Kejahatan siber adalah setiap aktivitas kriminal yang dilakukan di dunia maya, seringkali dikaitkan dengan dark web. Kita sering menganggap kalau “peretasan” adalah satu-satunya praktik yang masuk dalam kategori ini. Padahal, ada berbagai bentuk kejahatan lain, termasuk yang bersifat fisik, tercakup dalam kejahatan siber. Beberapa contohnya adalah perdagangan pornografi anak, pengubahan kredensial ATM nasabah yang dilakukan “orang dalam” bank, penarikan dana dari rekening secara diam-diam, hingga pencurian nama pengguna dan sandi.
Kejahatan dunia maya, apabila sukses dilakukan, kerap melibatkan eksploitasi data pribadi. Contohnya adalah ketika perusahaan yang memiliki informasi pribadi terenkripsi, secara tidak sah mencuri data tersebut. Hal tersebut merupakan pelanggaran privasi yang tak hanya bisa dilakukan oleh “orang dalam”, tetapi juga oleh pihak luar.
Risiko yang sulit dihitung tersebut sangat kontras dengan jenis kerugian finansial lainnya yang timbul akibat bencana alam atau aktivitas kriminal lainnya. Perkiraan kasar dari berbagai sumber — termasuk McAfee, Cybersecurity Ventures, SANS Institute, dan FBI — menyebut kalau kerugian dari kejahatan dunia siber yang ditanggung perusahaan dan pemerintah bernilai triliunan US$.Kerugian finansial akibat kejahatan siber terus meningkat dan sangat sulit diprediksi atau ditaksir. Warren Buffett pernah berkomentar bahwa dia menghindari pasar asuransi siber lantaran tidak ada cukup data untuk memprediksi berapa banyak uang yang bisa hilang.
Salah satu sumber berharga dalam liputan kejahatan siber adalah basis data hukum AS, PACER.
Tak banyak yang tahu kalau dunia keamanan digital terstruktur layaknya bisnis yang kita hadapi sehari-hari. Kelompok kriminal anyar yang terdiri dari geng-geng kecil secara longgar terhubung karena kesamaan geografis atau minat. Mereka mampu berkembang, mencuri perangkat dari kelompok lain, berkompetisi, dan berkolaborasi. Semuanya bergerak dengan lincah dan ambisius, serupa dengan perusahaan-perusahaan yang bermarkas di Silicon Valley.
Sementara itu, para pemain besar yang telah lama berkecimpung di dunia gelap keamanan digital berusaha untuk menyatukan kepentingan kriminalnya. Mereka menggunakan kepemimpinan terpusar dan tersebar di Asia, Eropa, Afrika, hingga Amerika. Para perekrut yang beroperasi dalam kelompok ini beraktivitas layaknya para eksekutif yang menangani bagian sumber daya manusia dalam sebuah perusahaan.
Sebagian besar aktivitas terlarang yang disebutkan di atas terjadi dalam dark web. Lapisan tersembunyi web ini biasanya hanya dapat diakses melalui peramban Tor. Orang-orang bisa melamar pekerjaan di dark web sebagai operator bot ransomware yang beroperasi di dalam negeri; pengemudi Uber yang melakukan pencucian uang dengan menjalankan pesanan palsu; atau pencuri yang menggunakan kartu debit palsu untuk menguras uang dari mesin ATM.
Sumber Potensial
- Riset akademik. Sejumlah lembaga penelitian di universitas memantau dan melacak serangan daring. Mereka bisa memberikan petunjuk berguna pada kasus-kasus tertentu. Di Amerika Serikat, Carnegie Mellon adalah yang lembaga yang paling terkenal. Mereka menjadi markas Tim Tanggap Darurat Komputer (CERT) AS, yang bertanggung jawab untuk mengeluarkan peringatan apabila ada kerentanan digital. Universitas Cambridge di Inggris juga memiliki lembaga yang fokus pada kejahatan dunia maya.
