Hash pertemuan 9 by Muhammad Tamammudin

1.Kombinasi antara blockchain publik, Generative AI (GenAI), dan portal pemerintah bisa menciptakan risiko baru terhadap privasi dan keamanan data warga karena teknologi ini saling melengkapi dalam cara yang membuat data pribadi lebih mudah diakses, dianalisis, dan disalahgunakan. Blockchain publik menyimpan data secara terbuka dan permanen, GenAI bisa mengolah data besar menjadi wawasan yang berguna, sementara portal pemerintah menyimpan informasi sensitif warga. Ketika digabungkan, akan menyebabkan bagi pelaku jahat untuk mengumpulkan potongan data yang tampak tidak berbahaya, lalu menyusunnya menjadi gambar lengkap identitas seseorang.

Contoh:

Penggunaan GenAI untuk Membuat Profil Pribadi dari Data Portal yang Terintegrasi dengan Blockchain: Portal pemerintah sering menyimpan data sensitif seperti alamat, nomor KTP, atau riwayat kesehatan. Jika portal ini menggunakan blockchain publik untuk verifikasi data (misalnya, untuk mencegah pemalsuan dokumen), maka data tersebut bisa menjadi bagian dari rantai blok yang transparan. GenAI bisa diprogram untuk menghasilkan “ringkasan pribadi” berdasarkan data tersebut, seperti membuat narasi fiktif atau rekomendasi layanan. Risikonya muncul ketika GenAI secara tidak sengaja menggabungkan data dari sumber berbeda, mengungkap detail pribadi.

Contoh asli: Seorang ibu rumah tangga bernama Bagas mendaftar layanan kesehatan di portal pemerintah, yang terintegrasi dengan blockchain untuk catatan vaksinasi. GenAI menganalisis data blockchain dan menghasilkan ringkasan: “Bagas, tinggal di Tangerang, memiliki anak berusia 5 tahun, dan baru saja vaksinasi COVID-19.” Jika ringkasan ini digunakan untuk personalisasi layanan (misalnya, iklan obat), tapi bocor ke pihak ketiga, Bagas bisa menghadapi risiko seperti stalking atau diskriminasi, karena identitasnya terungkap melalui kombinasi data yang seharusnya terpisah.

2. a) Di sebuah perusahaan teknologi bernama TechSecure, ada seorang insinyur keamanan bernama Rina yang bertugas melindungi data pengguna. Suatu hari, Alson diminta untuk menyimpan password pengguna di server perusahaan. Jika menggunakan enkripsi, password akan diubah menjadi kode rahasia yang bisa dikembalikan ke bentuk asli dengan kunci. Namun, Alson tahu bahwa perusahaan tidak perlu melihat password asli pengguna, hanya perlu memverifikasi apakah password yang dimasukkan saat login cocok dengan yang disimpan. Jadi, ia memilih hashing: setiap password diubah menjadi “sidik jari” unik yang tidak bisa dibalik. Ketika pengguna login, sistem menghash input mereka dan membandingkannya dengan hash yang tersimpan. Jika cocok, akses diberikan. Ternyata, ini mencegah hacker yang mencuri database dari mengetahui password asli, karena hash tidak bisa didekripsi.

Alasan hashing lebih tepat di sebabkan hashing menghasilkan nilai satu arah yang permanen, sehingga lebih aman jika data bocor—hacker tidak bisa menebak password asli dari hash.

b) Cerita singkat tentang dokumen rahasia menggunakan enkripi: Di sebuah negara dengan sensor ketat, seorang jurnalis bernama adam perlu mengirim dokumen investigasi rahasia tentang korupsi ke editornya di luar negeri. Jika Maya hanya menggunakan hashing, dokumen akan diubah menjadi “sidik jari” unik yang tidak bisa dibaca kembali, hanya untuk memverifikasi integritas, seperti memastikan dokumen tidak diubah. Tapi ini tidak membantu karena editor perlu membaca isi dokumen. Adam memilih enkripsi: ia mengubah dokumen menjadi kode rahasia dengan kunci, lalu mengirimnya melalui email. Editor, yang memiliki kunci, bisa mendekripsi dan membaca dokumen asli. Sementara itu, jika hacker mencegat email, mereka hanya melihat kode tak bermakna tanpa kunci. Berkat enkripsi, dokumen aman sampai ke tangan yang tepat, dan berita bisa dipublikasikan tanpa risiko bocor.

