Skip to content
k2wzrpq8-oldtree_catharinemacbride_gettyimagejpg-1210-680

Panama Papers: Dilema Buah dari Pohon Beracun

Pada tahun 2015 Süddeutsche Zeitung (SZ), media massa yang berpusat di Jerman, mendapatkan sebuah kontak dari sebuah sumber anonim dengan nama samaran John Doe[1]. John Doe, memberikan kepada SZ dokumen internal yang terenkripsi milik Mossack Fonseca. Mossack Fonseca adalah firma hukum di panama yang menjual perusahaan offshore anonim ke seluruh dunia. Perusahaan offshore ini diistilahkan sebagai perusahaan cangkang (shell companies). Perusahaan cangkang ini memungkinkan pemiliknya untuk menutupi business dealings mereka, seberapapun abu-abunya.

SZ kemudian memutuskan untuk melakukan analisis data tersebut bekerjasama dengan International Consortium of Investigatve Journalist (ICIJ). ICIJ sebelumnya juga terlibat dalam riset atas dokumen-dokumen semisal, seperti Offshore Leaks, Lux Leaks maupun Swiss Leaks.

Beberapa kasus sementara diungkap oleh aliansi awak media. Tidak melulu soal pelarian harta kekayaan untuk meringankan beban pajak, ataupun pencucian uang oleh kartel-kartel narkoba. Kasus yang diungkap melalui dokumen-dokumen panama papers juga merembet ke masalah politik dan kemanusiaan.

Sebutlah Basar Al Assad (Syria), yang masih bisa mendanai perang sipil melawan rakyatnya sendiri, alih-alih mengalami kelumpuhan sumber daya setelah adanya sanksi internasional terhadap perusahaan yang berafiliasi kepada rezim Assad. Namun, melalui perusahaan cangkang yang dibantu oleh Mossack Fonseca, bisnis tetap dapat berjalan sebagaimana biasa, dan rezim Assad dapat memperoleh kucuran dana untuk membiayai perang sipilnya.

Bagaimanapun, sebagian besar dari bocoran panama papers berisi tentang penggelapan pajak. Sebagimana diungkapkan oleh Editor in Chief SZ, Wolfgang Krach, “so far it has commonly been known that rich people and companies use offshore firms to avoid – as they see it – annoying taxation as much as possible.” Lebih lanjut Krach menyebut penggelapan pajak merupakan pelanggaran atas kontrak sosial, sebagaimana pajak sangat diperlukan dalam anggaran negara untuk memenuhi berbagai tujuan publik. Pembangunan sekolah, rel, dan perumahan rakyat, untuk menyebut beberapa contoh klise soal ini.

Dengan 2.6 terrabytes data yang dibocorkan oleh John Doe, menjadikan panama papers sebagai pembocoran informasi terbesar yang pernah ditangani oleh jurnalis. Sumber tidak mengharapkan kompensasi finansial atau apapun sebagai imbalan, selain jaminan keamanan identitasnya. Firma hukum di Panama yang banyak menjalankan bisnis semacam ini, lantas mengumumkan tindakan balasan terhadap publikasi-publikasi yang terus berdatangan. Di antaranya penggunaan ancaman bahwa penggunaan informasi yang “unlawfully obtained” adalah seuah kriminalitas.

Meskipun tidak menihilkan adanya peluang pembocoran data ini dilakukan oleh pihak internal Mossack Fonseca, banyak media di antaranya TechRepublic, Wired dan Forbes menyatakan bahwa tsunami informasi yang diungkapkan kepada publik ini berasal dari peretasan. Pendapat ini mengamini pernyataan co-founder Mossack Fonseca, Ramón Fonseca, kepada media Reuters bahwa telah terjadi peretasan atas firmanya. Pandangan ini diperkuat dengan keberadaan celah keamanan dalam situs Mossack Fonseca, khususnya kelemahan yang cukup fatal pada portal klien firma tersebut.

