Assignment 9 – Hash – Otniel Feliks Putra Wahyudi – 2481417024

Pertanyaan:

Keamanan Data Publik di Era Blockchain dan AI Generatif
Pemerintah Indonesia meluncurkan sistem bernama CivChain, yaitu platform digital untuk menyimpan dokumen publik seperti akta kelahiran, ijazah, izin usaha, dan sertifikat tanah. Semua data tersebut disimpan di blockchain publik, agar tidak bisa dipalsukan dan dapat diverifikasi siapa pun.

Untuk membantu petugas, pemerintah bekerja sama dengan startup VeriAI, yang menggunakan AI Generatif (GenAI) untuk membuat ringkasan otomatis isi dokumen, menerjemahkan data, dan memberikan saran kepada operator agar lebih cepat memproses dokumen.

Beberapa waktu kemudian muncul beberapa masalah:

Data transaksi di blockchain ternyata bisa digunakan untuk menebak identitas warga, karena ada pola waktu, nama validator, dan jenis dokumen.

Beberapa keluaran dari GenAI menampilkan potongan kalimat dari dokumen pribadi, sehingga muncul risiko kebocoran informasi.

Website CivChain juga sempat diserang peretas melalui injeksi API dan DDoS attack yang membuat sistem lumpuh selama beberapa jam.

Tugas
1. Analisis Logika (25%)
Jelaskan dengan bahasa kamu sendiri mengapa kombinasi blockchain publik, GenAI, dan portal pemerintah dapat menimbulkan risiko baru terhadap privasi dan keamanan data warga. Gunakan logika dan contoh yang kamu buat sendiri, bukan teori hafalan.
Contoh arah jawaban: bagaimana pola transaksi atau ringkasan AI dapat secara tidak sengaja mengungkap identitas seseorang.

2. Dua Skenario (20%)
Buat dua cerita singkat:

A: Situasi di mana hashing lebih tepat digunakan daripada enkripsi, dan jelaskan alasannya.

B: Situasi di mana enkripsi lebih aman dan hashing tidak cukup, sertakan juga alasan teknisnya.

Gunakan contoh buatan sendiri yang masih berkaitan dengan konteks blockchain, website, atau sistem AI.

3. Contoh Data Buatan (15%)
Tulis tiga sampai lima baris data contoh fiktif untuk menunjukkan bagaimana penyerang dapat menebak identitas seseorang.
Gunakan format sederhana seperti contoh berikut (boleh disesuaikan):

TxID001 – waktu: 2025-10-12 09:30 – dokumen: izin usaha – validator: Dinas A – ringkasan AI: “Pemilik baru: Rina”
TxID002 – waktu: 2025-10-12 09:32 – dokumen: akta kelahiran – validator: Disdukcapil B – ringkasan AI: “Anak dari pegawai BUMN”
Setelah itu, jelaskan dengan dua sampai tiga kalimat bagaimana penyerang dapat menebak siapa orang yang dimaksud.

4. Serangan ke Website Pemerintah (20%)
Pilih satu jenis serangan yang mungkin terjadi, seperti DDoS, SQL Injection, atau penyalahgunaan AI untuk social engineering.
Jelaskan secara berurutan:

Bagaimana serangan bisa terjadi

Tujuan penyerang

Dampak yang ditimbulkan

Cara pencegahannya (minimal dua langkah teknis dan dua langkah kebijakan atau prosedur kerja)

Gunakan gaya penjelasan seperti sedang menjelaskan kepada tim keamanan kampus.

5. Strategi Pertahanan (10%)
Tuliskan satu paragraf strategi keamanan yang mencakup lima hal berikut: salt/pepper, pseudonymization, pembatasan akses internal, audit dan logging, serta data minimization.
Tulis seolah kamu adalah penanggung jawab keamanan di sistem pemerintahan, dan jelaskan dengan bahasa yang sederhana tetapi menunjukkan pemahaman teknis.

