Masih ingat kisah wartawan Detik, Isal Mawardi, yang menjadi sasaran kemarahan pendukung pemerintah karena berita yang ditulisnya? Data pribadi Isal disebar luas di media sosial dengan tujuan menjatuhkan reputasi (doxing). Kasus Isal adalah satu dari banyak serangan digital1 yang belakangan menarget wartawan. Dalam tiga tahun terakhir, ada tujuh wartawan yang mengalami doxing (Laporan Tahunan SAFEnet, 2019). 

Serangan digital menjadi ancaman baru terhadap independensi pers dan keselamatan diri wartawan. Tentu kita menyadari bahwa tidak semua wartawan bekerja dengan data sensitif. Wartawan investigasi memiliki kebutuhan yang lebih tinggi terkait keamanan digital dibanding wartawan hiburan. Terlepas dari perbedaan tersebut, seiring aktivitas daring kian tak terpisahkan dari kerja wartawan, keamanan digital, setidaknya yang paling dasar, menjadi kebutuhan.

Untuk mengetahui keterampilan dan pengetahuan dasar wartawan menghadapi serangan digital, kami melakukan survei yang laporannya sedang Anda baca. Persisnya, ada tiga hal yang kami gali dalam survei ini. Pertama, teknologi komunikasi digital yang digunakan oleh wartawan. Kedua, bagaimana wartawan menerapkan protokol keamanan digital. Terakhir, sejauh apa wartawan memiliki dukungan untuk menghadapi serangan digital. Dukungan dalam survei ini kami definisikan sebagai pengalaman mengikuti pelatihan keamanan digital serta ketersediaan protokol dan infrastruktur keamanan digital dari media tempat wartawan bekerja.

Penting dicatat, survei ini tidak bermaksud membuat gambaran yang representatif mengenai literasi keamanan digital wartawan di Indonesia. Secara metodologis, survei ini tidak memenuhi syarat untuk melakukan generalisasi. Karena itu, survei ini sebaiknya dianggap sebagai studi awal atau potret atas realitas literasi digital di kalangan wartawan. 

Survei kami lakukan secara daring dari tanggal 7 hingga 28 Juli 2020. Untuk memastikan hanya wartawan yang mengisinya,2 kami membagikan survei ini secara terbatas dengan metode snowball. Kami mendapatkan 110 responden yang bersedia mengisi survei. Demografi mereka bisa dilihat pada diagram di bawah.

Banyak Selancar, Sedikit Pengaman

Seorang wartawan yang kami wawancarai mengatakan, “internet bagi wartawan seperti masker di masa pandemi Covid-19. Tanpa internet, wartawan lama-kelamaan akan mati.”3 Data kami mengonfirmasi pernyataan di atas. Lebih dari 80% responden menggunakan internet lebih dari enam jam sehari. Internet digunakan untuk tujuan riset, menghubungi narasumber, hingga mengunggah berita. Internet berperan dalam siklus kerja wartawan mulai dari pra, liputan, hingga pasca liputan.

Sayangnya, praktik ini tidak dibarengi dengan kebiasaan yang aman dalam menggunakan internet. Hal ini bisa diidentifikasi dari tiga aspek. Pertama, lebih dari 50% responden mengatakan mereka biasa menggunakan wifi di ruang publik seperti cafe ataupun press room. 

Setidaknya ada dua ancaman keamanan kala kita menggunakan wifi di tempat publik. Pertama, orang yang berniat memata-matai komunikasi kita bisa membuat hotspot dengan nama yang sama dengan hotspot legal di tempat tersebut. Kala kita terkoneksi dengan hotspot buatan pelaku, ia bisa menyimpan data dan mengawasi perilaku daring kita. Kedua, tanpa harus mengelabui dengan membuat jaringan wifi palsu (wifi-spoofing), penyedia wifi yang memiliki niat memonitor perilaku daring bisa memasang spyware di wifi yang kita gunakan (keylogger). Dengan cara ini, ia dapat merekam apa yang kita tulis dengan keyboard. 

Kedua, kebanyakan wartawan juga tidak menempatkan isu keamanan sebagai prioritas kala memilih media sosial, email, ataupun aplikasi berkirim pesan. Data menunjukkan tiga aplikasi paling banyak digunakan untuk bersosial media, berkirim pesan, dan surat elektronik adalah Instagram (85,5%), Whatsapp (99,1%), dan Gmail (96,4%). Ketika ditanya mengapa memilih aplikasi tersebut, mayoritas responden menjadikan “kemudahan dalam menggunakan” sebagai prioritas pertama. Aspek keamanan umumnya menjadi prioritas ketiga atau kedua setelah “banyaknya pengguna”. 

