Hingga akhir November 2020 ini saya belum pernah mendapatkan informasi adanya insiden serangan digital terhadap pewarta warga maupun pegiat media warga.
Meskipun demikian, melihat maraknya serangan digital terhadap kelompok kritis di Indonesia, para pegiat media warga juga harus lebih waspada. Apalagi, media warga memang memiliki kerentanan terhadap serangan semacam ini.
Berdasarkan pemantauan Southeast Asia Freedom of Expression Network (SAFEnet) selama April – November 2020, serangan digital terhadap kelompok kritis menempati urutan pertama di antara korban-korban lain di Indonesia. Jumlahnya mencapai lebih dari 75 persen dari 84 insiden serangan yang tercatat oleh tim pemantauan di mana saya juga terlibat di dalamnya. Kelompok kritis itu termasuk aktivis, jurnalis, dan mahasiswa.
Bentuk serangan paling banyak berupa pengambilalihan (hijacking) akun media sosial seperti Twitter dan Instagram serta aplikasi percakapan ringkas WhatsApp. Sebagian kecil adalah peretasan (hacking) situsweb sebagaimana terjadi pada Tempo.co, Tirto.id, serta situsweb penggalangan dana Walhi. Ada juga serangan terhadap akun Twitter Aliansi Masyarakat Adat Nusantara (AMAN) dan akun Instagram Lembaga Bantuan Hukum (LBH) Bali.
Serangan Politis
Seperti sudah beberapa kali saya sampaikan, misalnya di The Jakarta Post, serangan-serangan semacam ini semakin memperlihatkan adanya perubahan motivasi serangan digital. Dari semula didominasi motif mendapat keuntungan ekonomi seperti pemerasan, serangan digital saat ini makin bersifat politis. Jika serangan bermotif ekonomi lebih bersifat acak, maka serangan digital dengan tujuan politis lebih menyasar kelompok tertentu. Pelakunya dengan sadar memilih sasaran serangan digital tersebut.
Serangan bermotif politik juga berbeda dengan serangan bermotif personal, seperti balas dendam atau fitnah. Jika serangan bermotif personal lebih banyak dilakukan oleh orang-orang terdekat korban, misalnya mantan pasangan atau bekas kolega, maka serangan bermotif politik dilakukan oleh orang-orang yang tidak dikenal langsung oleh korban. Serangan digital bermotif politik pun lebih bersifat asimetris. Tidak bisa dilihat hanya seolah-olah melibatkan dua pihak; pihak yang dikritik dan yang mengkritik.
Kita tidak bisa membuktikan siapa pelaku-pelaku serangan digital tersebut, tetapi jika melihat latar belakang korban yang sebagian besar adalah kelompok yang kritis terhadap pemerintah, maka kita bisa menduga-duga siapa di baliknya. Apalagi serangan digital bersifat kasar (hard attack), semacam pengambilalihan akun media sosial dan nomor WhatsApp, juga memerlukan teknologi yang tidak sembarang orang bisa membeli dan kuasai. Serangan juga makin masif terjadi ketika muncul isu kontroversial seperti pengesahan Undang-Undang (UU) Cipta Kerja yang memicu penolakan dari masyarakat sipil, terutama buruh, aktivis, dan mahasiswa.
Serangan secara kasar—seperti peretasan dan pengambilalihan—semacam itu biasanya diikuti pula dengan serangan secara halus (soft attack), misalnya penyebarluasan data pribadi tanpa izin (doxxing) atau penyerbuan melalui media sosial (trolling) oleh mereka yang mati-matian mendukung pemerintah. Hal ini sebagaimana terjadi pada aktivis cum-jurnalis Dandhy Dwi Laksono yang aktif mengkritik kebijakan pemerintah melalui video-video dokumenter maupun ekspresinya di media sosial.
Tergantung Internet
Sekali lagi, hingga akhir November 2020 ini kami belum mendapatkan adanya serangan digital terhadap media warga. Namun, serangan semacam itu mungkin hanya soal waktu. Apalagi karakter media warga memang termasuk dalam kategori berisiko tinggi, sebagaimana yang selama ini kami pantau.
Kelompok berisiko tinggi ini merupakan kelompok yang karena pekerjaan atau kepeduliannya, aktif menggunakan Internet untuk berekspresi, dan cenderung bersuara kritis. Media warga jelas masuk dalam pengelompokan itu jika merujuk pada kegiatan dan isu-isu yang mereka angkat di medianya. Media warga, secara umum, lahir karena kepedulian terhadap isu-isu di sekitarnya. Karena merasa suara warga kurang terwakili oleh media-media arus utama, maka mereka mengelola media sendiri oleh warga dan untuk warga.
