Pergeseran paradigma dalam arsitektur keamanan global pada dekade kedua abad ke-21 ditandai dengan munculnya industri tentara bayaran siber (cyber mercenary) yang menyediakan teknologi pengawasan tingkat militer kepada aktor-aktor negara. Di pusat fenomena ini terdapat Pegasus, sebuah perangkat lunak mata-matai (spyware) canggih yang dikembangkan oleh NSO Group, sebuah perusahaan cyber-arms asal Israel. Skandal yang menyelimuti penggunaan teknologi ini bukan sekadar insiden keamanan siber biasa, melainkan representasi dari krisis sistemik dalam tata kelola demokrasi global. Perdagangan perangkat lunak mata-matai yang tidak terkendali telah memungkinkan pemerintah di berbagai belahan dunia untuk menembus batas-batas privasi individu yang paling intim, menargetkan jurnalis, aktivis hak asasi manusia, dan lawan politik dengan tingkat presisi dan kerahasiaan yang belum pernah terjadi sebelumnya.
Arsitektur Teknis dan Evolusi Mekanisme Eksploitasi
Kemampuan Pegasus untuk menyusup ke dalam perangkat target telah berevolusi dari metode yang memerlukan interaksi pengguna (one-click) menjadi serangan yang sepenuhnya otonom atau “zero-click”. Transformasi teknis ini sangat signifikan karena menghilangkan kemampuan pertahanan diri dari pihak target. Dalam serangan tradisional, pengguna mungkin dapat menghindari infeksi dengan tidak mengeklik tautan mencurigakan, namun dalam rezim zero-click, sekadar menerima pesan atau panggilan telepon yang dirancang khusus sudah cukup untuk mengompromikan seluruh perangkat.
Analisis terhadap eksploitasi “FORCEDENTRY” yang ditemukan oleh Citizen Lab memberikan gambaran mendalam tentang kecanggihan teknologi ini. Eksploitasi tersebut memanfaatkan kerentanan integer overflow dalam perpustakaan CoreGraphics Apple saat memproses aliran data JBIG2 di dalam file PDF. Melalui manipulasi memori yang sangat rumit, penyerang mampu membangun arsitektur komputer emulasi yang dikenal sebagai “weird machine” di dalam prosesor perangkat target. Arsitektur ini memungkinkan perangkat lunak mata-matai untuk melepaskan diri dari batasan keamanan aplikasi (sandbox) dan mengeksekusi kode perintah dengan hak akses tertinggi pada sistem operasi.
Tabel 1: Kronologi Evolusi Kemampuan Teknis Pegasus
| Periode | Vektor Serangan Utama | Karakteristik Teknis | Status Interaksi Pengguna |
| Pra-2016 | SMS Phishing (One-Click) | Menggunakan pesan teks yang dipersonalisasi dengan tautan berbahaya yang memicu jailbreak/rooting. | Diperlukan klik pada tautan. |
| 2019 | WhatsApp “EDEN” | Memanfaatkan kerentanan buffer overflow (CVE-2019-3568) pada protokol panggilan suara. | Zero-click; telepon tidak perlu diangkat. |
| 2020 | KISMET (iMessage) | Penargetan melalui infrastruktur pesan Apple tanpa jejak yang terlihat pada log pengguna. | Zero-click; tidak ada notifikasi. |
| 2021-2022 | FORCEDENTRY | Eksploitasi JBIG2 melalui file PDF/GIF palsu; memecahkan sandbox CoreGraphics. | Zero-click; proses otomatis di latar belakang. |
| 2023-2024 | Lintas Aplikasi (Photos/Music) | Eksploitasi kerentanan pada pemrosesan data media di berbagai aplikasi sistem iOS. | Zero-click; eksploitasi tingkat sistem. |
Setelah terpasang, Pegasus memberikan akses total kepada operator terhadap sensor dan data perangkat. Ini mencakup pembacaan pesan terenkripsi dari aplikasi seperti WhatsApp dan Signal (karena data diambil langsung dari memori perangkat sebelum atau setelah enkripsi dilakukan), pelacakan lokasi GPS secara real-time, pengaktifan mikrofon dan kamera secara diam-diam, serta pengambilan seluruh basis data foto, kontak, dan sejarah penelusuran web.
