Bisnis.com, JAKARTA - Sebuah dokumen mengungkap dugaan alat sadap buatan Israel masuk ke Indonesia. Pengirimnya adalah Q Cyber Technologies Sarl. Perusahaan ini berkantor di Luksemburg, sebuah negara kecil di perbatasan Jerman, Prancis, dan Belgia.
Baca Juga
Q Cyber pernah tercatat sebagai induk Usaha NSO Group, produsen spyware asal Israel yang banyak disorot karena sepak terjang Pegasus. Konon, Pegasus merupakan spyware yang sangat berbahaya.
Informasinya, alat ini memiliki kemampuan seperti siluman, tidak mudah terdeteksi dan diklaim efektif untuk mengakses data ke sejumlah device tanpa pemiliknya tahu.
Laporan Citizen Lab dan Amnesty International, menyebut Pegasus dapat memecahkan komunikasi yang terenkripsi dari Iphone, Mac, Android, dan semua perangkat elektronik berbasis OS lainnya. Proses operasi pegasus bisa dilakukan tanpa harus melakukan aktivasi alias ”zero click”.
Zero click adalah sebuah metode penyadapan yang tidak memerlukan aktivasi klik dari pemilik device maupun perangkat komputer.
Tim Indonesia Leaks yang merupakan ikhtiar sejumlah media untuk merespons informasi dari informan publik memperoleh dokumen yang memperkuat dugaan alat peretasan asal Israel telah tiba dan digunakan di Indonesia.
Dokumen itu mengungkap bahwa barang yang diduga alat mata-mata tiba di Indonesia pada tanggal 15 Desember 2020. Pengirimnya adalah Q Cyber Technologies. Alat itu dikirim dari Jepang.
Meski jarak Jepang ke Indonesia lebih dekat, proses pengirimanya tidak langsung ke Indonesia. Paket diduga alat sadap itu transit di Bandara Heartrow Inggris terlebih dahulu. Menariknya, di Inggris, pengirim sempat melakukan pemuatan barang.
Setelah pemuatan selesai, paket diduga alat sadap itu tiba di Indonesia melalui Bandara Internasional Soekarno-Hatta. Penerimanya adalah PT Mandala Wangi Kreasindo.
Keterangan yang tertuang dalam dokumen tersebut menyebut dua barang yang dikirim oleh Q Cyber ke Mandala Wangi adalah Cisco Router dan Dell Server dengan kode harmonized system atau kode HS 8471.50 senilai masing-masing US$6.000 dan US$10.000.
Kode HS 8471 jika mengacu dalam penjelasan di Indonesia National Single Window atau INSW masuk dalam klasifikasi alat mesin pengolah data otomatis dan penyalin data dalam bentuk kode. Sementara kode HS 8471.50 adalah kode untuk barang berupa unit pengolah data yang mempunyai satu atau dua tipe unit yakni unit penyimpanan, unit masukan dan unit keluaran.
Data Trademap.org yang mengutip Badan Pusat Statistik (BPS) menyebutkan nilai impor produk yang masuk kode HS 8471.50 dari Inggris pada 2020, mencapai US$18 juta. Sedangkan, dari Israel, tidak ada data yang melaporkan adanya importasi produk dengan kode HS tersebut, alias nihil.
Alat Sadap Masuk Melalui Bandara Soekarno Hatta
Sumber Indonesia Leaks di Bandara Soekarno-Hatta mengonfirmasi bahwa kedua barang itu telah masuk di Indonesia. Berdasarkan catatan otoritas kepabeanan, barang itu tiba di Bandara Soekarno Hatta pada tanggal 1 Desember 2020 atau 2 pekan lebih awal dari dokumen importasi. Perbedaan waktu itu diperkirakan terjadi karena proses clearance dan administrasi impor barang di pintu masuk kepabeanan.
Adapun, dokumen profil perusahaan di Kementerian Hukum dan Hak Asasi Manusia (Kemenkumham) mengungkap lokasi kantor PT Mandala Wangi Kreasindo berada di Mal Pasific Place kawasan Sudirman Center Business District (SCBD), salah satu kawasan bisnis elite di Jakarta Selatan. PT Mandala Wangi Kreasindo adalah perusahaan yang bergerak di bidang cyber security.
Jika mengacu kepada dokumen profil perusahaan di Administrasi Hukum Umum (AHU) Kemenkumham, Mandala Wangi pernah berkali-kali ganti jenis usaha. Sebelum cyber security perusahaan ini pernah bergerak di bidang produk pertanian hingga reparasi mobil. Mandala Wangi beralih ke bisnis teknologi setelah perubahan komposisi pemegang saham pada 27 Februari 2020.
Di antara nama pemegang saham terdapat sosok Nadia Boroedheak Paroedjar Hamonangan Nasoetion atau Nadia Nasoetion dan PT Kotak Jiwa Sejahtera.
Informasi yang tercantum dalam Pangkalan Data Kekayaan Intelektual Kemenkumham, Kotak Jiwa Sejahtera merupakan pemilik merek Asiana. Logo dan merek dagang ini identik dengan perusahaan pengembang properti yang dipimpin istri Agus Gumiwang yakni Loemongga Haoemasan.
