Cermi Week 8 – Hash – Rufaidah Tiara Zahwa – 2481416814

Jawaban Dari Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.
Karena AI pada umumnya bekerja melalui perintah,jika perintah atau algoritma yang diprogramkan kepada AI tersebut tidak detail atau memiliki kesalahan sedikit saja bisa membuat kesalahan fatal,contohnya kebocoran data identitas pengguna.Dalam hal ini, sebenarnya AI tidak bersalah karena hanya mengikuti perintah,’human errror’ menjadi faktor utama dimana AI tidak dilatih dengan baik atau adanya kesalahan pemograman. Misalnya seorang pengguna hanya memberi perintah untuk membuka ringkasan dokumennya,tetapi karena AI tidak dilatih dengan baik,AI malah memunculkan sepotong tulisan data pribadi atau bahkan foto pengguna lain dari ringkasan tersebut walaupun tidak terlalu jelas.Tetapi hal ini tetap bahaya karena website CivChain sudah gagal menjaga data pengguna dan kemungkinannya tidak hanya satu data yang bocor dari kesalahan pemograman AI

2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
    Pada kasus platform CivChain,hashing yang bersifat satu arah akan sangat bermanfaat digunakan dalam melakukan verifikasi data,seperti verifikasi sidik jari,kata sandi pengguna dalam bentuk hash dan juga membuat tanda tangan digital untuk memastikan keaslian dokumen  publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Dalam hal ini hashing dapat menjadi bukti digital sebuah data dengan sistem hashingnya,yaitu mengubah data menjadi kode unik yang mewakili data tersebut.ika satu bit data berubah, seluruh hash berubah total, menjadikannya bukti digital yang sempurna untuk membuktikan data belum dimodifikasi.Penggunaan hashing lebih tepat dibandingkan enkripsi karena data tersebut sangat sensitif jika kunci enkripsi bocor.
  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.
    Berbeda dengan hashing yang bersifat satu arah,enkripsi bisa dibuka kembali dengan deksripsi.Dalam CivChain,enkripsi dapat dimanfaatkan untuk melindungi data umum pengguna CivChain,temasuk komunikasi dengan pihak lain,data profil dan riwayat penggunaan dokumen. Dalam hal ini enkripsi dinilai tebih ideal karena pengguna(pihak berwenang) umumnya akan membuka kembali data tersebut,namun jika menggunakan hashing akan menjadikan data tersebut sia-sia karena tak bisa dibaca.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):
TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

TxID003 – waktu: 2025-11-05 14:15 – dokumen: pengajuan kredit – validator: Bank X – ringkasan AI: “Pekerjaan: Guru PNS di SMP 1 Jakarta”

TxID004 – waktu: 2025-11-05 14:17 – dokumen: permohonan BPJS – validator: BPJS Kesehatan – ringkasan AI: “Alamat domisili: Jl. Merdeka No. 45, Jakarta Pusat”

TxID005 – waktu: 2025-11-05 14:20 – dokumen: pendaftaran hak cipta – validator: Kemenkumham  – ringkasan AI: “Judul karya: ‘Kumpulan Cerita Pendek Tentang Kucing”

Dengan menggabungkan informasi riwayat aktivitas tersebut, penyerang bisa menyimpulkan bahwa target adalah seorang Guru PNS (TxID003) di Jakarta Pusat (TxID004), lahir pada tahun 1988 (TxID007), kemungkinan memiliki minat pada sastra (TxID005) Kombinasi unik dari detail ini memungkinkan mempersempit daftar orang yang mungkin, bahkan tanpa melihat nama.