Investigasi The Pegasus Project: Skala Penargetan Global
Lanskap pengawasan digital berubah secara drastis pada Juli 2021 ketika konsorsium jurnalis internasional, yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Amnesty International, merilis temuan investigasi “The Pegasus Project”. Investigasi ini didasarkan pada bocoran daftar 50.000 nomor telepon yang diidentifikasi sebagai target potensial oleh klien-klien NSO Group di seluruh dunia.
Data yang terungkap menunjukkan penyimpangan massal dari klaim pemasaran NSO Group yang menyatakan bahwa produk mereka hanya digunakan untuk memerangi terorisme dan kejahatan terorganisir. Sebaliknya, daftar tersebut berisi ribuan individu yang tidak memiliki kaitan dengan aktivitas kriminal, termasuk kepala negara, diplomat, jurnalis, dan aktivis kemanusiaan.
Analisis Klasifikasi Target dalam Skala Internasional
Investigasi tersebut mengidentifikasi pola penargetan yang secara langsung merusak mekanisme checks and balances dalam sistem demokrasi.
- Pejabat Tinggi dan Kepala Negara: Analisis menunjukkan bahwa setidaknya tiga presiden, sepuluh perdana menteri, dan satu raja masuk dalam daftar target potensial. Nama-nama seperti Emmanuel Macron (Prancis) dan Cyril Ramaphosa (Afrika Selatan) memberikan bukti bahwa kedaulatan nasional sekalipun tidak kebal terhadap pengawasan siber komersial.
- Jurnalis dan Kebebasan Pers: Sekitar 200 jurnalis dari 24 negara ditemukan dalam daftar target. Penargetan terhadap jurnalis dari outlet seperti CNN, Reuters, The Associated Press, dan Le Monde menciptakan “efek gentar” yang melumpuhkan kemampuan jurnalis untuk melindungi sumber mereka, yang merupakan fondasi dari jurnalisme investigatif.
- Aktivis Hak Asasi Manusia: Organisasi seperti Human Rights Watch dan Amnesty International melaporkan bahwa staf senior mereka, seperti Lama Fakih (Direktur Krisis dan Konflik HRW), menjadi sasaran infeksi Pegasus berulang kali saat melakukan pekerjaan dokumentasi pelanggaran hak asasi di wilayah konflik.
Penggunaan spyware terhadap aktor-aktor sipil ini seringkali diikuti oleh konsekuensi dunia nyata yang tragis. Investigasi telah mengaitkan teknologi ini dengan tindakan intimidasi, penahanan sewenang-wenang, bahkan pembunuhan, seperti dalam kasus jurnalis Arab Saudi Jamal Khashoggi, di mana lingkaran dekatnya dilaporkan menjadi target pengawasan Pegasus sebelum kematiannya.
Regionalisasi Krisis: Meksiko, India, dan Eropa
Dampak dari skandal ini bervariasi secara geografis, namun secara konsisten menunjukkan pola penyalahgunaan kekuasaan oleh lembaga-lembaga negara yang memiliki akses terhadap teknologi tersebut.
Meksiko: Paradoks Pengawasan Militer
Meksiko merupakan salah satu contoh paling ekstrem dari penyalahgunaan spyware dalam jangka panjang. Investigasi “Gobierno Espía” mengungkapkan bahwa antara tahun 2011 hingga 2017, pemerintah Meksiko menghabiskan lebih dari $80 juta untuk Pegasus. Target di Meksiko mencakup para penyelidik internasional yang memeriksa kasus penghilangan paksa 43 mahasiswa Ayotzinapa, serta jurnalis investigatif yang mengungkap korupsi di tingkat kepresidenan.