Tim Indonesia Leaks telah mendatangi kantor milik Nadia Nasoetion di Equity Tower lantai 26 di kawasan SCBD, Jakarta Selatan pada Jumat (8/6/2023) untuk mengonfirmasi hubungan Nadia dengan Mandala Wangi Kreasindo. Namun, saat disambangi, kantor tersebut telah tutup.
Tim juga mencoba menanyakan tentang Mandala Wangi Kreasindo kepada Loemongga Haoemasan melalui sambungan telepon dan pengiriman pesan teks. “Ini enggak ada yang pernah dengar, kenal, dan paham saya,” ujar Loemongga.
Adapun, pada akta 20 Maret 2020, Nadia Nasoetion dan PT Kotak Jiwa Sejahtera tercatat keluar dari daftar pemegang saham Mandala Wangi Kreasindo.
Alhasil, pemegang saham perusahaan itu hanya tersisa Sudjarwo Piri Ramon dan Heryanto. Heryanto menjabat sebagai Direktur dan Sudjarwo menduduki kursi komisaris.
Perubahan bisnis Mandala Wangi Kreasindo dari bisnis reparasi mobil menjadi perusahaan yang bergerak di bidang teknologi terjadi ketika Heryanto dan Sudjarwo masuk sebagai pemegang saham sekaligus direksi dan komisaris di perusahaan tersebut. Kedua orang ini mengambil alih saham milik Nadia dan PT Kotak Jiwa Sejahtera di Mandala Wangi.
Tim Indonesia Leaks, telah beberapa kali berusaha melacak keberadaan Mandala Wangi Kreasindo dengan mendatangi alamat kantor yang tertuang dalam dokumen AHU maupun di website resminya. Kedua petunjuk itu mengungkap lokasi kantor Mandala Wangi Kreasindo berada di Lantai 2 Pasific Place Mall, Jakarta Selatan, Kebayoran Baru, Jakarta Selatan.
Pada 19 Mei 2023, tim kembali melakukan pengecekan ke alamat tersebut, kantor Mandala Wangi rupanya berada di sebuah co-working dan office space. Mandala Wangi Kreasindo tercatat menyewa virtual office yang masa pakainya telah habis September 2022.
Selain mendatangi langsung alamat perusahaan, Indonesia Leaks juga telah menghubungi dan mengirimkan daftar pertanyaan ke nomor Direktur Mandala Wangi Kreasindo, Heryanto. Namun hingga berita ini ditulis Heryanto belum merespons pertanyaan tersebut.
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia.
Jejak Q Cyber dan NSO Group
Keberadaan Q Cyber memperkuat indikasi eksistensi alat penyadapan asal Israel masuk ke Indonesia. Pasalnya, dalam banyak dokumen, Q Cyber pernah tercatat sebagai induk NSO Group, produsen alat sadap Pegasus.
Relasi antara Q Cyber dan NSO bisa ditelusuri dari dokumen gugatan yang disampaikan oleh Whatsapp dan Facebook pada 29 Oktober 2019 atau gugatan Apple Inc pada 23 November 2021 ke United States District Court Northern District of California.
Kedua gugatan itu ditujukan kepada pihak Q Cyber dan NSO yang intinya mengeluhkan penggunaan produk NSO, Pegasus, yang menyerang akun Whatsapp atau device pengguna Apple. Whatsapp dalam gugatannya menyebut bahwa NSO dan Q Cyber adalah dua perusahaan yang berbadan hukum di Israel. Hingga Juni 2019, laman resmi NSO Group menyatakan bahwa NSO Group adalah perusahaan milik Q Cyber.
Sementara itu, Q Cyber dalam gugatan Apple dilaporkan bertindak sebagai “distributor komersial” untuk produk NSO, termasuk menandatangani kontrak, menerbitkan faktur, dan menerima pembayaran dari pelanggan NSO.
Dokumen gugatan yang diperoleh tim Indonesia Leaks mengungkapkan bahwa kedua pihak telah menggunakan server Whatsapp, yang berlokasi di Amerika Serikat dan di tempat lain, untuk mengirimkan malware ke sekitar 1.400 ponsel selama April 2019 dan Mei 2019.
Malware NSO Group dirancang untuk menginfeksi perangkat target dengan tujuan mengawasi pengguna Whatsapp (“Target User's”).
Berkas gugatan Whatsapp mengungkap antara Januari 2018 dan Mei 2019, NSO Group membuat akun aplikasi pesan singkat tersebut untuk mengirimkan kode berbahaya ke perangkat target pada bulan April dan Mei 2019. Akun tersebut dibuat menggunakan nomor telepon yang terdaftar di berbagai negara, salah satunya Indonesia.
NSO bukannya tanpa perlawanan, mereka melakukan banding atas gugatan Whatsapp. Dokumen banding NSO mengungkap bahwa produsen spyware asal Israel itu berupaya mengelak dari gugatan Whatsapp. Namun pada 9 Januari 2023, Mahkamah Agung (MA) Amerika Serikat menolak banding dari NSO Group dan memutuskan bahwa gugatan Whatsapp terhadap NSO Group dapat dilanjutkan.
Pegasus Ditengarai untuk Memata-matai Politisi hingga Aktivis
NSO selama kurun 2018-2021 memang mendapatkan sorotan publik lantaran adanya dugaan penyalahgunaan alat sadap Pegasus. Pegasus ditengarai digunakan oleh otoritas sejumlah negara untuk memata-matai politisi, aktivis dan jurnalis.