Untuk memperoleh gambaran mengenai kerentanan dalam infrastruktur sistem informasi Mossack Fonseca, dapat diinformasikan bahwa pada saat peretasan, portal klien yang dioperasikan oleh Mossack Fonseca diketahui menggunakan platform Drupal versi 7.23. Platform ini beroperasi di atas peladen jejaring (web server) Apache versi 2.2.15. Peladen jejaring versi ini, menurut data dari CVE Details, dilaporkan masih memiliki setidaknya 23 kerentanan. Di antaranya berkenaan dengan penyerangan DoS dan XSS. Hingga kini, sekalipun usaha pengamanan instalasi Drupal telah dilakukan Mossack Fonseca sejak insiden Panama Papers, peladen jejaring versi yang sama masih digunakan.

Permasalahan utama peretasan Mossack Fonseca terdapat pada penggunaan Drupal sebagai platform portal klien. Instalasi Drupal mengandung kerentanan (vulnerability) yang memungkinkan pengguna anonim untuk melakukan eskalasi privilege maupun eksekusi kode PHP. Kerentanan inilah yang memberikan kesempatan bagi penyerang untuk memperoleh akses pada data portofolio klien Mossack Fonseca. Dari sinilah diduga John Doe memperoleh data yang diungkapkan kepada publik.

Peretasan dan Persoalan Etika

Apakah peretasan dan intrusi dapat dipandang sebagai sesuatu yang etis? Spafford (1997) menyebut beberapa argumen yang jamak digunakan untuk menjustifikasi kegiatan peretasan. Antara lain, yang pertama adalah argumen mengenai adanya etika dalam aktivitas peretasan, yang memberikan arahan dan justifikasi atas aktivitas peretas. Pandangan ini berprinsip bahwa informasi adalah milik semua orang, dan semestinya tidak perlu ada batasan yang mencegah seseorang memperoleh sebuah informasi. Tentu saja, falsafah ini akan berhadapan dengan kebutuhan publik atas privasi dan pengendalian akurasi informasi yang tidak bisa begitu saja dinihilkan.

Yang kedua adalah argumen tentang keamanan. Bahwa sebuah serangan intrusi akan mengirimkan gelombang kejut yang menyadarkan publik akan sebuah celah keamanan dalam teknologi informasi yang diadopsi, yang barangkali banyak pihak tidak menyadarinya. Pandangan ini, tentu saja abai pada kesediaan publik, terutama yang terlembaga secara institusional seperti pemerintah, perusahaan TI, maupun universitas dalam mendengarkan penjelasan mengenai celah keamanan ini secara lebih bermartabat. Tanpa melalui serangan yang seketika menyibak cela di sebuah sistem. Bahwasannya hasil tidak menjustifikasi tindakan, dan pada akhirnya semata-mata argumen serta penjelasan dari seorang peretas tidak serta merta menebus konsekuensi dari sebuah insiden.

Yang ketiga adalah argumen berkenaan dengan pelindung sosial (social protector). Peretasan dilakukan untuk mengawasi adanya penyalahgunaan data oleh pihak yang memiliki wewenang atas data tersebut. Sehingga, dalam hal ini peretas memiliki konsep diri sebagai seorang pahlawan, alih-alih menjadi seorang kriminal. Tentu saja belumlah terang bagaimana peretasan dapat menjadi upaya perbaikan atas penyalahgunaan data. Namun, sebuah kemungkinan yang tidak daapat diabaikan adalah bahwa hal ini dapt mendorong pihak berwenang untuk bertindak semakin sekretif dan memberlakukan pembatasan informasi yang lebih ketat dari sebelumnya. Dan sekali lagi, hasil tidak menjustifikasi tindakan.

