Pertanyaan:
Keamanan Data Publik di Era Blockchain dan AI Generatif
Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.
Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.
Beberapa waktu kemudian muncul beberapa masalah:
-
Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
-
Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
-
Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.
Tugas
1. Analisis Logika (25%)
Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.
2. Dua Skenario (20%)
Buat dua cerita singkat:
-
A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
-
B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.
Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.
3. Contoh Data Buatan (15%)
Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):
TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.
4. Serangan ke Website Pemerintah (20%)
Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:
-
Bagaimana serangan bisa terjadi
-
Tujuan penyerang
-
Dampak yang ditimbulkan
-
Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)
Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.
5. Strategi Pertahanan (10%)
Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.
6. Refleksi Etika dan Dampak Sosial (10%)
Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:
-
Dampak terhadap reputasi seseorang
-
Kepercayaan masyarakat terhadap pemerintah
-
Tanggung jawab etis lembaga pengelola data
Keterangan: Saya telah mengerjakan tugas dengan baik
Status: 100% Tercapai
Bukti:
1. Analisis Logika
Blockchain publik itu transparan, jadi pola waktu, jenis dokumen, atau validator bisa dipakai orang luar untuk menebak identitas warga. GenAI juga bisa tanpa sengaja mengutip kalimat sensitif dari dokumen asli. Ditambah lagi, portal pemerintah adalah pintu serangan seperti API injection atau DDoS. Kombinasi ketiga hal ini membuat data warga lebih mudah ditebak, bocor, atau dimanipulasi.
2. Dua Skenario
A. Hashing lebih tepat
Misalnya CivChain hanya ingin mengecek apakah nomor dokumen pernah didaftarkan. Hash cukup karena hanya butuh pencocokan, bukan melihat isi dokumen.
B. Enkripsi lebih tepat
Saat operator butuh membuka dokumen asli seperti sertifikat tanah, hashing tidak bisa digunakan karena tidak bisa dikembalikan. Enkripsi diperlukan agar data tetap rahasia tetapi bisa dibuka saat diperlukan.
3. Contoh Data (Singkat)
1. TX01 – 09:15 – izin usaha – validator A – ringkasan: “Pemilik R”
2. TX02 – 09:18 – akta kelahiran – validator B – “Ayah pegawai bank”
3. TX03 – 09:20 – sertifikat tanah – validator C – “Dekat rumah Keluarga S”
Penjelasan:
Dari huruf nama, profesi orang tua, dan lokasi, penyerang bisa mencocokkan dengan data publik dan menebak identitas orangnya.
4. Srangan Website Pemerintah (Singkat)
Saya memilih API Injection.
Cara terjadi: penyerang memasukkan query berbahaya ke URL API yang tidak divalidasi.
Tujuan: mencuri data, mengambil dokumen, atau menghapus informasi.
Dampak: data bocor, sistem error, dan layanan offline.
Pencegahan:
Teknis: validasi input, gunakan parameterized query.
Kebijakan: audit rutin, pelatihan developer dan operator.
5. Strategi Pertahanan (Singkat)
Saya akan memakai salt/pepper untuk hash agar tidak mudah ditebak, lalu pseudonymization supaya identitas tidak muncul jelas. Akses internal dibatasi sesuai peran. Semua aktivitas dicatat lewat audit & logging. Selain itu, hanya data penting yang disimpan (data minimization) supaya risiko lebih kecil jika terjadi kebocoran.
6. Refleksi Etika & Sosial
Kebocoran data publik lebih berbahaya daripada password karena identitas tidak bisa diganti. Reputasi orang bisa rusak, dan masyarakat bisa kehilangan kepercayaan pada pemerintah. Secara etis, pemerintah wajib menjaga data karena dampaknya langsung menyentuh kehidupan warga.
