Assignment 9 BD303 Vinkan Likita

Pertanyaan:

Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.

  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.

  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.

2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.

  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi

  • Tujuan penyerang

  • Dampak yang ditimbulkan

  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepperpseudonymizationpembatasan akses internalaudit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

  • Dampak terhadap reputasi seseorang

  • Kepercayaan masyarakat terhadap pemerintah

  • Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.

Status:

100% sudah tercapai

Keterangan:

saya sudah mengerjakan assignment 9 dengan baik dan benar

Bukti:

1.Menurut saya, resiko besar muncul karena blokchain publik, GenAI, dan portal pemerintah digabung dalam satu ekosistem. Blokchain publik itu isinya terlalu transparan, semua orang bisa lihat transaksi dan aktivitas didalamnya. Walaupun tidak ada nama lengkap, data sekecil seperti jam pengajuan dokumen, jenis dokumen yang diproses, dan validator yang memeriksa bisa membentuk pola. Kemudian dari pola itu, identitas seseorang bisa ditebak mirip kaya puzzle, sedikit sedikit akhirnya lengkap.

GenAI juga nambah resikonya, AI generatif itu belajar dari data asli, jadi ada saat dimana dia belajar dari keceplosan menampilkan potongan kalimat pribadi. Misalnya operator cuma minta ringkasan, tapi AI malah masukin detail sensitif seperti “pemilik tinggal dekat warung X” nah, itu bukan cuma ringkasan, tapi kebocoran halus.

Website CivChain sebagai pintu utama pun otomatis jadi target. Kalau ada celah kecil dari API atau form input, perentas bisa masuk dan merusak sistem. Jadi buat aku, gabungan ketiganya itu seperti bikin rumah dengan dinding kaca, lalu menyimpan dokumen penting diruang tamu, dan menaruh asisten yang kadang ngomong sembarangan. Kombinasinya rawan

2.

A.Menurut aku, hashing cocok untuk hal hal yang ngga perlu dibuka lagi, contohnya password admin CivChain. Password tidak perlu dibaca ulang, yang penting sistem tau apakah cocok atau tidak. Hashing itu solusi paling aman karena sifatnya satu arah. Jadi kalau database diretas, password admin tetap aman, Dalam kasus ini, emkripsi malah terlalu ribet dan punya resiko kunci bocor.

B.Tapi begitu menyangkut dokumen asli misalnya sertifikat tanah yang dikirim dari website ke server pemerintah hashing jadi tidak berguna. Hashing mengubah dokumen jadi angka acak yang tidak bisa dikembalikan. Sementara petugas harus membaca dokumen itu lagi, Jadi enkripsi wajib digunakan, karena dia melindungi data tapi masih memungkinkan untuk dibuka kembali. Secara teknis hashing = tidak bisa balik, enkripsi= bisa dibuka dengan kunci.

3.TxID210 – waktu: 2025-10-10 08:12 – dokumen: sertifikat tanah – validator: Kecamatan Timur – ringkasan AI: “Rumah dekat Workshop ABC”

TxID211 – waktu: 2025-10-10 08:15 – dokumen: izin usaha – validator: Dinas UMKM – ringkasan AI: “Usaha minuman milik ‘V’”

TxID212 – waktu: 2025-10-10 08:17 – dokumen: akta kelahiran – validator: Disdukcapil Utara – ringkasan AI: “Ayah bekerja sebagai sopir angkot jurusan 05”

Dari tiga data itu saja, penyerang bisa mempersempit identitas seseorang. Contoh: “rumah dekat Workshop ABC” mungkin cuma ada 5 rumah. “Sopir jurusan 05” bisa dicari di internet atau media sosial. Kombinasi petunjuk kecil bisa berubah jadi identitas lengkap.

4.Bayangin ada form pencarian dokumen di CivChain. Seharusnya input pengguna divalidadi dulu. Tapi kalau pengembang kelupaan, peretas bisa memasukkan kode seperti ‘ OR 1=1 –. Serversalah mengartikan itu sebagai perintah, dan akhirnya memberikan akses kedata yang seharusnya tidak boleh dilihat siapapun.

Tujuannya penyerang biasanya untuk mencuri data pribadi, mengubah tabel, menonaktifkan layanan, atau menjual data yang bocor.

Dampaknya adalah data warga bisa bocor ke publik, sistem bisa rusak atau lumpuh, kepercayaan masyarakat turun drastis, dan bisa muncul manipulasi daya yang membahayakan layanan publik

Untuk pencegahan nya ada 2, pencegahan teknis yaitu dengan prepared statements supaya query tidak bisa dipaksa mengeksekusi perintah liar, WAF (web Application Firewall) yang otomatis memblokir pola input yang mencurigakan,  dan pencegahan kebijakan/prosedur,Audit keamanan rutin, termasuk tes serangan internal, Pelatihan staf IT dan operator tentang sanitasi input, resiko API terbuka, dan cara mengenali serangan.

5.Kalau aku jadi penanggung jawab keamanan, aku akan memastikan semua password dan data sensitif di hash dengan salt dan pepper, supaya database bocor pun tetap aman. Untuk informasi yang ditampilkan publik, aku akan pakai pseudonymization, misalnya nama asli diganti kode internal. Akses internal akan dibatasi ketat sehingga staf hanya bisa lihat data yang benar-benar relevan dengan tugasnya. Semua aktivitas sistem bakal dicatat lengkap lewat logging dan audit supaya kalau ada aktivitas aneh, mudah ditelusuri. Dan aku akan meminimalkan pengumpulan data yang nggak perlu, nggak usah disimpan. Semakin sedikit data yang disimpan, semakin kecil risiko kebocoran.

6.Menurut aku, kebocoran data publik jenis ini jauh lebih berbahaya daripada password bocor. Password tinggal diganti. Tapi data pribadi kayak riwayat keluarga, lokasi rumah, atau dokumen resmi itu nggak bisa diganti. Kalau itu bocor, dampaknya bisa melekat seumur hidup. Reputasi orang bisa rusak, mereka bisa jadi target penipuan, dan kepercayaan mereka ke pemerintah jadi hilang. Dari sisi etika, lembaga pemerintah pegang tanggung jawab besar karena mereka memegang data yang nyangkut langsung ke kehidupan warga. Menjaga data itu bukan cuma urusan teknis, tapi juga urusan moral.

Previous Post Previous Post
Newer Post Newer Post

Leave a comment