Assignment 8-BD303-Rendhika Adyatama-2481416795

Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.

  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.

  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.


Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.


2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.

  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.


3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.


4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi

  • Tujuan penyerang

  • Dampak yang ditimbulkan

  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.


5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepperpseudonymizationpembatasan akses internalaudit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.


6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

  • Dampak terhadap reputasi seseorang

  • Kepercayaan masyarakat terhadap pemerintah

  • Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.


Ketentuan Pengumpulan

  • Jawaban ditulis dalam bentuk Cermi (Cerita Mini) di situs: https://bisnisdigital.raharja.ac.id

  • Setelah dipublikasikan, buat shortlink menggunakan https://bysl.pw dan cantumkan pada bagian akhir jawaban.

  • Semua contoh dan penjelasan harus buatan sendiri, bukan hasil salinan dari internet atau AI lain.

  • Waktu pengerjaan maksimal tiga jam

Status: 100%

Keterangan: Saya sudah mengerjakan dengan baik dan benar

Bukti:

1. Analisis Logika

Blockchain bersifat terbuka untuk semua orang, artinya siapa pun bisa melihat transaksi di dalamnya. Misalnya, kalau ada catatan “dokumen izin usaha diproses oleh Dinas A pukul 09.30,” orang bisa menebak siapa pemiliknya jika tahu daerah dan waktunya.
AI generatif juga bisa tidak sengaja menampilkan potongan kalimat dari dokumen pribadi, seperti nama atau alamat. Jadi, meskipun data di blockchain aman dari pemalsuan, privasi warga tetap bisa bocor karena gabungan informasi kecil yang tersebar.

Contohnya seperti puzzle: satu potongan tidak berbahaya, tapi kalau disusun bisa memperlihatkan wajah aslinya.

2. Dua Skenario

Dalam beberapa kondisi, hashing lebih tepat digunakan daripada enkripsi. Contohnya, ketika CivChain ingin memastikan bahwa sebuah file ijazah digital tidak diubah isinya. Sistem cukup membuat hash atau sidik jari digital dari file aslinya, lalu menyimpannya di blockchain. Jika file diunggah kembali, sistem tinggal menghitung hash-nya dan membandingkannya dengan yang sudah tersimpan. Cara ini lebih efisien karena tidak perlu membuka isi file, cukup memastikan keasliannya.

Namun pada situasi lain, hashing saja tidak cukup dan enkripsi menjadi pilihan yang lebih aman. Misalnya ketika VeriAI menyimpan hasil terjemahan dokumen agar bisa digunakan lagi oleh petugas. Data ini perlu disimpan dalam bentuk terenkripsi supaya hanya petugas yang memiliki kunci sah yang bisa membukanya. Hash tidak bisa dibalik untuk membaca ulang data, sementara enkripsi bisa melindungi isi file tanpa menghilangkan akses legal terhadapnya.

3. Contoh Data Buatan

TxID001 dicatat pada tanggal 2025-10-12 pukul 09.30 dengan dokumen izin usaha yang divalidasi oleh Dinas A. Ringkasan AI menampilkan kalimat “Pemilik baru: Rina.”
TxID002 tercatat pukul 09.32 dengan dokumen akta kelahiran yang divalidasi oleh Disdukcapil B dan berisi ringkasan “Anak dari pegawai BUMN.”
TxID003 muncul pukul 09.40 dengan dokumen sertifikat tanah yang divalidasi oleh BPN Kota C dengan ringkasan “Luas 300 meter persegi, atas nama keluarga S.”

Dari ketiga data ini saja, seseorang sudah bisa menebak bahwa Rina, anak dari seorang pegawai BUMN, baru membuka usaha dan memiliki tanah di Kota C. Padahal sistem tidak pernah menampilkan nama lengkap atau nomor identitas. Kombinasi waktu, jenis dokumen, dan kalimat ringkasan sudah cukup untuk menebak siapa orang tersebut.

4. Serangan ke Website Pemerintah

Untuk serangan yang bisa di lancarkan ke website pemerintah yang telah saya cari tahu dan cukup berpotensi terjadi di portal CivChain adalah SQL Injection. Serangan ini terjadi ketika penyerang memasukkan kode berbahaya ke kolom pencarian atau formulir di situs web yang tidak memiliki sistem validasi input. Misalnya, penyerang menulis perintah khusus seperti ' OR '1'='1 di kolom pencarian sehingga sistem salah membaca perintah dan menampilkan seluruh data yang ada di database.

Tujuan dari serangan ini biasanya untuk mencuri data pribadi warga atau mendapatkan akses admin ke sistem. Dampaknya bisa sangat fatal, mulai dari kebocoran data publik hingga rusaknya kepercayaan masyarakat terhadap sistem digital pemerintah.

Untuk mencegah hal seperti ini, langkah teknis yang harus dilakukan adalah memastikan semua input pengguna divalidasi dengan parameterized query agar kode berbahaya tidak bisa dijalankan. Selain itu, perlu juga dipasang Web Application Firewall (WAF) untuk menyaring serangan dari luar. Dari sisi kebijakan, perlu dilakukan audit keamanan dan uji penetrasi secara berkala. Setiap petugas juga harus mendapat pelatihan keamanan siber agar lebih waspada terhadap ancaman seperti ini.

5. Strategi Pertahanan

Sebagai penanggung jawab keamanan CivChain, saya akan menerapkan strategi pertahanan berlapis. Semua data sensitif warga akan di-hash dengan tambahan salt dan pepper supaya hasilnya tidak mudah ditebak atau dibalik. Identitas asli warga akan disamarkan melalui proses pseudonymization sehingga data yang disimpan di blockchain tidak menampilkan nama asli atau informasi pribadi langsung. Akses terhadap sistem hanya diberikan kepada petugas yang berwenang, dan setiap aktivitas akan dicatat dalam sistem audit dan logging agar bisa ditelusuri jika terjadi masalah. Selain itu, prinsip data minimization juga harus diterapkan, artinya hanya data yang benar-benar dibutuhkan untuk pelayanan publik yang disimpan. Dengan cara ini, jika terjadi kebocoran, dampaknya tidak akan terlalu besar.

6. Refleksi Etika dan Dampak Sosial

Menurut saya, kebocoran data publik jauh lebih berbahaya daripada sekadar kebocoran password. Jika password bocor, kita masih bisa menggantinya. Namun jika data pribadi seperti alamat rumah, riwayat pendidikan, atau status keluarga bocor, dampaknya bisa permanen. Seseorang bisa kehilangan reputasi, mengalami diskriminasi, atau bahkan menjadi korban penipuan.

Yang lebih parah lagi adalah hilangnya kepercayaan masyarakat terhadap pemerintah. Warga bisa merasa tidak aman untuk menggunakan layanan digital pemerintah lagi. Karena itu, menjaga keamanan data bukan hanya soal teknologi, tetapi juga soal tanggung jawab moral dan etika. Pemerintah dan semua pihak yang mengelola data publik harus menyadari bahwa mereka bukan hanya menjaga sistem, tetapi juga menjaga kepercayaan dan rasa aman seluruh warga negara.

Previous Post Previous Post
Newer Post Newer Post

Leave a comment