2. Aplikasi Pengaturan Hukum Humaniter Internasional terhadap Cyber-Warfare

Hukum humaniter internasional hanya dapat diaplikasikan pada setiap operasi cyber dalam konteks dan terkait dengan sebuah konflik

bersenjata. 115 Dalam pembahasan sub bab ini penulis akan berfokus pada perlindungan terhadap penduduk sipil dan objek sipil dalam suatu

konflik bersenjata cyber-warfare dalam konteks analogi dunia nyata dan dunia virtual (cyber/cyberspace) dan bagaimana korelasinya berdasarkan hukum humaniter internasional.

Partisipasi dalam Konflik Bersenjata

Hukum humaniter internasional tidak melarang setiap individu untuk berpartisipasi dalam sebuah konflik bersenjata, baik itu konflik bersenjata internasional atau non-internasional. Article 43 (2) Protokol

Tambahan I Konvensi Jenewa 1949: 116

“Anggota-anggota dari angkatan perang dari suatu Pihak dalam pertikaian (kecuali tenaga kesehatan dan rohaniawan yang termaktub dalam pasal 33 dari Konvensi Jenewa III) adalah kombatan, yaitu mereka yang mempunyai hak untuk turut serta secara langsung dalam peperangan” (Members of the armed forces of a Party of a conflict (other than medical personel and chaplains covered by Article 33 of Geneva Convention III) are

115 Cordula Droege, Get Off M y Cloud: Cyber W arfare, International Humanitarian Law , and Protect ion of Civilians , Int ernat ional Review of The Red Cross Volume 94 Number 886 Summer

2012, halam an 542. 116 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 43 (2).

combatants, that is to say they have the right to participate directly in hostilities ).

Ketentuan ini dapat diaplikasikan pada konflik bersenjata internasional yang mana setiap orang mempunyai hak untuk turut serta sebagai kombatan secara langsung dalam peperangan.

Apabila seseorang yang pada awalnya berstatus sebagai warga sipil (civilians) lalu masuk sebagai kombatan dan berpartisipasi dalam konflik bersenjata, ia akan kehilangan imunitas perlindungan sipilnya dari serangan dalam konflik bersenjata. Hal ini dijelaskan dalam

Article 51 (3) 117 Protokol Tambahan I Konvensi Jenewa 1949:

“Orang-orang sipil harus menikmati perlindungan yang diberikan oleh seksi ini (perlindungan bagi penduduk sipil),

kecuali dan selama mereka ikut serta langsung dalam

peperangan” (Civilians shall enjoy the protection afforded by this Section (protecting of the civilian population), unless and for such time as they take a direct part in hostilities).

Hal ini terjadi ketika setiap orang yang memenuhi kriteria sebagai kombatan seperti yang diatur dalam Article 4 A (2) Konvensi

Jenewa III 1949, Article 13 (2) Konvensi Jenewa I & II 1949, yaitu: 118

1) Dipimpin oleh seorang yang bertanggung jawab atas bawahannya (being commanded by a person responsible for his subordinates );

2) Mempunyai tanda pengenal khusus yang tetap dapat dikenal dari jauh (wearing a distinctive emblem or attire that is recognizable at a distance );

3) Membawa senjata terang-terangan (carrying arms openly);

4) Melakukan operasi-operasi mereka sesuai dengan hukum- hukum dan kebiasaan-kebiasaan perang (conducting operations in accordance with the law of armed conflict ).

117 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 51 (3). 118 Konvensi Jenew a III 1949, Art icle 13 (2); Konvensi Jenew a I,II 1949, Art icle 13 (2).

Dalam cyber-warfare diketahui juga cyber/cyberspace yang dijadikan domain perang para pihak terdapat warga sipil yang tidak dikualifikasikan sebagai kombatan. Warga sipil ini wajib dilindungi dari cyber-attack dari para pihak cyber-warfare karena berdasarkan Article 51 (2) Protokol Tambahan I Konvensi Jenewa 1949 serangan terhadap warga sipil adalah dilarang. Namun perlindungan ini tidak berlaku apabila warga sipil tersebut ikut serta sebagai pihak dalam konflik bersenjata dengan melakukan operasi-operasi cyber sehingga ia dapat dikualifikasikan sebagai kombatan seperti yang diatur dalam Article 4 A (2) Konvensi Jenewa III 1949 dan Article 13 (2) Konvensi Jenewa I, II 1949.

