Sebuah laboratorium antardisiplin ilmu yang berbasis di Munk School of Global Affair University of Toronto Canada yang memfokuskan penelitian dan pengembangan mutakhir terhadap hubungan antara media digital, keamanan global dan HAM.

GRESNEWS.COM - Pada 13 Maret 2013, peneliti dari The Citizen Lab (sebuah laboratorium antardisiplin ilmu yang berbasis di Munk School of Global Affair University of Toronto Canada yang memfokuskan penelitian dan pengembangan mutakhir terhadap hubungan antara media digital, keamanan global dan HAM) yakni Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, dan John Scott-Railton, menulis hasil analisis proses pemindaian (scan) terhadap server (command and control) secara menyeluruh di jaringan internet seluruh dunia. Server yang dimaksud adalah server yang mengoperasikan perangkat lunak (software) FinFisher.

Software FinFisher ini diidentifikasikan sebagai software mata-mata (surveillance software). Hasil yang mengejutkan adalah nama Indonesia masuk 25 nama negara dimana software FinFisher ini digunakan oleh server-server tertentu. Pemindaian yang dilakukan oleh para peneliti ini akhirnya menemukan lima alamat IP (Internet Protocol) di Indonesia. Alamat-alamat IP ini diidentifikasikan dimiliki oleh tiga penyedia jasa internet/Internet Service Provider (ISP) besar di Indonesia yaitu PT Telkom, PT Matrinex Global, dan Biznet ISP.

Hal ini langsung dibantah melalui pernyataan wakil-wakil perusahaan ISP tersebut. Head of Corporate Communication and Affair PT Telkom, Slamet Riyadi, menegaskan bahwa PT Telkom tidak memiliki server untuk melakukan monitoring atau mematai-matai pelanggan. Sementara itu Presiden Direktur Biznet network, Adi Kusuma, menyatakan bahwa pihaknya tidak memiliki policy semacam itu. Lebih lanjut Slamet Riyadi menyampaikan bahwa berdasarkan laporan The Citizen Lab tersebut diduga alamat IP yang dimaksud mungkin milik pelanggan Astinet/Transit Telkom. Walaupun untuk mengidentifikasinya perlu alamat IP yang lengkap. Kepala Pusat Informasi dan Humas Kementerian Komunikasi dan informasi (Kominfo) Gatot S Dewobroto memaparkan apabila penjabaran laporan penelitian tentang penggunaan software mata-mata ini sudah diverifikasi maka pelaku melanggar Pasal 40 Undang-Undang Telekomunikasi tahun 1999. Namun menurutnya hal ini memerlukan pembuktian melalui proses hukum yang lebih jauh.

Software mata-mata
FinFisher menjadi isu yang hangat dibicarakan oleh masyarakat internasional sejak para demonstran yang menggulingkan Hosni Mubarak berhasil mengungkap dokumen-dokumen di sebuah kantor intelijen kepolisian di Mesir. Dokumen-dokumen ini ternyata berisi kontrak antara perusahaan Gamma International dengan kepolisian rahasia Mesir senilai 287.000 Euro sebagai izin bagi kepolisian untuk menjalankan software FinFisher di Mesir.

Gamma International adalah perusahaan software yang mempunyai perusahaan cabang masing-masing di Inggris dengan nama Gamma International Ltd berkantor di Andover dan cabang di Jerman dengan nama Gamma International GmbH berkantor di Munich. Perusahaan ini memasarkan spyware melalui jaringan otoritas penegak hukum. Gamma International sendiri adalah anak perusahaan dari Gamma Group, sebuah perusahaan yang mempunyai spesialisasi di bidang mata-mata dan monitoring termasuk berbagai macam peralatan software dan jasa-jasa pelatihan.

FinFisher atau lebih dikenal dengan FinSpy adalah sebuah Spyware yaitu software yang memberikan fasilitas untuk mengumpulkan informasi tentang seseorang atau sebuah organisasi tanpa diketahui oleh yang bersangkutan dan mengirimkan informasi tersebut kepada konsumen lain tanpa izin pemilik informasi (berdasarkan pengetian dalam Workshop Spyware, oleh Federal Trade Commission tahun 2005). Spyware yang bernama FinFisher ini juga dilengkapi dengan Software Suit yaitu kumpulan program komputer yang berupa software aplikasi dan software pemrograman dimana mempunyai kemampuan untuk memfasilitasi kemudahan dan kelancaran pertukaran data satu sama lain. Software suit untuk FinFisher ini oleh perusahaan Gamma disebut The Remote Monitoring and Deployment Solutions (Pemantauan jarak jauh dilengkapi metode-metode penyebaran/pengiriman solusi).