Salah satu kasus yang terungkap adalah pembunuhan Jamal Khashoggi, jurnalis asal Arab Saudi yang tewas dimutilasi di Istanbul, Turki pada 2018 silam. Konon posisi Khashoggi terlacak karena bantuan alat sadap asal Israel itu.
Peneliti Citizen Lab, sebuah laboratorium penelitian di Universitas Toronto, Irene Poetranto mengungkapkan bahwa Pegasus telah digunakan oleh sejumlah negara di Asia. Kasus yang pernah ramai adalah penggunaan pegasus di India. Sementara itu, di Asia Tenggara, Pemerintah Thailand diduga kuat memakai Pegasus untuk memata-matai dan melawan demonstran.
”Kami menemukan adanya serangan di telepon Iphone. Serangan terjadi balik layar. Tidak kasat mata jika seorang user tahu kena Pegasus,” kata Irene kepada Indonesia Leaks.
Di Indonesia, pada November 2022, sempat tersiar kabar bahwa Menteri Koordinator Bidang Perekonomian Airlangga Hartarto dan sejumlah petinggi negara diduga menjadi korban peretasan alat mata-mata asal Israel lainnya. Ada dugaan bahwa serangan itu dilakukan oleh penyerang yang disponsori negara.
Namun demikian, pada 26 Januari 2023, juru bicara Kemenko Perekonomian Alia Karenina mengungkapkan bahwa tidak ada notifikasi ataupun kiriman file spyware ke email Airlangga Hartarto. “Menko Airlangga menggunakan beberapa handphone yang digunakan untuk keperluan berbeda, tidak hanya iPhone.”
Pegasus atau alat peretas buatan Israel dengan model malware base memiliki sistem kerja yang sangat fleksibel. Sumber-sumber yang ditemui Indonesia Leaks mengonfirmasi bahwa sebenarnya Pegasus tidak perlu mendatangkan perangkat keras atau hardware untuk operasionalnya.
Meski demikian, sumber Indonesia Leaks mengonfirmasi bahwa alat-alat sadap produk NSO, Pegasus, sudah masuk di Indonesia bahkan sebelum pemilihan presiden atau Pilpres 2019. Salah satu institusi yang diduga menggunakan alat tersebut adalah Polri dan Badan Intelijen Negara alias BIN.
Sumber penyelenggara itu bahkan mengaku pernah mengoperasikan Pegasus. “Aparat penegak hukum (APH) enggak paham cara kerjanya, jadi minta tolong ke saya.”
Sementara itu, Tim Indonesia Leaks juga telah mengirimkan surat konfirmasi ke BIN untuk mengonfirmasi keberadaan alat tersebut. Namun hingga berita ini ditulis pihak BIN belum memberikan klafikasi seputar informasi yang ditemukan oleh tim Indonesia Leaks.
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia.
Keberadaan Zero Click di Trunojoyo
Seolah memperkuat sumber di atas, dokumen pengadaan barang di Layanan Pengadaan Secara Elektronik (LPSE) mengungkap bahwa Polda Metro Jaya dan Badan Intelijen dan Keamanan (Baintelkam) Polri pernah mengadakan tender pengadaan zero click intrusion system atau sistem gangguan tanpa klik. Tender pengadaan alat itu berlangsung pada tahun 2017 dan 2018.
Zero click adalah sebuah metode penyadapan yang tidak memerlukan aktivasi klik dari pemilik device maupun perangkat komputer.
Alat sadap model zero click telah menjadi konsentrasi sejumlah negara karena mampu meretas tanpa perlu aktivasi seperti model cara kerja alat sadap one click.
Adapun, Pegasus adalah salah satu alat penyadapan yang menggunakan sistem instruksi tanpa klik alias zero click intrusion system.
Informasi yang berhasil dihimpun dari sejumlah sumber, termasuk seorang pelaku yang mengetahui bahkan sering terlibat dalam pengadaan barang atau alat penyadapan, memastikan zero click identik dengan Pegasus.
Pengadaan zero click intrusion system Polri pertama kali dilacak pada 2017. Pada waktu itu sistem ini digunakan untuk Ditintelkam Polda Metro Jaya. Proses tender dilakukan pada 22 September 2017 senilai Rp99 miliar. Ada 14 perusahaan yang ikut tender pengadaan alat tersebut. Dari jumlah tersebut ada tiga perusahaan yang melakukan penawaran.
Ketiga perusahaan itu adalah PT Radika Karya Utama dengan penawaran Rp98,9 miliar; PT Bersinar Jesstive Mandiri sebesar Rp98,99 miliar; dan PT Bahana Kasih Cendrawasih senilai Rp99,02 miliar. Setelah proses evaluasi, Radika Karya Utama akhirnya memenangkan tender pengadaan alat tersebut. Dua perusahaan lainnya dianggap tidak memenuhi kualifikasi karena kurangnya sejumlah persyaratan.
Setahun setelah pengadaan pertama, Polri kembali melakukan pengadaan alat serupa. Kali ini judulnya adalah pengembangan zero click intrusion system IOS. Adapun, IOS adalah sistem operasi seluler yang dikembangkan oleh Apple Inc. Anggaran pengembangan zero click system untuk IOS itu mencapai Rp149,9 miliar. Pemenang tender proyek tersebut lagi-lagi adalah Radika Karya Utama.
