Indonesia Corruption Watch (ICW) beserta sejumlah organisasi masyarakat sipil mendesak Polri untuk membuka informasi mengenai pengadaan alat sadap dengan metode “zero-click”, yang menurut mereka dapat mengancam demokrasi.
Alat tersebut berupa perangkat lunak yang dapat dipasang di ponsel target secara diam-diam dan si target tidak perlu mengeklik apapun. Para pegiat kebebasan sipil khawatir alat ini berpotensi digunakan untuk membungkam demonstran dan jurnalis.
Permohonan keterbukaan informasi ini merupakan lanjutan dari laporan investigasi Konsorsium IndonesiaLeaks Juni lalu, yang menemukan indikasi pengiriman alat sadap Pegasus ke Indonesia.
Polri belum menanggapi permohonan informasi ini. Namun, merespons laporan IndonesiaLeaks, seorang pejabat Polri telah mengatakan pernah menggunakan alat sadap zero-click tapi bukan Pegasus.
Seorang pakar keamanan siber mengatakan alat-alat sadap dengan metode zero-click “dijual bebas” di Indonesia — tidak hanya kepada penegak hukum.
Pada Senin (09/10) siang, ICW menyampaikan surat permohonan keterbukaan informasi kepada Divisi Humas Polri.
Permohonan itu berasal dari sejumlah organisasi masyarakat sipil yang tergabung dalam Koalisi Reformasi Kepolisan – antara lain ICW, KontraS, Aliansi Jurnalis Independen (AJI) Indonesia, dan Lembaga Bantuan Hukum (LBH) Pers.
Mereka meminta detail mengenai pengadaan alat sadap zero-click intrusion system di Mabes Polri pada tahun 2018 senilai Rp149 miliar, yang tendernya dimenangkan oleh PT Radika Karya Utama.
Informasi mengenai tender tersebut dipajang di Opentender.net, platform yang dikembangkan ICW berdasarkan data dari Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP).
Pada Juni lalu, laporan investigasi Konsorsium IndonesiaLeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia menemukan indikasi bahwa Pegasus, alat sadap milik perusahaan NSO group asal Israel, telah masuk ke Indonesia dan diduga pernah digunakan oleh Polri dan BIN. Alat sadap ini terkenal dengan metode zero click.
Peneliti ICW, Diky Anandya, mengatakan kepada BBC bahwa organisasi masyarakat sipil berharap bisa mendapatkan setidaknya rencana umum pengadaan alat sadap zero-click di Polri serta kerangka acuan kegiatan.
“Dari situ setidaknya kita bisa lihat spesifikasi teknis yang mereka pesan pada tahun 2018 itu apa saja, dan itu mungkin bisa kita gunakan sebagai basis apakah Polri menggunakan alat sadap berjenis Pegasus atau bukan,” ujarnya.
Apa itu Pegasus?
Pegasus adalah perangkat berbasis software yang dirancang untuk diam-diam mengumpulkan informasi dari ponsel sasaran. Spyware ini dapat membaca teks dan email, memantau penggunaan aplikasi, melacak lokasi data, dan mengakses mikrofon dan kamera gawai.
Pegasus dapat dipasang di ponsel Android atau IOS dari jarak jauh.
Salah satu caranya adalah melalui missed call WhatsApp, dan kemudian segera menghapus riwayatnya, sehingga si pengguna ponsel tidak merasa ada yang salah.
Cara ini lebih tersembunyi daripada kebanyakan spyware, yang biasanya mengharuskan sasaran mengklik tautan atau membuka pesan tertentu. Karena itu, Pegasus disebut menggunakan metode zero-click.
Pegasus dilisensikan oleh pembuatnya, NSO Group, kepada pemerintahan di seluruh dunia. Perangkat ini dimaksudkan agar digunakan sebagai alat surveilans untuk upaya-upaya penegakan hukum.
Namun, dalam praktiknya, alat ini pernah digunakan untuk menyasar demonstran, aktivis, dan jurnalis.
Pada Juli 2022, Pegasus ditemukan di ponsel puluhan anak muda di Thailand yang terlibat dalam unjuk rasa pro-demokrasi yang menuntut reformasi politik dan monarki.
Perangkat ini juga dilaporkan pernah digunakan untuk menyasar ponsel orang-orang terdekat Jamal Khashoggi, jurnalis asal Arab Saudi yang dibunuh di kantor konsulat di Istanbul, Turki.
Apa kekhawatiran para aktivis?
Diky Anandya dari ICW mengatakan banyak organisasi masyarakat sipil khawatir bahwa alat sadap seperti Pegasus dapat disalahgunakan oleh penguasa menjadi alat untuk membungkam atau bahkan mengkriminalisasi demonstran dan jurnalis.
Hal seperti ini, imbuhnya, dapat membahayakan demokrasi.
Kekhawatiran itu bukan tanpa alasan. Organisasi pemantau keamanan digital SAFENet telah mencatat bahwa peretasan akun media sosial dan WhatsApp kerap terjadi pada kelompok kritis di Indonesia.
Pada 2018, surat kabar Israel bahkan melaporkan bahwa Pegasus digunakan di Indonesia untuk membuat basis data kelompok LGBT dan kelompok agama minoritas.
"Tentu kami tidak menginginkan hal seperti itu terjadi di Indonesia. Tentu kami menginginkan Polri bisa secara transparan dan akuntabel bahwa mereka tidak menggunakan alat-alat yang bisa digunakan untuk operasi pembungkaman,” Diky menjelaskan.