Menurut laporan Wikileaks pada 2011, FinFisher suit ini mempunyai kemampuan untuk mengendalikan komputer yang menjadi target, menangkap semua data di dalamnya bahkan mampu memecahkan data-data yang dilindungi oleh sistem pengamanan tertentu termasuk password atau bentuk-bentuk pengamanan inkripsi lain. Bahkan menurut laporan yang didapat dari paket promosi FinFisher untuk sebuah pameran perdagangan tahun 2008 dan juga diperkuat laporan Wikileaks tahun 2011, menyebutkan bahwa FinFisher suit ini mempunyai kemampuan mata-mata yang lengkap meliputi kemampuan melakukan komunikasi rahasia dengan pusat kontrol, memonitor secara penuh program Skype (panggilan, file transfer, video, contact list dan semua data), merekam data-data dari semua alamat e-mail, memata-matai langsung melalui webcam dan microphone ketika komputer aktif tanpa sepengetahuan pemilik, melacak detail lokasi target walaupun berbeda negara, mengurai (extracting) file di hard disk komputer target, memecahkan kode termasuk password, menganalisis dan memecahkan setiap penggunaan karakter di keyboard, memberikan laporan langsung tentang kondisi komputer target, dan program penyaringan yang mutakhir sehingga mampu memilah informasi yang penting mana saja yang perlu dipantau atau diakses dan semua bisa dijalankan di Windows, Mac OSX dan Linux.   

Di Amerika Serikat, beroperasinya Finfisher di jaringan internet ini diungkap oleh The Wall Street Journal yang melaporkan penggunaan FinFisher yang diperdagangkan langsung kepada pemerintah Amerika Serikat. Kemudian The Federal Bureau of Investigation (FBI) melalui lembaga khusus mereka yaitu Internet Crime Complaint Center (IC3) telah mengumumkan secara resmi peringatan kepada semua pengguna smartphones terutama yang menjalankan sistem operasi Google Android akan adanya virus baru yang menyebar dengan cepat. Peringatan yang diberikan oleh FBI ini berdasarkan investigasi dan laporan yang berkembang tentang virus tertentu yang mempunyai karakteristik yang sama dengan FinFisher. Kemampuan FinFisher lainnya adalah kemampuan untuk menghindari dan menembus hampir semua jenis antivirus yang beredar di pasaran.

Mengingat kemampuan FinFisher sebagai software mata-mata yang luar biasa, sangat rasional apabila software ini banyak digunakan oleh aparat penegak hukum untuk proses investigasi kejahatan. Alasan inilah yang pertama kali dijadikan sebagai legitimasi penggunaan software ini di Eropa. Negara-negara Eropa kemudian membuat perjanjian bahwa penggunaan software ini tidak boleh digunakan di luar negara Eropa apalagi oleh pemerintah yang cenderung represif dan diktator. Akan tetapi penemuan kontrak antara perusahaan yang memasarkan FinFisher, Gamma International dan kepolisian Mesir, menunjukkan bahwa Gamma International dengan produk andalannya FinFisher ini telah melakukan penetrasi ke seluruh dunia.

FinFisher cenderung dipakai luas oleh pemerintahan yang sedang menghadapi gejolak politik termasuk serangkaian gejolak politik di Timur Tengah atau lebih dikenal dengan The Arab Spring. Setelah dikonfirmasikannya penggunaan FinFisher di Mesir, dilanjutkan dengan laporan pada bulan Agustus 2012 lalu tentang penggunaan software FinFisher ini di Bahrain. Laporan ini dikonfirmasi setelah email yang dikirimkan oleh demonstran di Bahrain dikirimkan kepada peneliti Bill Marczak dan Morgan Marquis Boire (dua dari empat peneliti The Citizen Lab) pada bulan Mei 2012. Email yang dikirimkan tersebut kemudian dianalisis dan ditemukan kode-kode dalam email yang merupakan kode-kode FinFisher yang dimaksudkan untuk meng-instal spyware ini di komputer penerima email.  