Apple Gugat NSO Group dan Q Cyber Technologies
Sekadar informasi, Apple Inc tercatat pernah menggugat NSO Group dan Q Cyber Technologies Sarl pada 2021 lalu. Apple menuding produk NSO yakni Pegasus telah meretas sehingga menimbulkan kerugian dan ketidaknyamanan bagi pengguna produk Apple.
Radika Karya Utama adalah perusahaan yang bergerak dalam bidang cyber security dan beberapa kali memenangkan tender alat-alat surveilance dari Polri. Tahun lalu, misalnya, Radika Karya Utama memenangkan tender untuk pengadaan peralatan intelijen target identification and recognition system Ditintelkam Polda Bali dengan nilai pengadaan mencapai Rp199,8 miliar.
Alamat Radika Karya Utama berada di Eightyeight Kasablanka Tower Jalan Casablanca Raya Nomor 88, Jakarta Selatan. Tim Indonesia Leaks telah dua kali menyambangi kantor Radika Karya Utama. Kantor perusahaan itu berada di lantai 3 gedung tersebut. Tidak mudah menemukan kantor Radika Karya Utama. Selain tidak ada papan penunjuk nama, ruangan di lantai 3 juga sepi dan dibagi oleh lorong-lorong yang memisahkan antar ruangan.
Tim Indonesia Leaks pun sempat menanyakan kepada seorang petugas untuk memastikan lokasi ruangan kantor Radika Karya Utama. Setelah memperoleh petunjuk, Tim Indonesia Leaks kemudian menuju ke ruangan yang berada di pojok kiri. Ruangan itu tertutup rapat pintu kaca. Perlu akses untuk masuk ke ruangan kantor tersebut.
Awalnya Tim Indonesia Leaks ragu bahwa ruangan tersebut adalah perusahaan yang dimaksud. Sebab, nama yang tertera di dinding ruangan itu adalah Royal Group bukan Radika Karya Utama.
Tim Indonesia Leaks akhirnya masuk ke ruangan itu setelah memastikan ruangan yang dituju tidak salah. Sampai di ruangan, Tim Indonesia Leaks menyatakan maksud untuk mewawancarai Andy Utama. Adapun, Andy Utama adalah pemilik sekaligus direktur Radika Karya Utama.
Staf Radika Karya Utama kemudian mengarahkan kepada sosok perempuan bernama Yeni. Dia mengaku sebagai sekretaris Andy Utama. Namun, dia mengatakan bahwa Andy Utama tidak bisa diwawancara karena sedang berada di luar kota.
Tim Indonesia Leaks kembali mendatangi Radika Karya Utama pada 19 Mei lalu. Namun lagi-lagi Andy Utama tidak berada di kantor tersebut. Tim akhirnya menyampaikan surat permohonan wawancara sebagai bukti upaya konfirmasi yang disampaikan melalui meja resepsionis. Yeni, sekretaris Andy Utama mengaku belum menerima surat tersebut dan memastikan akan berkoordinasi untuk menjawab pertanyaan dari Indonesia Leaks.
Sementara itu, Kepala Divisi TIK Polri Irjen Pol Slamet Uliandi mengaku tidak tahu menahu tentang zero click instruction system. Dia memastikan Polri tidak memiliki alat peretas atau sadap dengan malware base. Malware base adalah alat peretas dengan pola operasi pengiriman malware atau spyware kepada gawai yang disasar.
Polri kata, Irjen Uliandi, tidak memanfaatkan sistem tersebut. Dia memastikan bahwa upaya penyadapan sasaran telah diatur sesuai mekanisme yang berlaku. Selain itu, tujuan penyadapan oleh Polri adalah penegakan hukum atau lawful interception. Uliandi memastikan kabar bahwa Polri memiliki atau menggunakan Pegasus atau alat peretas dengan sistem operasi malware base bisa dipastikan tidak benar.
“Enggak, kalau Polri itu dengan provider nomer,” tegasnya, Jumat (9/6/2023).
Saat ini ada tiga bentuk penyadapan yang dikenal dalam dunia intelijen. Pertama, adalah lawful intercept yang digunakan oleh aparat penegak hukum. Ketentuan mengenai lawful intercept ini diatur dalam Pasal 31 Undang-undang No.19/2016 tentang Informasi dan Transaksi Elektronik.
Beleid itu menegaskan bahwa pihak yang punya kewenangan penyadapan hanya polisi, kejaksaan dan aparat penegak hukum lainnya. Kedua, tactical interception yang membutuhkan alat perangkat taktis untuk melakukan penyadapan. Ketiga, malware base yang dikenal belakangan ini dan menjadi polemik di sejumlah negara khususnya ketika muncul Pegasus dan sistem zero click-nya.
Uliandi tidak tahu secara pasti saat dikonfirmasi mengenai pengadaan zero click di intstitusi kepolisian. Ia menegaskan bahwa penyadapan di Polri hanya untuk penegakan hukum dan tidak menggunakan alat-alat yang dilarang secara undang-undang.
