Kejahatan Ekonomi dan Teknologi

Thief of Data and Intellectual Property

(Pencurian Data dan Kekayaan Intelektual)

A. Definisi
Informasi adalah aset berharga. Nilai bisnis tidak lagi hanya didasarkan pada aset
berwujud dan pendapatan, entitas harus melindungi properti intelektual mereka. Kekayaan
dapat mencakup ide, desain dan inovasi bisnis apapun yang diungkapkan. Bab ini akan
membahas mengenai kerentanan atas pencurian dan perlindungan atas informasi dan properti
tak berwujud lainnya milik perusahaan.

B. Kompetitif Inteligen vs Mata-mata/Pengintaian

Persaingan dalam bisnis dapat menghasilkan banyak hal positif seperti meningkatkan
inovasi dan penguranganbiaya bagi konsumen, namun adanya lingkungan bisnis yang
kompetitif mendorong suatu organisasi melakukan pengintaian/mata-mata ke perusahaan
lawan sebagai cara untuk mengambil informasi penting atau kekayaan intelektual perusahaan
lawan. Perlu dipahami adanya perbedaan yang tipis antara kompetitif intelijen dan mata-
mata. Intelijen bisnis yaitu kemampuan menganalisis dan mengeksploitasi informasi / data
target/pesaing menjadi pengetahuan yang relevan, akurat, dan dapat digunakan untuk
mengetahui posisi pesaing, kinerja, kemampuan dan tujuan pesaing bisnis. Sedangkan
Pengintaian adalah kegiatan ilegal yang tidak dilakukan oleh inteligen yang sah dengan
kegiatan mengumpulkan informasi dan analisis bisnis secara sembunyi-sembunyi kemudian
membocorkannya melalui berbagai dalih. Pengintaian dikategorikan menjadi dua yaitu
pengintaian tradisional (mata-mata pemerintah dari pihak asing) dan industri (cara ilegal dan
rahasia untuk memperoleh mata informasi untuk tujuan komersial).
Kompetitif inteligen dilakukan secara legal dengan mengamati berbagai proses bisnisnya
seperti pemasaran, penelitian, pengembangan serta strategi bisnis dan disiplin manajemen
pengetahuan. Ini membantu bisnis mengantisipasi penelitian pesaing dan strategi
pengembangan bisnis serta menentukan biaya operasi, kebijakan penetapan harga, kekuatan
keuangan dan kapasitas bisnis perusahaan. Pengetahuan tentang pesaing adalah salah satu
kelebihan yang bisa membantu perusahaan berhasil dan memimpin pasar masing-masing.
Kompetitif inteligen ini telah menjadi industri yang tumbuh dipraktikkan oleh para
profesional dilatih menggunakan sumber daya yang ada untuk mengumpulkan informasi.
Kompetitif inteligen ini merupakan praktisi kerja yang harus memiliki kode etik yang disusun
oleh Society for Competitive Profesional Inteligen (SCIP) yang mana kode etik ini
mengharuskan anggota mengidentifikasi diri mereka selama penyelidikan dan tidak
menggunakan penipuan dalam mengumpulkan informasi.
Hal yang mendorong untuk melakukan pengintaian perusahaan adalah sbb :
1. Sabotase (misalnya : menghancurkan perangkat keras atau fasilitas, memasukkan data
secara tidak benar, sistem macet, menghapus data, menyandera data, menghapus data,
atau mengubah data)
2. Balas dendam untuk mendapatkan keuntungan finansial
3. Keuntungan bisnis
4. Menambah pengetahuan secara ilegal
5. Alasan ideologis
6. Tantangan atau rasa ingin tahu
7. Ego
8. Masuk ke (atau status dalam) group sosial

Hal yang menjadi target pengintaian perusahaan berupa informasi penting apapun pada
organisasi sasaran diantaranya :

1. Kekayaan Intelektual
2. Informasi harga dan strategi
3. Rencana masa depan
4. Data penelitian dan pengembangan bisnis
5. Rencana dan gambar teknik
6. Informasi pelanggan (misal: daftar pelanggan atau informasi tagihan pelanggan)
7. Paten proses bisnis
8. Kode sumber komputer
9. Sistem dan data penawaran
10. Bentuk bisnis
11. Formula
12. Rencana pembuatan dan strategi
13. Pengujian data
14. Status rahasia dagang
15. Hasil survei pelanggan
16. Prototipe
17. Data penelitian
18. Cetak biru dan diagram
19. Dokumen rahasia
20. Catatan teknis
21. Rencana pemasaran
22. Perkiraan penjualan
23. Data keuangan rahasia

