Assignment9 – BD303 – Steven Harazaki Lase – 2381477560

PERTANYAAN  

Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.

  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.

  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.

2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.

  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi

  • Tujuan penyerang

  • Dampak yang ditimbulkan

  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepperpseudonymizationpembatasan akses internalaudit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

  • Dampak terhadap reputasi seseorang

  • Kepercayaan masyarakat terhadap pemerintah

  • Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.

Ketentuan Pengumpulan

  • Jawaban ditulis dalam bentuk Cermi (Cerita Mini) di situs: https://bisnisdigital.raharja.ac.id

  • Setelah dipublikasikan, buat shortlink menggunakan https://bysl.pw dan cantumkan pada bagian akhir jawaban.

  • Semua contoh dan penjelasan harus buatan sendiri, bukan hasil salinan dari internet atau AI lain.

  • Waktu pengerjaan maksimal tiga jam

STATUS : 100%

KETERANGAN  : Sudah Mengerjakan Dengan Baik Dan Benar

BUKTI :

1. Menurutku risiko terbesar muncul karena blockchain publik itu transparan, tapi transparansi tak selalu berarti aman.
Meski nama warga tidak ditulis langsung, pola waktu, validator, dan jenis dokumen bisa menyatukan potongan informasi hingga membentuk identitas seseorang. Contohnya seperti ketika seseorang mengajukan izin usaha jam 9 pagi dan validatornya Dinas A, kalau ditelusuri bisa ketahuan siapa dia, apalagi kalau AI juga menampilkan ringkasan seperti “pemilik baru Rina”. Di sisi lain, AI Generatif kadang tidak tahu batas karena Ia bisa mengutip potongan kalimat dari dokumen pribadi tanpa sadar bahwa kalimat itu sensitif. Dan ketika semua sistem ini dihubungkan lewat satu portal pemerintah, potensi kebocorannya bukan lagi kecil. Rasanya seperti kita membuka jendela terlalu lebar yang cahaya memang masuk, tapi begitu juga pandangan orang luar yang bisa melihat isi rumah kita.

2.

A. coba teman teman bayangkan situasi di mana sebuah sistem blockchain pemerintah ingin menyimpan sidik digital (hash) dari dokumen warga, kita ambil contoh sederhana misalnya ijazah. Di sini hashing bisa lebih cocok karena tujuannya bukan untuk membaca ulang isi dokumen, tapi hanya untuk memastikan bahwa dokumen tersebut terjamin keasliannya. Contohnya seperti saat kita mencocokkan cap jempol di KTP, bukan membaca pola sidik jarinya, tapi memastikan sama atau tidak. Hashing menjaga integritas data tanpa menyimpan data aslinya, jadi kalau ada yang memanipulasi dokumen, hasil hashnya langsung berbeda.jadi hashing Aman, cepat, dan tidak perlu memuat informasi sensitif wkwkw.

B. tapi beda cerita kalau petugas harus memproses dokumen sertifikat tanah yang berisi nama dan alamat lengkap pemiliknya.
Kalau hanya dihash, isi dokumen tak bisa dibaca lagi. Makanya di sini enkripsi lebih aman. Hanya pihak yang memiliki kunci rahasia yang bisa membukanya. Secara teknis, hashing menjaga integritas, tapi enkripsi menjaga kerahasiaan. Dan untuk hal-hal pribadi seperti ini, kerahasiaan jauh lebih penting daripada sekadar bukti keaslian. jadi setiap hal punya kelebihannya masing masing

3.

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator : Dinas A – ringkasan AI: “Pemilik: Servamp, usaha sembako”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator :Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
TxID003 – waktu: 2025-10-12 09:35 – dokumen: sertifikat tanah – validator : Dinas C – ringkasan AI: “Luas 200m2 di Lolomboli, Gunungsitoli Selatan ”
TxID004 – waktu: 2025-10-12 09:36 – dokumen: ijazah – validator: Dinas Pendidikan – ringkasan AI: “Alumni SMA NEGERI 1 GUNUNGSITOLI”

Dari empat baris data sederhana ini, penyerang bisa mulai menebak identitas. Misalnya, “Servamp” yang punya usaha sembako di Lolomboli dan alumni SMA NEGERI 1 GUNUNGSITOLI, jadi kalau ditelusuri lewat media sosial, kemungkinan besar identitas aslinya gampang didapat. Jadi, meski datanya tampak anonim, pola dan konteks waktu seperti itu bisa membocorkan lebih banyak hal dari yang terlihat. Di dunia digital seperti saat ini , jejak kecil yang kita tinggalkan tanpa sadar bisa berubah jadi cermin besar yang bisa saja dilihat semua orang.

