Tiga tahun telah berlalu sejak skandal Pegasus pertama kali mencuat ke publik. Namun, kita masih belum memperbaiki industri pengawasan. Justru sebaliknya: masalah spyware terus membesar.
Dalam konteks inilah sekelompok masyarakat sipil menulis surat terbuka pada hari Selasa, 3 September, yang menyerukan kepada regulator Uni Eropa untuk mengambil tindakan yang lebih tegas terhadap ancaman yang ditimbulkan oleh penggunaan spyware. Bagi para ahli, hal ini tidak dapat dinegosiasikan – Komisi Uni Eropa harus mengusulkan kerangka hukum yang mencakup “larangan di seluruh Uni Eropa terhadap produksi, ekspor, penjualan, impor, akuisisi, transfer, servis, dan penggunaan spyware.”
Larangan, betul. Karena sifatnya, pada kenyataannya, perangkat lunak mata-mata tidak sesuai dengan konsep privasi. Semua perangkat lunak diprogram untuk melakukan pelanggaran hak asasi manusia ini, dengan penyalahgunaan yang sebagian besar mengalahkan keuntungannya. Semua orang bisa menjadi target – ponsel kita sebagai pintu depan ke sisi paling pribadi dalam hidup kita.
Haruskah spyware menjadi pasar yang sah?
Spyware merujuk pada jenis malware (atau perangkat lunak berbahaya) yang terpasang pada perangkat digital tanpa sepengetahuan pengguna. Meskipun kemampuan perangkat lunak mungkin berbeda, alat-alat ini bertujuan untuk mengumpulkan segala macam informasi sensitif. Rinciannya dapat mencakup lokasi, kamera, dan data mikrofon hingga semua pesan yang Anda kirim/terima, situs web yang Anda kunjungi, informasi perbankan, dan kata sandi.
Kekuatan – dan bahaya – spyware terletak pada fakta bahwa alat-alat ini sangat sulit dideteksi, tetapi cukup mudah untuk disuntikkan. Pegasus adalah contoh sempurna karena memanfaatkan serangan zero-click sambil meninggalkan jejak minimum pada perangkat yang terinfeksi. Ini berarti bahwa bahkan perangkat lunak keamanan seperti VPN atau aplikasi antivirus terbaik tidak dapat sepenuhnya melindungi Anda dari ancaman yang semakin meningkat ini.
Pada titik ini, kita dapat berargumen bahwa spyware mungkin merupakan alat penting di tangan pemerintah untuk tujuan keamanan nasional. Namun, sejauh ini, ada daftar panjang otoritas yang menyalahgunakan penggunaannya.
Tahukah Anda?
Dikembangkan oleh Intellexa Alliance – sekelompok perusahaan yang banyak diantaranya berbasis di Uni Eropa – Perangkat lunak mata-mata predator adalah perangkat lunak peretasan telepon yang sangat invasif, yang dirancang untuk mengakses semua data yang disimpan dan dibagikan tanpa meninggalkan jejak pada perangkat target. Perangkat lunak ini dapat menyusup ke telepon pintar melalui tautan berbahaya atau melalui serangan taktis yang diluncurkan pada jaringan yang tidak aman oleh perangkat di sekitar.
Mari kita lihat bagaimana skandal Pegasus terungkap. Meksiko dilaporkan menjadi pelanggan pertama perusahaan intelijen siber Israel NSO Group yang membeli teknologi canggihnya pada tahun 2011 untuk mendukung perjuangannya melawan perdagangan narkoba. Namun, pada tahun 2017, penyidik menemukan jejak Pegasus di ponsel beberapa jurnalis dan aktivis Meksiko.
Kotak Pandora akhirnya terbuka pada tahun 2021 – lebih dari 50.000 ponsel di seluruh dunia telah dibobol. Di antaranya adalah ponsel jurnalis Jamal Khashoggi, yang dibunuh di dalam konsulat Arab Saudi di Istanbul pada tahun 2018. Penyelidikan kemudian mengungkap bahwa lebih dari 46 negara di seluruh dunia membeli perangkat yang sangat invasif ini, termasuk sedikitnya 14 negara Uni Eropa.
Dua tahun kemudian, penyelidikan baru terhadap penggunaan apa yang disebut spyware Predator mengungkapkan bagaimana masalah spyware Uni Eropa lebih buruk dari yang diperkirakan sebelumnya. Hal ini terutama karena alat tersebut tidak hanya digunakan di seluruh Uni Eropa untuk memata-matai politisi, jurnalis, dan aktivis kali ini, tetapi dikembangkan, dijual, dan diekspor oleh perusahaan-perusahaan yang berbasis di Uni Eropa yang sebagian besar beroperasi di Prancis, Irlandia, dan Yunani ke sedikitnya 25 negara di seluruh dunia.
Sulit untuk membayangkan bagaimana industri spyware masih diperbolehkan menjadi bisnis yang sah – bisnis yang sangat produktif. Bahkan Google khawatir tentang “ancaman yang semakin meningkat terhadap kebebasan berbicara, kebebasan pers, dan integritas pemilu di seluruh dunia.”