“Saya tidak tahu sistem pengadaannya bagaimana, tetapi kan kita tidak di Android saja, banyak kan, sekarang China ada lagi.”
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia bersama Organized Crime and Corruption Reporting Project (OCCRP), dan Forbidden Stories
Pengadaan Alat Sadap Jalur Bawah Tangan
Tim Indonesia Leaks mengungkap indikasi penggunaan alat-alat sadap untuk kepentingan Pemilihan Umum atau Pemilu 2019. Dua informan yang ditemui Tim Indonesia Leaks menyebutkan sosok salah seorang menteri di Kabinet Indonesia Maju (KIM). Dia ditengarai menggunakan alat tersebut dalam kontestasi politik 2019 silam.
Sebelum masuk dalam Kabinet Indonesia Maju Presiden Joko Widodo (Jokowi) dan Ma'ruf Amin, dia adalah anggota Tim Kampanye Nasional atau TKN. Selain itu, dia juga memiliki latar belakang sebagai pengusaha di bidang telekomunikasi dan kerap dijuluki 'Raja Menara'.
Sosoknya disebut memiliki sebuah ruangan khusus di rumahnya. Dalam hal ini ruangan tersebut digunakan sebagai lokasi untuk strategi pemenangan Jokowi dalam kontestasi Pilpres 2019. Dua sumber yang tahu lokasi ruangan itu mengungkap secara spesifik terdapat alat khusus yang berasal dari Israel. Sementara itu, sumber yang merupakan seorang mantan pejabat pada periode pertama Jokowi menyebut kalau dia diberitahu bahwa alat itu adalah Pegasus.
Alat yang dimiliki oleh sosok tersebut diduga bisa masuk ke grup-grup Whatsapp lawan politik Jokowi. Namun, dia menolak berkomentar saat dikonfirmasi tim Indonesia Leaks.
Tidak diketahui secara pasti asal-usul barang-barang itu, termasuk alat yang ditengarai dimiliki oleh salah seorang menteri tersebut, bisa sampai ke Indonesia. Sebab, dalam beberapa kali pengecekan data-data importasi seperti nama barang hingga perusahaan pengimpor barang tidak tercatat di otoritas kepabeanan.
Namun sumber Indonesia Leaks, justru mengungkap praktik tidak lazim dalam importasi barang yang diduga alat sadap. Pembelian alat sadap bahkan bisa dilakukan lewat mekanisme bawah tangan. Proses transaksi jual beli alat sadap lewat bawah tangan itu karena adanya celah, baik dari sisi regulasi maupun mekanisme pemeriksaan di pintu masuk barang dari luar negeri.
Informasi yang dihimpun Indonesia Leaks mengungkapkan bahwa alat-alat sadap dari luar negeri itu biasanya 'diselundupkan' lewat barang bawaan penumpang. Modus ini sering ditemukan karena barang sadap yang relatif kecil dan mudah ditenteng penumpang.
Petugas bandara baru bisa mengidentifikasi kalau barang tersebut alat sadap atau bukan apabila masuk melalui X-ray. Sebagian kasus bisa dilacak, sebagian lagi tidak bisa lantaran jenis barang yang sudah diidentifikasi petugas di bandara.
Sumber itu mengatakan, persoalan itu akan lebih pelik lagi jika alat sadap atau peretas berbentuk software atau malware base seperti Pegasus atau alat zero click milik Polri. Sebab, pengawasannya bisa lebih longgar karena tidak melalui perdagangan secara fisik.
Kewenangan Penyadapan hanya untuk Kepentingan Penegakan Hukum
Adapun regulasi penyadapan di Indonesia diatur dalam Pasal 31 Undang-undang Nomor 19 Tahun 2016 tentang Perubahan UU No. 11/2008 tentang Informasi dan Transaksi Elektronik. Pasal itu menegaskan bahwa kewenangan penyadapan hanya berlaku untuk kepentingan penegakan hukum oleh lembaga penegak hukum.
Sementara pasal 258 UU No.1/2023 tentang Kitab Undang-undang Hukum Pidana (KUHP) yang baru, jelas-jelas menyatakan bahwa setiap orang, di luar aparat penegak hukum, yang melakukan penyadapan lewat jaringan kabel maupun nirkabel, dipidana maksimal 10 tahun penjara.
Direktur Komunikasi dan Bimbingan Jasa Direktorat Jenderal Bea Cukai Nirwala Dwi Heryanto memastikan bahwa pengawasan terhadap alat sadap berupa software pengawasannya dilakukan melalu audit.
Namun apabila software diimpor bersamaan dengan media pembawanya atau perangkat keras seperti USB dan komputer, pengawaasannya diperlakukan seperti barang berwujud lainnya. “Alat penyadap termasuk barang berwujud, pengawasannya secara administrasi seperti barang berwujud lainnya.”
Belakangan alat sadap yang telah masuk ke Indonesia ternyata beragam. Laporan Citizen Lab berjudul Running in Circles Uncovering the Clients of Cyberespionage Firm Circles pada 1 Desember 2020 mengungkap sosok perusahaan bernama Circles.
Circles adalah perusahaan pengawasan yang dilaporkan mengeksploitasi kelemahan dalam sistem ponsel global untuk mengintai panggilan, SMS, dan lokasi ponsel di seluruh dunia. Ada dugaan perusahaan ini memiliki afiliasi dengan NSO Group di Israel.