Mengingat adanya kriteria kombatan dalam konflik bersenjata, perlu gambaran kriteria kombatan dalam cyber-warfare sebagai salah satu bentuk konflik bersenjata:

1) Dipimpin oleh seorang yang bertanggung jawab atas bawahannya

(being commanded by a person responsible for his subordinates);

Misalnya: § Seorang atau kelompok hacker/cracker diasimilisakan

sebagai salah satu organ militer yang mempunyai komandan;

§ Seorang atau kelompok hacker/cracker yang mempunyai komandan yang mana seorang atau kelompok tersebut § Seorang atau kelompok hacker/cracker yang mempunyai komandan yang mana seorang atau kelompok tersebut

2) Mempunyai tanda pengenal khusus yang tetap dapat dikenal dari jauh (wearing a distinctive emblem or attire that is recognizable at

a distance ); Misalnya: § Dalam cyber/cyberspace dia dapat dikenali sebagai bagian

dari militer/angkatan bersenjata dengan mencantumkan logo pada website, virus, worm yang digunakan untuk menyerang yang menandakan identifikasinya sebagai angkatan bersenjata.

3) Membawa senjata terang-terangan (carrying arms openly); Mengenai ini sulit untuk dibuktikan karena penyerang membawa senjata yang digunakan dalam cyber-warfare seperti virus dan worm sulit dideteksi. Namun apabila seorang atau kelompok itu ingin mendapatkan status sebagai kombatan ia harus memperlihatkan senjata virus dan worm yang digunakan untuk menyerang dalam cyber/cyberspace.

4) Melakukan operasi-operasi mereka sesuai dengan hukum-hukum dan kebiasaan-kebiasaan perang (conducting operations in accordance with the law of armed conflict ).

§ Misalnya: Tidak menyerang website milik sipil yang tidak dikategorikan sebagai angkatan perang.

Serangan

Menurut Article 49 (1) Protokol Tambahan I Konvensi Jenewa 1949: 119

“Serangan berarti tindakan kekerasan terhadap pihak musuh, baik dalam menyerang atau bertahan dalam mempertahankan diri” (Attacks means act of violence against the adversary, whether in offence or in defence ).

Tindakan kekerasan (act of violence) tidak harus dipahami sebagai aktivitas terbatas yang hanya melepaskan kekuatan kinetis. 120

Dalam hal ini, serangan senjata kimia, biologis, atau radiologis tidak selalu mengakibatkan efek kinetik pada sasarannya, tetapi secara

umum disepakati bahwa itu termasuk sebagai sebuah serangan. 121 Untuk dapat dikategorikan sebagai tindakan kekerasan (act of

violence ), suatu tindakan harus menghasilkan konsekuensi dalam arti keras dan tidak terbatas pada tindakan keras. Misalnya serangan cyber (cyber-attack) pada sistem yang mengontrol fasilitas pembangkit

listrik (SCADA/Supervisory Control and Data Acquisition) 122 yang menyebabkan kebakaran. 123 Apabila konsekuensi yang dihasilkan

119 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 49 (1). 120 M ichael N. Schmit t , Op.Cit , halam an 92. 121 Ibid. 122 SCADA (Supervisory Cont rol and Data Acquisit ion) adalah sistem kont rol indust ri nasional

(ICS/ Indust rial Cont rol Syst em) yang didesain unt uk mem ant au dan mengendalikan bermacam- macam infrast rukt ur vit al (facility based-processes) sepert i pem bangkit list rik, kilang minyak, pipa gas dan minyak, transport asi publik dan sistem komunikasi.

123 M ichael N. Schmit t , Op.Cit ., halaman 92.

bersifat menghancurkan 124 , operasi-operasi semacam itu telah memenuhi maksud sebagian unsur dari serangan yaitu ‘tindakan

kekerasan (act of violence)’. 125

Redaksional ‘terhadap pihak musuh (against the adversary) pada Article 49 (1) diatas menunjukan bahwa operasi yang sifatnya menghancurkan itu harus diarahkan pada musuh untuk

dikualifikasikan sebagai serangan (attacks). 126 Perlu diingat mengenai ketentuan Article 51 (1) Protokol Tambahan I Konvensi Jenewa 1949: 127

“Penduduk sipil dan orang-orang sipil perorangan harus menikmati perlindungan umum terhadap bahaya-bahaya yang timbul dari operasi militer” (Civilian population and individual civilians shall enjoy general protection against dangers arising from military operations ).

