Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.

2. Dua Skenario (20%)

Buat dua cerita singkat:

A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”

TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

Bagaimana serangan bisa terjadi
Tujuan penyerang
Dampak yang ditimbulkan
Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

Dampak terhadap reputasi seseorang
Kepercayaan masyarakat terhadap pemerintah
Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.

Ketentuan Pengumpulan

Jawaban ditulis dalam bentuk Cermi (Cerita Mini) di situs: https://bisnisdigital.raharja.ac.id
Setelah dipublikasikan, buat shortlink menggunakan https://bysl.pw dan cantumkan pada bagian akhir jawaban.
Semua contoh dan penjelasan harus buatan sendiri, bukan hasil salinan dari internet atau AI lain.
Waktu pengerjaan maksimal tiga jam

status:100%

keterangan:sudah mengerjakan dengan baik

bukti:

Di sebuah kota fiktif, pemerintah memutuskan menyimpan data kependudukan dan kepemilikan tanah warga menggunakan blockchain publik. Semua transaksi dicatat secara permanen, dan walaupun terenkripsi, jejaknya bisa dilacak. Misalnya, seorang warga bernama Rina memiliki sertifikat tanah dan KTP digital yang tercatat di blockchain. Sistem AI pemerintah yang terhubung ke portal warga memproses data ini untuk menjawab pertanyaan secara otomatis. Tanpa disadari, AI menghasilkan ringkasan yang menyebutkan lokasi rumah, status ekonomi, dan riwayat bantuan sosial Rina. Portal pemerintah menjadi pintu akses utama; jika keamanan seperti MFA dan enkripsi end-to-end tidak diterapkan, seorang penjahat siber bisa memanfaatkan gabungan data publik dan ringkasan AI untuk membuat phishing yang sangat meyakinkan, menargetkan Rina secara personal.

Untuk melindungi login pengguna, startup AI bernama VeriChain menggunakan hashing. Saat Rina membuat akun, kata sandinya tidak disimpan langsung, melainkan diubah menjadi hash unik yang tidak bisa dibalikkan. Dengan cara ini, sistem hanya memverifikasi keaslian login tanpa mengungkap kata sandi asli. Namun, untuk dokumen kependudukan yang harus dibaca kembali oleh petugas, seperti KTP atau sertifikat tanah, sistem GovSecureID menggunakan enkripsi AES-256, karena hashing saja tidak cukup: data harus bisa dibuka kembali oleh pihak berwenang.

Sayangnya, ada catatan transaksi yang bisa dilihat publik:

TxID101 – sertifikat tanah – ringkasan AI: “Pemilik: pasangan S. dan R., lokasi: RT 05”
TxID102 – KTP elektronik – ringkasan AI: “Nama: R. (lahir 1982), pekerjaan: pedagang pasar”
TxID103 – bukti bantuan sosial – ringkasan AI: “Penerima: keluarga S., menerima BLT tahap 3”
TxID104 – surat izin usaha mikro – ringkasan AI: “Pemilik usaha: R., jenis usaha: warung kelontong, lokasi: dekat pasar A”

Dengan menggabungkan potongan informasi ini, penyerang bisa melakukan linkage attack untuk menebak identitas Rina. Jika digabungkan dengan AI untuk social engineering, penyerang dapat membuat pesan phishing atau deepfake yang personal, mengelabui Rina untuk menyerahkan kredensial atau informasi tambahan. Dampak serangan ini sangat serius: kebocoran data pribadi, gangguan layanan, kerugian finansial, hingga rusaknya reputasi.

Sebagai penanggung jawab keamanan, strategi kami mencakup beberapa lapisan: salt dan pepper untuk kata sandi, pseudonymization untuk memisahkan identitas asli dari analisis AI, pembatasan akses internal berbasis peran, audit dan logging konsisten untuk menelusuri aktivitas, dan data minimization agar hanya data yang diperlukan disimpan. Dengan pendekatan ini, kami berusaha meminimalkan risiko kebocoran dan memastikan kepercayaan masyarakat tetap terjaga.

Kebocoran data publik bukan hanya soal teknis. Dampaknya nyata: reputasi warga bisa rusak, kepercayaan masyarakat terhadap pemerintah menurun, dan lembaga yang mengelola data memiliki tanggung jawab etis untuk melindungi warganya. Sekali data bocor, konsekuensinya bisa panjang dan sulit diperbaiki, jauh lebih serius dibanding kebocoran password biasa.