Lewat Pengusaha dari Pasar Minggu: Cara Polisi dan Lembaga Lain Mendatangkan Alat Sadap Secara Diam-diam

Perangkat surveilans yang tiba pada Juli 2021 itu di antaranya bernama Unlimited Target License Installation in Basic Database Management System, Basic Location Tracking and Monitoring License, Basic Mobile Device Historical Usage License, Basic Graphical Detection and Identification License, serta Basic Location Mapper System Server. Semuanya menggunakan HS Code yang sama.

Seorang makelar dan pengusaha Indonesia yang berkali-kali menjual alat sadap dan spyware ke berbagai lembaga pemerintah mengatakan alat-alat yang dibeli Polri itu merupakan perangkat yang digunakan secara terbatas. Basic Graphical Detection, misalnya, merupakan alat digital pendeteksi wajah. Ia mengatakan Basic Location Tracking and Monitoring License adalah perangkat lunak untuk menelusuri lokasi seseorang lewat metode intersepsi. Hanya lembaga penegak hukum yang biasa menggunakan alat-alat itu.

Dikonfirmasi soal ini, Mabes Polri mengirimkan surat jawaban permohonan wawancara Tempo tentang pengadaan alat sadap kepolisian lewat Kepala Biro Pengelolaan Informasi dan Dokumentasi Divisi Humas Polri Brigadir Jenderal Tjahyono Saputro yang diterima di Gedung Tempo, Jakarta Selatan, pada Jumat pukul 17.00 WIB, 3 Mei 2024. lewat suratnya, Tjahyono menuliskan informasi soal pengadaan alat dan teknologi sadap merupakan informasi yang tidak bisa disampaikan ke publik.

Ia mengacu kepada Keputusan Pejabat Pengelola Informasi dan Dokumentas Polri Nomor: KEP/21/IV/H.U.K/2021 tanggal 30 April 2021 tentang Klasifikasi Informasi yang Dikecualikan terkait dengan Alat Material Khusus Polri di Lingkungan Kepolisian Negara Republik Indonesia. "Informasi yang diminta mengenai penggunaan teknologi surveilans pada Polri merupakan salah satu informasi yang dikecualikan di lingkungan Polri," tulis Tjahyono.

Tempo bersama tim IndonesiaLeaks pernah mewawancarai Kepala Divisi Teknologi, Informasi, dan Komunikasi Polri Inspektur Jenderal Slamet Uliandi pada pertengahan 2023. Saat itu muncul informasi bahwa Polri diduga membeli Pegasus, spyware yang dibuat oleh NSO Group Technologies, perusahaan teknologi intelijen asal Israel. Slamet membantah kabar itu. Ia menyebutkan Polri hanya membeli alat sadap yang sesuai dengan kegiatan penegakan hukum. “Penyadapan hanya dilakukan kepada orang yang dicurigai melakukan tindak pidana,” ujarnya.

Pada 2019, Polri juga tiga kali mengimpor alat sadap dari ESW Systems PTE. Jenis alat itu sama dengan yang dikirim pada 2021. Dokumen manifes yang diperoleh Amnesty International Security Lab juga mencatat ESW pernah menyuplai sejumlah alat untuk Kementerian Pertahanan pada 2022. Seluruh proses pengadaan tersebut dilakukan lewat mekanisme penunjukan langsung lantaran tak tercatat dalam situs Layanan Pengadaan Secara Elektronik.

ESW Systems PTE ditengarai terafiliasi dengan dua perusahaan lain di Singapura, yakni 3L Pte Ltd dan White Global Holdings. Ketiganya berkantor di gedung yang sama. Tempo mengirim surat elektronik permohonan wawancara ke alamat e-mail ketiga perusahaan itu. Namun hingga Sabtu, 4 Mei 2024, e-mail tersebut tak dibalas.

Ketiga perusahaan itu memiliki struktur kepemilikan saham yang cukup kompleks. Namun sebagian saham ketiga perusahaan dimiliki warga negara Singapura bernama Low Choon Hui. Dalam struktur kepemilikan saham ESW Systems Pte, Low Choon Hui berkongsi dengan pengusaha asal Indonesia, Sastrawan Kamto, Stanley Thirtabrata, dan Soeherman Djaja.

Tempo berupaya mewawancarai Sastrawan Kamto dengan mendatangi kediamannya di salah satu kompleks perumahan di Pasar Minggu, Jakarta Selatan, pada Jumat, 3 Mei 2024. Seorang petugas keamanan kompleks itu mengatakan Sastrawan sedang tidak berada di rumah. Akun WhatsApp Sastrawan juga dihubungi, tapi tak ada respons hingga Sabtu, 4 Mei 2024.

