BD303 – Hash – M. Shaquille Gaizka Abbiyah – 2481499999

Pertanyaan

Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.

  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.

  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.


Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.


2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.

  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.


3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.


4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi

  • Tujuan penyerang

  • Dampak yang ditimbulkan

  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.


5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepperpseudonymizationpembatasan akses internalaudit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.


6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

  • Dampak terhadap reputasi seseorang

  • Kepercayaan masyarakat terhadap pemerintah

  • Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.


Ketentuan Pengumpulan

  • Jawaban ditulis dalam bentuk Cermi (Cerita Mini) di situs: https://bisnisdigital.raharja.ac.id

  • Setelah dipublikasikan, buat shortlink menggunakan https://bysl.pw dan cantumkan pada bagian akhir jawaban.

  • Semua contoh dan penjelasan harus buatan sendiri, bukan hasil salinan dari internet atau AI lain.

  • Waktu pengerjaan maksimal tiga jam

 

Status : 100%

Keterangan : Saya telah mengerjakan tugas dengan baik dan benar

Bukti :

1. Analisis Logika Risiko Baru: Inferensi Data

 

Kombinasi Blockchain Publik, GenAI, dan Portal Pemerintah menciptakan risiko baru: Inferensi Data (Inferential Disclosure).

  • Logika: Transparansi permanen dari Blockchain Publik (menggunakan ID pseudonym) dikombinasikan dengan ringkasan kaya konteks dari GenAI (e.g., “Anak dari pegawai BUMN”) dan kunci pemetaan identitas di Portal Pemerintah. Penyerang menggabungkan data transaksi anonim yang spesifik ini untuk menyimpulkan identitas asli seseorang tanpa perlu meretas basis data NIK.
  • Contoh: Menghubungkan izin usaha yang spesifik (“dekat Gedung Parlemen”) dengan klaim medis dari profesi terkait (“Security yang patah tangan”) untuk mengungkap siapa individu Rina.

 

2. Dua Skenario Kriptografi

 

 

A. Hashing Lebih Tepat (Integritas)

 

Hashing (SHA-256) lebih tepat untuk verifikasi keaslian dan integritas dokumen, seperti sertifikat tanah yang dicatat di blockchain. Tujuannya adalah memastikan file tidak diubah, dan kerahasiaan isinya tidak menjadi prioritas utama.

 

B. Enkripsi Lebih Aman (Kerahasiaan)

 

Enkripsi wajib digunakan untuk menjaga kerahasiaan data sensitif, seperti rekam medis yang ditransfer antar rumah sakit. Hashing tidak cukup karena data asli (plainteks) tetap rentan disadap saat transit, sedangkan enkripsi menjamin hanya penerima yang berhak yang bisa membaca data.


 

3. Contoh Data Buatan & Analisis

 

Kami memiliki dua log data: TxID 001 menyebutkan pemilik Rina dengan bisnis Jasa Keamanan dekat Gedung Parlemen. TxID 003 mencatat klaim medis patah tulang untuk seorang Security. Penyerang dapat menyimpulkan bahwa individu yang sama (Rina) adalah Security yang mengalami insiden tersebut dan kemudian menebak identitasnya dengan mencari berita atau data publik tentang insiden keamanan di lokasi tersebut.


 

4. Serangan ke Website Pemerintah: SQL Injection (SQLi)

 

Serangan SQLi terjadi ketika penyerang memasukkan payload jahat (100' OR '1'='1) ke input yang tidak disaring, memaksa server mengeksekusi query yang mengembalikan data sensitif secara massal.

  • Tujuan & Dampak: Tujuan utama adalah Pencurian Data (Data Exfiltration) NIK dan alamat, yang berdampak pada kebocoran data massal dan hilangnya kepercayaan publik.
  • Pencegahan Teknis:
    1. Gunakan Prepared Statements (Parameterized Queries) untuk memastikan input diperlakukan sebagai data, bukan perintah SQL.
    2. Terapkan Principle of Least Privilege (PoLP) pada akun database aplikasi web.
  • Pencegahan Prosedur:
    1. Terapkan Prosedur Secure Coding Wajib dan Code Review ketat.
    2. Lakukan Audit dan Penetration Testing (Pen-Test) berkala.

 

5. Strategi Pertahanan

 

Sebagai penanggung jawab keamanan, kami akan menerapkan Data Minimization dan mengamankan password dengan salt/pepper kuat. Data publik akan melalui Pseudonymization. Kami akan menegakkan Pembatasan Akses Internal berdasarkan prinsip Need-to-Know. Seluruh aktivitas sistem akan dicatat dan diaudit melalui Audit dan Logging terpusat.


 

6. Refleksi Etika dan Dampak Sosial

 

Kebocoran data terstruktur jauh lebih berbahaya daripada password karena:

  • Dampak Reputasi: Menyebabkan “dosa digital” permanen berupa pola hidup intim (kesehatan, finansial) yang dapat memicu diskriminasi.
  • Kepercayaan Pemerintah: Menghancurkan kepercayaan dasar masyarakat terhadap kemampuan pemerintah sebagai pengelola data yang bertanggung jawab.
  • Tanggung Jawab Etis: Ini adalah pengkhianatan etis karena pemerintah gagal bertindak sebagai fiduciary atas informasi paling intim warga negara.
Previous Post Previous Post
Newer Post Newer Post

Leave a comment