Terlepas dari pembahasannya mengenai argumen-argumen yang menjustifikasi aktivitas peretasan, dalam concluding remarks Spaffod menyatakan bahwa boleh jadi terdapat sebuah keadaan yang menyebabkan sebuah intrusi dan peretasan menjadi hal yang penting untuk mencegah keburukan yang lebih besar. Dalam hal ini Spafford mencontohkan dalam hal penyelamatan jiwa maupun pertahanan keamanan nasional. Bagaimana dengan Panama Papers? John Doe, sang whistleblower anonim sudah pasti bersepakat dengan prinsip-prinsip anti korupsi, dengan mengungkap aktivitas ilegal dan amoral para politisi dan figur publik. Dengan pembenaran subjektif, bisa saja aktivitas peretasan John Doe diberikan justifikasi oleh banyaknya skandal yang terungkap oleh bocoran dokumen Panama Papers.

Meski begitu, betapapun jumlah skandal yang dapat terkuak ke hadapan publik melalui bocoran Panama Papers, kasus ini mengirimkan gelombang kekhawatiran serta peringatan bagi firma hukum dan industri legal. Kekhawatiran ini sebagaimana diungkapkan Mark Sangster, yang dikutip media Legaltech News, bahwa bahkan firma hukum raksasa dengan berlapis-lapis pertahanan keamanan siber (cybersecurity) tetap berada dalam risiko. Bahwa terlepas dari ukurannya, seluruh firma adalah peti harta karun berisi informasi sensitif dan data keuangan klien. Yang mana kala terkompromikan, akan membawa pada dampak yang katastrofik.

Opini Rajiv Gupta dalam Fortune, menyebut insiden Panama Papers sebagai sinyal akan adanya bentuk baru dari serangan siber (cyber attack). Bahwa Mossack Fonseca sebagai firma yang diretas menunjukkan adanya risiko siber yang jarang disadari oleh banyak organisasi. Peretasan menjadi sinyal akan adanya era baru pembocoran daring (online leaks), serta peringatan bahwa informasi sensitif dari organisasi manapun adalah target yang potensial.

Sudut Pandang Norma Hukum

Hukum jamak dipersepsikan sebagai konsensus dari sekelompok warga masyarakat dalam sebuah wilayah yurisdiksi dan bersifat mengikat. Berbeda dengan etika yang berada dalam wilayah subjektif, oleh sifatnya yang mengikat hukum menghadirkan kerangka pandangan yang pasti atas legalitas. Setidaknya, untuk tidak menyebutnya sebagai wilayah bebas bias kepentingan. Berikut akan diuraikan beberapa pandangan legal terkait aktivitas peretasan. Tidak hanya berkaitan dengan aktivitas peretasan, namun pembahasan juga akan diperluas pada perihal penggunaan data hasil peretasan sebagai bukti di hadapan persidangan, terutama bila posisi hukum yang diambil oleh sebuah negara mempersepsikan peretasan sebagai suatu tindakan ilegal.

Di Indonesia, UU ITE (UU 11/2008) Pasal 5 ayat (1) mengatur bahwa Informasi Eletkronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah. Yang dimaksud dengan Informasi Elektronik menurut Pasal 1 butir 1 UU ITE adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.

Namun di sisi lain, UU ITE dengan tegas pula menyatakan bahwa peretasan adalah suatu pelanggaran hukum. Peretasan dalam pasal 30 Undang-Undang ini meliputi:

  • setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik orang lain dengan cara apa pun;
  • setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik; dan,
  • setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Meski begitu, peraturan perundang-undangan di Indonesia tidak secara spesifik memberikan judgement atas penggunaan berkas hasil retasan sebagai bukti dalam persidangan.

Poin selanjutnya, agar Informasi dan Dokumen Elektronik dapat dijadikan alat bukti hukum yang sah, UU ITE mengatur bahwa adanya syarat formil dan syarat materil yang harus terpenuhi. Syarat formil diatur dalam Pasal 5 ayat (4) UU ITE, yaitu bahwa Informasi atau Dokumen Elektronik bukanlah dokumen atau surat yang menurut perundang-undangan harus dalam bentuk tertulis. Sedangkan syarat materil diatur dalam Pasal 6, Pasal 15, dan Pasal 16 UU ITE, yang pada intinya Informasi dan Dokumen Elektronik harus dapat dijamin keotentikannya, keutuhannya, dan ketersediaanya.