Ditelusuri lewat aplikasi Getcontact, nomor telepon Sastrawan disimpan dengan berbagai nama yang dikaitkan dengan sejumlah perusahaan. Misalnya “Pak Sastra Bos Radika”, “Sastra Vendor Wintego”, “Jkt Sastra Rekanan Bareskrim”, “Sastra Klien Pejaten Barat”, dan “Pak Sastra Pengadaan Cyber”.

Nama “Radika” diduga merujuk pada PT Radika Karya Utama, perusahaan yang tercatat berkali-kali memesan perangkat surveilans dari Singapura. Dokumen Amnesty menyebutkan PT Radika Karya mendatangkan empat alat spionase pada 2 Juni 2021 dari 3L Pte Ltd. Salah satunya Tactical Mobile Portable Monitoring System, alat pendeteksi perangkat gawai secara portabel.

Dokumen yang sama mencatat PT Radika Karya Utama mendatangkan beragam perangkat surveilans dari 3L Pte Ltd asal Singapura pada 2020 dan 2021. Di antaranya tiga perangkat intersepsi jenis Individual Mobile Subscriber Identity atau IMSI Catcher dengan merek Nemesis senilai US$ 3,9 juta pada 11 Desember 2020. PT Radika juga memesan tiga alat sadap bernilai total US$ 5,5 juta dari 3L Pte Ltd pada 15 Maret 2021.

Tempo sudah mengirimkan surat permohonan wawancara ke kantor PT Radika Karya Utama di Gedung Office 88 Kasablanka, Jakarta Selatan. Surat itu tak kunjung direspons hingga Sabtu, 4 Mei 2024.

IMSI Catcher bermerek Nemesis diproduksi oleh Polus Tech, perusahaan teknologi digital asal Swiss. Dari data yang diperoleh Tempo menyebutkan Nemesis merupakan perangkat pengirim pesan secara massal yang biasa digunakan di kawasan yang terkena bencana yang juga bisa digunakan untuk penyokong alat sadap.

Chief Executive Officer Polus Tech Niv Karmi, saat ditemui wartawan Haaretz dan WOZ Die Wochenzeitung di Milan, Italia, membantah informasi bahwa Nemesis adalah alat sadap. “Kami sudah berupaya agar tak ada penyalahgunaan alat itu sebagai alat sadap,” ucapnya. Karmi tak membantah kabar bahwa Nemesis mungkin sudah digunakan di Indonesia.

Niv Karmi adalah mantan pendiri NSO Group, perusahaan teknologi yang menciptakan spyware Pegasus, asal Israel. Salah satu temuan liputan kolaborasi IndonesiaLeaks berjudul “Jejak Alat Sadap Pegasus di Indonesia” yang dipublikasikan pada 11 Juni 2023 adalah Pegasus ditengarai sudah digunakan lembaga di Indonesia. Indikasi itu tertuang dalam dokumen Lembaga Pengadaan Secara Elektronik yang menyebutkan belasan proyek pengadaan software intelijen selama 2017-2021, di antaranya software dengan metode zero-click, dimenangi PT Radika Karya Utama. Pada saat itu Pegasus satu-satunya spyware yang menggunakan metode zero-click.

Seorang makelar bisnis teknologi perangkat intelijen mengatakan Pegasus memang masuk ke Indonesia sejak bertahun-tahun lalu. Selain Pegasus, ada banyak alat sadap, baik perangkat keras maupun lunak, dari berbagai negara yang masuk ke Indonesia. Ia mengatakan masa panen para penjual teknologi surveilans itu adalah saat mendekati Pemilihan Umum 2019. Meski tak memiliki bukti, ia menduga penggunaan alat-alat tersebut berkaitan dengan aktivitas pemilihan pada masa itu. Uniknya, dia menambahkan, aktivitas belanja alat surveilans lembaga negara justru meredup pada Pemilu 2024.

Selain beririsan dengan politik, broker itu mengatakan, proyek pengadaan alat intelijen rentan menjadi bancakan sejumlah pihak karena menggunakan mekanisme penunjukan langsung. Audit anggaran yang dilakukan pun ala kadarnya. Ia menyebutkan harga sebenarnya perangkat yang dibeli maksimal hanya sepertiga dari nilai anggaran yang diajukan ke negara. Sisa uangnya dibagikan kepada para pejabat dan komisi untuk makelar.

Dokumen Amnesty International Security Lab menyebutkan salah satu lembaga yang mendatangkan alat sadap itu adalah Kementerian Pertahanan. Kepala Biro Hubungan Masyarakat Kementerian Pertahanan Edwin Adrian tak banyak berkomentar soal pengadaan alat sadap di lembaganya. Ia mengklaim seluruh proses pengadaan dilakukan secara akuntabel sesuai dengan aturan. “Kami di Kementerian Pertahanan senantiasa mendukung transparansi dan siap memberikan informasi publik, kecuali informasi yang dikecualikan,” tuturnya.

