Penulis:

Tilman Rodenhäuser Penasihat Hukum Tematik, ICRC

Mauro Vignati Penasihat Teknologi Peperangan Digital Baru, ICRC

Ketika teknologi digital mengubah cara militer melakukan perang, tren yang mengkhawatirkan muncul di mana semakin banyak orang sipil yang terlibat dalam konflik bersenjata melalui medium digital. Berada pada jarak yang cukup jauh dari aksi permusuhan fisik, termasuk di luar negara yang sedang berperang, orang sipil – termasuk peretas, hingga tenaga profesional keamanan siber, peretas ‘topi putih’, ‘topi hitam’, dan ‘patriotik’ – melakukan serangkaian operasi siber untuk melawan ‘musuh’ mereka. Sebagian menggambarkan orang sipil sebagai ‘pejuang siber pilihan pertama’ karena ‘sebagian besar keahlian di bidang (pertahanan) siber ada pada sektor swasta (atau sipil)’.

Contoh peretas sipil yang beroperasi dalam konteks konflik bersenjata sangat beragam dan ada banyak (lihat di sini, di sini, di sini). Secara khusus dalam konflik bersenjata internasional antara Rusia dan Ukraina, beberapa kelompok mempresentasikan diri mereka sebagai ‘komunitas IT sedunia’ (worldwide IT community) dengan misi, dalam kata-kata mereka, ‘membantu Ukraina menang dengan melumpuhkan perekonomian agresor, memblokir layanan keuangan, layanan infrastruktur, dan layanan pemerintah yang penting, dan membuat para pembayar pajak besar kelelahan. Yang lainnya dilaporkan ‘menyerukan dan melakukan serangan yang mengganggu – meskipun bersifat sementara – terhadap situs rumah sakit di Ukraina dan negara-negara sekutunya’, selain melakukan beragam operasi lainnya. Dengan banyaknya kelompok yang aktif di bidang ini, dan sebagian di antaranya membawahi ribuan peretas di jalur koordinasinya dan menyediakan perangkat otomatis kepada anggotanya, keterlibatan orang sipil dalam operasi digital selama konflik bersenjata telah mencapai proporsi yang belum pernah terjadi sebelumnya.

Ini bukan pertama kalinya peretas sipil beroperasi dalam konteks konflik bersenjata, dan kemungkinan besar bukan yang terakhir. Dalam ulasan ini, kami menjelaskan mengapa tren ini harus menjadi perhatian negara dan masyarakat. Selanjutnya, kami menyajikan 8 aturan berbasis hukum humaniter internasional yang harus dipatuhi oleh semua peretas yang melakukan operasi dalam konteks konflik bersenjata, dan mengingatkan tanggung jawab negara untuk mengontrol mereka.

Orang sipil yang terlibat dalam perang digital – tren yang mengkhawatirkan

Fenomena peretas sipil yang melakukan operasi siber dalam konteks konflik bersenjata cukup mengkhawatirkan setidaknya karena tiga alasan.

Pertama, mereka menimbulkan kerugian terhadap populasi sipil, baik dengan menargetkan objek-objek sipil secara langsung atau merusaknya secara tidak sengaja. Sebagian ahli menganggap peretas dan kelompok-kelompok sipil ini lebih sebagai ‘kelompok main hakim sendiri di dunia maya’ dan menekankan bahwa operasi mereka secara teknis tidak canggih dan tidak mungkin menimbulkan dampak yang signifikan. Namun, benar juga bahwa peretas sipil dan ‘pasukan’ telah mengganggu berbagai objek sipil – termasuk bank, perusahaan, apotek, rumah sakit, jaringan kereta api, dan layanan pemerintah sipil.

Kedua, peretas sipil berisiko mengekspos diri mereka sendiri, dan orang-orang terdekat mereka, pada operasi militer. Tergantung pada jenis operasi yang mereka lakukan, salah satu pihak dalam konflik bersenjata dapat menganggap mereka sudah ikut serta secara langsung dalam permusuhan (lihat analisis spesifik tentang siber di sini dan di sini). Ini artinya, komputer dan infrastruktur digital yang mereka gunakan berisiko menjadi sasaran militer, yang berarti mereka berisiko diserang. Demikian pula, di mata musuh, dan tergantung di mana si peretas berada, mereka dapat diserang – baik dengan peluru, rudal, atau operasi siber.