Raksasa Big Tech melacak sekitar 40 Vendor Pengawasan Komersial (CSV) yang beroperasi di seluruh dunia. Beberapa perusahaan berfokus pada penelitian kerentanan perangkat untuk mengembangkan dan menjual eksploitasi serangan, sementara yang lain bertanggung jawab untuk membuat produk spyware. Secara keseluruhan, penyebaran spyware “menyebabkan kerusakan di dunia nyata,” kata para ahli.
Pemerintah bukanlah satu-satunya pihak yang menggunakan (dan menyalahgunakan) alat ini untuk melacak penjahat, politisi, jurnalis, atau aktivis.
Misalnya, perusahaan semakin beralih ke apa yang dikenal sebagai bossware untuk memantau karyawan jarak jauh mereka dengan lebih baik. Meskipun detail penerapannya bergantung pada negara, aplikasi pemantauan produktivitas kerja sepenuhnya legal. Namun, ruang untuk penyalahgunaan masih terbuka lebar.
Spyware dapat menjadi alat yang sangat berbahaya di tangan para peretas, penguntit, dan penjahat. Kemudahan orang-orang tanpa keterampilan teknis tertentu untuk melancarkan serangan ini membuat kita semua rentan. Bayangkan apa yang dapat dilakukan pasangan yang suka melakukan kekerasan dengan menggunakan aplikasi semacam itu.
Semua ini sangat mengkhawatirkan mengingat, seperti yang ditemukan oleh perusahaan keamanan Avast, penggunaan stalkerware seluler telah meningkat 329% sejak tahun 2020.
Mengatur penggunaan spyware saja tidak cukup
Kita dapat berargumen bahwa semua teknologi dapat berbahaya jika digunakan secara tidak tepat – pikirkan platform media sosial atau perangkat lunak AI, misalnya – dan yang kita butuhkan hanyalah regulasi yang lebih kuat. Nah, kebenaran tentang spyware lebih rumit dari itu.
Para pembuat undang-undang sejauh ini gagal mengembangkan kerangka hukum yang mampu mengurangi kerugian sosial yang ditimbulkan oleh spyware. Jika di satu sisi sebagian besar pemerintah menyadari risikonya, tampaknya tidak ada yang siap untuk meninggalkan kemampuan pengawasan yang belum pernah terjadi sebelumnya ini.
Kami telah menyebutkan bagaimana Uni Eropa terjebak di tengah kekacauan spyware. Namun, ketika blok tersebut memiliki kesempatan untuk mengambil sikap tegas terhadap teknologi ini untuk melindungi pers bebas, mereka tidak melakukannya. Berdasarkan Undang-Undang Kebebasan Media Uni Eropa, spyware masih diizinkan berdasarkan “kasus per kasus” dan “tunduk pada otorisasi sebelumnya oleh otoritas hukum” yang menyelidiki kejahatan yang dapat dihukum dengan hukuman kurungan minimal tiga tahun.
???? Hari ini, CDT Eropa dan 30 organisasi masyarakat sipil & jurnalis mengambil sikap terhadap ancaman spyware yang meluas. Kami menyerukan kepada lembaga-lembaga Uni Eropa yang akan datang untuk mengambil tindakan tegas dalam ketentuan legislatif baru #StopSpyware ????https://t.co/Yh408k7ydN pic.twitter.com/vG7kpQHpnL3 Sept 2024
Investigasi New York Times juga mengungkap bahwa, meskipun pemerintahan Biden melarang penggunaan alat peretasan yang dibuat oleh perusahaan Israel NSO, pemerintah masih berusaha menemukan cara yang sah untuk menggunakannya.
Pada tanggal 6 Februari 2024, Inggris dan Prancis memimpin perjanjian bersama internasional baru untuk mengekang pelanggaran hak asasi manusia oleh spyware dan mengembangkan kebijakan untuk menggunakan perangkat siber yang mengganggu ini dengan “cara yang sah dan bertanggung jawab.” Namun, melihat premis ini, sulit untuk melihat bagaimana peraturan dapat cukup untuk mencegah bahaya.
Seperti yang ditunjukkan oleh Pengawas Perlindungan Data Eropa (EDPS) pada tahun 2022, tingkat intrusi spyware modern yang belum pernah terjadi sebelumnya “mengancam hak privasi, karena spyware dapat mengganggu aspek paling intim dalam kehidupan kita sehari-hari.” Menurut EDPS, teknologi intrusif seperti itu secara de facto tidak sesuai dengan hukum Uni Eropa.
Lalu, bagaimana Anda dapat mengatur penggunaan perangkat lunak yang pada dasarnya melanggar undang-undang privasi saat ini? Anda tidak bisa melakukannya. Itulah sebabnya pelarangan perangkat lunak mata-mata adalah satu-satunya solusi jika kita ingin menyelamatkan privasi kita yang tersisa.
Seperti yang dikatakan Natalia Krapiva, penasihat hukum teknologi di Access Now: “Teknologi jahat yang telah disalahgunakan dan disalahgunakan oleh pemerintah di seluruh dunia ini tidak aman di tangan mana pun, dan penggunaannya tidak akan pernah dapat dibenarkan. Diskusi saja tidak cukup. Kami mengharapkan tindakan.”