Prinsip Pembedaan (Distinction Principle) pada Cyber-Warfare

Para pihak dalam konflik bersenjata harus membedakan antara kombatan dan orang sipil. 128 Demikian ini dikenal sebagai prinsip

‘M enghancurkan’ dalam Kamus Besar Bahasa Indonesia berart i ‘menjadikan kacau’; menghancurkan=dest roy, menurut Oxford Dict ionaries ‘end of exist ence of (something) by damaging or at tacking it ’ .

125 M ichael, N. Schmit t , Op.Cit., halam an 92. 126 Ibid. 127 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 51 (1). 128 Ambarw ati dkk, Op.Cit. halaman 45.

pembedaan (distinction principle) yang diatur dalam Article 48 Protokol Tambahan I Konvensi Jenewa 1949: 129

“Agar supaya menjamin dihormatinya dan dilindunginya penduduk sipil dan objek-objek sipil, Pihak-pihak dalam pertikaian setiap waktu harus membeda-bedakan antara penduduk sipil dan kombatan-kombatan dan antara objek- objek sipil dan sasaran-sasaran militer dan karenanya harus mengarahkan operasi-operasi mereka hanya terhadap sasaran- sasaran militer saja”. (In order to ensure respect for and protection of the civilian population and civilian objects, the Parties to the conflict shall at all times distinguish between the civilian population and combatants and between civilian objects and military objectives and accordingly shall direct their operations only against military objectives ).

Adapun garis pembeda antara kombatan dengan orang sipil, dalam perkembangan hukum humaniter internasional masih

diperdebatkan. 130 Pihak yang kekuatannya hebat dan berperalatan lengkap selalu menginginkan definisi pembedaan yang tegas dan suatu

identifikasi kombatan yang jelas, sedangkan pihak yang lebih lemah berharap adanya opsi untuk menggunakan sumber daya manusia

tambahan secara fleksibel. 131 Jika dikaitkan dalam konteks cyber- warfare ,

masalah bagaimana mengidentifikasikan seseorang yang dianalogikan sebagai komputer (host) dalam cyber/cyberspace sebagai kombatan (sasaran militer) atau penduduk/objek sipil (bukan sasaran militer), karena karakteristik cyber-warfare yang serba tidak jelas (anonymity). Setidak-tidaknya dalam pembahasan sebelumnya sudah dijelaskan bagaimana kriteria

129 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 48. 130 Ambarw ati, dkk, Op.Cit ., halaman 45. 131 Ibid.

kombatan pada Article 4 A (2) Konvensi Jenewa III 1949 dan Article

13 (2) Protokol Tambahan I Konvensi Jenewa 1949 yang dikorelasikan dalam konteks cyber-warfare.

Lebih spesifik ketentuan Article 48 Protokol Tambahan I Konvensi Jenewa 1949 ini dijabarkan dalam:

1) Perlindungan terhadap penduduk sipil (civilians) pada Article 51 Protokol Tambahan I Konvensi Jenewa 1949;

2) Perlindungan terhadap objek sipil (civilian object) pada Article 52 Protokol Tambahan I Konvensi Jenewa 1949.

Perlindungan terhadap Penduduk Sipil (Protecting to Civilians) pada Cyber-Warfare

Perlindungan penduduk sipil diatur dalam Article 51 yang intinya dapat dipahami dari paragraph (1), (2): 132

1) Penduduk sipil dan orang-orang sipil perorangan harus menikmati perlindungan umum terhadap bahaya-bahaya yang timbul dari operasi-operasi militer. Agar perlindungan ini dapat dirasakan hasilnya, ketentuan-ketentuan berikut ini yang merupakan tambahan pada ketentuan-ketentuan hukum internasional lainnya yang dapat diterapkan, harus dipatuhi dalam segala keadaan;

(The civilian population and individual civilians shall enjoy general protection against dangers arising from military operations. To give effect to this protection, the following rules, which are additional to other applicable rules of international law, shall be observed in all circumstances );

132 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 51 (1), (2).