6. Refleksi Etika dan Dampak Sosial (10%)
Tuliskan pendapat pribadi kamu tentang mengapa kebocoran data publik dari sistem seperti ini bisa lebih berbahaya daripada kebocoran password biasa.
Bahas dari sisi:

Dampak terhadap reputasi seseorang

Kepercayaan masyarakat terhadap pemerintah

Tanggung jawab etis lembaga pengelola data

Gunakan gaya opini pribadi, bukan teori.

Status: 100% Tercapai
Keterangan: Saya telah mengerjakan tugas ini dengan biak dan benar
Bukti: 

1. Analisis Logika (25%)

Menurut saya, menggabungkan blockchain publik, GenAI, dan portal pemerintah itu seperti mencampur transparansi total dengan kecerdasan otomatis tanpa filter dan hasilnya bisa berbahaya untuk privasi warga. Blockchain publik memang aman dari pemalsuan, tapi terlalu terbuka. Dari pola transaksi dan waktu unggah, orang bisa menebak siapa pemilik dokumennya, apalagi kalau validatornya lembaga tertentu.

Lalu GenAI menambah risiko baru karena ia bisa mengutip kalimat dari dokumen pribadi tanpa sadar, misalnya menuliskan nama, alamat, atau jabatan seseorang dalam ringkasan otomatis. Jadi walau sistem ini niatnya membantu, hasil akhirnya bisa jadi kebocoran data. Kombinasi ketiganya membuat data publik bukan cuma terlindungi, tapi juga terbuka terlalu lebar bagi siapa pun yang ingin menyalahgunakannya.

2. Dua Skenario (20%)

A. Hashing lebih tepat digunakan

Misalnya waktu sistem CivChain ingin memastikan dokumen belum pernah diubah. Setiap kali warga upload akta kelahiran, sistem bikin hash unik dari file itu. Kalau nanti ada yang ubah satu huruf pun, hasil hash-nya langsung beda. Jadi petugas bisa tahu mana file asli tanpa perlu lihat isinya. Hashing cocok di sini karena cuma buat cek keaslian, bukan untuk baca ulang data.

B. Enkripsi lebih aman daripada hashing

Contohnya saat data pribadi warga dikirim ke server CivChain — kayak nama lengkap, NIK, dan alamat. Kalau cuma di-hash, data itu nggak bisa dibaca balik, padahal petugas perlu lihat lagi. Nah, di situ enkripsi wajib dipakai, biar datanya tetap bisa didekripsi sama pihak berwenang tapi tetap aman dari orang luar. Jadi hashing bagus buat verifikasi, tapi kalau butuh akses ulang ke data aslinya, enkripsi jauh lebih aman.

 

3. Contoh Data Buatan (15%)

TXA210 – waktu: 2025-11-01 10:05 – dokumen: akta nikah – validator: KUA Kecamatan Kuta – ringkasan AI: “Pasangan: Dini & R. Hidayat, alamat: Gang Dahlia”

TXB311 – waktu: 2025-11-01 10:07 – dokumen: surat izin praktek – validator: Dinas Kesehatan – ringkasan AI: “Dokter umum praktik di Puskesmas Padang Barat”

TXC412 – waktu: 2025-11-01 10:10 – dokumen: sertifikat tanah – validator: BPN Kabupaten – ringkasan AI: “Tanah seluas 150 m2 di Desa Suka Maju, milik keluarga S.”

TXD513 – waktu: 2025-11-01 10:12 – dokumen: ijazah – validator: Dinas Pendidikan Kota – ringkasan AI: “Lulus SMK Teknik Elektro, no. induk siswa 202034”

TXE614 – waktu: 2025-11-01 10:15 – dokumen: akta kelahiran – validator: Disdukcapil – ringkasan AI: “Lahir di RS Harapan, ibu: Ratna S., ayah bekerja di pelabuhan”
Penjelasan:
Penyerang bisa gabungkan petunjuk lokasi (Gang Dahlia, Desa Suka Maju), institusi (RS Harapan, Puskesmas Padang Barat), dan petunjuk keluarga/jabatan (ayah di pelabuhan, nama belakang inisial S.) untuk mempersempit kandidat. Dengan sedikit data publik tambahan (posting media sosial, daftar tenaga kerja lokal, atau daftar lulus SMK), menebak identitas sebenarnya jadi cukup mudah.