Ketiga, semakin banyak orang sipil yang berperan aktif dalam peperangan, semakin kabur batas antara siapa sipil dan siapa kombatan. Alhasil, risiko kerugian terhadap orang sipil semakin besar; dan para ahli hukum mempertanyakan apakah Prinsip Pembedaan, yang merupakan inti dari hukum humaniter internasional, akan mampu bertahan menghadapi tekanan ini.

8 aturan bagi peretas sipil yang beroperasi dalam konteks konflik bersenjata

Dunia maya bukanlah ruang tanpa hukum – bahkan perang pun ada batasnya.

Sudah jelas bahwa peretas sipil harus menghormati hukum di negara tempat mereka beroperasi. Kalau hukum nasional lunak, tidak ditegakkan, atau jika peretas sipil memutuskan untuk mengabaikannya, pada saat terjadi konflik bersenjata, hukum humaniter internasional (HHI) menetapkan seperangkat aturan yang disepakati secara universal yang bertujuan untuk melindungi orang sipil, dan tentara yang tidak lagi mampu berperang, dari kengerian perang. Pelanggaran yang paling berat terhadap aturan-aturan ini merupakan kejahatan perang, yang dapat diadili di tingkat nasional atau internasional.

Dalam konteks konflik bersenjata, HHI tidak melarang ‘peretasan’, dan tidak melarang orang sipil melakukan operasi siber terhadap asset-aset militer. Namun HHI menetapkan pertimbangan dasar kemanusiaan mengenai pelindungan orang sipil, yang berarti kewajiban yang harus dihormati setiap orang ketika melakukan operasi dalam konteks konflik bersenjata, terlepas dari apapun alasan dari konflik tersebut, yang tujuannya dianggap sah, atau apakah suatu operasi bersifat menyerang atau membela diri.

HHI terdiri atas ratusan aturan – berikut adalah satu kata peringatan dan 8 aturan yang harus diketahui dan dihormati oleh siapa pun yang melakukan operasi siber dalam konteks konflik bersenjata (termasuk kelompok bersenjata non-Negara dan peretas sipil). Kelompok atau perkumpulan harus memastikan bahwa anggotanya menghormati batasan-batasan ini.

Perhatian: Peretas sipil berisiko kehilangan pelindungan terhadap serangan siber atau fisik dan dapat dituntut secara pidana jika mereka ikut serta secara langsung dalam permusuhan melalui medium siber

Berdasarkan HHI, orang sipil tidak boleh diserang kecuali dan selama mereka turut serta secara langsung dalam permusuhan. Melakukan serangan siber terhadap sasaran militer atau sipil dapat berarti ‘keikutsertaan secara langsung dalam permusuhan’ dan berisiko membuat peretas sipil rentan terhadap serangan. Selain itu, meskipun anggota angkatan bersenjata sebuah Negara (termasuk operator siber) mendapatkan impunitas atas aksi perang yang sah (seperti menyerang instalasi militer) dan menjadi ‘tawanan perang’ ketika ditangkap, peretas sipil tidak mendapatkan itu (di sini, paragraf 3634 pada pasal 85 Konvensi Jenewa III). Jika tertangkap, mereka berisiko dianggap sebagai penjahat atau ‘teroris’ dan dituntut dengan tuduhan semacam itu.

  1. Jangan mengarahkan serangan siber* terhadap objek sipil.

Objek sipil adalah semua objek yang bukan merupakan sasaran militer. Ini termasuk infrastruktur sipil, layanan publik, perusahaan, hak milik pribadi, dan bisa dibilang, data sipil. Sasaran militer tidak mendapatkan pelindungan yang sama. ‘Sasaran militer’ terutama terdiri atas infrastruktur fisik dan digital militer dari pihak yang bertikai. Ini bisa juga mencakup objek-objek sipil, tergantung pada apakah dan bagaimana objek-objek tersebut digunakan oleh militer.

  1. Jangan menggunakan malware atau perangkat atau teknik lain yang menyebar secara otomatis dan merusak sasaran militer dan obyek sipil tanpa pandang bulu.

Misalnya, malware yang menyebar secara otomatis, menyebar tak terkendali, dan merusak sasaran militer dan objek sipil tanpa pembedaan tidak boleh digunakan.

  1. Saat merencanakan serangan siber terhadap sasaran militer, lakukan segala upaya untuk menghindari atau meminimalkan dampak operasi Anda terhadap orang sipil.