Pelanggan Circles dapat membeli sistem yang mereka sambungkan ke infrastruktur perusahaan telekomunikasi lokal mereka, atau dapat menggunakan sistem terpisah yang disebut "Circles Cloud", yang terhubung dengan perusahaan telekomunikasi di seluruh dunia.
Tim Citizen Lab mencoba melakukan pemindaian internet melalui saluran jaringan untuk mendeteksi keberadaan Circle di seluruh dunia. Hasilnya, Citizen Lab menemukan jejak host firewall Check Point yang digunakan dalam penerapan Circles.
Beberapa negara yang teridentifikasi menggunakan produk Circles di antaranya Australia, Belgia, Botswana, Cile, Denmark, Ekuador, El Salvador, Estonia, Guinea Khatulistiwa, Guatemala, Hondura, Israel, Kenya, Malaysia, Meksiko, Maroko, Nigeria, Peru, Serbia, Thailand, Uni Emirat Arab (UEA), Vietnam, Zambia, Zimbabwe, dan Indonesia.
Di Indonesia, terdapat dua kode IP Address yang terlacak. Pertama, dengan kode 203.142.69.82 – 84. Kedua, dengan kode IP Address 117.102.125.50 – 52. Setelah ditelusuri menggunakan pelacakan IP Addres, diketahui bahwa pemilik IP bernama Radika Karta Utama. Saat mencari di mesin penelusuran perusahaan itu diduga Radika Karya Utama.
Lokasi server terindikasi berada di Jawa Barat. Radika Karya Utama adalah perusahaan yang banyak memenangkan tender alat-alat penyadapan di kepolisian. Namun hingga berita ini ditulis, belum ada jawaban atau tanggapan dari pihak Radika.
Selain itu tim Indonesia Leaks juga telah mengirimkan daftar pertanyaan melalui surat elektronik kepada NSO Group yang hingga kini juga belum memperoleh tanggapan.
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia.
Fakta Impor Senjata Indonesia dari Israel
Indonesia tercatat menjadi salah satu pelanggan dari produk persenjataan dari Israel. Hal itu setidaknya tercermin dari data dari Trademap.org.
Dalam satu dekade belakangan, yang berakhir pada 2022, Indonesia terekam beberapa kali mendatangkan produk persenjataan dari Israel. Setidaknya, impor dilakukan pada medio 2013, 2018, 2020, 2021 dan 2022.
Adapun, berdasarkan kode harmonized system (HS), produk persenjataan yang masuk ke Indonesia dari Israel terbagi menjadi beberapa kategori.
Pertama adalah kode HS 93011000 yang meliputi persenjataan artileri, termasuk senapan, mortir, dan meriam howitzer. Impor oleh Indonesia terekam terjadi pada 2020. Kala itu, impor tersebut mencapai US$1,285 juta.
Kedua, kode HS 93051000 yang meliputi suku cadang dan aksesori revolver atau pistol. terekam dilakukan pada medio 2020 dan 2021. Pada 2020, nilai impor Indonesia atas produk tersebut mencapai US$4.000. Selanjutnya pada 2021 nilai impornya turun menjadi US$3.000.
Ketiga, kode HS 93059999 seperti suku cadang dan aksesori revolver serta pistol dari kulit/tekstil lainnya untuk kategori barang berkode HS 9303 dan 9304. Impor komoditas ini terjadi pada 2021 dan 2022. Pada 2021, nilai impornya mencapai US$28.000 yang lalu turun menjadi US$26.000 pada 2022.
Keempat, kode HS 9305999900, yang meliputi suku cadang dan aksesori revolver dan pistol. Untuk komoditas ini, impor dalam 10 tahun terakhir terekam terjadi pada 2013, 2018 dan 2020. Pada 2013 nilai impor komoditas itu menembus US$281.000. Selanjutnya pada 2018 sebesar US$9.000. Sementara itu pada 2020, nilai impornya mencapai US$41.000.
Adapun, sebelum medio 2019, yakni tepatnya pada 2018, Indonesia tercatat mengalami kenaikan nilai impor yang cukup signifikan dari Israel kepada produk dengan kode HS 85.
Berdasarkan data Trademap.org, nilai impor produk yang meliputi mesin dan peralatan listrik serta bagiannya; perekam dan pereproduksi suara; perekam dan pereproduksi gambar dan suara televisi, dan bagian; serta aksesori dari barang semacamnya mencapai US$20,01 juta.
Nilai impor tersebut naik dari 2017 yang mencapai US$9,41 juta. Sementara itu, pada 2019, nilai impor komoditas itu turun kembali menjadi US$3,37 juta.
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia.
Kepala Divisi TIK Polri Irjen Slamet Uliandi: Polri Tidak Pernah Mendatangkan Pegasus
Kami dapat petunjuk Pegasus itu masuk di Indonesia. Kami mau mendapat penjelasan bagaimana produknya, efektivitas penggunaan alat dalam mengungkap kasus kejahatan, termasuk pengawasannya?
