REPUBLIKA.CO.ID, JAKARTA – Lembaga pegiat HAM Amnesty International melansir temuan bahwa sejumlah lembaga negara di Indonesia mengimpor sejumlah besar produk spyware dan pengawasan dari Israel. Produk-produk ini disebut Amnesty berpotensi digunakan memata-matai penduduk Indonesia.
“Pembela dan aktivis hak asasi manusia telah berulang kali menghadapi penindasan secara online di Indonesia. Undang-undang Informasi dan Transaksi Elektronik (ITE) dan undang-undang pembatasan lainnya telah digunakan untuk mengadili dan mengintimidasi pembela hak asasi manusia, aktivis, jurnalis, akademisi, dan lainnya. Perdagangan alat spyware yang tidak jelas ke Indonesia menambah potensi intimidasi yang berbahaya. Hal ini tidak bisa dibiarkan terus berlanjut” kata Carolina Rocha da Silva, Manajer Operasi di Amnesty International Security Lab dalam lansiran Jumat (3/5/2024).
Menurut Amnesty, penyalahgunaan teknologi pengawasan, serta penggunaan teknologi yang tidak sesuai dengan hak asasi manusia, seperti spyware yang sangat invasif, adalah beberapa dari banyak taktik yang digunakan di seluruh dunia untuk mempersempit ruang sipil.
Investigasi bersama sejumlah mitra media Amnesty tersebut menemukan bahwa setidaknya empat perusahaan yang terkait dengan Israel telah menjual teknologi spyware dan pengawasan siber yang invasif ke Indonesia. Indonesia sejauh ini tidak memiliki hubungan diplomatik formal dengan Israel dan merupakan negara dengan populasi Muslim terbesar di dunia.
Penelitian yang dilakukan oleh Amnesty International Security Lab – berdasarkan sumber terbuka termasuk catatan perdagangan, data pengiriman dan pemindaian internet – mengungkap hubungan antara badan dan lembaga resmi pemerintah di negara Asia Tenggara dan perusahaan teknologi Israel NSO, Candiru, Wintego dan Intellexa, sebuah konsorsium perusahaan terkait yang awalnya didirikan oleh mantan perwira militer Israel, setidaknya sejak tahun 2017.
Security Lab menemukan bukti penjualan dan penyebaran spyware dan teknologi pengawasan lainnya ke perusahaan dan lembaga negara di Indonesia antara 2017 hingga 2023. Menurut Amnesty, entitas tersebut termasuk Polri dan Badan Siber dan Sandi Negara (Badan Siber dan Sandi Negara).
Penjualan dan pengalihan teknologi spyware dan pengawasan ini dimungkinkan melalui ekosistem vendor, pialang, dan pengecer pengawasan yang gelap dengan struktur kepemilikan yang kompleks. Vendor yang teridentifikasi termasuk Q Cyber Technologies SARL yang berbasis di Luksemburg (terkait dengan NSO Group), konsorsium Intellexa, Wintego Systems Ltd dan Saito Tech yang berbasis di Israel (juga dikenal sebagai Candiru) dan Raedarius M8 Sdn Bhd yang berbasis di Malaysia (terkait dengan FinFisher)
Investigasi juga mengidentifikasi broker dan reseller yang berbasis di Singapura dan Indonesia. “Disengaja atau tidak, jaringan perusahaan yang tidak jelas dan tidak transparan ini dapat menyembunyikan sifat pengawasan ekspor, sehingga menjadikan pengawasan independen menjadi tantangan bagi otoritas peradilan nasional dan internasional, regulator dan organisasi masyarakat sipil,” tulis Amnesty.
Transparansi yang terbatas dan kurangnya informasi secara sistemik mengenai transfer pengawasan penggunaan ganda (teknologi atau barang yang dapat digunakan untuk tujuan sipil dan militer), termasuk pemasok dan pengguna akhir yang terlibat dan izin ekspor yang diminta, diberikan, atau ditolak, menurut Amnesty, menjadikan hal ini tantangan bagi mekanisme peraturan untuk ditegakkan secara efektif.
Security Lab juga mengidentifikasi nama domain berbahaya dan infrastruktur jaringan yang terkait dengan beberapa platform spyware canggih, yang mereka curigai ditujukan untuk menargetkan individu di Indonesia. Domain berbahaya yang terkait dengan spyware Predator milik Candiru dan Intellexa telah meniru outlet media berita utama nasional dan regional, partai politik oposisi, dan berita media terkait dengan pendokumentasian pelanggaran hak asasi manusia.
Situs serangan seperti ini biasanya dipilih oleh operator spyware untuk mengelabui target yang dituju agar mengklik, sehingga menyebabkan perangkat terkena potensi infeksi. “Meskipun Amnesty telah menemukan bukti baru yang signifikan mengenai sistem spyware dan pengawasan yang dipasok ke Indonesia, penelitian ini tidak melibatkan penyelidikan forensik atau upaya untuk mengidentifikasi individu tertentu yang mungkin menjadi sasaran alat pengawasan tersebut.”
Alat spyware yang sangat invasif dirancang untuk meninggalkan jejak sesedikit mungkin, sehingga sangat sulit untuk mendeteksi kasus penyalahgunaan alat ini serta pelanggaran hukum. Sebaliknya, penelitian ini berfokus pada penjualan dan transfer beberapa alat spyware yang sangat invasif.
Amnesty International Security Lab telah meminta komentar dan klarifikasi mengenai temuan investigasi dari dua puluh satu entitas yang dirujuk dalam investigasi tersebut. Amnesty International menerima tanggapan dari Candiru (disebut Saito Tech dalam penelitian ini) dan NSO Group (juga menanggapi Circles dan Q Cyber Technologies SARL) serta lembaga eksportir Sekretariat Negara Swiss untuk Urusan Ekonomi (SECO) dan Badan Pengawasan Ekspor Pertahanan Israel (DECA).
Candiru menanggapi dengan menjelaskan bahwa perusahaan tersebut beroperasi di bawah Badan Pengendalian Ekspor Kementerian Pertahanan Israel (DECA) – Undang-undang Pengendalian Ekspor, 5766-2007. NSO Group menanggapi dengan menjelaskan bahwa mereka diatur secara ketat oleh otoritas kontrol ekspor di negara “tempat mereka mengekspor produk.”
Republika belum mendapatkan tanggapan dari pihak kepolisian maupun Badan Sandi Nasional terkait temuan Amnesty International ini.