4. Kalau aku bayangkan serangan yang paling mungkin terjadi di portal CivChain, aku akan pilih DDoS attack. Karena Serangan ini sederhana tapi mematikan. Bayangkan pintu masuk gedung pelayanan publik yang tiba-tiba diserbu ribuan orang secara bersamaan, bukan karena ingin dilayani, tapi hanya ingin membuat antrean tidak bergerak sama sekali, jatuhnya bisa bikin ribet dan ngeselin. Begitulah cara DDoS bekerja, yang mana ribuan permintaan dikirim ke server hingga sistem kewalahan dan akhirnya tumbang.

Tujuan penyerang tidak selalu mencuri data. Jadi kadang mereka hanya ingin membuat kekacauan kecil yang mencuri perhatian besar membuat warga kehilangan kepercayaan pada sistem digital pemerintah, jadinya mereka hanya ingin menjatuhkan reputasi saja. Ada pula yang melakukannya demi uang, atau sekadar pamer kemampuan. jadi jatuhnya mereka kebanyakan CAPER

Dampaknya nyata. Beberapa jam saja situs lumpuh, layanan publik berhenti. Petugas tidak bisa memproses dokumen, dan warga yang butuh surat mendesak harus menunggu tanpa kepastian(seperti hubunganmu dengan dia yang gak pasti wkwkw). Yang lebih berbahaya bukan hanya gangguan teknis, tapi hilangnya rasa percaya. Sekali publik menganggap sistem tidak aman, butuh waktu lama untuk memulihkannya.

Untuk mencegahnya, ada dua sisi yang harus dijaga. Dari sisi teknis, sistem perlu dipasangi load balancer agar beban server terbagi rata, dan rate limiter supaya satu alamat IP tidak bisa mengirim terlalu banyak permintaan. Kita juga bisa menggunakan firewall khusus yang mengenali pola serangan.

Dari sisi kebijakan, tim keamanan perlu memiliki rencana respons insiden yang jelas seperti siapa yang harus bertindak dulu, apa yang perlu dimatikan, dan bagaimana sistem dipulihkan. Selain itu, mereka juga harus lakukan uji serangan berkala agar sistem tidak kaget saat situasi nyata datang. Karena pada akhirnya, serangan digital tidak hanya melawan mesin, tapi juga menguji kesiapan manusia di baliknya.

5. Kalau aku menjadi penanggung jawab keamanan di sistem pemerintahan seperti CivChain, aku akan membangun pertahanan seperti tembok transparan dan kuat, tapi tetap memungkinkan sistem bekerja dengan luwes. Pertama, aku akan menerapkan salt dan pepper pada proses hashingnya agar setiap data punya karakter unik, seperti sidik jari digital yang tak bisa ditebak. Kedua, aku akan melakukan teknik pseudonymization yang menyamarkan data sensitif dengan identitas sementara, supaya saat data diproses, nama asli warga tidak langsung terlihat. Ketiga, aku akan membatasi akses internal, karena kebocoran sering datang bukan dari luar, tapi dari dalam wkwwk, jadi hanya orang yang benar-benar berwenang yang bisa membuka data tertentu. Keempat, audit dan logging harus aktif setiap saat. Semua aktivitas harus terekam, bukan untuk mencurigai, tapi untuk menjaga kejelasan jejak dan transparansinya. Dan terakhir, aku percaya pada prinsip data minimization yang berarti simpan hanya yang perlu. Karena semakin banyak data yang disimpan, semakin besar tanggung jawab yang ditanggung. Jadi keamanan bukan tentang menutup diri dari dunia, tapi tentang tahu apa yang perlu dijaga, siapa yang boleh melihat, dan kapan harus membuka.

6. Menurutku, kebocoran data publik jauh lebih dalam lukanya dibanding kebocoran password biasa. Password bisa diganti dalam hitungan menit, tapi identitas dan sejarah hidup seseorang tidak bisa dihapus dari dunia digital. Sekali bocor, ia menempel seperti bayangan di dinding internet, wihh mengerikan . Kebocoran seperti ini bisa menghancurkan reputasi, bahkan tanpa konteks. Seseorang bisa dihakimi karena informasi yang disebar tanpa izin. Lebih dari itu, kepercayaan masyarakat terhadap pemerintah akan retak, bukan karena sistemnya gagal, tapi karena rasa aman yang seharusnya dijaga telah hilang, jadinya itu dapat membuat orang orang menjadi trust issue. Pemerintah sebagai pengelola data publik, punya tanggung jawab yang bukan hanya teknis, tapi juga moral. Data warga bukan sekadar kumpulan angka dan nama tapi itu potongan hidup, cerita, dan kepercayaan. Dan ketika kepercayaan itu rusak, tidak ada algoritma yang bisa memperbaikinya secepat itu. Bagi aku , menjaga data publik adalah bentuk penghormatan terhadap martabat manusia. Karena di balik setiap baris kode dan server yang menyala, selalu ada seseorang yang menitipkan harapan bahwa hidupnya aman di tangan sistem yang ia percayai.

Previous Post Previous Post
Newer Post Newer Post

Leave a comment