Misalnya, jika Anda berniat mengganggu layanan listrik atau kereta api yang digunakan oleh pasukan militer, Anda harus menghindari atau meminimalkan dampak operasi Anda terhadap orang sipil. Penting untuk meneliti dan memahami dampak suatu operasi – termasuk dampak yang tidak diinginkan – sebelum melaksanakannya. Saat merencanakan serangan siber terhadap sasaran militer, lakukan segala upaya untuk menghindari atau meminimalkan dampak operasi Anda terhadap orang sipil, dan hentikan serangan jika kerugian terhadap orang sipil berisiko terlalu besar. Jika Anda telah memperoleh akses ke suatu sistem operasi tetapi Anda tidak memahami kemungkinan konsekuensi dari operasi Anda, atau menyadari bahwa kerugian terhadap orang sipil berisiko sangat besar, hentikan serangan tersebut.

  1. Jangan melakukan operasi siber apa pun terhadap fasilitas medis dan kemanusiaan.

Rumah sakit atau organisasi bantuan kemanusiaan tidak boleh menjadi sasaran serangan.

  1. Jangan melakukan serangan siber apa pun terhadap objek yang sangat diperlukan bagi kelangsungan hidup masyarakat atau yang dapat melepaskan kekuatan berbahaya.

Dalam hukum humaniter internasional, objek yang mengandung kekuatan berbahaya didefinisikan sebagai ‘bendungan, tanggul, dan instalasi pembangkit listrik tenaga nuklir’; namun pada kenyataannya, instalasi kimia dan sejenisnya juga mengandung kekuatan berbahaya. Objek yang sangat diperlukan bagi kelangsungan hidup penduduk sipil antara lain adalah instalasi air minum atau sistem irigasi.

  1. Jangan melakukan ancaman kekerasan untuk menebar teror di kalangan penduduk sipil.

Misalnya, meretas sistem komunikasi untuk mempublikasikan informasi yang terutama didesain untuk menyebarkan teror di kalangan penduduk sipil adalah tindakan yang dilarang. Demikian pula, merancang dan menyebarkan konten grafis untuk menyebarkan teror di kalangan sipil agar mereka melarikan diri adalah tindakan yang melanggar hukum.

  1. Jangan menghasut pelanggaran hukum humaniter internasional.

Jangan mendorong atau membuat orang lain bisa melakukan operasi siber atau operasi lainnya terhadap orang atau objek sipil. Misalnya, jangan membagikan rincian teknis dalam saluran komunikasi untuk memfasilitasi serangan terhadap institusi sipil.

  1. Patuhi aturan-aturan ini meskipun musuh tidak melakukannya.

Balas dendam atau tindakan membalas bukanlah alasan untuk melakukan pelanggaran terhadap hukum humaniter internasional.

 

Peretas tidak hidup di dunia maya – Negara harus memberlakukan batasan

Negara tidak boleh mendorong atau mentoleransi peretas sipil yang melakukan operasi siber dalam konteks konflik bersenjata.

Semakin banyak peretas sipil yang terlibat dalam operasi siber, semakin besar risiko operasi yang melanggar hukum yang berlaku dan mengaburkan batas antara kombatan dan orang sipil. Oleh karena itu, ICRC telah meminta negara-negara untuk ‘memberikan pertimbangan yang semestinya terhadap risiko yang membahayakan orang sipil jika mereka mendorong atau mengharuskan orang sipil untuk terlibat dalam operasi siber militer’.

Dari sudut pandang hukum, semua Negara telah berjanji untuk tidak ‘dengan sengaja membiarkan wilayah mereka digunakan untuk aksi lintas batas negara yang salah dengan menggunakan teknologi informasi’ (di sini, paragraf 13(c)). Meskipun dirumuskan sebagai komitmen politik, norma ini mencerminkan kewajiban ‘uji tuntas’ negara berdasarkan hukum internasional, termasuk terhadap peretas sipil yang beroperasi di wilayah mereka (lihat di sini). Negara mana pun yang berkomitmen terhadap supremasi hukum atau ‘tatanan internasional berbasis aturan’ tidak boleh menutup mata ketika orang-orang di wilayahnya melakukan operasi siber yang mengabaikan hukum nasional atau internasional, bahkan jika operasi tersebut ditujukan terhadap musuh.

Hal ini artinya, pertama-tama dan paling penting, mengadopsi dan menegakkan hukum nasional yang mengatur peretasan sipil.