2) Dengan demikian penduduk sipil maupun perorangan- perorangan sipil tidak boleh menjadi sasaran serangan. Tindakan-tindakan atau ancaman-ancaman kekerasan yang tujuan utamanya adalah menyebarkan teror dikalangan penduduk sipil adalah dilarang; (The civilian population as such, as well as individual civilians, shall not be the object of attack. Act or threats of violence the primary purpose of which is to spread terror among the civilian population are prohibited ).

Dalam konteks cyber-warfare, operasi/serangan (cyber-attack) yang dilarang berdasarkan prinsip ini adalah serangan yang dikategorikan serangan seperti yang dimaksud pada Article 49 (1) yaitu serangan yang sifatnya menghancurkan. Perlu diingat lagi mengancurkan dipahami sebagai sesuatu yang menjadi kacau atau menjadikan hilangnya sesuatu (end of existence (of something) by

damaging or attacking it 133 ).

Gambaran perlindungan terhadap penduduk sipil misalnya cyber-attack berupa siaran propaganda pada komputer penduduk sipil, terlihat bahwa kualifikasi ‘menghancurkan’ terasa tidak tepat karena hal itu sifatnya psikologis yang tidak menyebabkan hilang atau menjadikan kacau akan sesuatu dan selain itu tindakan propaganda dalam konflik bersenjata internasional adalah suatu hal yang biasa terjadi dan bukan merupakan teror pada penduduk sipil atau objek sipil, yang berarti tindakan itu diperbolehkan/sah menurut hukum humaniter internasional. Beda halnya apabila cyber-attack berupa

133 Kamus Besar Bahasa Indonesia, ‘menghancurkan’. Oxford Dict ionaries ‘dest roy’.

serangan DDoS 134 pada komputer penduduk sipil (website server milik penduduk sipil) yang menyebabkan kerusakan sistem dan hilangnya

data-data dalam komputer tersebut sehingga mengacaukan aktivitas pada penduduk sipil atau objek sipil, hal ini dapat memenuhi kualifikasi ‘menghancurkan’ dan juga teror pada penduduk sipil atau objek sipil, yang berarti tindakan itu dilarang/tidak sah menurut hukum humaniter internasional.

Perlindungan terhadap Objek Sipil (Protecting to Civilian Object) pada Cyber-Warfare

Perlindungan terhadap objek sipil merupakan salah satu bentuk penerapan prinsip kepentingan militer (military necessity) yaitu ketentuan yang menetapkan bahwa suatu objek sipil hanya bisa dijadikan sasaran militer apabila telah memenuhi persyaratan tertentu yang diatur dalam Article 52 Protokol Tambahan I Konvensi Jenewa

1) Objek-objek sipil tidak boleh dijadikan sasaran atau tindakan pembalasan. Objek-objek sipil adalah semua objek yang bukan sasaran militer seperti dirumuskan dalam ayat 2; (Civilian objects shall not be the object of attack or of reprisals. Civilian objects are all objects which are not military objectives as defined in paragraph 2 );

2) Serangan-serangan harus dengan tegas dibatasi hanya pada sasaran-sasaran militer. Sebegitu jauh mengenai objek-objek,

134 DDoS (Dist ribut ed Denial of Service) adalah suat u jumlah lalu lint as dat a yang berlebihan dan berulang-ulang dikirim pada alamat email at au server w ebsit e dengan tujuan unt uk melebihi

kapasit as sistem unt uk memat ikan layanan (shutdow n the service). Serangan (cyber-at tack) semacam ini sering berasal dari jaringan int ernet yang dikompromikan pada komput er tertent u (bot net s). Sumber: Taipei M odel Unit ed Nat ions St udy Guide, Op Cit., halaman 5.