Di sinilah kemudian ada hal yang menarik berkenaan dengan bukti yang diperoleh melalui bocoran Panama Papers. Terlepas dari legalitas penggunaan dokumen panama papers sebagai bukti di persidangan, perlu menjadi sebuah pertanyaan besar mengenai seberapa jauh bukti yang diberikan oleh peretas anonim dapat diyakini otentisitasnya? Barangkali studi forensik digital dapat memberikan jawaban pasti atas hal ini. Namun, melihat sikap reaktif Mossack Fonseca, maka publik memiliki dugaan kuat bahwa informasi yang dibocorkan dalam panama papers adalah otentik. Selain itu, bukanlah hal mudah membuat sebuah tsunami informasi sebagaimana bocoran panama papers.

Sementara itu, dalam sistem hukum U.S. ada istilah yang amat terkenal, yaitu “fruit of the poisoned tree“. Istilah ini berkaitan dengan penggunaan bukti di persidangan, utamanya yang diatur dalam The Fourth Amendment. The Fourth Amendment, memberikan perlindungan terhadap masyarakat dari tindakan pengumpulan bukti oleh aparat, seperti penyadapan maupun penggeledahan, yang tidak sesuai dengan prosedur hukum. Menurut peraturan ini bahkan, bukti yang diajukan d persidangan dapat digugurkan bila diperoleh selain dari prosedur yang absah.

Lantas bagaimana halnya dengan dokumen panama papers? Dokumen tersebut diperoleh melalui retasan seorang peretas anonim ke dalam Mossack Fonseca. Dokumen retasan inilah yang kemudian dikaji beramai-ramai oleh aliansi lebih dari 100 organisasi pers dari seluruh dunia – termasuk koran dari Jerman Süddeutsche Zeitung, yang dikontak pertama kali oleh John Doe – dengan ICIJ.

The Fourth Amendment hanya berbicara mengenai bukti yang diperoleh secara illegal maupun tidak sesuai prosedur, karena tindakan pemerintah. Namun peraturan ini tdak menyinggung bukti yang bersumber dari pelanggaran hukum pihak privat. Peretasan secara soliter, misalnya.

Penafsiran atas The Fourth Amendment berkaitan dengan hal ini didapati dalam kasus Burdeau v. Mc Dowell (1921). Pada bagian Syllabus, dicatat beberapa penafsiran hukum berkitan dengan bukti dari pihak privat, antara lain:

  1. Amerika Serikat (The United States) dapat menyimpan untuk digunakan sebagai bukti dalam penuntutan pidana yang memberatkan pemilik dokumen, yang mana dokumen tersebut diserahkan oleh individu privat yang memperolehnya, tanpa partisipasi maupun pengetahuan dari pejabat pemerintah, melalui pencarian yang salah (wrongful) dari meja pribadi dan kertas di kantor pemilik. P. 256 U. S. 474.
  2. Provisi the Fourth Amendment yang melarang pennggeledahan tidak berdasar (unreasonable searches and seizures) mengacu pada tindakan pemerintah; the Fifth Amendment memberikan jaminan bagi masyarakat dari kesaksian wajib melawan dirinya sendiri dengan melindunginya dari pengakuan pemeriksaan paksa di sidang pengadilan dengan metode yang diwajibkan (compulsory methods). P. 256 U. S. 475.

Dari kutipan Syllabus tersebut, dengan jelas dinyatakan bahwa proteksi yang diberikan The Fourth Amendment hanya berlaku bagi search and seizures yang dilakukan tidak secara prosedural oleh pemerintah.