Selain itu, dan secara khusus terkait dengan perilaku individu pada saat konflik bersenjata, Negara telah berjanji untuk menghormati dan menjamin penghormatan terhadap HHI. Komitmen hukum ini setidaknya mempunyai empat makna:

Pertama, jika peretas sipil bertindak di bawah instruksi, arahan, atau kendali suatu Negara, Negara tersebut bertanggung jawab secara hukum internasional atas tindakan apa pun yang dilakukan individu-individu terkait yang tidak sesuai dengan kewajiban hukum internasional Negara tersebut, termasuk hukum humaniter internasional (lihat di sini, pasal 8, dan di sini). Misalnya, jika suatu Negara menggunakan individu atau kelompok orang sebagai “sukarelawan” dan memerintahkan mereka untuk melakukan operasi siber tertentu tanpa menghiraukan hukum internasional, maka negara tersebut secara hukum bertanggung jawab atas pelanggaran semacam itu (lihat di sini, paragraf 2 pada pasal 8). (Tanggung jawab ini merupakan tambahan dari kemungkinan tanggung jawab pidana peretas yang bersifat individual).

Kedua, Negara tidak boleh mendorong orang sipil atau kelompok sipil untuk melakukan tindakan yang melanggar hukum humaniter internasional (lihat di sini, paragraf 220). Secara konkret, ini berarti bahwa agen negara – baik militer, intelijen, atau aktor pemerintah lainnya – dilarang mendorong orang sipil atau kelompok sipil untuk, misalnya, melakukan serangan siber terhadap objek sipil, terlepas dari saluran atau aplikasi apapun yang digunakan untuk melakukan hal tersebut.

Ketiga, Negara mempunyai kewajiban uji tuntas untuk mencegah pelanggaran hukum humaniter internasional yang dilakukan oleh peretas sipil di wilayah mereka (lihat di sini, paragraf 183). Tentu saja suatu negara tidak dapat mencegah seluruh pelanggaran hukum. Namun, Negara harus mengambil langkah-langkah yang dapat ditempuh, seperti mengambil posisi publik yang mengharuskan peretas sipil untuk tidak melakukan operasi siber sehubungan dengan konflik bersenjata, menghormati HHI jika melakukan operasi semacam itu, dan menekan pelanggaran berdasarkan hukum nasional (lihat selanjutnya).

Keempat, Negara mempunyai kewajiban untuk mengadili kejahatan perang dan mengambil tindakan yang diperlukan untuk menekan pelanggaran HHI lainnya (pasal 49/50/129/146 pada Konvensi Jenewa I-IV; pasal 85 Protokol Tambahan I). Pertama, ini mewajibkan pengadopsian dan penegakan hukum yang diperlukan yang mengkriminalisasi operasi siber yang merupakan kejahatan perang, dan kedua, mengambil langkah-langkah efektif untuk menghentikan semua pelanggaran HHI lainnya, yang mungkin mencakup tindakan hukum, disiplin, atau administratif. Jelasnya, mengadopsi undang-undang atau kebijakan yang menutup mata terhadap peretas sipil yang melakukan operasi siber selama operasi tersebut dilakukan terhadap ‘musuh’ tidak memenuhi kewajiban ini.

***

HHI menetapkan aturan-aturan penting untuk membatasi dampak konflik bersenjata terhadap orang sipil. Tidak seorang pun yang ikut serta dalam perang berada di luar aturan ini. Secara khusus, setiap peretas yang melakukan operasi dalam konteks konflik bersenjata harus menghormati aturan-aturan ini, dan Negara-negara harus memastikan ini dilakukan untuk melindungi sipil dari bahaya.

 

* Berdasarkan HHI, dan dalam konteks operasi siber, pengertian serangan mengacu pada operasi siber yang diperkirakan akan berakibat pada – baik secara langsung ataupun tidak langsung – kerusakan, penonaktifan, atau penghancuran objek (seperti infrastruktur dan, bisa dibilang, data ) atau cedera atau kematian orang. Ini tidak termasuk, misalnya, operasi siber yang bertujuan untuk mendapatkan akses terhadap informasi secara tidak sah.

Posisi lebih rinci dari Komite Internasional Palang Merah mengenai HHI dan operasi siber, dapat dilihat di sini dan di sini. Pembelajaran lebih lanjut tentang bagaimana hukum internasional berlaku di dunia maya, lihatlah ‘Cyberlaw Toolkit’.

 

Catatan editor: Artikel asli dipublikasikan di EJIL:Talk! dan bisa diakses di sini.

Lihat juga