- Perusahaan keamanan siber. McAfee, Crowdstrike, Carbon Black, FireEye, Amazon, Microsoft, dan Google memiliki banyak tim forensik yang khusus bertugas untuk memantau serangan digital. Kamu bisa berdiskusi dengan salah satu perusahaan tersebut untuk mendiskusikan jenis serangan digital yang mereka temukan. Namun, jangan lupa kalau mereka adalah vendor yang memiliki kepentingan komersial. Konflik kepentingan yang mengganggu objektivitas mereka, sangat mungkin terjadi. Oleh sebab itu, penting untuk menghubungi staf keamanan siber di perusahaan yang menjadi target serangan. Meskipun mereka acapkali hanya memberikan informasi latar belakang yang tak bisa dikutip oleh reporter, tetapi hal itu bisa melengkapi pemahaman mengenai apa yang sedang terjadi. Sumber internal perusahaan mungkin jauh lebih sulit untuk didekati, tetapi mereka bisa memberikan perspektif kritis untuk liputan yang sedang kamu garap.
- Pejabat pemerintah. Setidaknya ada 20 departemen dan lembaga federal yang memiliki staf khusus untuk kejahatan dunia maya di AS. Cybersecurity and Infrastructure Security Agency (CISA) Department of Homeland Security adalah yang paling ramah dengan pers. Ada juga divisi kejahatan dunia maya FBI yang menghasilkan statistik yang dapat membantu reporter untuk melengkapi artikel mereka. US Secret Service and US Department of Treasury adalah sumber lain yang perlu dipertimbangkan. Instansi serupa di berbagai negara mestinya juga dapat membantu. Di Inggris Raya, National Cyber Security Centre memiliki tim pers yang bekerja dengan jurnalis. Europol memiliki European Cybercrime Centre. Pemerintah Jepang belum lama ini mengumumkan pendirian National Center of Incident Readiness and Strategy for Cybersecurity (NISC) untuk menangani kejahatan dunia maya. Di tingkat internasional, PBB memiliki program yang menangani kejahatan dunia maya dan merupakan bagian dari Office on Drugs and Crime.
- Korban. Korban kejahatan siber bukan hanya individu, tetapi bisa juga institusi, pemerintah, platform media sosial, dan sebagainya. Penting untuk terlibat dengan mereka dan mendiskusikan pengalaman mereka mendapatkan serangan siber. Semua liputan terkait serangan siber harus mencakup upaya untuk menghubungi korban dan/atau penjelasan mengapa dia menolak berkomentar. Satu hal yang perlu diingat: kesan pertama tentang skala dan kerusakan dari serangan siber bisa jadi menyesatkan. Dalam pengalaman saya, sering kali sebuah insiden yang awalnya tampak buruk ternyata tidak terlalu berbahaya bagi korporasi. Sebaliknya, insiden lain yang pada awalnya tampak tidak berbahaya, justru bisa sangat merusak.
Tips dan Perangkat
Di AS, banyak serangan siber berakhir di ruang sidang, baik sebagai proses pidana atau perdata. Oleh sebab itu, salah satu sumber berharga adalah basis data hukum AS, PACER (biaya didasarkan pada jumlah penelusuran dan permitaan dokumen yang dilakukan). Membaca tuntutan hukum, khususnya dakwaan terhadap penjahat siber, dapat memberikan pandangan menyeluruh tentang serangan siber dan batasan kerangka hukum yang bisa digunakan dalam penuntutan. Reporter juga harus membiasakan diri menggunakan mesin pencari Shodan.
Instansi pemerintah dan (terutama) perusahaan keamanan siber juga bisa menjadi mitra berharga dalam mengungkap penjahat daring atau memeriksa kejahatan secara forensik. Namun, reporter harus berhati-hati terkait kepentingan bisnis atau konflik kepentingan lainnya yang mungkin terjadi. Perusahaan keamanan siber sering kali bekerja sama dengan jurnalis atau proyek layanan publik lainnya dengan senang hati. Pasalnya, hal tersebut memberikan publisitas yang baik. Oleh sebab itu, berhati-hati lah untuk mengungkapkan peran yang diambil perusahaan dalam liputanmu.
Studi Kasus
Perampokan Bank di Negara Bekas Uni Soviet
Cerita itu tidak diproduksi oleh media, tetapi dirilis oleh perusahaan riset keamanan siber bernama Trustwave. Makalah penelitian yang dipublikasikan pada 2017 ini dengan jelas menunjukkan bagaimana serangan ditujukan pada beberapa bank, terutama yang beroperasi di negara bekas Uni-Soviet. Serangan dilakukan baik secara daring maupun fisik. Plafon penarikan dana yang ada di kartu debit (overdraft limit) dimanipulasi untuk mengeruk uang nasabah. Versi lengkap laporan ini bisa didapat dengan mengajukan permintaan kepada Trustwave.