Umum diketahui bahwa setiap aplikasi email, media sosial, maupun berkirim pesan memiliki kekuatan dan kelemahan dalam hal keamanan. Studi yang dilakukan oleh New York Journalism Project, misalnya, menemukan Telegram sebagai aplikasi berkirim pesan paling aman karena menggunakan enkripsi dua lapis, yakni pada sisi server dan client. Hal ini berarti bahwa sebuah pesan dienkripsi pada gawai yang dipakai sebelum dikirim (client side) dan pada server sebelum dikirim ke penerima (server side). Namun, Edward Snowden menunjukkan bahwa seluruh percakapan yang dikirim melalui Telegram, pada mode “default” bisa diakses melalui server dan penyedia layanan internet, sehingga menjadi celah keamanan. Telegram memang menggunakan fitur end-to-end encryption untuk mode “secret chat”-nya. Fitur ini mengenkripsi pesan pada gawai pengirim, dan hanya gawai penerima yang bisa membuka pesannya--bahkan server Telegram pun tidak bisa membuka enkripsinya. Fitur ini lebih aman ketimbang fitur server-client encryption yang dipakai Telegram sebagai default. Fitur ini juga diterapkan sebagai standar untuk aplikasi pesan lain, seperti WhatsApp dan Signal. 

Namun demikian, seluruh aplikasi pengirim pesan hanya bisa menyediakan keamanan dalam transmisi pesan sehingga tidak bisa “dibajak” pihak ketiga dalam pengiriman. Metode enkripsi yang paling sempurna pun tak akan bisa membendung peretas jika gawai-nya memiliki malware atau jika kita password kita lemah. 

Terakhir, kurangnya kesadaran akan sensitivitas sebuah informasi. Contoh kesadaran tersebut antara lain tidak mempublikasikan informasi  personal di media sosial. Prinsip sederhana ini belum diterapkan oleh kebanyakan wartawan. Data menunjukkan bahwa 60,9% responden memberikan informasi personal seperti alamat, email, nomor telepon rumah, informasi soal keluarga dan rekan kerja di media sosialnya.

Situasi ini patut membuat kita khawatir pasalnya lebih dari 80% responden mengaku menggunakan media sosial dan aplikasi berkirim pesan untuk komunikasi pekerjaan dan menyebarkan berita. Sementara itu, 78% responden menggunakan email untuk tujuan tersebut. Perilaku semacam ini membuat wartawan rentan pada serangan siber seperti doxing.

 

Pengetahuan Protokol Keamanan Digital Masih Kurang

Ada banyak protokol keamanan digital di luar sana, namun untuk keperluan studi ini kami mengacu pada Digital Safety Kit dari Committee to Protect Journalists (CPJ). Dari lima langkah yang dimuat CPJ, kami menanyakan sejauh apa para responden taat dengan empat langkah: 1) pengamanan gawai; 2) pengamanan data; 3) pengamanan akun; dan 4) pengamanan koneksi internet.

Metode pertama yang kami tanyakan dalam survei adalah pengamanan gawai. Setidaknya ada dua langkah pengamanan gawai yang bisa dilakukan. Langkah paling sederhana adalah mengunci gawai dengan PIN, kode, atau kata kunci. Mengunci gawai bertujuan agar data penting tidak mudah dilihat atau dicuri orang lain. Langkah berikutnya yang bisa dilakukan adalah pembaharuan sistem operasi rutin dan penggunaan antivirus agar gawai selalu terlindungi dari virus atau malware. Temuan kami, dari 110 responden hanya 34,5% yang memasang kata sandi di gawai. Mereka yang selalu memperbaharui sistem operasi bahkan hanya 12,2% dan mereka yang menggunakan software antivirus hanya 13%.

Kendati demikian, 18,5% responden kami melakukan enkripsi data. Enkripsi data membantu melindungi data-data sensitif agar tidak mudah diduplikasi atau dipindahtangankan. Mengingat kerja wartawan melibatkan banyak data yang bersifat rahasia dan sensitif, enkripsi merupakan langkah awal yang penting dilakukan.