Saya jawab ini ya. Kalau otoritas penggunaan alat penyadapan ini diberikan kepada penyelidik dan penyidik. Tata caranya diatur dalam Peraturan Kapolri Nomor 5 Tahun 2010 Tentang Tata Cara Penyadapan pada Pusat Pemantauan Kepolisian RI. Dengan kata lain, kita tidak melihat level kepolisiannya. Jadi apakah itu Polres, Polda, Mabes [Markas Besar Kepolisian RI]. Namun berdasarkan permohonan yang diajukan oleh penyelidik atau penyidik, gitu loh.
Artinya Kepolisian Resor pun bisa mengajukan permohonan penggunaan alat sadap itu berdasarkan kasus yang ditangani?
Iya, bisa.
Sejauh itu penggunaannya untuk mengungkap kasus extraordinary crime seperti penyalahgunaan korupsi dan narkotika?
Oh, banyak.
Bagaimana efektivitas penggunaan alat sadap ini?
Jadi saya susun ini. Masyarakat mungkin dapat menilai bagaimana Polri melaksanakan tugasnya dalam melindungi dan mengayomi, melayani masyarakat. Saya melihat bahwa perkembangan teknologi selalu membawa dampak positif dan negatif. Modus operandi kejahatan juga semakin berkembang, dari yang tadi analog kemudian kejahatan menggunakan sistem elektronik. Ini keniscayaan. Kita adalah lawful interception [penyadapan yang sah] yang sangat membantu proses penyelidikan yang dilakukan Polri. Sehingga pemanfaatan alat penyadapan sangat membantu proses penyidikan tindak pidana tertentu berdasarkan tingkat kewenangan dan ancaman yang diatur dalam undang-undang.
Benarkah Polri menggunakan alat penyadapan Pegasus yang didatangkan pada tahun 2018?
Perlu diketahui Polri tidak pernah mendatangkan Pegasus atau menggunakan alat penyadapan Pegasus. Sejauh ini menggunakan alat sistem yang metode lawful intercepted. Nanti saya jelasin.
Lalu apa itu lawful intercepted? Yaitu mengikuti peraturan perundang-undangan dalam Undang-Undang ITE. Juga disebutkan bahwa interception yang dilakukan Polri dalam rangka penegakan hukum Peraturan Kapolri Nomor 5 Tahun 2010. Untuk menyatakan bahwa penyadapan hanya dilakukan terhadap orang-orang yang dicurigai dan akan sedang, maupun melakukan suatu tindak pidana.
Kemudian dibandingkan dengan kasus Kashoggi, itu kan ceritanya Pegasus kasus-kasus itu. Jadi sekarang Anda riset saja sendiri berapa biaya security yang dilakukan oleh Apple. Berapa satu bulan dia keluarkan? T [triliun] itu. Bisa Pegasus tembus dia? Jadi mungkin itu kerjaan anak-anak hacker. Kalau orang-orang hacker kan taulah. Kita saja kalau misalnya ada rasa curiga kepada seseorang, kan kita bisa buka Google-nya, kan. Jadi itu teknik-teknik manual.
Jadi kita tetap melakukannya sesuai UU. Kita mengacu pada UU ITE lawful intercepted. Jadi pakai berdasarkan hukum. Jadi ada suratnya. Kalau Pegasus itu saya bilang hacker malah. Kita enggak mau itu.
Bukannya pengadaan Pegasus itu hampir triliun rupiah dan pemeliharaannya bisa mencapai miliaran dan itu mahal bagi para hacker?
Ya, enggak tahu. Setahu saya kita belum pernah menghadirkan Pegasus.
Lalu bagaimana kewenangan Polri melakukan penyadapan?
Sejauh ini (Polri) menggunakan alat (penyadapan) mengikuti metode lawful interception sesuai Undang-Undang ITE. Polri melakukan interception dalam penegakan hukum, yang juga diatur dalam Peraturan Kapolri Nomor 5 Tahun 2010, menyatakan: penyadapan hanya dilakukan kepada orang-orang yang dicurigai/dan akan sedang melakukan suatu tindakan pidana. Jadi, berdasarkan hukum, ada suratnya. Kalau Pegasus itu, digunakan para hacker. Kita enggak mau menggunakan itu.
Polri belum mengoperasikan malwarebytes untuk intercepted?
Enggak. Berdasarkan UU enggak boleh. Itu kan kerja hacker. Kita lawful, ada penetapan pengadilan, mengajukan [permohonan penyadapan] gitu, lho.
Data yang kami peroleh, pada 2017, 2018, dan 2019, ada pengadaan alat penyadapan bernama Zero Click. Jika merujuk pada penetapan hukum di Amerika Serikat, Pegasus dilarang dipakai untuk melakukan penyadapan tanpa pengguna tahu. Bisa Anda jelaskan?
Polisi selama ini, sejak 2010, ya, Zero Click. Informasi kita dapat. Voice kita dapat langsung. Itu kan [diatur dalam] UU ITE. Tahu enggak, disadap atau enggak disadap? Enggak akan tahu. Saya sudah coba, kok. Jadi tanpa disadari sudah disadap.
Bagaimana Polri menjamin akuntabilitas penggunaan alat tersebut untuk menghindari penyalahgunaan penyadapan?