Pembobolan Data Konsumen Equifax
Liputan tentang pelanggaran data besar-besaran dari salah satu biro kredit konsumen terbesar di AS ini saya garap untuk CNBC. Seorang analis keamanan – yang bekerja di “level rendah” tetapi punya peran aktif dan penting – menceritakan rasa frustasinya ketika mencari sejumlah besar data yang dicuri dari Equifax. China dituding ada di balik serangan ini. Namun, data yang dicuri tidak pernah ditemukan di dark web atau di mana pun. Kondisi tersebut tak lazim lantaran data yang diretas biasanya dijual. Liputan ini dikutip oleh legislator dalam audiensi Kongres AS dalam kasus Equifax dan berbagai pelanggaran siber lainnya.
NIST Password
Kisah klasik garapan Wall Street Journal ini menceritakan penyesalan seorang pegawai pemerintah. Ia membantu menciptakan kata sandi berupa huruf, angka, dan simbol yang saat ini telah menjadi keseharian banyak orang. Kisah ini sangat penting lantaran menghubungkan masalah keamanan siber dari sudut pandang pengguna – bagaimana kita semua benci membuat kombinasi kata sandi tanpa akhir – dengan gambaran yang lebih besar tentang betapa sedikitnya pemahaman kita tentang keamanan siber secara umum.
Pasukan Peretas Korea Utara
Investigasi garapan New Yorker ini mengangkat kisah pasukan peretas yang disponsori oleh negara. Terlepas dari namanya yang menipu, Reconnaissance General Bureau (RGB) melakukan berbagai kejahatan siber. Mulai dari serangan ransomware, perampokan bank, hingga pencurian mata uang kripto. Mereka juga disebut-sebut menjadi dalang dari salah satu peretasan paling berani dalam sejarah yang menarget Sony Pictures pada 2014. Laporan Perserikatan Bangsa-Bangsa tentang menyebut bahwa kegiatan terlarang organisasi ini bisa meraup pendapatan hingga US$ 2 miliar. Sebagian besar dana tersebut disalurkan ke dalam program senjata tentara Korea Utara. New Yorker membongkar bagaimana RBG melakukan perekrutan dan melakukan operasi kejahatan siber di seluruh dunia.
Strategi Investigasi
Mengetahui identitas pelaku segera setelah serangan siber terjadi, sulit dilakukan.
Perbedaan antara kejahatan tradisional dengan kejahatan dunia siber bisa ditilik dari tiga hal: membandingkan pelaku kejahatan siber dengan pelaku kejahatan yang lebih tradisional, mendefinisikan korban, dan mengetahui isu kritikal yang muncul dalam kejahatan siber.
Pelaku
Dalam kejahatan tradisional, entah itu pelanggaran lalu-lintas atau pembunuhan, para pelaku umumnya tinggal dekat dengan lokasi kejadian. Undang-undang yang mengatur akses terhadap terduga pelaku kejahatan, berbeda di setiap negara. Namun, secara etik jurnalis perlu mendapatkan cerita dari sisi pelaku.
DI AS, jurnalis yang tidak melakukan hal ini bisa dianggap telah melakukan malpraktik. Usaha untuk menghubungi terduga/pelaku kejahatan tetap perlu dilakukan meskipun hasilnya kerapkali tak banyak. Penjelasan bahwa narasumber enggan berkomentar, “Mr. Smith tidak dapat dihubungi, setelah kami mencobanya beberapa kali”, atau “pengacara Ms. Miller menolak berkomentar” sudah cukup untuk menjelaskan kepada khalayak bahwa jurnalis mencoba untuk menjangkau narasumber.
Dalam kasus ketika tidak ada nama tersangka, reporter bisa mengumpulkan informasi tentang pelaku dari polisi dan masyarakat di mana kejahatan itu terjadi. Sayangnya, dalam liputan kejahatan siber, peluang menghubungi terduga/pelaku kejahatan jarang didapat.
Pelaku kejahatan siber bisa jadi merupakan individu atau bagian kelompok kejahatan dunia maya yang membual tentang kejahatan secara daring; individu atau kelompok yang bekerja di bawah pemerintah asing; mata-mata yang bekerja untuk organisasi pemerintah; atau bahkan hanya seorang remaja yang beroperasi dari rubanah yang terletak di Helsinki.
Recorded Future baru-baru ini menyoroti penangkapan 106 orang anggota mafia Italia. Mereka ditangkap sehubungan dengan serangkaian kegiatan kejahatan siber, termasuk SIM swap dan skema Business Email Compromise (BEC).
