Menjadikan Keamanan sebagai Perilaku Organisasi

Oleh Anton Muhajir

Keamanan digital memerlukan tindakan menyeluruh dan kolektif. Sebab, keamanan satu orang akan berdampak terhadap keamanan seluruh organisasi. Begitu pula sebaliknya.

Demikian salah satu poin penting dalam diskusi tentang keamanan digital yang diadakan secara kolaboratif antara Southeast Asia Freedom of Expression Network (SAFEnet), Indonesia Corruption Watch (ICW) dan Tim Reaksi Cepat (TRACE) pada pertengahan Agustus lalu.

Diskusi setengah hari itu menyikapi dua laporan terbaru tentang serangan digital terhadap aktivis, jurnalis, dan pembela hak asasi manusia.

Laporan pertama dari Citizenlab, lembaga riset teknologi dan komunikasi digital di Toronto, Kanada. Dalam laporannya yang diterbitkan Juli 2021 lalu, Citizenlab mengungkapkan penggunaan perangkat lunak untuk memata-matai (spyware) target serangan. Program ini dikembangkan perusahaan bernama Candiru yang berbasis di Israel.

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

Menu yang ditawarkan oleh Candiru

Melalui pemindaian, Citizenlab menemukan spyware itu telah ditanam melalui lebih dari 750 situs web. Spyware itu kemudian menginfeksi dan memata-matai beragam perangkat termasuk iPhone, Android, Mac, komputer pribadi, dan akun layanan komputasi awan (Cloud).

Korban spyware ini setidaknya 100 orang dari latar belakang jurnalis, aktivis, dan pembela hak asasi manusia lainnya. Mereka tersebar antara lain di Palestina, Lebanon, Spanyol, Iran, Yaman, Singapura, dan Indonesia.

Korban di Indonesia tersebut adalah Indoprogress, media alternatif yang dikenal sebagai suara kelompok progresif kiri Indonesia. Menurut laporan Citizenlab, Indoprogress menjadi korban peniruan situs web (impersonasi).

Laporan kedua dari Amnesty International bekerja sama dengan proyek Forbidden Stories, hanya berselang tiga hari setelah terbitnya laporan Citizenlab. Laporan itu diterbitkan oleh lebih dari 80 jurnalis dari 17 media di 10 negara.

www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus

Menurut laporan tersebut, sebuah perusahaan digital dari Israel, NSO, menjual spyware bernama Pegasus ke pemerintah beberapa negara. Target serangannya serupa Cindaru, aktivis, jurnalis, dan pembela hak asasi manusia lainnya.

Nama spyware Pegasus sebagai perangkat lunak yang menarget jurnalis, aktivis, dan pembela hak asasi manusia sebenarnya tidak baru. Citizenlab sudah pernah mengungkap praktik memata-matai dengan perangkat lunak ini pada 2014.

Temuan Amensty International hanya semakin menguatkan hasil riset Citizenlab, terutama dari sisi teknis.

Alarm Peringatan

Ringkasnya, investigasi tim teknologi Amnesty International menemukan bahwa Pegasus ini telah ditanamkan di setidaknya 700 domain. Hanya dengan membuka tautan tertentu, korban akan langsung terinfeksi perangkat lunak mata-mata itu. Bahkan meskipun dia tak menginstall apapun (zero-click).

Dalam laporan itu, Amnesty International tidak menyebutkan adanya korban dari Indonesia sebagaimana terjadi dalam serangan melalui Cindaru. Toh, itu bukan tidak berarti aktivis, jurnalis, dan pembela hak asasi manusia di negara ini juga aman. Bagaimanapun juga, salah satu karakter serangan digital tetap berlaku di manapun, serangan digital secara kasar (hard attack) yang berhasil justru lebih susah terungkap kejadian dan pelakunya.

Oleh karena itu, dua laporan terbaru dari Citizenlab dan Amnesty International tersebut tetap penting sebagai alarm peringatan bagi jurnalis, aktivis, dan pembela hak asasi manusia di Indonesia. Bahwa, keamanan digital harus terus menerus menjadi perhatian. Tak hanya di tingkat individu, tetapi juga organisasi.