Akuntabilitas dijaga dengan mengacu pada prinsip yang tercantum dalam Peraturan Kapolri Nomor 5 Tahun 2010, yaitu perlindungan hak asasi manusia, legalitas, kepastian hukum, perlindungan konsumen, partisipasi, dan kerahasiaan. Karena itu, mulai tata cara permintaan penyadapan, pelaksanaan operasinya, hasil penyadapan, serta pengawasan dan pengendalian, selalu menjunjung prinsip-prinsip terebut. Polri terus bertransfomasi melindungi dan mengayomi masyarakat.
Ada mekanisme khusus dari Divisi Profesi dan Pengamanan Kepolisian bahwa dalam setahun alat ini digunakan sesuai mandat UU?
Bahkan, kalau enggak salah, provider juga ngecek. Ada transparansi.
Artinya dalam lawful intercepted itu melibatkan pihak ketiga, provider?
Loh, pasti. Karena golnya apa ini. Yang nyadap kan bukan Polri saja. Ada lembaga [lain]. Tetapi semua itu muaranya ke provider, Kementerian Komunikasi dan Informatika. Karena regulasi ada di Kominfo. Jadi mau melakukan penyadapan harus melibatkan peran pihak operator. Dalam undang-undang, yang wajib menyiapkan fasilitas dalam rangka pembuktian kebenaran. Ini sudah pasti Zero Click, enggak kerasa.
Siapa yang ditarget lawful interception?
Yang kasus pidananya sudah banyak. Tapi itu rahasia. Yang membocorkan itu [bisa] dipidana 20 tahun penjara.
Alat penyadapan itu berbentuk software?
Ya, enggak. Pakai provider aja. Yang menyediakan [informasi target] itu pihak ketiga. Artinya Pegasus itu kayak malaikat, twing... bisa tahu semuanya.
Pernah ada upaya mendatangkan Pegasus?
Setahu saya, seperti saya dengar waktu itu [pembunuhan] Jamal Ahmad Khashoggi. Itu kerjaan anak hacker. Kita enggak bisa. Kita lawful. Menurut saya enggak mungkin, kalau dia bilang bisa itu bohong aja [menggunakan] Pegasus. Yang ada menurut saya itu diselipin, jadi handphone itu sudah di-setting. Jadi kan bisa, saya buat rekaman, terus dibawa sama Khashoggi di dalam, kedengaran. Terus diklaim Pegasus. Karena secara teknologi, enggak mungkin, kalau [ponsel] sudah dimasukkan sistem, berat. Kayak kita kemarin, Polri di-hack pakai fyrox tujuh lapis dan Port 22 (SSH/Secure Shell).
DPR sedang menggodok Rancangan Undang-Undang tentang Penyadapan. Informasi yang kita dapat ini tidak masuk dalam program legislasi nasional karena sistemnya bertahap. Polri sebagai salah satu stakeholder ikut dilibatkan dalam memberikan masukan kepada DPR?
Salah satu masukan saya itu, aplikasi yang mau masuk di Indonesia servernya harus terkoneksi dengan aparat penegak hukum. Artinya kita bisa bebas masuk-keluar log-nya. Kan mereka enkripsi, harus ada dekripsinya. Nah, dekripsinya itu harus kasih ke kita.
Soal wali data dan sistem pengawasannya bagaimana?
Wali data kan ada di Div. TIK [Polri]. Jadi saya berusaha mengembangkan server data center kita selevel Apple dan Amazon. Ini yang lagi kita kembangkan. Itu yang sedang saya perjuangkan. Minimal legacy Kapolri, lah. Harapan saya kita punya Cloud sendiri. Kita punya server setara internasional. Data-data di Polri itu kan banyak sekali, itu yang sedang saya upayakan supaya satu data.
Izin impor alat penyadapan atas pengetahuan Polri?
Kalau berdasarkan UU kan lewat Kominfo. Karena peraturan perundang-undangan mengacu pada mereka.
Bukan Kementerian Pertahanan?
Bukan.
Ini kan menyangkut matra pertahanan dan keamanan negara, seharusnya mereka tahu barang apa saja yang masuk ke Indonesia?
Iya. Tapi saran saya dalam penulisannya harus hati-hati karena kejahatan kita kan banyak. Tapi kalau sistem pengawasan sih check and balance, itu sudah transparan.
Kita dapat info Pegasus sudah masuk di Indonesia?
Kalau dibilang zero click, dari 2010 sudah zero click. Penyadapan ini mulai ribut semenjak KPK menghadirkan hasil penyadapan sebagai alat bukti di sidang pengadilan.
Informasi yang kami peroleh 2017-2018 ada aparat penegak hukum, Polri, mendatangkan Pegasus, itu dibisa dipastikan benar?
Enggak. Saya enggak tahu sistem pengadaanya bagaimana. Kita kan tidak hanya di Android saja, di iOS juga. Sekarang Cina juga ada, Huawei. Artinya dari upgrade itu kan harus dari 4G, 5G.
Kalau sistem kerja Pegasus kan bisa langsung menginfeksi ponsel target. Kalau alat penyadapan di Polri itu seperti apa, sih?
Ya, sama. Nomor. Cuma kan nomor itu ada di iOS, Android. Saya bilang, nomor saya nomor sekian. Jadi kalau mau mentransfer dari provider ke kita kan harus ada alat transport untuk mentransfer teks dan voice.
Liputan ini diselenggarakan oleh Konsorsium Indonesialeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis Indonesia.