Sementara Martin J Muench Managing Director dari Gamma Group mengklaim bahwa FinFisher hanya digunakan khusus untuk kejahatan termasuk terorisme, pedophilia, kejahatan terorganisir, penculikan dan perdagangan manusia sementara laporan The New York Times minggu lalu melaporkan bahwa laporan-laporan peneliti yang melakukan penelitian detail terhadap banyak perangkat lunak, email dan berbagai software aplikasi, software pemrograman dan transfer data menunjukkan sebagian besar di antaranya telah mengandung kode FinFisher.  

Untuk itulah para peneliti berkesimpulan bahwa FinFisher tidak hanya digunakan untuk kegiatan mata-mata terhadap kejahatan akan tetapi juga besar kemungkinan FinFisher digunakan untuk kepentingan kekuasaan dan politik termasuk mematai-matai pihak oposisi dan lawan politik. Hal ini terungkap dari analisis terhadap penggunaan FinFisher ini di Negara Ethiopia dan Vietnam. Analisis di Ethiopia menemukan bahwa FinFisher ini digunakan untuk mendapatkan akses terhadap pihak oposisi di Ethiopia, Ginbot 7, yang memperjuangkan hak asasi manusia di negara itu yang justru kemudian dicap sebagai organisasi teroris.

Sedangkan analisis penggunaan di Vietnam dilakukan terhadap data-data dan aplikasi smartphones yang menghasilkan kesimpulan bahwa hampir semua smartphones, termasuk iOS, Android, Windows Mobile, Symbian dan Blackberry, telah terinfiltrasi oleh FinFisher. Lebih jauh lagi, para peneliti menemukan bahwa pemakaian software FinFisher sering dan paling banyak ditemukan di dua negara yaitu Amerika Serikat dan Indonesia. Walaupun menurut mereka, hal tersebut mungkin bukanlah secara langsung menunjukkan pemakaian software FinFisher karena dimungkinkan proses pemimdaian yang masih punya kekurangan dan mungkin juga hal tersebut adalah bagian dari upaya strategi kamuflase dan penghilangan jejak.  

Pelanggaran Hukum
Gamma International dikenal luas di kalangan aktivis penegakan hak asasi manusia sebagai perusahaan musuh pengguna internet nomor satu di dunia. Reporters Without Borders, sebuah lembaga nirlaba yang bergerak untuk memperjuangkan kebebasan pers dan kebebasan informasi yang mendapat kursi konsultan di Persatuan Bangsa-Bangsa (PBB), menyatakan dalam laporannya pada tanggal 12 Maret 2013 bahwa Gamma International dengan produknya FinFisher ini adalah ´tentara bayaran; di era digital yang disewa oleh pemerintahan-pemerintahan represif dan diktator untuk melakukan pelanggaran HAM di seluruh dunia.

Laporan-laporan lembaga ini diwujudkan dalam proposal kepada Organisation for Economic Cooperation and Development (OECD) untuk segera mendesak pemerintah Inggris melakukan investigasi terhadap perusahaan Gamma International terhadap pelanggaran yang terjadi di Bahrain. Sementara itu lanjutan laporan penelitian yang dipaparkan oleh The Citizen Lab lebih detail mengungkapkan jejak penggunaan FinFisher di 25 negara yaitu Australia, Bahrain, Bangladesh, Britain, Brunei, Kanada, Czech Republic, Estonia, Ethiopia, Jerman, India, Indonesia, Jepang, Latvia, Malaysia, Mexico, Mongolia, Netherlands, Qatar, Serbia, Singapura, Turkmenistan, Emirat Arab, Amerika Serikat dan Vietnam.

Menarik untuk ditunggu  dalam ruang lingkup apa sebenarnya penggunaan FinFisher di negara-negara ini (termasuk Indonesia) dan sejauh mana pelanggaran hukum terjadi.

