Laporan: Kepala badan keamanan siber AS mengunggah dokumen pemerintah sensitif ke ChatGPT

 (dexerto.com)
2 poin oleh GN⁺ 2026-01-30 | 1 komentar | Bagikan ke WhatsApp
  • Dilaporkan bahwa pejabat sementara Cybersecurity and Infrastructure Security Agency (CISA) AS mengunggah dokumen kontrak pemerintah tingkat sensitif ke ChatGPT
  • Dokumen tersebut ditandai “For Official Use Only” dan memicu peringatan keamanan internal serta penyelidikan federal
  • Ia juga disebut meminta hak pengecualian khusus untuk mengakses ChatGPT, yang diblokir bagi pegawai Departemen Keamanan Dalam Negeri lainnya
  • Juru bicara CISA menyatakan penggunaannya “bersifat jangka pendek dan terbatas”, dan setelah insiden itu prosedur penilaian dampak dijalankan
  • Insiden ini terjadi di tengah kebijakan perluasan penggunaan AI oleh pemerintah federal, sehingga menyoroti pentingnya pengelolaan keamanan AI di lembaga publik

Gambaran insiden unggahan ke ChatGPT

  • Politico melaporkan bahwa pelaksana tugas direktur CISA, Madhu Gottumukkala, di badan keamanan siber tertinggi pemerintah AS, mengunggah dokumen pemerintah sensitif ke versi publik ChatGPT
    • Dokumen yang diunggah adalah dokumen terkait kontrak pemerintah yang ditandai “For Official Use Only
    • Insiden terjadi pada musim panas 2025, dan sistem pemantauan keamanan siber internal mendeteksinya pada awal Agustus
  • Setelah terdeteksi, Department of Homeland Security (DHS) segera memulai damage assessment untuk menyelidiki apakah terjadi paparan informasi
  • Karena versi publik ChatGPT membagikan input pengguna kepada OpenAI, muncul kekhawatiran akan kemungkinan kebocoran data sensitif ke luar jaringan internal

Tanggapan CISA dan posisi resmi

  • Juru bicara CISA Marci McCarthy menjelaskan bahwa Gottumukkala “mendapat izin menggunakan ChatGPT di bawah kendali DHS
    • Ia menekankan bahwa penggunaan itu “bersifat jangka pendek dan terbatas”
  • Gottumukkala telah menjabat sebagai pelaksana tugas direktur sejak Mei 2025, sementara Senat masih belum mengesahkan Sean Plankey sebagai direktur definitif
  • Politico juga menyebut kasus masalah lain selama masa jabatannya
    • Ia pernah gagal dalam pemeriksaan kontraintelijen (polygraph) untuk akses ke informasi tingkat lanjut
    • Namun, dalam sidang dengar pendapat Kongres baru-baru ini, ia membantah dan menolak penilaian tersebut

Kebijakan AI pemerintah federal dan waktu terjadinya insiden

  • Insiden ini terjadi ketika pemerintahan Donald Trump mendorong adopsi AI di seluruh lembaga federal
    • Pada Desember 2025, Presiden Trump menandatangani executive order yang membatasi regulasi AI di tingkat negara bagian
    • Pentagon telah mengumumkan strategi “AI-first” untuk memperluas penggunaan kecerdasan buatan di bidang militer
  • Dalam arus kebijakan seperti ini, insiden tersebut menjadi contoh yang menyoroti risiko keamanan penggunaan AI di sektor publik

Peringatan keamanan internal dan prosedur penyelidikan

  • Segera setelah sistem pemantauan keamanan siber mendeteksi unggahan ke ChatGPT, peringatan internal dikeluarkan
    • Setelah itu, DHS memulai penyelidikan resmi untuk menilai apakah terjadi paparan informasi dan seberapa luas dampaknya
  • Menurut laporan, akses ke ChatGPT diblokir bagi pegawai DHS pada umumnya, tetapi Gottumukkala memperoleh akses melalui permintaan pengecualian khusus
  • Cara OpenAI memproses data disebut menimbulkan kekhawatiran di lingkungan federal karena dapat bertentangan dengan kebijakan keamanan jaringan internal pemerintah

Dampak dan makna insiden

  • Insiden ini menunjukkan bahwa bahkan pejabat keamanan senior pemerintah federal pun dapat terekspos pada risiko keamanan saat menggunakan alat AI
  • Hal ini menyoroti perlunya penguatan pedoman penggunaan AI di lembaga publik dan peninjauan ulang sistem perlindungan data
  • Di tengah percepatan adopsi teknologi AI, pentingnya kontrol keamanan dan prosedur penggunaan yang transparan semakin ditekankan

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-30
Opini Hacker News

  • Melihat situasi seperti ini, rasanya LLM khusus GovCloud memang benar-benar diperlukan
    Frustrasi karena pemerintah terlihat seolah dipimpin oleh ‘keponakan dari keponakan yang ditunjuk’
    Jadi terus teringat miniseri HBO Chernobyl — seperti adegan kepala kementerian sains berasal dari pabrik sepatu, sekarang terasa seperti kita hidup di era ketika tak seorang pun perlu kompeten dalam pekerjaannya