C. Dimana profesional Intelijen Mendapatkan Informasi

Profesional intelijen menggunakan berbagai teknik untuk mendapatkan informasi yang
berharga , berikut sumber dasar intelijen kompetitif yaitu :
1. Informasi dari sumber yang terbuka
Informasi sumber terbuka adalah informasi yang didapat dari domain publik.
Berdasarkan Komunitas Intelijen arahan number 301 perusahaan terbuka nasional USA,
informasi sumber terbuka dapat didefinisikan sebagai informasi data yang tersedia untuk
umum. Siapapun bisa memperoleh informasi tersebut secara sah baik dengan cara meminta,
membeli atau melakukan pengamatan (penelitian). Informasi sumber terbuka dapat berupa :
a. Komunikasi media masa, misalnya publikasi internet, artikel koran atau majalah,
radio atau siaran tv.
b. Komputer berbasis informasi
c. Informasi publik yang diakses dan dikelola oleh badan pemerintah
d. Informasi dari sumber profesional dan akademik (journal penelitian)
 e. Informasi yang dihasilkan oleh perusahaan/entitas swasta, pemerintah ataupun
akademisi
Walaupun terbuka, namun ada beberapa informasi sumber terbuka, untuk mengakses
informasi atau data yang bersangkutan dikenakan biaya. Perlu dipahami bahwa informasi
sumber terbuka berbeda dengan informasi nonpublik seperti rahasia dagang yang mana
memiliki hak untuk mengaksesnya. Informasi sumber terbuka memberikan kesempatan bagi
semua orang untuk mendapatkannya. Sedangkan untuk informasi nonpublik tidak
dipublikasikan untuk umum. Akses untuk catatan nonpublik dibatasi. Mendapatkan catatan
nonpublik tanpa izin dari otoritas yang berwenang merupakan termasuk tindakan melanggar
hukum. Menurut profesional intelijen, sebagian besar informasi tentang topik apapun bersifat
terbuka dan tersedia untuk umum.
Terdapat banyak pihak profesional keamanan dapat meminimalisir kemungkinan
informasi terbuka terkait dengan organisasi. Berbagai bentuk informasi seperti laporan
keuangan pada perusahaan terbuka yang mana secara hukum harus menerbitkan informasi
tersebut. Sebagian informasi yang lain seperti deskripsi produk atau daftar pekerjaan yang
diposting diluar kebutuhan bisnis. Pihak profesional keamanan perusahaan tidak beroperasi
pada ruang hampa, kebutuhan untuk melindungi rahasia perusahaan harus selalu seimbang
dengan kebutuhan untuk menyediakan informasi yang terbuka untuk umum.
Profesional intelijen dapat menggunakan informasi sumber terbuka dengan berbagai cara
diantaranya :
a. Memperoleh sebanyak mungkin informasi tentang target
b. Mengumpulkan informasi yang dibutuhkan tantang merencanakan dan melaksanakan
penyerangan
c. Menemukan target
d. Menemukan catatan hukum tentang target
e. Memperoleh informasi keuangan atau hutang dari target
f. Memperoleh informasi pribadi tentang target (misal nama, usia, posisi, kontak
informasi, hobi, daftar telepon, minat, bank dll)
g. Mengungkap riwayat litigasi target
h. Menemukan aset target
i. Melakukan penelitian latar belakang target
2. Pemulung dan Mengambil informasi dari tempat sampah
Profesional intelijen dapat mengais atau melakukan penyelaman untuk informasi sensitif
(misalnya tanda terima kartu kredit, laporan bank atau drive media yang dibuang). Kegiatan
pemungutan ini dengan mengumpulkan informasi (bersifat sensitif) yang tersisa disekitar
sistem komputer (misal dimeja atau berbagai tempat kerja.
3. Pengawasan
Profesional intelijen dapat melakukan pengawasan, pengamatan terencana orang, tempat
atau benda untuk mendapatkan informasi tentang target dengan melakukan pengawasan fisik
atau teknis dengan penjelasan sbb :
a. Pengawasan fisik : adalah pengamatan waktu nyata dari tindakan atau komunikasi
target. Tindakan ini dilakukan dengan cara mengamati dan merekam gerakan target.
Pengawasan semacam itu dapat digunakan untuk mengidentifikasi properti nyata dan