4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi
    Serangan DDoS dengan integrasi AI menggunakan teknik dalam AI untuk memcari celah suatu situs web secara otomatis. Serangan ini dimulai melalui AI yang dapat menganalisis pola trafik jaringaj untuk menentukan waktu yang tepat untuk menyerang jaringan.Peretas melalui botnet,yaitu jaringan yang terinfeksi malwarre akan melakuka penyesuaian taktik,khususunya mengganti alamat IP,hingga mengoordinasikan trafic palsu dari berbagai wilayah.Kemudian AI ini akan mengatur serangan berlapis pada situs web yang menjadi target
  • Tujuan penyerang
    Tujuan dalam DDos umunya untuk menghabiskan sumber daya aplikasi hingga melumpuhkan situs web dan mengganggu layanannya yang ada pada situs web tersebut.
  • Dampak yang ditimbulkan
    Dampak yang ditimbulkan setelah suatu website terkena serangan DDoS adalah kinerja website akan menurun secara drastis,situs menjadi lambat atau bahkan tidak dapat diakses.Ini dikarenakan ada peningkatan lalu lintas jaringan yang tiak waja secara tiba-tiba karena trafic palsu yang dibuat penyerang.
  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)
    1. Menggunakan Network Detection and response(NDR) yang dapat mengenali dan menangani pola traficc yang mencurigakan secara otomatis
    2. Menggunakan teknil blackholing atau null routing yaitu teknik mengalihkan lalu lintas mencurigakan ke rute nol agar menhentikannya sebelum mencapai tujuan.
    3. Memperbarui sistem dan perangkat secara teratur untuk membantu menutup celah keamanan yang mungkin dimanipulasi
    4. Membuat langkah prosedur kerja saat serangan DDoS terjadi dalam sistem,khususnya komunikasi,eskalasi dan pemulihan.

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

Sebagai penanggung jawab keamanan Civchain,makan saya akan memperkuat keamanan data dan mencegah adanya peretasan data pengguna.Pertama adalah menggunakan Salt and papper. Salt dalam hal ini adalah dengan menaruh bumbu yaitu huruf atau kata acak unik pada hash yang sudah ada sehingga peretas akan lebih sulit untuk menebak data yang sebenarnya. Misalnya H1464 ditambahkan dengan Y7  dan menjadi H1464Y7.Sedangkan pada Pepper bumbu tambahan ini digunakan untuk semua data namun akan disimpan secara terpisah. Kemudian pseudonymization, yaitu mengganti identitas pengguna platform dengan nama atau istilah samaran.Contohnya mengganti nama pengguna atau tanggal aktivitas penggunaan dokumen dengan nomor atau kode,terutama dalam data aktivitas atau statistik.. Melakukan Pembatasan akses internal juga hal yang sangat penting agar tidak sembarangan orang bisa mengakses dokumen-dokumen publik pengguna tetapi yang benar-benar memiliki kepentingan fungsional yang dapat mengakses data sensitif dan dokumen publik. Audit dan Logging berarti melakukan pencatatan dan evaluasi segala aktivitas dalam sistem data CivChain.Mereka perlu memastikan hanya orang yang berkepentingan saja yang bisa mengakses sistem ini, dengan begitu jika ada pola mencurigakan atau anomali bisa segera diselidiki dan diatasi. Terakhir Data minimization. Dalam hal ini data minimization bermaksud untuk meminimalkan mengumpulkan data penggunasecara berlebihan,dan hanya digunakan saat diperlukan saja agar data pribadi atau sensitif yang bisa dicuri peretas juga semakin sedikit/minimal

6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

Kebocoran data pribadi dapat berdampak pada reputasi seseorang,misalnya pengungkapan identitas akan mengungkapkan informasi keuangan dan lokasi pemilik identitas atau bahkan dimanfaatkan seseorang untuk melakukan tindak kriminal sehinggan pemilik asli identitas tersebut akan tercoreng reputasinya. Tentunya kebocoran data ini juga akan menurunkan kepercayaan publik pada pemerintah,publik memilih untuk tidak menggunakan CivChain untuk menjaga data pribadinya.Dalam hal ini lembaga pengelola data Civchain akan dipertanyakan tanggung jawabnya dan berpotensi mendapatkan sanksi baik secara hukum maupun sanksi sosial dari masyarakat

Previous Post Previous Post
Newer Post Newer Post

Leave a comment