Meskipun pemerintahan saat ini di bawah Presiden Andrés Manuel López Obrador berjanji untuk menghentikan praktik tersebut, bukti baru dari investigasi “Ejército Espía” menunjukkan bahwa struktur rahasia di dalam kementerian pertahanan Meksiko terus menggunakan Pegasus terhadap pembela hak asasi manusia seperti Raymundo Ramos. Infeksi terhadap Ramos terjadi tepat setelah ia mempublikasikan laporan mengenai eksekusi ekstra-yudisial yang dilakukan oleh tentara. Hal ini menunjukkan bahwa teknologi pengawasan siber telah menjadi instrumen permanen di dalam militer yang beroperasi di luar kendali otoritas sipil.
India: Pertarungan Konstitusional atas Privasi
Di India, skandal Pegasus memicu krisis legitimasi yang memaksa keterlibatan Mahkamah Agung India. Laporan menunjukkan bahwa sekitar 300 nomor telepon di India, termasuk milik politisi oposisi, jurnalis, dan anggota peradilan, menjadi target pengawasan. Pemerintah India menolak untuk memberikan jawaban yang jelas mengenai kepemilikan spyware tersebut, dengan menggunakan argumen “keamanan nasional” sebagai perisai terhadap transparansi.
Komite Teknis bentukan Mahkamah Agung menemukan adanya malware pada lima dari 29 perangkat yang diperiksa, namun tidak dapat mengonfirmasi secara definitif bahwa itu adalah Pegasus, sebagian besar karena kurangnya kerja sama dari pemerintah pusat dalam memberikan informasi mengenai perangkat lunak yang mereka gunakan. Hakim Mahkamah Agung menyatakan bahwa hak atas privasi warga negara tidak boleh dikorbankan secara sembarangan atas nama keamanan nasional, dan merekomendasikan pembentukan badan investigasi khusus untuk menangani serangan siber dan memperkuat jaringan keamanan siber nasional.
Uni Eropa: Krisis Rule of Law di Hungaria dan Polandia
Uni Eropa menghadapi tantangan internal yang serius ketika terungkap bahwa pemerintah Hungaria dan Polandia menggunakan Pegasus terhadap lawan politik dan jurnalis kritikus. Di Polandia, pengawasan terhadap figur oposisi seperti Senator Krzysztof Brejza terjadi di tengah krisis supremasi hukum yang lebih luas, di mana independensi yudisial telah dilemahkan.
Komite PEGA Parlemen Eropa menemukan bahwa di Polandia, sistem pengawasan telah dirancang sedemikian rupa sehingga kontrol yudisial atas penyadapan hanyalah formalitas belaka. Keputusan Mahkamah Konstitusi Polandia baru-baru ini yang menyatakan komisi investigasi parlemen terhadap Pegasus sebagai inkonstitusional semakin memperkeruh situasi, menunjukkan adanya konflik antara lembaga-lembaga negara yang menghambat akuntabilitas.
Tabel 2: Dampak Regional dan Respon Institusional terhadap Skandal Pegasus
| Negara / Wilayah | Target Utama yang Teridentifikasi | Mekanisme Respon / Investigasi | Temuan Utama |
| Meksiko | Jurnalis, penyelidik hak asasi manusia, keluarga korban kartel. | Investigasi “Gobierno Espía” & “Ejército Espía”. | Kontrak militer rahasia terus berlanjut meskipun ada larangan presiden. |
| India | Pemimpin oposisi, jurnalis, aktivis, pejabat peradilan. | Komite Teknis bentukan Mahkamah Agung India. | Pemerintah menolak bekerja sama; malware ditemukan di perangkat target. |
| Polandia | Politisi oposisi, jaksa, jurnalis. | Komite PEGA Uni Eropa & Komisi Penyelidik Parlemen Polandia. | Penggunaan spyware untuk memanipulasi pemilu; krisis supremasi hukum sistemik. |
| Jordan | Aktivis, pengacara, pekerja media. | Investigasi Access Now & Citizen Lab. | Lebih dari 30 target ditemukan; penggunaan meningkat seiring represi politik. |
| Spanyol | Aktivis kemerdekaan Catalan (“CatalanGate”). | Investigasi yudisial & Komite PEGA. | Operasi pengawasan luas terhadap aktor politik regional. |
Perdagangan Senjata Siber dan Kegagalan Rezim Ekspor
Pasar untuk perangkat lunak mata-matai komersial beroperasi dalam zona abu-abu regulasi internasional. NSO Group dan kompetitornya seperti Intellexa (pembuat Predator) memasarkan produk mereka sebagai alat penegakan hukum yang sah, namun mekanisme kontrol ekspor saat ini terbukti tidak memadai untuk mencegah penyalahgunaan.
