PERTANYAAN:
Keamanan Data Publik di Era Blockchain dan AI Generatif
Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.
Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.
Beberapa waktu kemudian muncul beberapa masalah:
-
Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
-
Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
-
Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.
Tugas
1. Analisis Logika (25%)
Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.
2. Dua Skenario (20%)
Buat dua cerita singkat:
-
A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
-
B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.
Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.
3. Contoh Data Buatan (15%)
Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):
TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.
4. Serangan ke Website Pemerintah (20%)
Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:
-
Bagaimana serangan bisa terjadi
-
Tujuan penyerang
-
Dampak yang ditimbulkan
-
Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)
Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.
5. Strategi Pertahanan (10%)
Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.
6. Refleksi Etika dan Dampak Sosial (10%)
Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:
-
Dampak terhadap reputasi seseorang
-
Kepercayaan masyarakat terhadap pemerintah
-
Tanggung jawab etis lembaga pengelola data
STATUS: 100% sudah tercapai
KETERANGAN: Saya sudah mengerjakan assignment ini dengan baik dan benar
BUKTI:
1. Analisis Logika (25%)
Gabungan antara blockchain publik, AI generatif (GenAI), dan portal pemerintah bisa jadi bumerang buat privasi warga karena sifat dasarnya yang terbuka dan saling terhubung.
-
Blockchain publik itu transparan, artinya semua orang bisa lihat data transaksi yang tercatat di sana. Meskipun data pribadi kayak nama lengkap nggak ditulis langsung, pola transaksi — seperti waktu, validator, dan jenis dokumen — bisa dimanfaatkan untuk menebak identitas seseorang. Misalnya, kalau ada transaksi izin usaha yang muncul tiap jam 9 pagi dari validator Dinas A, dan di kota itu cuma ada satu orang yang baru buka usaha di waktu yang sama, ya identitasnya bisa ketahuan juga.
-
GenAI di sisi lain bisa jadi blunder kalau nggak dikontrol. Misalnya, saat AI merangkum dokumen akta kelahiran, bisa saja dia tanpa sengaja menyebutkan “Anak dari pegawai BUMN” atau “Pemilik baru: Rina”. Kalimat kecil seperti itu bisa membuka identitas orang, padahal maksudnya cuma bikin ringkasan.
Jadi intinya, niatnya mau bikin sistem lebih cepat dan transparan, tapi kalau nggak hati-hati, malah bisa bocorin data pribadi warga.
2. Dua Skenario (20%)
A. Hashing lebih tepat daripada enkripsi
Contoh: Sistem blockchain yang menyimpan nomor KTP untuk verifikasi identitas.
Penjelasan:
Kalau tujuannya cuma buat validasi, bukan buat nyimpan data aslinya, hashing udah cukup. Nomor KTP bisa di-hash dulu sebelum masuk blockchain, jadi nggak bisa dibalik ke data asli. Sistem cuma ngecek apakah input pengguna cocok dengan hash yang udah ada. Aman dan efisien, karena datanya nggak perlu didekripsi lagi.
B. Enkripsi lebih aman daripada hashing
Contoh: Penyimpanan file sertifikat tanah di portal CivChain.
Penjelasan:
Kalau datanya sensitif dan perlu dibaca ulang, kayak dokumen tanah, hashing nggak cukup karena hasil hash nggak bisa dikembalikan. Jadi harus pakai enkripsi, biar cuma orang yang punya kunci tertentu (misalnya pejabat BPN atau pemilik sah) yang bisa buka filenya. Enkripsi menjaga kerahasiaan data, sedangkan hashing cuma memastikan integritasnya.