Secara ideologis, media warga lahir sebagai media kritis. Lahir untuk kepentingan warga, bukan kapital atau pejabat pembual. Media warga memang harus kritis terhadap kebijakan pembangunan yang meminggirkan warga, informasi yang tidak transparan, diskriminasi terhadap kelompok marjinal, dan ketidakadilan lainnya. Dengan posisi ideologis semacam itu, media warga jelas berisiko tinggi dari sisi keamanan digital.
Dari waktu ke waktu, media warga ini juga semakin tergantung pada Internet seperti juga terjadi pada hampir semua media arus utama saat ini. Semula lebih banyak yang menggunakan media cetak seperti kalawarta (newsletter) dan radio komunitas, kini media-media warga mulai beralih ke media digital. Prinsip Internet yang bersifat terbuka dan setara (meski ini juga perlu dipertanyakan di tengah dominasi raksasa korporasi digital) membuat media-media warga lebih leluasa.
Media-media warga kini aktif menggunakan Internet sebagai platform untuk mengelola publikasinya. Selain situsweb, mereka juga aktif menggunakan akun-akun media sosial seperti Twitter, Instagram, Facebook, YouTube, dan seterusnya. Jika situsweb menjadi muara utama (landing page), maka akun-akun media sosial menjadi kanal-kanal yang aktif menjangkau sekaligus menyalurkan suara warga. Tanpa media digital, dinamika media warga tak akan sehidup sekarang.
Media digital jelas menjadi aset utama bagi media warga.
Rendahnya Kesadaran
Namun, secara diametral, kesadaran dan keterampilan pegiat media warga terkait keamanan digital justru masih rendah. Asumsi saya merujuk pada temuan Remotivi dalam survei literasi keamanan digital pada jurnalis. Hasil survei terhadap 110 jurnalis pada 7-8 Juli 2020 menunjukkan bahwa jurnalis Indonesia memiliki kesadaran dan keterampilan rendah dalam keamanan digital.
Survei itu menjelaskan lebih detail bahwa 54,5 persen jurnalis responden masih terbiasa mengakses wi-fi publik, seperti di kafe atau ruang media (press room), tanpa perlindungan jaringan virtual personal (VPN). Selain itu, jurnalis yang menjadi responden juga masih menggunakan aplikasi-aplikasi yang paling sering mengalami serangan digital, seperti Instagram, WhatsApp, dan Gmail, tetapi baru sekitar 9 persen yang menggunakan otentikasi dua faktor.
Rendahnya kesadaran dan keterampilan jurnalis media arus utama, yang tentu saja lebih memiliki akses dan kapasitas dibandingkan pegiat media warga, bisa menjadi rujukan bahwa hal serupa pun terjadi di kalangan pegiat media warga dan organisasi masyarakat sipil lain. Isu keamanan digital belum menjadi prioritas bagi mereka meskipun risiko yang mereka hadapi juga tinggi.
Pengalaman saya empat tahun terakhir belajar keamanan digital dapat mengonfirmasi, bahwa isu ini memang relatif baru di kalangan masyarakat sipil, termasuk pegiat media warga dan bahkan media arus utama sekalipun. Sebagian besar aktivis dan jurnalis belum terlalu peduli pada keamanan digital hingga mereka mengalami serangan digital itu sendiri. Jurnalis dan aktivis masih senang mengumbar data-data pribadinya ke media sosial, seperti lokasi, keluarga, dan hal-hal personal lain yang membuat posisi mereka lebih rentan terhadap serangan digital seperti doxing.
Inilah salah satu tantangan dalam keamanan digital; kebutuhan pencitraan pada sebagian orang, sadar atau tidak, justru membuat posisinya lebih rentan.
Strategi dan Aksi
Pertanyaannya kemudian apa yang bisa dilakukan pegiat media warga untuk mengurangi risiko menjadi korban serangan digital? Menurut saya, ada dua bentuk mitigasi yang bisa dilakukan, yaitu di tingkat strategi dan aksi.
Hal-hal strategis ini, misalnya, berupa penilaian risiko dan pembuatan kebijakan keamanan digital. Penilaian risiko merupakan bagian penting untuk menumbuhkan kesadaran kita terhadap pentingnya keamanan digital, termasuk risiko dan potensi serangan terhadap aset-aset digital. Penilaian risiko, antara lain, dengan mengidentifikasi apa saja aset-aset digital yang dimiliki, seperti akun surel (e-mail), akun media sosial atau data-data sensitif lain. Mulailah membuat apa saja bentuk risiko keamanan digital yang mungkin terjadi pada aset-aset digital dan sejauh mana risiko serangan itu akan terjadi.
