assignment 9 – hash – nur aulia

Pertanyaan : 

Keamanan Data Publik di Era Blockchain dan AI Generatif

Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

  1. Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.
  2. Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.
  3. Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas

1. Analisis Logika (25%)

Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.

2. Dua Skenario (20%)

Buat dua cerita singkat:

  • A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.
  • B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)

Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”

TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

4. Serangan ke Website Pemerintah (20%)

Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

  • Bagaimana serangan bisa terjadi
  • Tujuan penyerang
  • Dampak yang ditimbulkan
  • Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)

Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

6. Refleksi Etika dan Dampak Sosial (10%)

Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

  • Dampak terhadap reputasi seseorang
  • Kepercayaan masyarakat terhadap pemerintah
  • Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.

Ketentuan Pengumpulan

  • Jawaban ditulis dalam bentuk Cermi (Cerita Mini) di situs: https://bisnisdigital.raharja.ac.id
  • Setelah dipublikasikan, buat shortlink menggunakan https://bysl.pw dan cantumkan pada bagian akhir jawaban.
  • Semua contoh dan penjelasan harus buatan sendiri, bukan hasil salinan dari internet atau AI lain.
  • Waktu pengerjaan maksimal tiga jam

Status : 100% sudah tercapai

Keterangan : Saya sudah mengerjakan dengan baik & benar

Bukti : 

  1. Simplenya ya, kenapa gabungan antara blockchain publik, GenAI, dan portal pemerintah bisa bikin risiko baru karena semuanya saling berhubungan dan transparan banget. Misalnya gini, blockchain publik itu ibarat mading bentuk online yang bisa diliat semua orang. Walo nama orangnya disamarin, data transaksi tetep keliatan. Nah, kalo ada orang yang teliti dan sering ngamatin pola waktu atau jenis dokumen, dia bisa aja nebak siapa orang di balik data itu. Contohnya, kalo setiap pagi ada transaksi dari validator “Disdukcapil Tangerang” yang isinya banyak akta kelahiran, bisa ditebak langsung dari petugas yang lagi ngurus dokumen bayi baru lahir. Di samping itu, GenAI yang tugas nya ngeringkas dokumen kadang keceplosan nyebut info pribadi, misalnya “Pemilik: Rina” atau “Alamat: Modernland”. Kalo data kayak gitu muncul di portal pemerintah yang bisa diakses siapa pun, privasi warga bisa kebuka gitu aja ga ada yang notis. Jadi, tujuan nya emang udah baik bikin sistem jadi transparan & efisien tapi sistem itu sendiri yang bisa jadi celah data nya bocor.
  2. A. Hashing lebih tepat
    Misalnya, di sistem CivChain, tiap warga yang upload dokumen kayak ijazah atau sertifikat usaha akan dibuatkan hash nya. Jadi sistem cuma nyimpen sidik jari digital dari dokumen itu, bukan isi file nya. Kalo nanti warga upload ulang, sistem tinggal ngecek hasil hash nya. Kalo hasilnya sama, berarti dokumen itu belum diubah. Nah ini mirip di sistem login kampus atau media sosial yang nyimpen hasil hash password, bukan password aslinya. Jadi sistem ini tuh aman dan tepat juga buat verifikasi data tanpa liat detail dari isinya.
    B. Enkripsi lebih aman
    Kalo datanya bersifat pribadi dan masih sering dipakai, kayak data petugas CivChain yang isinya username, password, atau catatan kerja, itu harus dienkripsi. Nanti datanya disimpen dalam bentuk kode rahasia dan cuma bisa dibuka sama sistem yang punya kuncinya. Ini mirip kayak sistem e wallet atau aplikasi bank yang nyimpen data rekening dan saldo pakai enkripsi. Nah, kalaupun ada yang berhasil nyusup ke server, mereka tetap nggak bisa baca isi datanya.
  3. Contoh data fiktif dokumen publik:

    • TxID201 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas UMKM Tangerang – ringkasan AI: “Pemilik baru: Rina”

    • TxID202 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”