Di Uni Eropa sendiri sudah ada aturan-aturan khusus yang melindungi data-data pribadi di dunia digital bagi seluruh warga negara melalui Data Protection Directive (Directive 95/46/EC) dan Data Retention Directive (Directive 2006/24/EC). Keduanya merupakan dasar hukum yang tepat dikenakan terhadap potensi pelanggaran oleh software FinFisher. Kedua direktif Uni Eropa ini telah diadopsi dalam sistem hukum masing-masing negara anggota dan dilengkapi dengan aspek-aspek hukum pidana dan hukum perdata.

Sedangkan di Indonesia apabila penggunaan software FinFisher tersebut betul-betul sudah dikonfirmasi melalui investigasi yang menyeluruh maka hal tersebut jelas-jelas melanggar hukum dan perundang-undangan mengenai perlindungan data pribadi. Akan tetapi Indonesia belum mempunyai undang-undang yang khusus mengatur tentang perlindungan data pribadi di dunia digital sehingga terdapat undang-undang yang berkaitan mengenai hal ini yaitu: Undang-Undang Nomor 7 Tahun 1971 tentang Ketentuan-Ketentuan Pokok Kearsipan, Undang-Undang Nomor 8 Tahun 1997 tentang Dokumen Perusahaan, Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan, Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan, Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi, dan Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan. Dengan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Undang-Undang ITE) sebagai referensi utamanya.
 
Perlindungan data pribadi tidak diatur dalam UU ITE secara khusus. Akan tetapi UU ITE mensyaratkan bahwa penggunaan setiap data pribadi dalam sebuah media elektronik harus mendapat persetujuan pemilik data bersangkutan. Lebih lanjut UU ITE ini mengatur perkembangan baru mengenai pengertian perlindungan terhadap keberadaan suatu data atau informasi elektronik baik yang bersifat umum maupun pribadi. Pasal-pasal yang mengatur hal ini adalah Pasal 26-32 UU ITE. UU ITE ini dijabarkan lebih detail dalam Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).
 
UU ITE memberikan perlindungan hukum apabila terjadi pengaksesan ilegal yang dilakukan terhadap data pribadi seseorang. Pelanggaran terhadap keamanan data elektronik milik pribadi merupakan perbuatan melawan hukum. Apalagi, kalau pemilik data pribadi tersebut telah melakukan upaya pengamanan melalui berbagai cara termasuk dalam hal ini software-software pengaman seperti antivirus dan pengamanan inkripsi. Perbuatan ini dianggap sebagai tindak pidana sesuai Pasal 30 dan 32 UU ITE yang diancam dengan sanksi pidana penjara paling lama enam sampai delapan tahun dan/atau denda paling banyak Rp600 juta sampai Rp800 juta sesuai Pasal 46 UU ITE. Perbuatan ini juga melanggar Pasal 40 UU Telekomunikasi bahwa setiap orang dilarang melakukan penyadapan atas informasi yang disalurkan melalui jaringan telekomunikasi dalam bentuk apapun. Bagi yang melanggar ketentuan tersebut diancam pidana penjara maksimal 15 tahun penjara.

FinFisher telah diakui oleh dunia internasional sebagai sebuah spyware yang memiliki potensi luar biasa dan berbahaya untuk memata-matai seluruh sisi kehidupan pribadi seluruh pengguna internet. Terdeteksinya penggunaan FinFisher di IP yang menurut laporan penelitian The Citizen Lab dimiliki oleh PT Telkom, PT Matrinex Global dan Biznet ISP, merupakan sinyal berbahaya. Akan tetapi tentunya semua ini harus dikonfirmasi, diverifikasi dan diinvestigasi secara mendalam. Proses ini memerlukan keterlibatan instansi pemerintah yang terkait terutama kementerian komunikasi dan informasi melalui Indonesia Security Incident Response Team of Internet Infrastructure (IDSIRTII) di bawah Kementerian Kominfo. Selain itu seluruh pengguna internet, lembaga sosial masyarakat, komisi nasional hak asasi manusia, Dewan Perwakilan Rakyat (DPR) dan elemen sosial masyarakat lain seharusnya mempunyai kepentingan yang jelas mengenai perlindungan privasi terutama perlindungan data pribadi pengguna internet kepada seluruh warga Negara Republik Indonesia.    

Awan Puryadi
Analis Gresnews.com