Dalam diskusi daring pertengahan Agustus lalu, misalnya, beberapa jurnalis dan aktivis di Indonesia memberikan contoh pentingnya keamanan digital diterapkan secara kolektif.

“Sekarang semakin susah memisahkan keamanan individu dan organisasi,” kata Yusuf, editor Indoprogress, dalam diskusi itu.

Yusuf menceritakan bahwa tim redaksi Indoprogress mulai menerapkan keamanan digital secara lebih ketat setelah insiden serangan digital pada Agustus 2020 lalu. Saat itu, salah satu kontributor mereka, Roy Murtadho, mendapatkan serangan pada akun Instagram dan Facebooknya.

“Sejak itu kami bikin protokol pengamanan (digital) pribadi,” lanjutnya.

Ketika Indoprogress disebut-sebut sebagai salah satu korban serangan Candiru, mereka pun melakukan audit keamanan digital dasar lagi. Misalnya, memeriksa ulang kata sandi dan memisahkan akun pribadi dengan pekerjaan.

Kerja kolektif semakin penting ketika serangan digital terjadi secara masif, sebagaimana pernah terjadi pada aktivis ICW. Pada Mei 2021 lalu, mereka mengalami serangan digital secara bertubi-tubi, mulai dari panggilan telepon berulang-ulang dari nomor tidak dikenal (robocall), upaya masuk akun WhatsApp secara terus menerus, dan pemesanan makanan lewat aplikasi Gojek fiktif.

Serangan itu terjadi saat ICW dan masyarakat sipil lain sedang mengkritik pelaksanaan Tes Wawasan Kebangsaan (TWK) pada pegawai Komisi Pemberantasan Korupsi (KPK). Tepat pada hari serangan terjadi, ICW sedang menggelar diskusi tentang TWK itu dengan narasumber antara lain mantan komisioner KPK, Busyro Muqoddas.

Busyro sendiri menjadi korban serangan. Begitu pula aktivis Lembaga Bantuan Hukum (LBH) Jakarta dan Lokataru.

Kerja Kolektif

Bagi ICW, ini serangan digital ke sekian kali. Tahun lalu, mereka juga mengalami serangan berupa upaya masuk akun Instagram dan Telegramnya. Dampak baiknya, serangan demi serangan itu justru membuat ICW terlatih, termasuk membangun mekanisme bersama, secara internal lembaga maupun eksternal, untuk menghadapi serangan.

Secara internal, pekerja ICW memiliki kesadaran bersama mitigasi menghadapi serangan. “Kebijakan internal sudah mengarah ke sana,” kata Lalola Easter, salah satu staf ICW yang mengalami serangan pada Mei 2021 lalu.

Secara eksternal, ICW melibatkan beberapa organisasi lain untuk menangani serangan, dari sisi teknis maupun hukum. Misalnya bersama SAFEnet, Digital Defenders Partnership (DDP), PurpleCode Collective, TRACE, dan lain-lain.

Pengalaman saya terlibat dalam penanganan serangan digital semacam itu, kerja kolektif memang jauh lebih memudahkan. Lebih enak membagi peran dan pengetahuan. Sebab, bentuk serangan makin beragam dan canggih. Sementara, di sisi sebaliknya, kemampuan anggota tim penanganan masih berbeda-beda tingkat dan keahliannya. Mau tak mau ya para pegiat keamanan digital ini harus semakin berkolaborasi.

Tak kalah pentingnya, tiap organisasi memang harus mulai membuat protokol, meskipun baru sebatas kesepakatan bersama. Sebab, bagaimanapun juga, keamanan organisasi akan akan berpegaruh terhadap keamanan personal. Begitu pula sebaliknya.

“Keamanan personal tidak akan berfungsi ketika organisasinya sendiri tidak aman,” tegas Dhyta Caturini, pegiat PurpleCode Collective.