Peran Pemerintah Israel dan Diplomasi Pegasus
Sebagai perusahaan yang berbasis di Israel, ekspor Pegasus harus mendapatkan persetujuan dari Defense Export Controls Agency (DECA) di bawah Kementerian Pertahanan Israel. Namun, terdapat bukti kuat bahwa lisensi ekspor seringkali digunakan sebagai instrumen diplomasi luar negeri. Misalnya, lisensi Pegasus diberikan kepada negara-negara yang baru saja menormalisasi hubungan dengan Israel melalui Abraham Accords, seperti Uni Emirat Arab dan Bahrain.
Dalam kasus hukum yang diajukan oleh Amnesty International di Israel untuk mencabut lisensi ekspor NSO, pengadilan Israel menolak gugatan tersebut dengan alasan bahwa proses lisensi DECA sudah “teliti dan cermat”. Namun, kenyataannya menunjukkan bahwa pertimbangan hak asasi manusia seringkali dikesampingkan demi kepentingan strategis nasional atau aliansi geopolitik.
Kerangka Kerja Internasional: Wassenaar dan Uni Eropa
Regulasi ekspor global utama, seperti Wassenaar Arrangement, telah memasukkan teknologi pengawasan siber ke dalam daftar kontrol barang ganda (dual-use) sejak 2013. Namun, Wassenaar adalah perjanjian sukarela yang tidak mengikat secara hukum, dan implementasinya diserahkan kepada masing-masing negara anggota.
Uni Eropa memperkenalkan regulasi barang ganda yang diperbarui (2021/821) yang mencakup kriteria hak asasi manusia dalam proses perizinan. Meskipun ini merupakan kemajuan, penegakannya di antara negara anggota Uni Eropa masih dianggap lemah dan tidak konsisten, dengan beberapa negara seperti Siprus dan Bulgaria diduga menjadi pusat ekspor bagi perusahaan spyware untuk menghindari pengawasan yang lebih ketat di negara lain.
Perlawanan Korporasi: Meta dan Apple Melawan NSO Group
Meningkatnya ancaman terhadap pengguna telah memaksa raksasa teknologi untuk mengambil tindakan hukum dan teknis yang belum pernah terjadi sebelumnya terhadap perusahaan spyware.
Gugatan WhatsApp: Kemenangan Hukum Signifikan
Pada Oktober 2019, WhatsApp mengajukan gugatan terhadap NSO Group di pengadilan AS setelah mendeteksi serangan terhadap 1.400 penggunanya. Setelah perjuangan hukum selama enam tahun, pengadilan pada tahun 2024 dan 2025 menetapkan bahwa NSO Group bertanggung jawab secara hukum atas peretasan tersebut.
Putusan hakim memberikan kemenangan besar bagi privasi data dengan mengeluarkan perintah permanen yang melarang NSO Group untuk:
- Menggunakan atau mengakses layanan WhatsApp dan infrastruktur Meta lainnya.
- Melakukan rekayasa balik (reverse engineering) terhadap perangkat lunak WhatsApp.
- Membuat akun baru pada platform Meta untuk tujuan operasional.
Meskipun NSO Group berargumen bahwa perintah tersebut akan menyebabkan kerusakan “eksistensial” bagi bisnis mereka, pengadilan menegaskan bahwa hak privasi pengguna dan integritas platform komunikasi jauh lebih berharga daripada model bisnis perusahaan spyware.