Tiap aset digital akan memerlukan penanganan berbeda; surel sebagai kunci utama tentu memiliki tingkat risiko lebih tinggi dibandingkan dengan, katakanlah, foto kegiatan; daftar hadir sebuah pelatihan tentu berbeda dengan akun admin situsweb sebagai muara utama dan representasi media warga.
Identifikasi aset digital dan risiko keamanan digital juga perlu diikuti dengan peningkatan kapasitas kita dalam hal mitigasi. Pegiat media warga juga perlu memiliki kemampuan teknis setidaknya yang bersifat mendasar (basic skill) dalam keamanan digital. Misalnya, memisahkan identitas pribadi ketika beraktivitas untuk hal-hal personal dengan pekerjaan sensitif.
Bagi sebagian besar orang, kapasitas ini seolah-olah sesuatu yang bersifat teknis dan rumit, tetapi anggapan ini tidak sepenuhnya benar. Dalam kasus tertentu, katakanlah pengamanan situsweb agar tidak diretas, kita memang memerlukan kemampuan lebih teknis, seperti pengubahan alamat pintu masuk situsweb (login) hingga penambahan plugin atau bahkan penggantian sistem pengelolaan konten (content management system/CMS). Namun, dalam hal lain, kemampuan teknis itu relatif mudah, termasuk bagi mereka yang tidak memiliki kemampuan khusus di bidang keamanan digital.
Secara umum, kemampuan dasar mitigasi serangan digital meliputi empat hal. Pertama, mengurangi pengungkapan data-data pribadi di media digital. Data-data pribadi ini contohnya nama ibu, anak, atau pasangan. Juga termasuk kegiatan-kegiatan privat lain, katakanlah ulang tahun, liburan, dan semacamnya, terutama jika itu dilakukan secara real time. Semakin banyak jejak digital tertinggal, semakin rentan posisi kita.
Kedua, mengendalikan sejauh mana data kita akan tersebar di media digital. Ini memang tak sepenuhnya menjadi jaminan, karena Internet bagaimanapun adalah dunia tanpa batas dan kita tidak bisa sepenuhnya mengendalikan data-data pribadi kita. Namun, pengaturan secara spesifik—siapa yang bisa mengakses atau menyimak apa yang kita sebar di Internet—akan mengurangi potensi penyebaran data-data kita secara lebih luas. Kecuali jika tujuan kita memang untuk menyebarluaskan data tersebut.
Ketiga, melindungi data kita, baik identitas maupun aset-aset digital. Saat ini sebagian besar platform digital sudah memiliki fasilitas tersebut, sehingga kita lebih mudah untuk memberikan perlindungan terhadap data-data tersebut. Misalnya dengan kata sandi lebih rumit dibandingkan sekadar kata sandi dengan struktur “nama-akun-tanggal-lahir” atau “nama-akun-tahun-pembuatan”. Tak cukup dengan kata sandi lebih rumit, perlindungan ini juga bisa dilakukan melalui pengamanan lapis kedua (2-factor authentication/2FA) atau penyembunyian alamat IP (IP address) kita dengan menggunakan VPN.
Keempat, memilih layanan alternatif yang lebih menjamin keamanan dan privasi kita sebagai pengguna. Misalnya, dibandingkan menggunakan sistem operasi bajakan karena kita tidak mampu atau tidak mau membeli, cobalah beralih ke sistem operasi terbuka dan gratis (free and open-source software/FOSS) seperti Linux. Jika toh tetap memakai sistem operasi tertutup, cobalah gunakan program lain seperti LibreOffice sebagai pengganti perangkat lunak untuk bekerja yang berbayar. Begitu pula dengan layanan surel, aplikasi pesan ringkas, dan beragam platform lain untuk pekerjaan sehari-hari.
Hal penting lainnya kemampuan dasar di atas pada akhirnya memerlukan keseriusan kita untuk menerapkannya dalam kegiatan sehari-hari. Dan, inilah salah satu tantangan besar saat ini: banyak pegiat media warga dan kelompok berisiko tinggi lainnya terlalu nyaman menggunakan apa yang selama ini sudah mereka gunakan. Hingga ketika mengalami serangan digital sendiri, barulah kemudian mereka berpikir pentingnya keamanan digital. Kesadaran yang biasanya sudah terlambat.[]
Ilustrasi oleh Aliem Bakhtiar