135 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 52.

sasaran-sasaran militer dibatasi pada objek yang oleh sifatnya, letaknya, tujuannya atau kegunaannya memberikan sumbangan yang efektif bagi aksi militer yang jika dihancurkan secara menyeluruh atau sebagian, direbut atau dinetralisasi, di dalam keadaan yang ada pada waktu itu, memberikan suatu keuntungan militer yang pasti; (Attacks shall be limited strictly to military objectives. In so far as objects are concerned, military objectives are limited to those objects which by their nature, location, purpose or use make an effective contribution to military action and whose total or partial destruction, capture or neutralization, in the circumstances ruling at the time, offers a definite military advantage );

Dalam konteks cyber-warfare berarti dipahami objek sipil dalam cyber/cyberspace tidak boleh dijadikan sasaran cyber-attack. Komputer, jaringan komputer, dan infrastruktur cyber dapat dijadikan sasaran cyber-attack apabila itu semua adalah termasuk kategori sasaran militer. Berdasarkan kriteria sasaran militer yaitu sifat (nature), letak tempatnya (location), tujuan (purpose) atau kegunaan (use); dapat diidentifikasi satu persatu:

1) Sifat (nature) meliputi karakter yang melekat dari sasaran itu sendiri, dan secara tipikal mengacu pada sasaran yang secara militer sangat mendasar dan didesain untuk berkontribusi pada

tindakan militer. 136 Komputer militer dan infrastruktur cyber militer adalah contoh paradigmatik dari sasaran yang memenuhi

kriteria dari sifat (nature). 137 Contoh itu misalnya sistem komputer militer

(Command, Control, Communications, Computer, Intelligence, Surveillance, and

yang

bernama

C4ISR

136 M ichael N. Schmit t , Op.Cit ., halaman 108 nomor 6. 137 Ibid.

Reconnaissance ), dimanapun hardware sistem ini berada dapat dikualifikasikan sebagai sasaran militer. 138

2) Lokasi (location) biasanya mengacu pada pemahaman secara geografis. Namun tidaklah demikian pada cyber/cyberspace, karena dalam cyber/cyberspace lokasi dianalogikan sebagai alamat IP (Internet Protocol) dalam TCP/IP (Transmission Control

Protocol/Internet Protocol ). Alamat IP ini dapat mengidentifikasi dimana komputer (host) atau jaringan komputer

yang terhubung dengan cyber/cyberspace berasal. Ketika teridentifikasi suatu alamat IP melakukan cyber-attack atau aktivitas cyber-nya memberikan keuntungan pada militer maka dapat dikatakan komputer yang menggunakan alamat IP tersebut adalah sasaran militer.

3) Tujuan (purpose) atau kegunaan (use), ketika suatu objek diindikasikan (hasil data intelejen) akan digunakan untuk tujuan

militer maka objek tersebut adalah sasaran militer. 140 Objek yang dimaksud misalnya software dan hardware yang didesain khusus

untuk melakukan cyber-attack atau dapat memberikan keuntungan pada militer.

138 Ibid.

IP (Int ernet Prot ocol) adalah identifikasi komputer (host ) pada TCP/ IP, dan TCP/ IP (Transmission Cont rol Prot ocol/ Int ernet Prot ocol) adalah sebuah prot okol st andar yang digunakan dalam suat u jaringan komput er (LAN/ WAN) yang mengat ur agar komput er (host ) yang t erhubung dalam

komunikasi. Diakses dari ht t p:/ / cat at ant eknisi.com/ IPAddress pada 7 M aret 2015 pukul 11.04 WIB.

suat u jaringan

komput er

bisa

melakukan

140 M ichael N. Schmit t , Op.Cit ., halaman 109 nomor 11.

Ketika objek cyber memenuhi ketiga keriteria ditambah memberikan keuntungan pada militer, maka objek cyber/cyberspace tersebut dapat dijadikan sasaran serangan. Serangan dimungkinkan menjadi dua jenis yaitu serangan fisik (misal: pemboman terhadap markas komando cyber) dan cyber-attack (misal: serangan DDoS pada sistem komputer markas komando cyber) pada objek tersebut. Namun perlu dicatat bahwa pengambilan keputusan untuk melakukan serangan tersebut haruslah berdasarkan informasi yang terpercaya dan tepat untuk memastikan benar-benar bahwa suatu objek adalah objek militer bukan objek sipil.