    • TxID203 – waktu: 2025-10-12 09:35 – dokumen: sertifikat tanah – validator: BPN Tangerang – ringkasan AI: “Luas tanah 120m² di Modernland”

    • TxID204 – waktu: 2025-10-12 09:37 – dokumen: surat nikah – validator: KUA Karawaci – ringkasan AI: “Pasangan baru dari RW 05”

    • TxID205 – waktu: 2025-10-12 09:40 – dokumen: surat pindah domisili – validator: Disdukcapil A – ringkasan AI: “Pindah dari Bandung ke Tangerang”

Dari data ini, penyerang bisa menebak kalau ketiga transaksi mungkin milik orang yang sama. Clue nya: mahasiswa Universitas Raharja, lulusan 2023, punya kedai kopi di Modernland. Walau nama aslinya nggak disebut, identitasnya bisa ketahuan dari gabungan informasi kecil kayak gitu.

4. Yang paling sering bikin website publik pemerintah kena serangan luar itu biasanya kena DDoS attack, gimana si contoh serangannya? Serangan yg di buat bisa dimulai dari ribuan bot yang ngirim permintaan ke website CivChain di waktu bersamaan. Ibaratnya kayak ribuan orang dateng bareng-bareng ke loket pelayanan, jadi antrian numpuk dan warga yang beneran butuh layanan malah nggak bisa masuk. Biasanya tujuan penyerang nya itu buat ngetes seberapa kuat sistem keamanan atau bisa buat nurunin reputasi pemerintah. Dampak ke warga, portal jadi nggak bisa diakses, proses verifikasi dokumen berhenti, dan kepercayaan warga menurun karena sistemnya dianggap nggak siap.

Cara cegahnya secara teknis:

  • Pasang firewall dan sistem rate limiting biar server bisa otomatis ngebatesin request dari IP yang mencurigakan.
  • Memakai load balancer supaya beban server dibagi rata dan nggak numpuk di satu titik.

Dari sisi kebijakan:

  • Bentuk tim tanggap darurat siber yang siap siaga kalau ada serangan.
  • Lakukan simulasi dan audit keamanan rutin setiap semester supaya sistem terus diperbarui dan nggak ketinggalan celah baru.
  1. Kalo aku dapet kesempatan buat pegang tanggung jawab keamanan di CivChain, pertama yg aku lakuin itu nambahin salt & pepper di proses hashing biar hasilnya susah ditebak sekalipun hacker tau algorooitma yg aku pake. Ga cuma itu aku nambahin pseudonymization, biar data yg aku jaga di blockchain bisa disamarin, misal nya nama keluarga aku “ara” diubah jadi user_234, akses data juga aku batesin, cuma staff tertentu yang bisa buka, dan semua aktifitas kerekam lewat audit & logging misal terjadi kebocoran aku bisa langsung lacak siapa yg ngubah. Terakhir aku bakal nerapin data minimization, supaya data yg aku kelola jadi teratur, aku bakal nyimpen data yg penting disini, misal ada kebocoran dampaknya ga terlalu parah. 
  2. Menurut aku,kebocoran data publik lebih fatal dan bahaya banget dibanding bocornya password, Soalnya data  publik ga cuma isi nama umur aja tapi semua bisa ada disitu, dan pastinya bisa berisi hal sensitif seperti alamat rumah, pekerjaan, atau riwayat pendidikan, yang bisa dipakai buat hal jahat kayak penipuan atau pencemaran nama baik. Apalagi sekarang lagi marak banget judol ya sama penipuan online itu bahaya banget sih. Kalo beneran terjadi kebocoran, reputasi rusak, kepercayaan masyarakat ke pemerintah menurun, yang hrusnya merasa terjaga dengan sistem kemanan pemerintah malah sebaliknya. Harusnya secara etis, lembaga yang ngurus data publik punya tanggung jawab besar buat ngejaga privasi warga, karena data itu bagian dari identitas seseorang. Sekali kepercayaan itu hilang, butuh waktu lama banget buat dapetin lagi.

 

 

Previous Post Previous Post
Newer Post Newer Post

Leave a comment