Diketahui:
Sebuah platform kesehatan digital menyimpan data pasien dengan metode sebagai berikut:
-
Nomor identitas → hash
-
Email → hash
-
Data medis → enkripsi
Terjadi insiden keamanan di mana pihak luar dapat melakukan re-identification attack dengan mencocokkan hash, pola data kunjungan, dan informasi publik.
Pertanyaan:
1. Jelaskan mengapa hashing saja tidak cukup untuk melindungi data identitas pasien, terutama jika data tersebut dapat dicocokkan dengan sumber eksternal. Gunakan contoh logika sederhana yang kamu buat sendiri untuk menjelaskan.
Jawaban:
Karena hashing hanya mengubah data jadi kode unik, tapi jika datanya (misalnya: tanggal lahir + kode pos) terlalu umum atau ada di informasi publik, peretas bisa coba-coba bikin kode (hash) dari semua kemungkinan data publik itu. Hashing hanya melindungi dari melihat data asli secara langsung. Dia tidak melindungi dari serangan pencocokan terutama jika data yang di-hash adalah data yang tidak unik atau dapat ditebak dan bisa dicocokkan dengan sumber data eksternal (data publik, media sosial, dll.).
Contoh logika sederhana:
Data pasien hanya berisi tanggal lahir dan kode pos. Ada ribuan pasien dengan tanggal lahir dan kode pos yang sama. Sekarang, data itu di-hash. Jika peretas tahu ada tokoh publik yang lahir di tanggal itu dan tinggal di kode pos itu, mereka tinggal membuat hash dari tanggal dan kode pos tokoh publik itu, dan mencocokkan hash-nya dengan hash yang bocor. Jika cocok, identitas pasien itu terbuka, meskipun hash-nya aman.
2. Berikan dua skenario nyata (boleh fiktif namun masuk akal):
A: Situasi di mana hash lebih tepat digunakan daripada enkripsi
B: Situasi di mana enkripsi lebih tepat digunakan daripada hash Sertakan alasan teknis singkat yang kamu pahami sendiri, bukan sekadar teori.
Jawaban:
A. Contoh: Rumah sakit ingin memastikan tidak ada file Rekam Medis Elektronik (RME) yang dimodifikasi setelah disimpan.
Setelah RME disimpan, sistem membuat hash uniknya (misalnya SHA-256) dan menyimpannya secara terpisah. Jika ada yang mengubah RME tersebut (walau hanya satu spasi), hash barunya akan berbeda total dari hash yang disimpan. Ini menunjukkan adanya perubahan/manipulasi. Kita tidak perlu mengembalikan data hash menjadi data asli, kita hanya perlu membandingkannya, jadi hashing lebih efisien dan berfungsi sebagai “cap integritas”.
B. Contoh: Rumah sakit perlu mengirimkan hasil tes sensitif (misalnya hasil tes genetik) dari server lab ke laptop dokter melalui jaringan internet.
Data tersebut perlu dibaca oleh dokter, sehingga perlu ada proses dekripsi untuk mengembalikan data ke format aslinya yang dapat dibaca. Hashing tidak bisa melakukan ini. Enkripsi (misalnya AES-256) memastikan data tetap rahasia saat dalam perjalanan (in transit). Hanya penerima yang memiliki kunci dekripsi yang bisa membukanya.
3. Buat contoh data buatan kamu (3 sampai 5 baris teks saja, tidak perlu menghitung hash asli) untuk menunjukkan bagaimana penyerang dapat menebak identitas pasien melalui pola atau kesesuaian informasi, misalnya dari usia, tanggal kunjungan, atau jenis pemeriksaan.
Jawaban:
Nama: Salahudin
Jenis Kelamin: Laki-laki
Jenis Pemeriksaan: CT Scan Kepala Retak
Tanggal Kunjungan: 05/11/2025
Dari data diatas tersebut peretas mencari di media sosial atau berita tentang seorang pria yang bernama Salahudin yang baru-baru ini kecelakaan. Kemudian, mereka mencari di berita/media sosial tentang pria yang melakukan CT Scan Kepala Retak sekitar tanggal 05/11/2025. Setelah menemukan satu atau beberapa kandidat yang sangat kuat, peretas membuat hash dari lima data ini untuk kandidat tersebut. Jika hash yang mereka buat cocok dengan hash yang bocor, identitas pasien berhasil ditemukan.
4. Usulkan pendekatan defense-in-depth untuk sistem tersebut dalam bentuk paragraf, tidak bullet point. Bahasan kamu harus mencakup minimal empat elemen berikut: penggunaan salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, dan prinsip data minimization. Jelaskan sebagai strategi yang kamu rancang sendiri.
Jawaban:
Simpan Data Sedikit Mungkin (Data Minimization). Untuk data yang wajib disimpan, identitas aslinya harus disamarkan total (Pseudonymization). Saat data penting di-hash, harus ditaburi Salt/Pepper unik supaya hash-nya enggak bisa dicocokkan dengan kamus hash eksternal. Secara operasional, kita harus Membatasi Akses Karyawan ke data sensitif hanya yang benar-benar butuh (prinsip least privilege). Dan yang paling penting, semua aktivitas, terutama akses data, harus direkam (di-Logging dan di-Audit) supaya kalau ada yang mencurigakan bisa ketahuan cepat.
5. Jelaskan dengan opini pribadi kamu mengapa kebocoran hash data kesehatan lebih berbahaya dibanding kebocoran hash password biasa. Sertakan sudut pandang etika, dampak sosial, dan reputasi pasien. Gunakan argumen kamu sendiri.
Jawaban:
Menurut saya pribadi, kebocoran hash data kesehatan lebih berbahaya dibandingkan kebocoran hash passwod biasa, karena password bisa diganti sedangkan data kesehatan tidak bisa diganti. Kebocoran data kesehatan (misalnya, riwayat penyakit mental, HIV, atau kondisi genetik langka) dapat menyebabkan diskriminasi sosial yang parah. Pasien bisa ditolak pekerjaan, ditolak asuransi, atau bahkan dikucilkan di lingkungan sosialnya. Secara etika, kerahasiaan medis adalah hak dasar, dan pelanggarannya menciptakan dampak jangka panjang pada kehidupan pasien. Jika identitas pasien berhasil diidentifikasi ulang dari hash yang bocor, reputasi pasien bisa hancur. Bayangkan jika seorang pejabat publik atau tokoh masyarakat terungkap memiliki penyakit yang dianggap “aib”. Informasi ini bisa digunakan untuk pemerasan (blackmail) atau kampanye negatif yang merusak karier dan martabat mereka secara permanen. Dan sementara kebocoran hash password hanya merusak akun.