Ketiga, metode pengamanan akun. Untuk aspek ini kami menanyakan metode otentifikasi akun dan pembuatan kata kunci untuk mengakses akun. Pengguna bisa menggunakan 2FA OTP (two-factors authentication one time password) via SMS, Google authenticator, biometric authentication, atau aplikasi otentikasi lain. Otentikasi adalah sebuah metode perlindungan akun dengan menghubungkan akun kita kepada perangkat atau akun lain. Ilustrasi umumnya adalah kala berbelanja di situs toko daring dengan kartu kredit, kita akan diminta memasukkan kode yang dikirim oleh situs tersebut melalui SMS ke gawai kita. Prosedur ini disebut 2FA OTP. Hal serupa bisa kita lakukan untuk aplikasi media sosial, email, dan banyak yang lainnya. Penggunaan metode otentifikasi penting dilakukan untuk mengamankan akun dari aksi pembobolan. 

Kebanyakan responden menggunakan 2FA via SMS. Sementara itu, seperempat responden menggunakan Google Authenticator, diikuti oleh biometric authentication, security token, dan aplikasi authenticator. Sayangnya, 9,1% masih tidak menggunakan metode otentifikasi, membuat mereka rawan terhadap pembobolan akun.

Penggunaan 2FA pun tidak bisa sepenuhnya melindungi wartawan dari serangan phishing, seperti yang dilaporkan oleh CPJ. Phishing adalah metode penipuan yang menggunakan alamat URL, email, atau SMS yang dibuat seasli mungkin untuk mengoleksi informasi pribadi. Dengan demikian, wartawan tetap harus waspada ketika memasukkan kredensial seperti username dan kata kunci ke laman login. Pastikan bahwa laman tersebut memiliki URL yang sesuai dan merupakan alamat aman (ada simbol gembok dan diawali dengan https://).

Selain metode otentifikasi, metode pengamanan dasar krusial adalah metode pembuatan password yang unik dan sulit ditebak. Password aman (terdiri dari setidaknya sepuluh karakter, menggunakan campuran huruf kapital, nomor, dan simbol) dan hanya dipakai untuk satu akun. Prinsipnya, setiap akun harus memiliki password yang berbeda. 

Dari bagan di atas bisa dilihat bahwa sudah banyak dari antara responden yang paham pentingnya kata kunci aman. Sayangnya, kurang dari seperempat yang menyadari pentingnya memakai kata kunci berbeda untuk tiap akun, padahal penggunaan password khusus meminimalisir kemungkinan akun lain dibobol ketika satu akun terkena serangan hacker. 

Sering kali masalah dari membuat password berbeda untuk tiap akun adalah kesulitan untuk mengelolanya. Dalam konteks inilah penggunaan password manager menjadi penting. Ia adalah aplikasi yang sangat berguna. Password manager bisa membuat kata kunci yang kuat dan unik, mengenkripsi dan menyimpan kata kunci yang telah dibuat sehingga kita tidak perlu menghafal kata kunci untuk setiap akun. 

Metode pengamanan ketiga adalah metode perlindungan koneksi. Perlindungan koneksi dasar yang terdiri dari penggunaan VPN, IP blocker, dan firewall masih terhitung rendah. Padahal penggunaan tiga alat ini penting untuk melindungi wartawan dari pengawasan daring, penyadapan, dan pembobolan akun digital.

 

Banyak Serangan, Minim Proteksi

Satu dari empat wartawan yang mengisi survei ini mengaku pernah menjadi korban serangan digital. Angka ini cukup mengejutkan. Data dari temuan ini bahkan lebih tinggi dibanding temuan SAFEnet yang tertera dalam laporan tahun 2019 yang diperbaharui sampai Juni 2020. Laporan tersebut mencatat selama 2019-2020 telah terjadi 23 kali serangan terhadap media dan wartawan.  Dalam laporan yang sama, bentuk-bentuk serangan yang spesifik ditujukan pada wartawan hanya doxing (terjadi 7 kali), sisanya DDos attack4, hacking, maupun “amuk siber”5 umumnya menarget institusi media. Perbedaan data ini bisa dipahami pasalnya tidak semua wartawan yang mengalami serangan digital mengakui secara terbuka atau bahkan aktif mencari bantuan pendampingan.