Serangan yang Membabi-buta (Indiscriminate Attacks)

Berdasarkan Article 51 (4) Protokol Tambahan I Konvensi Jenewa 1949: 141

“Serangan membabi buta adalah dilarang. Serangan-serangan membabi buta itu adalah: (Indiscriminate attacks are prohibited. Indiscriminate attacks are )

a) Serangan-serangan yang tidak ditujukan terhadap sasaran khusus militer (those which are not directed at a specific military objective );

b) Serangan-serangan yang mempergunakan suatu cara atau alat-alat tempur yang tidak dapat ditujukan terhadap sasaran khusus militer (those which employ a method or means of combat which cannot be directed at a specific military objective );

c) Serangan-serangan yang mempergunakan suatu cara atau alat-alat tempur yang akibat-akibatnya tidak dibatasi

141 Prot okol Tambahan I Konvensi Jenew a 1949, Art icle 51 (4).

sebagaimana dituntut oleh Protokol ini” (those which employ a method or means of combat the effects of which cannot be limited as required by this Protocol ).

Dalam cyber/cyberspace terdapat infrastruktur milik militer dan sipil dan karena itu sulit untuk memisahkan atau membedakan militer dan sipil di dalamnya. Timbul potensi besar bahwa cyber-attack akan mengakibatkan infrastruktur sipil tersebut terkena dampaknya, karena di dalam cyber/cyberspace semua aktivitas cyber saling terkoneksi.

Contoh kasus yang pernah terjadi terkait hal ini pada konflik bersenjata antara pasukan Serbia dan pasukan NATO (konflik Kosovo). Pasukan NATO merancang sebuah malware untuk dikirimkan pada sistem jaringan komputer radar di pangkalan udara militer milik Serbia dengan tujuan untuk menyisipkan pesan atau

perintah yang salah dan target yang salah. 142 Cyber-attack mengakibatkan SAM (Surface to Air Missile) atau misil anti pesawat

yang bekerja berdasar perintah radar pangkalan udara tersebut sulit menjejak/mengunci target pesawat tempur NATO yang melintas, malah pesawat sipil komersial milik Serbia diidentifikasikan radar

sebagai pesawat tempur NATO. 143

Cyber-attack pada kasus tersebut menyebabkan suatu sistem persenjataan yang terkoneksi dengan komputer menjadi membabi-

142 Erki Kodar, Applying The Law of Armed Conflict to Cyber Attack: From M art ens Clause to Additional Protocol I , ENDC Proceedings Volume 15 halaman 107 -132.

143 Ibid.

buta. Jika dianalisa, pihak Serbia jelas akan menerima tuduhan telah melakukan serangan yang membabi-buta, yang sebenarnya bukan keinginan mereka melakukan itu melainkan kesalahan sistem komputer persenjataan akibat cyber-attack yang dilakukan NATO.

Dalam Tallinn Manual Rule 43 yang konsepnya berdasarkan Article 51 (4) Protokol Tambahan I Konvensi Jenewa 1949, dikatakan

bahwa: 144

Dilarang menggunakan alat atau cara cyber-warfare yang sifatnya membabi-buta. Alat dan cara cyber-warfare adalah sifatnya membabi-buta ketika itu tidak dapat: (a) diarahkan langsung pada sasaran militer; (b) membatasi akibat seperti yang diatur dalam hukum konflik bersenjata. (It is prohibited to employ means or method of cyber warfare that are indiscriminate by nature. Means or methods of cyber warfare are indiscriminate by nature when they cannot be: (a) directed at a specific military objective; (b) limited in their effects as required by the law of armed conflict ).

Jika berdasarkan ketentuan Rule 43 Tallinn Manual, cyber- attack yang dilakukan NATO adalah serangan yang membabi buta (indiscriminate attack) karena secara sengaja mengirimkan malware yang sebenarnya dapat diperkirakan bahwa akan membahayakan penduduk sipil dan objek sipil (Article 51 (5)(b)). Selain itu senjata berupa malware dalam cyber-attack tersebut tidak dapat membatasi serangannya (uncontrollable effects) pada sasaran militer saja.