 

4. Serangan ke Website Pemerintah (20%)

 

Jenis Serangan: DDoS (Distributed Denial of Service)

1. Bagaimana serangan bisa terjadi:
Penyerang memakai ribuan perangkat bot (komputer atau IoT yang sudah terinfeksi) untuk mengirimkan permintaan ke server CivChain secara bersamaan. Trafiknya jadi luar biasa padat sampai server nggak sanggup ngerespons permintaan normal dari pengguna. Akibatnya, website CivChain ngelag, lalu down total selama beberapa jam.

2. Tujuan penyerang:
Biasanya bukan untuk mencuri data langsung, tapi melumpuhkan layanan supaya warga nggak bisa mengakses dokumennya. Kadang juga jadi pengalihan perhatian sebelum serangan lain (kayak pencurian data lewat API).

3. Dampak yang ditimbulkan:
Layanan publik berhenti total, warga nggak bisa akses akta atau sertifikat, dan reputasi pemerintah langsung kena karena kelihatan nggak siap menghadapi serangan digital.

4. Cara pencegahan:

Langkah teknis:
1. Gunakan load balancer dan content delivery network (CDN) biar trafik terbagi merata dan serangan bisa diserap.
2. Pasang sistem rate limiting dan deteksi anomali buat memblokir permintaan berlebihan dari IP mencurigakan.

Langkah kebijakan/prosedur:
1. Siapkan incident response plan agar tim tahu harus ngapain kalau sistem diserang.
2. Jalin kerja sama dengan penyedia infrastruktur internet nasional (misalnya Kominfo atau ISP) untuk mitigasi DDoS besar secara cepat.

 

5. Strategi Pertahanan (10%)
Kalau saya jadi penanggung jawab keamanan di CivChain, strategi utamanya fokus ke perlindungan data dari dalam. Pertama, setiap data sensitif akan diberi salt dan pepper sebelum di-hash, supaya walau ada data yang bocor, hasilnya tetap nggak bisa dibalik ke bentuk asli. Kedua, saya akan menerapkan pseudonymization, jadi nama warga atau NIK diganti kode unik yang cuma bisa dihubungkan lewat sistem internal. Ketiga, buat keamanan internal, akses data dibatasi ketat berdasarkan peran dan tanggung jawab, nggak ada alasan petugas umum bisa buka dokumen sensitif. Lalu semua aktivitas sistem akan terekam lewat audit dan logging otomatis supaya bisa dilacak kalau ada kejanggalan. Terakhir, saya pastikan prinsip data minimization dijalankan: hanya data yang benar-benar dibutuhkan yang disimpan, sisanya dihapus setelah proses selesai. Dengan cara ini, data publik tetap bisa digunakan tanpa mengorbankan privasi warga.

6. Refleksi Etika dan Dampak Sosial (10%)

Menurut saya, kebocoran data publik jauh lebih berbahaya dibanding bocornya password. Kalau password bocor masih bisa diganti, tapi data publik seperti akta kelahiran atau sertifikat tanah menyangkut identitas asli yang nggak bisa diubah. Dampaknya bisa besar, mulai dari pencurian identitas sampai penyalahgunaan dokumen. Selain merugikan individu, hal ini juga bikin masyarakat kehilangan kepercayaan pada pemerintah. Secara etika, lembaga pengelola data punya tanggung jawab moral untuk menjaga keamanan informasi warga, karena yang dipertaruhkan bukan cuma data, tapi juga rasa aman dan kepercayaan publik.

Previous Post Previous Post
Newer Post Newer Post

Leave a comment