Bentuk-bentuk serangan digital yang mereka alami antara lain akun dibanjiri komentar negatif dan mengancam, pencurian data/informasi yang disebarkan ke internet, akun media sosial/email diretas dan digunakan oleh orang lain, aplikasi chat/email dimata-matai dan isinya disebarkan ke internet. Terlihat dari bagan di atas, kejahatan yang paling banyak menimpa mereka adalah media sosial/email diretas dan digunakan oleh orang lain, diikuti oleh banjir komentar-komentar negatif dan mengancam di akun media sosial. Metode serangan yang terakhir disebut trolling. Trolling ditujukan untuk membuat seseorang marah dengan mempermalukannya. Trolling tidak hanya dilakukan oleh individu pemilik akun. Dalam banyak kasus, trolling dilakukan secara terorganisasir menggunakan akun bot

Data di atas menunjukkan betapa pentingnya pengetahuan dan keterampilan pengamanan akun bagi wartawan. Jumlah wartawan yang mendapati akunnya diretas (12 orang) berkorespondensi dengan angka wartawan yang tidak menggunakan metode 2FA (17 orang). Minimnya pengetahuan dan keterampilan terkait keamanan digital menjadi masuk akal kala kebanyakan wartawan yang mengisi survei kami mengatakan tidak pernah mendapatkan pelatihan keamanan digital.

Mayoritas wartawan yang mendapatkan pelatihan keamanan digital mendapatkannya dari organisasi wartawan tempat mereka tergabung. Sementara itu, wartawan yang mendapatkan pelatihan dari tempat kerja hanya empat orang (13,7%). Sisanya mendapatkan pelatihan dari serikat buruh, LSM, dan seminar. Ini menunjukkan betapa vitalnya peran organisasi wartawan dalam memberikan pelatihan keamanan digital. Angka wartawan yang mendapatkan pelatihan mungkin akan lebih tinggi apabila lebih banyak wartawan yang tergabung dalam organisasi wartawan (60,9% responden tidak tergabung dalam organisasi wartawan).

Temuan penting di sini adalah minimnya dukungan media tempat wartawan bekerja dalam hal keamanan digital. 

Kantor tak hanya lalai dalam memberikan pelatihan perlindungan digital, tapi juga dalam memberikan bantuan terhadap serangan digital. Angka ini mengkhawatirkan mengingat seperempat wartawan mengakui telah menjadi korban serangan digital. Pun dari mereka yang memiliki bantuan untuk serangan digital, perlindungan yang disediakan masih bersifat sporadis. Hal ini terlihat dari jawaban wartawan mengenai bentuk-bentuk bantuan yang mereka dapatkan:

Dalam jumlah yang kecil ada jawaban-jawaban yang menarik. Misalnya ada kantor media yang menyediakan hotline pengaduan untuk wartawan yang mengalami serangan digital. Sebagian lain menyediakan protokol keamanan menggunakan sosial media dan pelatihan keamanan digital secara reguler. 

Di luar itu, seperlima responden mengatakan media tempatnya bekerja memiliki protokol keamanan digital, tapi ia tidak tahu bentuk perlindungan yang diberikan oleh kantor. Angka ini menunjukkan buruknya sosialisasi yang dilakukan oleh kantor media. 

Pada wartawan yang tempatnya bekerja tidak memiliki skema bantuan bagi wartawan yang mengalami serangan digital, kami bertanya mengenai bantuan apa yang mereka harapkan.

Mayoritas menjawab bantuan teknologi informasi. Dalam konteks ini yang dimaksud adalah bantuan perlindungan digital, pelatihan keamanan digital, dan pemulihan akun. Selain itu, wartawan juga menginginkan pembuatan protokol keamanan. Namun ada pula wartawan yang tidak tahu bantuan apa yang mereka inginkan apabila mereka terkena serangan digital. Ketidaktahuan wartawan terhadap bantuan yang diharapkan juga menunjukkan rendahnya pemahaman akan pentingnya keamanan digital untuk wartawan.
 

Menciptakan Ekosistem Digital yang Aman bagi Wartawan

Studi ini dapat menyimpulkan dua hal. Di satu sisi, serangan digital terhadap wartawan tinggi dan di sisi lain, tingkat literasi keamanan digital di kalangan wartawan rendah. Kombinasi dua hal itu bukan kabar baik. Kemerdekaan pers hanya mungkin dicapai bila wartawan bebas dari ancaman dalam bentuk apa pun. Karenanya, membekali wartawan dengan keterampilan dan pengetahuan keamanan digital juga berarti merawat iklim kebebasan pers.