144 M ichael N. Schmit t , Op.Cit ., Rule 43, halaman 121.

Prinsip Proporsionalitas (Proportionality Principle) pada Cyber- Warfare

Prinsip proporsionalitas ini dijelaskan pada Article 51 (5)(b) dan Article 57 (2)(iii) Protokol Tambahan I Konvensi Jenewa 1949:

Article 51 (5)(b) Protokol Tambahan I Konvensi Jenewa 1949

“Suatu serangan yang dapat diduga akan menimbulkan kerugian yang tidak perlu berupa jiwa orang-orang sipil, luka- luka dikalangan orang-orang sipil, atau semuanya itu bergabung jadi satu, yang akan merupakan hal yang melampaui batas dibandingkan dengan keuntungan militer yang konkrit dan langsung yang diharapkan sebelumnya.(An attack which may be expected to cause incidental loss of civilian life, injury to civilians, damage to civilian objects, or a combination thereof, which would be excessive in relation to the concrete and direct military advantage anticipated ).

Kemudian dijelaskan lagi pada Article 57 (2)(iii) Protokol Tambahan I Konvensi Jenewa 1949

“Berusaha untuk tidak mengambil keputusan untuk melancarkan suatu serangan yang dapat diduga akan mengakibatkan kerugian yang tidak perlu berupa tewasnya orang-orang sipil, terlukanya orang-orang sipil, rusaknya objek-objek sipil, atau gabungan dari semuanya itu, yang merupakan hal yang berlebih-lebihan dibandingkan dengan keuntungan militer yang nyata dan langsung yang semula diharapkan.”(Refrain from deciding to launch any attack which may be expected to cause incidental loss of civilian life, injury to civilians, damage to civilian object, or a combination thereof, which would be excessive in relation to the concrete and direct military advantage anticipated ).

Menurut prinsip proporsional, setiap serangan dalam suatu operasi militer harus didahului dengan tindakan yang memastikan bahwa serangan tersebut tidak akan menyebabkan korban ikutan di Menurut prinsip proporsional, setiap serangan dalam suatu operasi militer harus didahului dengan tindakan yang memastikan bahwa serangan tersebut tidak akan menyebabkan korban ikutan di

militer yang berimbas langsung akibat serangan tersebut. 145 Contoh nyata dalam suatu konflik bersenjata mengenai prinsip ini misalkan

suatu pemboman jet tempur terhadap sasaran militer yang berada dekat dengan penduduk dan objek sipil, pemboman itu harus dipertimbangkan secara matang-matang oleh komandan militer yang akan melakukan serangan, jangan sampai pemboman itu mengakibatkan penduduk atau objek sipil yang dekat dengan sasaran militer terkena imbasnya.

Para ahli dalam Tallinn Manual berpendapat bahwa tewasnya orang-orang sipil, terlukanya orang-orang sipil, rusaknya objek-objek

146, sipil, atau gabungan dari semuanya itu adalah collateral damage 147 . Selanjutnya para ahli tersebut membedakan menjadi dua collateral

damage ini yaitu akibat langsung (direct effect) dan akibat tidak langsung (indirect effect). 148

Direct effect are the immediate, first order consequences, unaltered by intervening events or mechanisms 149 . By contrast,

indirect effect are the delayed and/or displaced second, third,

145 Ambarw ati dkk, Op.Cit., halaman 44. 146 Collat eral Damage = denoting inadvertent casualties and dest ruct ion in the course of milit ary

operat ions , dikut ip dari Oxford Dict ionaries. Dit erjemahkan menjadi “ menunjukan korban yang t idak sengaja dan kerusakan dalam rangkaian operasi milit er” .

147 M ichael N. Schmit t , Op.Cit ., halaman 132 Nomor 2. 148 Ibid., halaman 133, Nomor 6. 149 Ibid.

and higher order consequences of action, created through intermediate events or mechanisms 150 .

Dipahami akibat langsung adalah akibat yang langsung dirasakan pada saat terjadi serangan, kemudian akibat yang tidak langsung adalah akibat yang tertunda dirasakannya atau merupakan implikasi dari serangan karena berada di dekat objek serangan.

Collateral damage ini merupakan faktor dalam suatu kalkulasi proporsional termasuk dari akibat tidak langsung yang harus diperkirakan oleh para pihak sebelum melakukan serangan dengan melihat perencanaan (planning), persetujuan (approving), dan

pelaksanaan (executing). 151 Dalam konteks cyber-warfare serangan yang mengakibatkan collateral damage misalnya serangan (cyber-

attack ) pada satelit GPS (Global Positioning Satelite), pihak penyerang (attacker) dapat berasumsi satelit tersebut diserang karena merupakan objek/sasaran militer yang memberikan keuntungan efektif pada militer musuh, namun di lain sisi satelit GPS juga digunakan oleh sipil untuk layanan transportasi seperti navigasi pesawat komersial sipil. Maka penyerang sebelum melakukan cyber-attack pada satelit GPS tersebut perlu mempertimbangkan secara proporsional agar tidak menimbulkan collateral damage seperti yang dimaksud diatas.