SIM swap adalah praktik penggunaan kartu SIM palsu yang sudah terdaftar atas nama seseorang. Praktik ini banyak dilakukan untuk mengakses akun bank seseorang. Sementara itu, BEC adalah penipuan yang dilakukan agar korban mentransfer sejumlah dana melalui email.
Mengetahui identitas pelaku segera setelah serangan siber terjadi, sulit dilakukan. Dibutuhkan waktu berminggu-minggu, berbulan-bulan, atau kadang bertahun-tahun untuk mengidentifikasi negara asal serangan. Hal tersebut menjadi tantangan bagi jurnalis. Ketika dihadapkan dengan ketidakjelasan identitas pelaku, reporter bisa memperhatikan tips berikut:
- Investigasi dunia maya berbeda jauh dengan ilmu pasti. Klaim penyelidik atau ahli mengenai kemungkinan keterlibatan pemerintah, kelompok peretas, atau individu tertentu sering kali salah. Apalagi jika hal tersebut diungkapkan tak lama setelah kejadian. Oleh sebab itu, penting untuk berhati-hati dengan klaim semacam itu.
- Penjahat dunia maya menggunakan banyak lapisan untuk menutupi identitas mereka. Informasi awal tentang peretas yang dicurigai mesti dianggap sebagai kemungkinan pengalihan. Reporter harus berhati-hati untuk memberi tahu audiens mereka tentang kemungkinan waktu yang dibutuhkan untuk proses penyelidikan.
Berbagai hal tersebut membuat usaha menghubungi penjahat siber sangat sulit dilakukan oleh reporter. Berdasarkan pengalaman saya, jauh lebih mudah meminta seseorang yang pernah melakukan kejahatan siber untuk bicara daripada mencari korban yang mau menyampaikan kisahnya. Hal ini membawa kita ke masalah berikutnya.
Korban
Pada awalnya, identitas pelaku kejahatan siber seringkali tidak jelas. Oleh sebab itu, jurnalis segera mengalihkan fokus mereka kepada korban — seringkali perusahaan yang tidak simpatik atau lembaga pemerintah yang rentan terhadap kemarahan publik karena lemahnya perlindungan mereka atas data pribadi warga negara/konsumen.
Penting bagi reporter untuk mengingat bahwa entitas-entitas tersebut adalah korban. Mereka mempekerjakan orang-orang yang mungkin terimbas oleh kejahatan tersebut. Karyawan bidang teknologi dan keamanan dari perusahaan yang telah diserang bisa menghabiskan waktu berbulan-bulan untuk menghadapi serangan, terutama ketika berhadapan dengan malware atau ransomware. Banyak dari mereka berjuang dengan gangguan stres pasca-trauma (PTSD). Ada juga yang mesti bermalam di kantor selama berhari-hari dan menghadapi pelecehan kejam dari klien atau kolega yang menyalahkan mereka secara pribadi atas serangan itu.
Reporter yang menggarap liputan soal keamanan siber perlu memahami peran para pihak, baik nasional ataupun internasional, yang terlibat dalam cerita.
Pada faktanya, beberapa perusahaan lalai tentang keamanan. Ada juga yang membuat pilihan buruk saat merekrut karyawan yang berperan di bidang keamanan. Beberapa organisasi pemerintah dan organisasi nirlaba juga mengandalkan teknologi yang sudah ketinggalan zaman. Yang lainnya, menggunakan teknologi mutakhir dan mempraktikkan manajemen yang bertanggung jawab, tetapi membuat satu kesalahan yang dieksploitasi oleh penjahat siber.
Namun, jurnalis masih terlalu sering mengaburkan batas antara korban dan pelaku kejahatan siber. Hal tersebut tak bakal bisa mereka terima jika dilakukan dalam liputan kejahatan tradisional. Praktik menyalahkan korban adalah salah satu contohnya. Memahami korban dan alasan mereka menjadi sasaran kejahatan siber dapat membantu kita memahami kejahatan tersebut. Memeriksa kerentanan korban adalah bagian dari proses ini, tetapi tidak boleh mengaburkan fakta bahwa ada entitas lain yang melakukan kejahatan.
Sederhananya, liputan soal kejahatan siber membutuhkan keluasan perspektif. Identitas penjahat mungkin tidak terlihat dengan jelas, tetapi unsur pidananya tetap ada. Memperoleh informasi intelijen tentang orang atau entitas atau negara yang terlibat dalam serangan adalah tanggung jawab reporter, seperti halnya bagi penegak hukum dan penyelidik lainnya.