Meski begitu, di U.S., bukan berarti penggunaan dokumen retasan seperti panama papers lantas sunyi dari pro dan kontra. John Gerstein dalam media Politico menyebut kemungkinan adanya isu etika legal yang akan dihadapi oleh jaksa penuntut berkenaan dengan penggunaan dokumen panama papers. Yakni berkaitan dengan jaksa yang secara sengaja mereviu privileged material tanpa adanya izin dari pengadilan. Meskipun dalam hal ini jaksa penuntut telah menarik kesimpulan bahwa bahan-bahan panama papers bukan tergolong privileged.

[1] John Doe sendiri merupakan nama yang jamak digunakan untuk menyebut pihak yang identitasnya tidak diketahui maupun harus dirahasiakan dalam sebuah perkara hukum, kasus, dan diskusi. Selengkapnya https://en.wikipedia.org/wiki/John_Doe

References:

Obermaier, Frederik, Bastian Obermayer, Vanessa Wormer and Wolfgang Jaschensky. Süddeutsche Zeitung. About the Panama Papers. Diakses pada 30 September 2016 melalui http://panamapapers.sueddeutsche.de/articles/56febff0a1bb8d3c3495adf4/

ICIJ. 3 April 2016. Giant Leak of Offshore Financial Records Exposes Global Array of Crime and Corruption. The International Consortium of Investigative Journalists (ICIJ). Diakses pada 30 September 20116 melalui https://panamapapers.icij.org/20160403-panama-papers-global-overview.html

—–. —–. Jejak Korupsi Global dari Panama. Tempo.Co Investigasi. Diakses pada 30 September 2016 melalui http://investigasi.tempo.co/panama/

Gerstein, John. 4 Juni 2016. Panama Papers pose ethics issues for U.S. prosecutors. Politico. Diakses 30 September 2016 melalui http://www.politico.com/story/2016/04/panama-papers-ethics-issues-prosecutors-221609

Burdeau v. McDowell 256 U.S. 465 (1921). Justia US Supreme Court. Diakses 30 September 2016 melalui https://supreme.justia.com/cases/federal/us/256/465/case.html

——. 15 November 2013. Menkominfo Tegaskan Peretas Situs Melanggar Hukum. Kementerian Komunikasi dan Informatika Republik Indonesia. Diakses 30 September 2016 melalui https://kominfo.go.id/content/detail/3461/menkominfo-tegaskan-peretas-situs-melanggar-hukum/0/berita_satker

Syarat dan Kekuatan Hukum Alat Bukti Elektronik. Hukum Online. Diakses 30 September 2016 melalui http://www.hukumonline.com/klinik/detail/cl5461/syarat-dan-kekuatan-hukum-alat-bukti-elektronik

Krach, Wolfgang. What needs to be revealed. Süddeutsche Zeitung. Diakses pada 30 September 2016 melalui http://panamapapers.sueddeutsche.de/articles/5703bed9a1bb8d3c3495b668/

Spafford, Eugene H. 1997. Are Computer Break-Ins Ethical? Diakses pada 29 September 2016 melalui http://csrc.nist.gov/publications/secpubs/tr994.pdf

Sanders, James. 13 April 2016. No. 1 thing IT departments can learn from the Panama Papers hack. TechRepublic. Diakses pada 29 September 2016 melalui http://www.techrepublic.com/article/no-1-thing-it-departments-can-learn-from-the-panama-papers-hack/

Burgess, Matt, James Temperton. 6 April 2016. The security flaws at the heart of the Panama Papers. Wired. Diakses pada 29 September 2016 melalui http://www.wired.co.uk/article/panama-papers-mossack-fonseca-website-security-problems

Fox-Brewster, Thomas. 5 April 2016. From Encrypted Drives To Amazon’s Cloud – The Amazing Flight Of The Panama Papers. Forbes. Diakses pada 29 September 2016 melalui http://www.forbes.com/sites/thomasbrewster/2016/04/05/panama-papers-amazon-encryption-epic-leak/

Gupta, Rajiv. 9 April 2016. The Panama Papers Signal A New Kind of Cyber Attack. Fortune. Diakses pada 29 September 2016 melalui http://fortune.com/2016/04/09/panama-papers-mossack-fonseca/

Lucky mustard.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*