3.

TxID451 – waktu: 2025-11-05 14:15 – dokumen: pengajuan kredit – validator: Bank X – ringkasan AI: “Pekerjaan: Insinyur Sipil, Gaji: 15 juta/bulan

TxID452 – waktu: 2025-11-05 14:18 – dokumen: pendaftaran BPJS – validator: BPJS – ringkasan AI: “Alamat Tinggal: Jl. Merdeka No. 15, Jakarta, Tanggal Lahir: 1985-07-20

TxID453 – waktu: 2025-11-06 08:50 – dokumen: tiket perjalanan – validator: Maskapai Y – ringkasan AI: “Tujuan: Bandung, Jadwal: setiap Jumat, Nama Awal: Andi

Alasan penyerang menebak identitas:

Penyerang dapat menggunakan kombinasi data yang tampaknya anonim ini (teknik yang dikenal sebagai serangan de-anonimisasi atau serangan korelasi). Dengan mengumpulkan atribut unik seperti tanggal lahir, alamat, pekerjaan, dan pola perjalanan (seperti “Insinyur Sipil” di “Jl. Merdeka No. 15,” berusia 40 tahun, sering bepergian ke Bandung), penyerang dapat mencocokkan profil ini dengan data publik, media sosial, atau daftar profesional yang telah diretas untuk mengidentifikasi secara unik orang bernama yang bernama Andi tersebut.

4. Saya memilih jenis serangan “penyalahgunaan AI untuk social engineering” karena ini relevan dengan risiko GenAI yang telah kita bahas sebelumnya, di mana AI bisa dimanfaatkan untuk menipu manusia secara cerdas.

Bagaimana Serangan Bisa Terjadi?
Penyerang menggunakan Generative AI (seperti model bahasa besar seperti GPT) untuk membuat konten yang sangat personal dan meyakinkan, seperti email phishing yang meniru gaya komunikasi korban berdasarkan data dari media sosial atau bocoran data. Prosesnya dimulai dengan pengumpulan data pribadi korban (misalnya, dari blockchain publik atau portal pemerintah), lalu AI menghasilkan pesan yang tampak sah, seperti email dari “bos” yang meminta transfer uang darurat atau tautan untuk verifikasi akun.
Tujuan Penyerang!
Tujuan utama adalah mencuri data pribadi, kredensial login, atau informasi keuangan untuk digunakan dalam penipuan lebih besar, seperti akses ke rekening bank atau identitas palsu. Penyerang juga bisa bertujuan untuk menyebarkan malware, mendapatkan akses ke jaringan perusahaan, atau memanipulasi keputusan (misalnya, dalam bisnis atau politik) dengan menipu individu kunci.
Dampak yang Ditimbulkan!!
Dampak langsung termasuk kehilangan uang atau data sensitif, seperti nomor kartu kredit atau rahasia perusahaan, yang bisa menyebabkan kerugian finansial besar. Dampak tidak langsung mencakup kerusakan reputasi bisnis (jika data pelanggan bocor), hilangnya kepercayaan pelanggan, dan potensi litigasi hukum; dalam skala besar, ini bisa mengganggu operasi harian dan meningkatkan risiko serangan lanjutan.
Cara Pencegahannya:
  • Langkah Teknis 1: Implementasikan alat deteksi AI seperti filter email yang menggunakan machine learning untuk mengidentifikasi pola bahasa yang dihasilkan AI, misalnya dengan analisis entropi teks atau watermarking pada konten AI.
  • Langkah Teknis 2: Gunakan autentikasi multi-faktor (MFA) dan enkripsi end-to-end pada komunikasi, sehingga bahkan jika tautan phishing diklik, akses tambahan memerlukan verifikasi ekstra yang sulit ditiru oleh AI.
  • Langkah Kebijakan/Prosedur Kerja 1: Lakukan pelatihan rutin karyawan tentang social engineering, termasuk simulasi serangan phishing untuk meningkatkan kesadaran dan kemampuan mengenali tanda-tanda penipuan.
  • Langkah Kebijakan/Prosedur Kerja 2: Tetapkan prosedur audit keamanan berkala, seperti peninjauan log akses dan pembatasan berbagi data pribadi di platform publik, untuk mengurangi data yang bisa digunakan AI oleh penyerang.