Dalam konteks tersebut, mendapatkan narasumber yang tepat menjadi hal penting. Untuk memahami bagaimana serangan terjadi, reporter harus berusaha untuk mendapatkan fakta (bahkan yang bersifat informasi latar belakang sekalipun) dari narasumber yang berada paling dekat dengan serangan; narasumber yang dapat paham mengenai serangan; dan narasumber yang bisa menjelaskan mengenai respons terhadap serangan. Sulit untuk membangung hubungan dekat dengan narasumber-narasumber tersebut agar seorang karyawan misalnya, mau melanggar perjanjian kerja untuk memberikan informasi kepada reporter. Namun, membangun hubungan dengan mereka mau tak mau mesti dilakukan.
Apabila reporter memilih untuk meminta komentar dari pakar yang tidak terkait langsung dengan insiden serangan siber, preferensi yang kuat dibutuhkan. Jangan meminta pendapat dari teoretikus atau akademisi yang baru berkecimpung di bidang ini. Untuk parameter pemilihan praktisi, pilih orang yang berperan langsung dalam berbagai proyek keamanan siber selama 12 bulan terakhir.
Dunia Luar
Reporter yang menggarap liputan soal keamanan siber perlu memahami peran para pihak, baik nasional ataupun internasional, yang terlibat dalam cerita. Hanya dengan cara tersebut, liputan yang memberi khalayak pemahaman menyeluruh tentang bisa dihasilkan.
Salah satu contoh bagus terkait pembuatan laporan kejahatan siber yang komprehensif adalah penulisan buku putih mengenai serangan ransomware di Texas, AS. Insiden tersebut menyebabkan kelangkaan bahan bakar dan mengancam pasokan daging.
Kiat terakhir saya: mulailah membangun hubungan dengan para pemangku kepentingan global untuk masalah keamanan siber.
Berbagai pihak dilibatkan untuk menyusun buku putih. Mulai dari Universitas A&M Texas (termasuk sukarelawan), FBI, Secret Service (karena adanya wire fraud dalam insiden ransomware tersebut), Department of Homeland Security, hingga sebuah perusahaan penanganan insiden siber yang berbasis di Washington, DC, dilibatkan. Saudi Arabia juga mengirim penyelidiknya lantaran serangan ransomware menyasar perusahaan yang berbasis di negara tersebut.
Tim dari Saudi menemukan celah dalam pembuatan perangkat lunak yang dilakukan di Prancis. Temuan itu mendorong Uni Eropa, bersama dengan Badan Keamanan Siber Nasional pemerintah Prancis, turut serta dalam investigasi. Pada awalnya, serangan siber tampak sebagai insiden lokal di Barat Daya AS. Namun, pelibatan berbagai pihak dalam investigasi menemukan kalau insiden ini merupakan peringatan bagi AS, Arab Saudi, dan negara atau perusahaan mana pun yang menggunakan perangkat lunak asal Prancis ini.
Kiat terakhir saya: mulailah membangun hubungan dengan para pemangku kepentingan global untuk masalah keamanan siber. Satu liputan yang masih saya sesali karena tidak saya liput dengan lebih baik adalah serangan siber yang menyerang kandidat Presiden AS Hillary Clinton saat pemilihan umum AS 2016 dan serangan terhadap Emmanuel Macron yang maju sebagai kandidat Presiden Prancis setahun kemudian. Liputan saya tak mampu menjawab pertanyaan mengapa Rusia tidak dapat secara efektif membahayakan kampanye Macron, yang memenangkan kursi kepresidenan Prancis.
Faktor utama dari kegagalan tersebut adalah teknik menarik dan inovatif yang digunakan oleh kepala keamanan siber Macron untuk mengantisipasi disinformasi Rusia dan menanggapinya secara proaktif. Tim ini memasukkan informasi palsu dalam surel, segera setelah mereka mengetahui kalau komunikasi tim kampanye Macron telah diretas. Jika saya bisa membangun hubungan baik dengan pemerintah Prancis dan tim kampanye Macron, liputan menyeluruh tentang kesalahan yang dibuat oleh AS dalam keamanan pemilu bisa digarap. Salah satu dari Anda yang membaca tulisan ini, mungkin bakal menggarapnya setelah ini. (Penerjemah: Kholikul Alim)
