu, tanpa mencari jalan pintas
    Saya menganggap AWS sebagai penyedia CaaS (Compliance as a Service) yang sesungguhnya
    Melalui AWS Artifact, pelanggan dibantu agar lebih mudah melewati proses sertifikasi yang rumit
    Tentu saja software atau kebijakan tetap menjadi tanggung jawab pengguna, tetapi keamanan fisik, pengelolaan hardware, pemulihan bencana, dan semacamnya pada praktiknya diberikan “gratis”

    • Manfaat ini berlaku bukan hanya untuk AWS, tetapi untuk semua penyedia cloud utama
      Hanya saja, dibanding penyedia infrastruktur sederhana seperti Hetzner, ada premi biaya yang cukup besar

  • Saya penasaran seberapa besar kemungkinan para pendiri berusia awal 20-an benar-benar bersemangat menyelesaikan masalah audit compliance
    Ini bidang yang terlalu membosankan, jadi rasanya sulit untuk tertarik. Atau mereka hanya terjun karena peluang?

    • Justru menyelesaikan masalah yang membosankan adalah pakem startup
      Ada yang bilang, semakin biasa masalahnya, semakin besar peluang menghasilkan uang
      Seperti tulisan Joel Spolsky, “Where there’s muck, there’s brass”
    • Saya bekerja di perusahaan yang membuat software khusus untuk industri yang diatur
      Para engineer hebat berusia 20-an sedang mengembangkan pemantauan Compliance Management System
      Mereka memakai AI untuk menyelesaikan masalah bisnis lama. Di pesisir timur AS, pasarnya besar di perbankan, kelistrikan, healthcare, dan lain-lain
    • Menurut saya bukan soal semangat, melainkan banyak orang usia 20-an yang sangat ingin menghasilkan uang
    • Saya juga ada di industri ini, dan domainnya memang kering dan tidak menarik
      Untungnya, sisi teknisnya menarik
      Dari sudut pandang pelanggan, compliance sangat menyakitkan sehingga sedikit otomatisasi saja sudah memberi nilai besar
    • Ini terasa seperti model konsultasi baru
      Mengumpulkan orang-orang 20-an yang pintar lalu mendapat pendanaan dengan narasi “akan merevolusi industri”
      Mirip seperti konsultan McKinsey yang pengaruhnya datang bukan dari pekerjaannya sendiri, melainkan dari nama merek
      YC tampaknya juga memainkan peran seperti itu

  • Kalaupun tulisan ini adalah serangan dari pesaing, bukti yang diajukan sangat kuat
    Jika itu palsu, nilai ganti rugi pencemaran nama baik bisa mencapai puluhan juta dolar
    Saya menghormati keberanian untuk memublikasikan pengungkapan seperti ini

  • Menarik bahwa penulis dan jaringannya baru mengangkat masalah ini setelah sertifikasi mereka sendiri ternyata tidak berlaku
    Sekarang mereka bertingkah seolah-olah menjadi ‘orang benar yang membongkar Delve’

  • Saya pernah mengalami proses ini secara langsung
    Menurut saya kegagalan mendasarnya adalah lembaga sertifikasi mengeluarkan sertifikat hanya dengan menerima uang tanpa verifikasi
    Perantara seperti Delve hanyalah pihak yang memperbesar kegagalan itu
    Siapa pun di industri ini tahu bahwa ini hanyalah teater keamanan (security theater)

  • Kedalaman tulisan ini mengesankan
    Kami juga baru-baru ini meninjau Drata, dan awalnya terlihat cukup bagus
    Tetapi setiap kali ada kejadian seperti ini, saya jadi bertanya-tanya berapa banyak penipuan yang belum terungkap di luar sana

  • Satu-satunya tujuan pengujian adalah menemukan kegagalan
    Menyegarkan melihat ada orang yang secara terbuka menunjukkan masalah seperti ini ketika semua orang lain hanya ikut arus

  • Saya melihat tulisan ini di LinkedIn, dan sangat menarik
    Untuk tulisan sedalam ini, menurut saya seharusnya sekarang sudah ada di bagian atas HN

    • Mungkin paparannya sengaja ditekan
      Mengingat ini situs Y Combinator, hal itu mungkin saja
      Beberapa perusahaan yang saya tahu mendapatkan laporan SOC 2 Type 2 hanya dalam 5 hari lewat Delve
      Mereka bahkan memakai slogan pemasaran “SOC 2 in days”. Sulit dipercaya

  • Compliance adalah sesuatu yang tidak diinginkan siapa pun, tetapi dibutuhkan semua orang
    Pada akhirnya ini dipandang sebagai layanan untuk melempar tanggung jawab
    Jika regulator bertanya, mereka cukup menunjukkan sertifikat dari tempat seperti Delve dan selesai

    • Saya tidak ingin bekerja di tempat seperti itu
      Penyedia SaaS harus punya rasa tanggung jawab untuk melindungi data pelanggan
      Framework compliance adalah alat untuk membantu upaya itu
      Ia menjadi sarana untuk menemukan gap, memahami risiko, mendorong perbaikan, dan menjelaskan tingkat kesiapan kita kepada mitra
      Perilaku yang digambarkan dalam tulisan Medium itu hanyalah penipuan
      Sebagai pendiri, saya ingin memberi pelanggan tingkat kepercayaan tertinggi
    • Tidak ada yang ingin membayar pajak atau mencuci pakaian, tetapi itu memang harus dilakukan
      Compliance juga sama
    • Saat saya berada di industri keamanan siber, keadaannya juga mirip
      Sebagian besar klien mempekerjakan kami bukan untuk meningkatkan keamanan, tetapi untuk memenuhi persyaratan asuransi
      Pada akhirnya itu juga struktur untuk melempar tanggung jawab
    • Ini terdengar seperti komentar dari orang yang tidak paham industri B2B
      Pada praktiknya, banyak pendiri berulang kali mendengar, “Kami ingin membeli produk Anda, tetapi tidak bisa karena belum ada sertifikasi”
      Karena itu, mereka bangun pagi dan berpikir, “Hari ini saya harus mendapatkan sertifikasi XYZ-123”
      Compliance bukan soal melempar tanggung jawab, melainkan syarat minimum untuk membuktikan kepercayaan kepada pelanggan
      Setiap permainan yang layak dimainkan punya biaya masuk (table stakes)
    • Tidak ada yang secara sukarela ingin mengurus compliance, tetapi
      jika Anda mendirikan perusahaan yang punya kewajiban hukum dan moral, itu adalah tanggung jawab yang memang harus Anda pikul sendiri
      Melemparkannya ke perusahaan lain adalah tindakan yang tidak bertanggung jawab