Membangun ekosistem keamanan digital bagi wartawan adalah tanggung jawab semua pemangku kepentingan media, termasuk perusahaan media, masyarakat sipil, regulator, organisasi wartawan, pemerintah, dan bahkan wartawan itu sendiri. Hanya saja, dalam konteks Indonesia, agaknya sulit mengharapkan peran pemerintah mengingat salah satu tantangan keamanan bagi jurnalis justru datang dari regulasi yang merongrong kebebasan pers seperti UU ITE

Studi ini telah memberikan kita gambaran bagaimana organisasi wartawan, utamanya Aliansi Jurnalis Independen (AJI) secara sporadis telah memberikan pelatihan keamanan digital pada wartawan yang tergabung di dalamnya. Langkah ini perlu dilanjutkan baik oleh AJI maupun oleh organisasi wartawan lain seperti Ikatan Jurnalis Televisi (IJTI) dan juga Persatuan Wartawan Indonesia (PWI) dengan membuat pelatihan yang lebih masif dan sistematis. Di luar itu, kita mesti mendorong perusahaan media untuk berperan lebih besar mengingat keselamatan pekerja adalah bagian dari tanggung jawab mereka. Selain apa yang menjadi aspirasi wartawan sebagaimana terekam dalam studi ini (lihat bagan “Bantuan yang diharapkan oleh Wartawan”), laporan bertajuk Building Digital Safety for Journalism yang dipublikasikan oleh UNESCO memperlihatkan beberapa rekomendasi yang bisa dilakukan oleh perusahan media.

Pertama, melakukan analisis risiko keamanan digital. Hal ini penting guna menyusun protokol bagi tiap jenis serangan digital. Dengan begitu, tiap kantor media siap menghadapi segala skenario ancaman keamanan. Kedua, menyiapkan perangkat lunak keamanan digital agar bisa digunakan oleh wartawan untuk melindungi dirinya. Ketiga, menciptakan prosedur yang menjadikan keamanan digital sebagai bagian dari budaya kerja. Keempat, melakukan pelatihan keamanan digital secara reguler, termasuk mengevaluasi kekuatan dan kelemahan perangkat lunak dan perangkat keras yang digunakan sebagai alat komunikasi wartawan. 

Lantas, salah satu rekomendasi penting UNESCO lainnya adalah memproduksi perangkat lunak keamanan digital yang bersifat open source. Hal ini dilakukan untuk dua tujuan. Pertama, untuk mengantisipasi agar media dan wartawan yang tidak memiliki sumber daya keuangan yang cukup (misalnya media komunitas) juga bisa tetap mengakses perangkat-perangkat keamanan. Kedua, teknologi open source memungkinkan pembaharuan dan kustomisasi perangkat lunak sesuai kebutuhan. 

Untuk hal terakhir di atas, wartawan dan media tidak bisa bekerja sendiri. Perlu pelibatan pemangku kepentingan yang lebih luas, semisal masyarakat sipil yang bergerak di bidang teknologi komunikasi, akademisi yang memiliki keahlian di bidang terkait, bahkan lembaga donor yang mungkin membiayai proyek ini. Dalam konteks ini, Dewan Pers semestinya bisa menjadi jembatan yang mempertemukan para pihak. Bagaimanapun, kemerdekaan pers adalah demi dan mesti diusahakan oleh kita semua.

 

Pengumpulan data untuk studi ini dibantu oleh Purnama Ayu rizky

 

1 Doxing baru satu dari berbagai bentuk serangan digital. Di luar itu, kita juga mengenal hacking, surveillance, dan bentuk-bentuk serangan lainnya. Umumnya serangan digital didefinisikan sebagai kejahatan dengan menggunakan komputer. Namun, dalam konteks studi ini, kami juga memasukkan aspek sosiologis seperti trolling dan ancaman melalui platform digital.

2 Kami mendefinisikan wartawan sebagai mereka yang bekerja sebagai pekerja tetap/lepas untuk memproduksi berita dalam organisasi media yang bersifat privat, publik, atau komunitas.

3 Bayu Wardhana, Pemred Independen.id. Wawancara dilakukan lewat WhatsApp pada 29 Juli 2020

4 Distributed Denial-of-service (DDoS) adalah jenis serangan komputer yang menggunakan sejumlah host untuk membanjiri server target sehingga menyebabkan situs web tersebut mengalami crash/server down.

5 Amuk Siber adalah sebentuk serangan terhadap objek digital, dalam hal ini misalnya situs atau aplikasi dengan membanjirinya dengan memberikan rating atau komentar negatif. Serangan tipe ini umumnya dilakukan oleh sekelompok orang secara terroganisir.