150 Ibid. 151 Ibid.

Selain planning, approving, dan executing ada tiga hal pokok yang harus diperhatikan terkait prinsip proporsional dalam konteks cyber-warfare , yaitu:

1) Kerentanan (vulnerabilities), merupakan bagian dari sistem komputer yang dapat digunakan oleh penyerang untuk melakukan compromise terhadap satu atau lebih atribut, dengan kata lain hal tersebut merupakan titik lemah dalam suatu komputer atau jaringan

komputer. 152 Kelemahan tersebut dapat secara tidak sengaja muncul dari adanya pengenalan desain-desain sistem komputer

atau adanya kesalahan yang terjadi dalam implementasinya, selain itu kelemahan juga dapat muncul karena adanya kesengajaan. 153

Pada umumnya kerentanan di publikasikan setelah adanya patch 154 yang telah disebarluaskan dan diinstal. Selain itu penyerang juga

dapat menggunakan cacatnya sebuah program atau sistem operasi sebagai sebuah rahasia yang berharga atau yang biasa disebut

sebagai zero day exploit 155 .

2) Akses (access), untuk mengambil keuntungan dari kerentanan yang ada di dalam suatu komputer atau jaringan komputer diperlukan

152 William A. Ow ens, Kennet h W. Dam, Herbert S. Lin, Technology, Policy, Law, and Ethics Regarding US Acquisition and Use of Cyber Attack Capabilities , (Washington DC: Nat ional

Research Council of The Nat ional Academy, 2009), halaman 83. 153 Ibid.

154 Pat ch adalah bagian kecil dari perangkat lunak komput er yang digunakan unt uk memperbaiki kesalahan at au celah yang terdapat di dalam suat u program perangkat lunak at aupun sistem

operasi komput er. 155 Zero Day Exploit adalah sejenis ancaman komput er (computer exploit ) yang mengambil

kesempat an ke at as sat u-sat u kerent anan (vulnerabilit y) sebelum sistem komput er menget ahui adanya kerent anan tersebut.

akses, di dalam hal ini keuntungan terkait dengan cyber-attack. Suatu target yang memiliki persiapan sedikit, akses pada target itu relatif lebih mudah, sebaliknya target yang memiliki persiapan lebih lengkap akan lebih sulit untuk memperoleh aksesnya. Misalnya sistem avionik (on-board avionic) dari jet tempur militer yang tidak terhubung dengan jaringan internet, untuk melakukan cyber-attack pada sistem avionik tersebut dibutuhkan akses terdekat yang dapat memperkenalkan atau menunjukan suatu kerentanan yang dapat dimanfaatkan. Terdapat dua cara untuk memperoleh jalur akses khususnya yang berkaitan dengan cyber- attack yaitu:

a) Remote-access cyber-attack, yaitu metode cyber-attack yang dilancarkan dari jarak tertentu dan dilakukan melalui jaringan internet yang dimanfaatkan sebagai jalur akses.

b) Close access cyber-attack, yaitu cyber-attack dengan memanfaatkan instalasi lokal seperti hardware dan software secara fungsional dengan berhubungan atau memanfaatkan pihak pembuat software dan hardware.

3) Payload adalah istilah yang digunakan terhadap tindakan-tindakan yang dilakukan setelah kerentanan (vulnerabilities) dapat dieksploitasi, seperti program virus yang telah dimasukan ke dalam komputer untuk melakukan berbagai hal seperti merubah atau merusak file dalam komputer tersebut.

Dengan tiga hal pokok tambahan (vulnerabilities, access, dan payload ) dalam kalkulasi proporsional serangan dan ketika hal tersebut dapat dengan mudah diraih oleh salah satu pihak maka setidaknya tindakan yang dinilai atau diperkirakan akan memberikan dampak yang berlebihan haruslah dihindari.