5. Sebagai penanggung jawab keamanan sistem, strategi saya untuk melindungi data sensitif warga negara berpusat pada pertahanan berlapis. Untuk keamanan kata sandi, kami menggunakan metode salt dan pepper yang kuat, di mana salt yang unik ditambahkan ke setiap kata sandi sebelum di-hash dan pepper (kunci rahasia global) ditambahkan untuk mitigasi serangan rainbow table dan memastikan hash tetap unik meskipun salt terkompromi. Data identifikasi pribadi dalam database akan melalui proses pseudonymization, mengganti pengenal langsung seperti NIK dengan ID buatan (pseudonim) sehingga data masih dapat digunakan untuk analisis internal tanpa mengungkapkan identitas asli secara langsung. Saya menerapkan prinsip pembatasan akses internal (Least Privilege), memastikan setiap pegawai hanya memiliki izin akses seperlunya (Need-to-Know) untuk menjalankan tugasnya, yang dikelola melalui kontrol akses berbasis peran (Role-Based Access Control). Semua aktivitas sistem dipantau secara ketat melalui audit dan logging terperinci yang mencatat event keamanan, percobaan akses yang gagal, dan perubahan data, yang kemudian secara berkala dianalisis untuk mendeteksi anomali. Terakhir, kami menerapkan data minimization dengan hanya mengumpulkan, memproses, dan menyimpan data yang benar-benar esensial, serta menghapus data lama yang sudah tidak diperlukan lagi, secara proaktif mengurangi permukaan serangan ( attack surface).

6. Pendapat pribadi saya, kebocoran data publik yang berasal dari sistem pemerintah seperti yang ditunjukkan dalam contoh awal, jauh lebih berbahaya daripada sekadar kebocoran kata sandi biasa, dan ini terletak pada sifat data itu sendiri.

Dampak terhadap Reputasi Seseorang:

Kebocoran kata sandi biasanya hanya berarti akun online kita terancam. Kita bisa menggantinya. Namun, kebocoran data publik dari institusi krusial mengungkap detail intim dan permanen dari kehidupan seseorang pekerjaan, gaji, riwayat medis, alamat, bahkan pola perjalanan yang jarang berubah. Ini memungkinkan penjahat siber membuat profil digital yang sangat akurat. Dampaknya pada reputasi sangat serius: data ini bisa digunakan untuk pemerasan yang sangat spesifik (misalnya, mengancam mengungkap riwayat medis), manipulasi sosial, atau bahkan penipuan yang melibatkan pembukaan rekening bank atau pinjaman atas nama korban, merusak reputasi finansial dan sosial korban secara fundamental dan sulit dipulihkan.

Kepercayaan Masyarakat terhadap Pemerintah:

Ketika data seperti ini bocor dari sistem pemerintah, yang seharusnya menjadi benteng terakhir perlindungan data, dampaknya langsung menghancurkan kepercayaan publik. Bagi saya, ini mengirimkan pesan bahwa negara, yang menuntut kita menyerahkan data paling sensitif kita demi layanan publik, gagal dalam tanggung jawab dasarnya. Kepercayaan ini rapuh; sekali hancur, sulit dibangun kembali. Masyarakat akan menjadi enggan untuk berinteraksi digital dengan pemerintah, menyebabkan terhambatnya inisiatif digitalisasi dan pelayanan publik, yang pada akhirnya merugikan seluruh bangsa.

Tanggung Jawab Etis Lembaga Pengelola Data:

Secara etis, institusi pemerintah memiliki tanggung jawab yang jauh lebih besar daripada perusahaan swasta. Kita tidak bisa memilih untuk tidak berurusan dengan pemerintah. Dengan kata lain, kita dipaksa untuk mempercayai mereka dengan data kita. Kegagalan keamanan di sini adalah pelanggaran etika terburuk karena melanggar kepercayaan yang bersifat inheren dan wajib

 

Itu dia jawaban dari pertanyaan hashh dari opini saya. Terimakasih ^.^

Previous Post Previous Post
Newer Post Newer Post

Leave a comment