Makelar tersebut juga menjelaskan, penggunaan alat sadap di berbagai lembaga negara rentan akan penyalahgunaan kewenangan karena alat sadap hanya digunakan lembaga penegak hukum. Kewenangan ini tak dimiliki lembaga telik sandi yang bertugas mengumpulkan informasi yang berhubungan dengan keamanan negara.

Indikasi penyalahgunaan peralatan intelijen itu muncul dari maraknya serangan digital kepada aktivis masyarakat sipil, lingkungan, dan hak asasi manusia, juga akademikus. Sepanjang Januari 2019-Mei 2022, Amnesty International Security Lab mencatat sedikitnya terjadi 90 serangan terhadap sejumlah perangkat digital milik para aktivis di Indonesia. “Penyebaran alat sadap di dunia dan Indonesia akan menggerus ruang kebebasan masyarakat sipil dan hak asasi manusia,” ujar Jurre van Bergen, peneliti dari Amnesty International Security Lab.

Amnesty juga mendeteksi modus penggunaan domain situs palsu untuk penyebarluasan konten pemilu. Teknologi yang dikembangkan oleh perusahaan digital bernama Intellexa Alliance dan Candiru itu bekerja dengan menanamkan sejenis spyware yang dipasang di berbagai tiruan situs media massa di Indonesia.

Dua praktisi teknologi alat sadap menjelaskan, jika seseorang mengeklik lalu mengunjungi situs abal-abal itu, kode yang tertanam di situs akan membaca dan menganalisis aktivitas perangkat digital pengguna. Kode itu sekaligus akan menyusup ke perangkat pengguna dengan mengirimkan sejumlah berita yang bertujuan mempengaruhi pilihan politik pemilik perangkat digital. Dalam praktik spionase, modus ini dikenal dengan istilah spoofing.

Situs media massa daring seperti Tribunnews dan Tirto pernah menjadi korban spoofing. Pemimpin Redaksi Tirto Rachmadin Ismail mengaku belum mengetahui penyalahgunaan situs mereka. Ia berjanji mempelajari lebih dulu informasi itu dengan tim internal yang menangani teknologi. Wakil Direktur Pemberitaan Tribunnews Domu D. Ambarita merespons kabar ini dengan sikap yang sama. “Info dari tim internal, sejauh ini belum ada yang menemukan peristiwa yang dimaksud,” ucap Domu.

Threat Analysis Group Google mendeteksi pola serupa dalam laporan yang mereka rilis pada Maret 2023. Dalam laporan berjudul “Buying Spying” itu, Google mendeteksi penyebarluasan spyware bernama Heliconia yang terhubung dengan organisasi informasi dan teknologi di Spanyol bernama Variston. Malware bekerja dengan memancing tautan yang pernah digunakan untuk promosi produk lewat website situs berita palsu, di antaranya media massa daring berinisial PR yang populer di Jawa Barat.

Stan pameran perusahaan siber Israel, NSO Group, terlihat di "ISDEF 2019", pameran alat pertahanan dan keamanan internasional, di Tel Aviv, Israel, 4 Juni 2019. Reuters/Keren Manor

Pihak Public Relations Google Indonesia, Kunti Roostapati, membenarkan adanya laporan itu. Tapi ia enggan menjelaskan detail temuan tersebut. Ia membagikan dua dokumen TAG Bulletin kuartal I 2024 dan laporan “Buying Spying” yang sudah dirilis Google. “Kami belum bisa mengakomodasi interview dari dua materi laporan itu,” katanya.

Laporan Amnesty International Security Lab menduga penyalahgunaan alat sadap masih terjadi lantaran Indonesia belum memiliki regulasi yang secara spesifik mengatur penyadapan. Padahal Indonesia merupakan salah satu negara yang telah meratifikasi kovenan hak sipil dan politik. “Jika pemerintah tak bisa memastikan pelindungan hak tersebut, pembelian alat-alat intelijen itu sepatutnya dimoratorium, bahkan dilarang,” tulis laporan itu.

Sebelumnya, Pasal 31 ayat 4 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik mencantumkan penyadapan akan diatur lewat peraturan pemerintah. Namun Mahkamah Konstitusi menganulir pasal itu lewat putusan Nomor 5/puu-vii/2010 pada 24 Februari 2011. Mahkamah Konstitusi beralasan pengaturan penyadapan hanya boleh dibuat dalam bentuk undang-undang karena menyangkut hak asasi manusia.

Pemerintah lantas menindaklanjuti putusan itu dengan menyusun Rancangan Undang-Undang Penyadapan. Namun, sejak rancangan itu masuk program legislasi nasional pada 2015, Dewan Perwakilan Rakyat tak kunjung antusias membahasnya. Akibatnya, penggunaan alat sadap tak kunjung diatur. “Setahu saya, belum ada lagi pembahasan soal itu,” ujar anggota Komisi Hukum, Benny K. Harman.