Assignment 6 Hash
Keamanan Data Publik di Era Blockchain dan AI Generatif
Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.
Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.
Beberapa waktu kemudian muncul beberapa masalah:
-
Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
-
Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
-
Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.
Tugas
1. Analisis Logika (25%)
Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.
2. Dua Skenario (20%)
Buat dua cerita singkat:
-
A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
-
B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.
Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.
3. Contoh Data Buatan (15%)
Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):
TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.
4. Serangan ke Website Pemerintah (20%)
Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:
-
Bagaimana serangan bisa terjadi
-
Tujuan penyerang
-
Dampak yang ditimbulkan
-
Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)
Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.
5. Strategi Pertahanan (10%)
Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.
6. Refleksi Etika dan Dampak Sosial (10%)
Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:
-
Dampak terhadap reputasi seseorang
-
Kepercayaan masyarakat terhadap pemerintah
-
Tanggung jawab etis lembaga pengelola data
STATUS : 100%
KETERANGAN : Saya telah mengerjakan tugas ini dengan baik dan benar
BUKTI :
1. Blockchain publik dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga karena semua transaksi di blockchain dapet dilihat siapapun yang memiliki tx hash nya, mungkin bisa ditebak tebak.
GenAI bisa tanpa sengaja membocorkan data pribadi, saat meringkas dokumen, AI kadang menampilkan kembali potongan teks asli seperti nama, alamat, atau nomor identitas, sehingga informasi sensitif ikut tersebar.
Portal pemerintah bisa diserang oleh hacker, banyak sekali berita2 sekarang tentang website/portal pemerintah yang di hack dan menyebabkan banyak kebocoran data, seperti berita kebocoran data KTP warga Indonesia oleh Hacker Bjorka.
2.
A. Hashing lebih tepat digunakan = Dalam sistem blockchain publik seperti CivChain, setiap dokumen publik (akta, ijazah) tidak disimpan langsung di rantai blok, melainkan hanya hash-nya. Hash berfungsi sebagai sidik jari digital untuk memverifikasi keaslian dokumen tanpa menyimpan isinya. Ini lebih tepat karena blockchain bersifat permanen dan terbuka kalau data asli disimpan atau dienkripsi di sana, isinya tetap bisa diakses siapa pun yang punya kunci. Dengan hashing, siapa pun bisa memverifikasi tanpa bisa membaca isi dokumen.
B. Enkripsi lebih tepat digunakan = Sebuah startup AI seperti VeriAI menyimpan salinan dokumen untuk dilatih atau diringkas oleh model. Karena data itu harus dibaca ulang oleh sistem AI, maka hashing tidak bisa digunakan hasil hash tidak dapat dikembalikan ke bentuk aslinya. Enkripsi diperlukan agar data tetap rahasia selama disimpan dan hanya bisa diakses oleh sistem yang memiliki kunci. Secara teknis, enkripsi menjaga kerahasiaan (confidentiality), sedangkan hashing hanya menjaga integritas (integrity).
3.
TxID201 – waktu: 2025-10-01 08:45 – dokumen: sertifikat tanah – validator: Kantor Pertanahan C – ringkasan AI: “Pemilik: Rina S., Jl. Melati 12”
TxID202 – waktu: 2025-10-01 08:47 – dokumen: izin usaha – validator: Dinas Perizinan Kota C – ringkasan AI: “Usaha katering milik Rina S.”
TxID203 – waktu: 2025-10-02 14:10 – dokumen: akta kelahiran – validator: Disdukcapil C – ringkasan AI: “Anak perempuan dari Rina S., lahir 2025-09-15”
TxID204 – waktu: 2025-10-03 09:05 – dokumen: surat keterangan kerja – validator: BKD Kota C – ringkasan AI: “Pegawai honorer: R. S., SDN 05”
TxID205 – waktu: 2025-10-03 09:07 – dokumen: NPWP – validator: KPP Kota C – ringkasan AI: “NPWP atas nama Rina S., alamat Jl. Melati 12”
Penyerang dapat menggabungkan pola waktu, lokasi validator, dan fragmen yang muncul di ringkasan AI (nama, alamat, tempat kerja) lalu mencocokkannya dengan posting publik atau sumber lain untuk mengonfirmasi identitas. Dengan bukti-bukti dikit tapi saling berkaitan, identitas lengkap orang tersebut mudah ditebak.
4. Serangan DDoS terjadi ketika banyak komputer dikendalikan untuk mengirim permintaan ke website CivChain secara bersamaan sampai servernya kewalahan dan tidak bisa diakses. Tujuannya biasanya untuk membuat layanan lumpuh, mengacaukan sistem, atau menutupi serangan lain. Akibatnya, warga tidak bisa memverifikasi dokumen, proses administrasi terganggu, dan kepercayaan publik menurun. Cara mencegahnya secara teknis adalah dengan memasang sistem keamanan jaringan seperti firewall, CDN, dan pembatasan jumlah akses agar server tidak kelebihan beban. Dari sisi kebijakan, pemerintah perlu punya prosedur darurat saat serangan terjadi dan rutin melatih tim teknis supaya tahu langkah cepat untuk mengalihkan trafik dan memulihkan layanan.
5. Sebagai penanggung jawab keamanan data di sistem pemerintahan, saya akan nyoba strategi berlapis untuk menjaga kerahasiaan dan data publik warga. Setiap data sensitif yang di hash akan diberi salt dan pepper biarr hasilnya unik dan ga gampang ditebak. Untuk mencegah identitas asli terekspos, saya pake pseudonymization, yaitu mengganti data pribadi seperti NIK atau nama dengan kode acak yang hanya bisa dikembalikan ke bentuk semula oleh sistem tertentu. Akses ke data juga dibatasi secara ketat, hanya pegawai dengan izin2 yang diberikan yang dapat melihat atau memproses informasi tertentu. Semua aktivitas pengguna dan sistem dicatat dalam audit log agar setiap tindakan bisa ditelusuri bila terjadi insiden. Selain itu, saya menerapkan prinsip data minimization hanya mengumpulkan dan menyimpan data yang benar-benar dibutuhkan, sehingga jika terjadi kebocoran, dampaknya dapat diminimalkan.
6. Pendapat saya adalah kebocoran data publik dari sistem jauh lebih berbahaya daripada kebocoran password biasa karena dampak yang diberikan lebih luas daripada kebocoran password, dan juga jauh lebih susah di recovery. Kalo kebocoran password biasa, masih bisa diperbaiki karena banyak cara untuk mengrecovery password, tapi kalo kebocoran data publik seperti akta kelahiran dan ijazah, identitas seseorang yang kebocoran itu bisa disalahgunakan oleh pihak yang tidak bertanggung jawab, bisa untuk penipuan, pencemaran nama baik, dan sebagainya.
Jika dilihat dari sisi kepercayaa masyarakat terhadap pemerintah, sudah jelas rakyat tidak akan percaya lagi dengan pemerintah jika terjadi kebocoran data publik, karena lembaga yang seharusnya paling aman untuk melindungi data publik dengan resource yang lengkap bisa bisanya kebocoran.
Dari sisi etis lembaga pengelola data punya tanggung jawab besar untuk memastikan keamanan data publik , karena data publik bukan milik mereka, tapi milik seluruh warga negara yang mempercayakan identitasnya kepada negara.