Sampai berita ini diterbitkan, Kepala Biro Penerangan Masyarakat (Karo Penmas) Divisi Humas Polri, Brigjen Ahmad Ramadhan, belum menjawab permintaan komentar dari BBC. “Saya tanyakan dulu,” katanya dalam pesan singkat.
Namun, Kepala Divisi Teknologi, Informatika, dan Komunikasi Polri, Inspektur Jenderal Slamet Uliandi, telah mengatakan kepada tim IndonesiaLeaks Juni lalu bahwa lembaganya memang pernah menggunakan alat sadap dengan metode zero click, namun tidak pernah menggunakan Pegasus.
Dalam wawancara yang dimuat di Majalah Tempo, Slamet mengatakan alat sadap yang didatangkan Polri pada 2017 dan 2018 merupakan intrusion system.
Slamet juga membantah bahwa Polri menggunakan spyware atau malware, menyebut perangkat tersebut hanya digunakan oleh peretas atau hacker.
Bagaimanapun, Diky Anandya dari ICW berkeras bahwa meskipun kepolisian sudah pernah membantah bahwa alat sadap yang mereka gunakan adalah Pegasus, ada kemiripan terkait dengan instrumen yang digunakan.
Dia menegaskan bahwa permohonan keterbukaan informasi sudah sejalan dengan undang-undang, yaitu Pasal 11 Ayat 1 UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik serta Pasal 15 Ayat 9 Peraturan Komisi Informasi Nomor 1 Tahun 2021 tentang Standar Pelayanan Informasi Publik.
Perlukah polisi membuka informasi?
Chairman Indonesia Cyber Security Forum, Ardi Sutedja, berpendapat bahwa Polri tidak punya kewajiban untuk menjelaskan tentang alat sadap yang mereka gunakan karena itu dapat mengganggu proses penyidikan yang mungkin sedang berjalan.
Namun, dia yakin bahwa polisi hanya menggunakan alat sadap pada pelaku kejahatan, dan mereka tidak melakukannya tanpa perintah hukum.
“Harus ada surat perintahnya dari pengadilan atau kejaksaan bahwa diizinkan melakukan itu. Dan mereka pegang sekali etika itu setahu saya,” kata Ardi.
Ardi menjelaskan pembuat alat sadap sekelas Pegasus biasanya hanya mau menjual secara government-to-government dan hanya untuk kepentingan penegakan hukum.
Tapi celakanya, sekarang banyak broker yang menawarkan teknologi penyadapan seperti ini ke berbagai tempat di dunia — dan teknologi itu tidak hanya ditawarkan pada penegak hukum.
"Semua punya, semua pernah. Ada yang enggak bermerek, ada yang bermerek ya, bahkan ada juga yang buatan peretas itu dijual ditawarkan ke kita. Saya enggak tahu siapa lagi yang pakai, tapi di luar aparat penegak hukum alat-alat ini memang ada. Ada dijual bebas,” ujarnya.
Spesialis keamanan siber dan pendiri Vaksincom, Alfons Tanujaya, menjelaskan tidak semua alat sadap yang menggunakan metode zero-click adalah Pegasus.
Pada prinsipnya, kata Alfons, zero-click adalah aplikasi untuk mengeksploitasi celah keamanan pada suatu perangkat lunak.
Setiap software memiliki celah keamanan. Ketika celah itu ketahuan, pembuatnya biasanya membuat perbaikan yang disebut patch untuk menambal celah itu. Namun bila belum ketahuan, celah itu bisa dieksploitasi.
Menurut Alfons, istilah zero-click tidak hanya mengacu pada cara pemasangan spyware di mana sasaran tidak perlu mengeklik, tapi juga zero-day vulnerability yaitu hari nol ketika ditemukan celah keamanan dan belum ada tambalannya.
“Contohnya begini: ada perusahaan di Indonesia menemukan ada celah keamanan di WhatsApp dan banyak orang belum tahu. Nah dengan kode yang dia buat secara khusus WhatsApp siapapun bisa ditembus dengan program itu begitu, maka dia bisa buat software dan software itu namanya zero-click juga,” ujarnya.
Maka dari itu, Alfons menegaskan bahwa kita tidak bisa berasumsi bahwa Polri menggunakan Pegasus hanya berdasarkan informasi pengadaan alat sadap zero-click.
Senada dengan Ardi, Alfons merasa penegak hukum tidak perlu mengungkap secara detail alat sadap yang mereka gunakan serta siapa sasarannya. Namun seandainya ada penyalahgunaan, maka itu harus dibuktikan.
“Yang merasa dipersekusi atau dieksploitasi itu harus mencari buktinya. Misalnya, ada handphone atau apa yang mencurigakan. mereka harus cepat-cepat diforensik. Nah berdasarkan bukti itu baru kita bisa ngomong (bahwa kita disadap),” ujarnya.
Sementara itu, peneliti ICW, Tibikor Zabar, mengatakan pihaknya memiliki waktu 14 hari untuk mendapatkan akses terhadap informasi pengadaan alat sadap zero-click Polri.
Jika informasi itu tidak kunjung didapatkan, ICW akan mengajukan keberatan dan sengketa informasi kepada Komisi Informasi Pusat (KIP).
"Ya kami tentu akan menggunakan mekanisme yang ada yaitu mengajukan keberatan. Bahkan jika ternyata juga masih belum mendapatkan respons ya bukan tidak mungkin kami bisa mengajukan sengketa informasi ke Komisi Informasi Pusat," ujarnya.