Inovasi Keamanan Apple: Lockdown Mode
Apple merespons skandal Pegasus dengan meluncurkan “Lockdown Mode” pada tahun 2022, sebuah fitur keamanan ekstrem untuk individu yang berisiko tinggi menjadi target serangan negara. Fitur ini secara radikal mengubah cara kerja sistem operasi untuk menutup sebanyak mungkin pintu masuk bagi spyware.
Pengerasan sistem dalam Lockdown Mode mencakup pembatasan pada:
- Pesan: Memblokir sebagian besar lampiran selain gambar dan menonaktifkan fitur seperti pratinjau tautan.
- Penjelajahan Web: Menonaktifkan teknologi web kompleks seperti kompilasi JIT JavaScript yang sering dieksploitasi oleh zero-click.
- Layanan Apple: Memblokir panggilan FaceTime masuk dari orang yang belum pernah dihubungi sebelumnya.
- Koneksi Fisik: Memblokir koneksi dengan komputer atau aksesori lain saat perangkat terkunci.
Langkah Apple ini merupakan pengakuan industri bahwa kerentanan perangkat lunak pada tingkat sistem begitu mendalam sehingga hanya dengan menonaktifkan fitur-fitur modern tertentu keamanan dapat dijamin terhadap serangan sekelas Pegasus.
Sanksi Amerika Serikat dan Inisiatif Pall Mall Process
Respon diplomatik dan ekonomi terhadap skandal ini juga mulai mengkristal melalui tindakan sepihak dan multilateral.
Daftar Hitam Departemen Perdagangan AS (Entity List)
Pada November 2021, Departemen Perdagangan Amerika Serikat memasukkan NSO Group dan Candiru ke dalam “Entity List”. Keputusan ini didasarkan pada bukti bahwa kedua perusahaan tersebut memasok spyware kepada pemerintah asing yang menggunakannya untuk melakukan “represi transnasional” dan menargetkan jurnalis serta aktivis secara jahat.
Dampak dari sanksi ini sangat signifikan:
- Perusahaan AS dilarang menjual perangkat keras atau perangkat lunak kepada NSO Group tanpa lisensi khusus.
- Akses NSO Group ke teknologi kunci dari perusahaan seperti Amazon (AWS), Microsoft, dan Dell menjadi sangat terbatas.
- Valuasi perusahaan anjlok, menyebabkan kerugian operasional jutaan dolar dan menghambat kemampuan penelitian dan pengembangan mereka.
Pall Mall Process: Standar Baru Perilaku Bertanggung Jawab
Diluncurkan pada tahun 2024 oleh Inggris dan Prancis, Pall Mall Process merupakan inisiatif multilateral yang melibatkan 27 pemerintah serta raksasa teknologi seperti Google, Microsoft, dan Apple. Tujuan utamanya adalah untuk menetapkan prinsip-prinsip panduan dalam pengembangan, penjualan, dan penggunaan kemampuan intrusi siber komersial (CCICs).
Fase kedua dari proses ini, yang berlangsung pada akhir 2025, berfokus pada konsultasi dengan industri “offensive cyber” untuk mendefinisikan apa yang merupakan perilaku bertanggung jawab bagi penyedia spyware. Inisiatif ini menekankan empat pilar utama: akuntabilitas, presisi dalam penargetan, transparansi kebijakan, dan pengawasan yang efektif. Meskipun bersifat sukarela, Pall Mall Process merupakan upaya paling ambisius saat ini untuk membawa industri bayangan ini ke dalam kerangka norma internasional yang jelas.
Ancaman Terhadap Demokrasi Global: Analisis Mendalam
Perdagangan teknologi spyware tidak hanya melanggar privasi individu, tetapi juga secara aktif merusak fondasi demokrasi di tingkat global melalui beberapa mekanisme destruktif.
Erosi Jurnalisme Investigatif dan Kebebasan Berpendapat
Ketika seorang jurnalis disusupi oleh Pegasus, seluruh jaringan komunikasi mereka terpapar. Ini bukan hanya tentang isi pesan, tetapi tentang identitas sumber rahasia dan strategi liputan. Ketakutan akan pengawasan yang mahatahu menciptakan “chilling effect” yang luas, di mana individu lebih memilih untuk diam daripada mengambil risiko terpantau. Dalam jangka panjang, ini menghancurkan fungsi jurnalisme sebagai pengawas kekuasaan (watchdog), memungkinkan korupsi dan pelanggaran hak asasi manusia berlangsung tanpa pengawasan.