    • Menurut artikel tersebut, ChatGPT diblokir untuk sebagian besar pegawai DHS, dan hanya Gottumukkala yang mendapat izin khusus untuk menggunakannya secara terbatas
      Fakta bahwa ini tetap tertangkap dalam pemeriksaan keamanan berarti pemerintah menganggap penggunaan luas alat ini tidak aman
      Disebutkan juga bahwa mereka sudah mengembangkan model khusus pemerintah, ChatGPT Gov, bersama OpenAI
    • Menempatkan orang yang tidak kompeten pada posisi berkuasa adalah alat politik klasik untuk memastikan loyalitas
      Karena posisinya bukan didapat lewat kemampuan, mereka hanya akan loyal kepada pihak yang menunjuknya, dan tidak peduli pada kualitas kerja
      Semakin lemah seorang pemimpin, semakin sering cara ini dipakai, dan sayangnya cukup efektif
    • Soal “keponakan dari keponakan yang ditunjuk”, jangan lupa juga Large Adult Sons
      Untuk meme terkait, lihat artikel The New Yorker dan halaman KnowYourMeme
    • Ini terasa seperti strategi yang disengaja untuk membuat pemerintah tampak tidak kompeten, agar pada akhirnya pekerjaan itu dialihkan ke perusahaan swasta milik teman atau keluarga
      Dengan begitu, sumber daya bisa diselewengkan jauh lebih efisien
    • Sebagai catatan, Chernobyl versi HBO adalah fiksi. Di dunia nyata, tidak ada adegan ‘direktur pabrik sepatu’ minum vodka seperti itu

  • Tingkat operational security (op-sec) pemerintahan kali ini nyaris setara Barney Fife dalam hal kecerobohan

    • Tim pengamanan Maduro di Venezuela mungkin akan sedikit tidak setuju dengan pendapat ini
    • Fife setidaknya punya niat yang benar. Lagi pula, atasannya bahkan tidak mengizinkannya memegang senjata
    • Kekurangan kemampuan pemerintahan ini secara keseluruhan seperti level ‘anak yang main lem tempel’
    • Ketidakmampuan seperti ini mungkin bukan bug, melainkan fitur
    • Saya juga bekerja 10 tahun di bidang pengadaan dan penjualan, jadi melihat ini rasanya malah lucu
      Orang yang tidak paham prosedur pengadaan lalu mencoba menyelesaikannya lewat pencarian online tidak ada bedanya dengan eksekutif tahun 2007 yang mencari “apa itu RFP?”

  • Aneh kalau seseorang sebenarnya sudah bisa memakai ChatGPT Pro aman berbasis Azure, tetapi malah memilih 4o publik
    Pemerintah sebenarnya sudah memiliki lingkungan aman yang terpisah
    Pada akhirnya ia memang mendapat izin untuk menggunakannya hanya pada level “dokumen tidak resmi”, tetapi kesalahan mendasar seperti ini sulit diterima untuk seorang pemimpin CISA

    • Namun kalau dia memang boneka yang ditanam, kemungkinan dia memang tidak akan paham alat seperti ini dengan benar

  • Sebaiknya baca versi aslinya di artikel Politico

  • Yang melanggar aturan memang selalu orang-orang di atas
    Saya kenal orang-orang yang pernah bekerja di bidang komunikasi militer, dan perwira senior sering kali mengabaikan prosedur keamanan hanya karena merasa repot

  • Orang-orang sebenarnya sudah ceroboh di media sosial publik
    Dengan hadirnya LLM, kecenderungan ini tampaknya akan makin parah

    • Di sinilah bahaya sebenarnya. Saat ini bahkan belum ada cara untuk meminta penghapusan data dari LLM

  • Di industri yang tunduk pada regulasi ITAR/EAR (dirgantara, pertahanan, dll.), memblokir akses ke ChatGPT.com itu wajib
    Mengejutkan bahwa ini rupanya belum diterapkan

    • Setuju. Hanya saja aturan ITAR dan EAR memang sangat ambigu, terutama di lingkungan pendidikan tinggi
    • Menurut laporan, Gottumukkala meminta izin pengecualian khusus untuk bisa mengakses ChatGPT

  • Tingkat kompetensi dalam insiden ini persis seperti yang diduga

    • Dia adalah orang yang ditunjuk langsung oleh Kristi Noem
      Menurut profil Wikipedia, ia diangkat sebagai wakil menteri DHS pada April 2025 dan mulai menjabat sebagai direktur sementara CISA sejak Mei

  • Cukup lucu juga menonaktifkan pengaturan cookie satu per satu
    Dari 1668 perusahaan mitra, sepertiganya mengklaim memiliki ‘kepentingan yang sah’
    Melihat Privacy Badger hanya memblokir 19, mungkin sebagian hanya memenuhi area dengan cookie palsu
    Saya malah akhirnya lupa membaca artikelnya

    • Cookie yang sama bisa dibagikan ke banyak mitra, atau data yang dikumpulkan bisa diteruskan
      Ini bukan sekadar ‘undang-undang cookie’, melainkan undang-undang tentang berbagi data pribadi
      Misalnya, kalau ingin menjual SSN dan email saya ke 1668 perusahaan, mereka harus mendapatkan persetujuan dari masing-masing pihak

  • Pada akhirnya pemerintah tampaknya akan berusaha menyelesaikan ini dengan memaksakan integrasi ke Grok

    • Mungkin DOGE sudah mengekstrak semua data yang dibutuhkan, tetapi mereka kemungkinan masih ingin lebih banyak lagi