3. Contoh Data Buatan (15%)
Data simulasi:
-
TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
-
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
-
TxID003 – waktu: 2025-10-12 10:00 – dokumen: sertifikat tanah – validator: BPN Jakarta – ringkasan AI: “Lokasi: Jakarta Selatan”
| Waktu | Dokumen | Validator | Ringkasan AI | |
| TxID001 | 2025-10-12 9:30 | Izin Usaha | Dinas A | Pemilik baru: Rina |
| TxID002 | 2025-10-12 9:32 | Akta Kelahiran | Disdukcapil B | Anak dari pegawai BUMN |
| TxID003 | 2025-10-12 10:00 | Sertifikat Tanah | BPN Jakarta | Lokasi: Jakarta Selatan |
Analisis:
Dari data ini, penyerang bisa menghubungkan informasi “Rina” dari izin usaha dan “Jakarta Selatan” dari sertifikat tanah. Kalau ditambah “Anak pegawai BUMN,” kemungkinan besar penyerang bisa menebak siapa keluarga yang dimaksud dengan menggabungkan info publik lain (misalnya dari media sosial atau berita lokal).
4. Serangan ke Website Pemerintah (20%)
Jenis Serangan: DDoS (Distributed Denial of Service)
Bagaimana serangan terjadi:
Penyerang pakai ribuan perangkat (botnet) buat ngirim permintaan ke server CivChain secara bersamaan. Akibatnya server jadi overload dan website nggak bisa diakses pengguna biasa.
Tujuan penyerang:
-
Mengacaukan layanan publik supaya warga nggak bisa akses dokumen.
-
Ngerusak reputasi pemerintah biar kelihatan nggak mampu ngelola sistem digital.
Dampak:
-
Sistem lumpuh, layanan publik terganggu.
-
Kepercayaan masyarakat menurun karena sistem pemerintah dianggap nggak aman.
Pencegahan:
-
Langkah teknis:
-
Gunakan CDN untuk membagi beban trafik ke beberapa server.
-
Terapkan rate limiting supaya satu IP nggak bisa kirim permintaan terlalu banyak.
-
-
Langkah kebijakan:
-
Buat prosedur darurat (incident response) biar tim IT tahu langkah yang harus diambil saat serangan.
-
Lakukan pelatihan rutin untuk staf agar bisa mendeteksi tanda-tanda serangan sejak awal.
-
5. Strategi Pertahanan (10%)
Sebagai bagian dari tim keamanan CivChain, saya akan menerapkan strategi menyeluruh yang mencakup lima hal penting. Pertama, semua data sensitif akan disimpan dengan salt dan pepper supaya hash-nya unik dan nggak mudah ditebak. Kedua, data pribadi akan diubah jadi pseudonym, jadi identitas asli warga nggak langsung terlihat. Ketiga, akses internal akan dibatasi berdasarkan peran (role-based access control), biar nggak semua pegawai bisa lihat data sensitif. Keempat, sistem akan dilengkapi audit dan logging buat mencatat semua aktivitas, supaya kalau ada penyalahgunaan bisa cepat dilacak. Terakhir, diterapkan data minimization, jadi cuma data yang benar-benar diperlukan saja yang disimpan — sisanya dihapus atau disamarkan.
6. Refleksi Etika dan Dampak Sosial (10%)
Kebocoran data publik kayak di CivChain jauh lebih berbahaya daripada kebocoran password biasa. Kalau password bocor, tinggal ganti dan selesai. Tapi kalau data publik seperti akta lahir, ijazah, atau sertifikat tanah bocor, dampaknya bisa permanen dan nyangkut ke identitas seseorang seumur hidup.
Dari sisi sosial, kepercayaan masyarakat ke pemerintah bisa turun drastis. Warga jadi ragu buat pakai layanan digital karena takut datanya disalahgunakan. Secara etika, pemerintah dan lembaga pengelola data punya tanggung jawab besar buat menjaga keamanan dan transparansi sistem. Kalau sampai data bocor, bukan cuma kerugian individu yang muncul, tapi juga hilangnya rasa aman masyarakat terhadap layanan publik yang seharusnya melindungi mereka.