Represi Transnasional dan Keamanan Pembangkang di Pengasingan
Kemampuan spyware untuk melintasi batas geografis memungkinkan pemerintah otoriter untuk terus menekan lawan politik yang telah melarikan diri ke luar negeri. Kasus penargetan terhadap pembangkang Bahrain di Inggris atau aktivis Saudi di Lebanon menunjukkan bahwa suaka politik tidak lagi memberikan perlindungan dari jangkauan intelijen digital negara asal. Fenomena ini merusak stabilitas internasional dan menantang kedaulatan negara-negara tempat para pembangkang tersebut menetap.
Komodifikasi Kerentanan dan Penurunan Keamanan Internet Global
Industri spyware menciptakan pasar yang sangat menguntungkan untuk kerentanan zero-day. Ketika eksploitasi ini disimpan sebagai rahasia dagang daripada dilaporkan kepada vendor untuk diperbaiki, seluruh ekosistem digital dunia tetap rentan. Jika aktor lain (seperti kelompok kriminal atau negara musuh) menemukan kerentanan yang sama, mereka dapat menggunakannya untuk menyerang infrastruktur kritis atau mencuri data warga sipil dalam skala besar. Dengan demikian, keberadaan industri spyware komersial secara langsung bertentangan dengan tujuan keamanan siber global.
Rekomendasi Kebijakan dan Langkah Masa Depan
Mengatasi ancaman dari perangkat lunak mata-matai memerlukan respons yang terintegrasi antara hukum nasional, regulasi internasional, dan inovasi teknologi.
- Moratorium Penjualan dan Penggunaan: Pemerintah di seluruh dunia harus mempertimbangkan moratorium segera terhadap perdagangan teknologi spyware hingga kerangka kerja hak asasi manusia yang mengikat secara hukum dapat diterapkan.
- Transparansi dan Pengawasan Yudisial: Penggunaan alat pengawasan oleh negara harus dibatasi pada situasi luar biasa yang melibatkan ancaman serius terhadap keamanan nasional, dan harus selalu melalui persetujuan pengadilan yang independen dan kompeten.
- Tanggung Jawab Perusahaan: Penyedia teknologi harus diwajibkan untuk melakukan uji tuntas hak asasi manusia secara berkala dan memutus kontrak dengan klien yang terbukti menyalahgunakan produk mereka.
- Hak atas Upaya Hukum (Redress): Korban pengawasan ilegal harus diberikan akses mudah ke pengadilan untuk mencari keadilan dan kompensasi, baik terhadap pemerintah yang melakukan pengawasan maupun perusahaan yang memfasilitasinya.
Kesimpulan
Skandal Pegasus dan industri spyware komersial mewakili ancaman eksistensial bagi demokrasi di era digital. Kemampuan teknis untuk mengubah telepon seluler menjadi perangkat mata-matai yang selalu aktif telah memberikan kekuatan yang tidak proporsional kepada negara dibandingkan warga sipil. Kegagalan rezim ekspor saat ini, ditambah dengan penggunaan spyware sebagai alat diplomasi siber, telah menciptakan ekosistem pengawasan global yang merusak kedaulatan individu dan integritas institusi demokrasi. Meskipun langkah-langkah seperti sanksi AS, gugatan hukum Meta dan Apple, serta inisiatif Pall Mall Process memberikan harapan, tantangan utama tetap pada kemauan politik negara-negara untuk membatasi kekuatan intelijen mereka sendiri demi melindungi hak asasi manusia yang universal. Tanpa regulasi yang ketat dan transparan, teknologi pengawasan akan terus menjadi senjata utama dalam gudang senjata otoritarianisme modern, mengancam untuk memadamkan cahaya demokrasi di mana pun ia berada.