aset lainnya. Targetnya adalah orang-orang yang memiliki informasi berharga seperti
pengacara, akuntan atau bankir, bisnis, pola perilaku dan bentuk-bentuk informasi
 lain yang dapat dieksploitasi untuk tujuan komersial. (Contoh kasus Baswedan). Ada
dua jenis umum dari pengawasan fisik :
 Pengawasan bergerak : pelaku mengawasi target dengan cara menguntit,
mengikuti dan memantau aktivitas atau kegiatan target. Saat melakukan
pengawasan bergerak, profesional intelijen harus fleksibel dan imajinatif.
Misalnya menempatkan garis reflektif di bagian belakang mobil subjek
membuatnya lebih mudah melakukan aksinya dimalam hari. Jika diijinkan secara
hukum, profesional intelijen dapat menempatkan perangkat pelacakan GPS pada
mobil subjek sehingga jalurnya dapat dilacak 24 jam seharu. Juga jika seorang
profesional intelijen mengikuti target ke bar atau restoran, profesional harus
memesan makanan atau minuman sehingga ia dapat berbaur.
 Pengawasan tetap : situasi dimana seseorang secara diam-diam mengamati suatu
daerah atau seorang dari kejauhan, misal melalui pemasangan CCTV. Metode ini
bagaimanapun memiliki kelemahan utama : dasar dari pengawasan dilakukan
dapat dilihat oleh target atau orang lain yang lewat. Maka dari itu para
profesional intelijen harus menyaar kampaye pengawasan tetap dan untuk itu
mereka harus terbiasa dengan lingkungan mereka dan memilih penutup yang
tidak menarik perhatian.
b. Pengawasan teknis : praktik memperoleh data audio, visual atau jenis lain dari target
secara terselubung melalui penggunaan perangkat teknis, prosedur dan teknik.
Namun pengawasan teknis bisa lebih mahal, karena merupakan pengawasan padat
karya, sangat mengganggu dan penuh dengan potensi masalah hukum.
4. Kecerdasan manusia (Human Intelligence)
Profesional intelijen dapat mengumpulkan data melalui kecerdasan manusia (misal,
melalui kontak langsung dengan orang-orang). Seacara umum, kecerdasan manusia
dikumpulkan dari para ahli materi pelajaran dan individu yang memiliki informasi dan
menargetkan individu untuk dapat memberikan informasi yang paling berharga. Misalnya
profesional intelijen dapat mengumpulkan intelijen dengan menyamar sebagai pelanggan
entitas target, mengikuti wawancara kerja (nyata atau palsu), negosiasi perizinan palsu,
menempatkan agen dalam organisasi target. Intelijen menghubungi organisasi seperti
karyawan kompetitor, penjual, pemasok dan pengecer, para konsultan industri ahli dll.
Pendekatan ini mengeksploitasi dua kelemahan budaya perusahaan : (1) semua tenaga
penjualan ingin melakukan penjualan, (2) banyak tenaga penjualan akan melakukan hampir
semua hal untuk melakukan penjualan.
5. Sumber pemerintah
Entitas pemerintah menyimpan banyak informasi, beberapa diantaranya dapat diakses
oleh publik. Dengan demikian, sumber pemerintah dapat menjadi sumber informasi yang
berharga bagi para profesional intelijen. Beberapa sumber informasi pemerintah yang
berharga termasuk pengarsipan dengan asosiasi sekuritas nasional dan pengajuan bisnis :
a. Pengajuan dengan asosiasi sekuritas nasional
Perusahaan yang sahamnya diperdagangkan di bursa saham antara lain diharuskan
oleh hukum untuk mengajukan dokumen tertentu dengan otoritas pengawas sekuritas
dan pengajuan tersebut mungkin berisi informasi berharga. Seringkali pengajuan ini
tersedia untuk umum dan dalam keadaan seperti itu, mereka dapat memberikan
banyak informasi tentang perusahaan pengarsipan, termasuk jenis bisnis, sejarah,
 struktur organisasi, auditor, neraca dan laporan laba rugi. Di USA, perusahaan publik
harus membuat pengajuan pada Securities and Exchange Commission (SEC) dan
pengajuan SEC dapat diperoleh dari EDGAR (Pengumpulan data elektronik, analisis
dan pengambilan).
b. Pengajuan bisnis
Sebagian besar yurisdiksi mengharuskan perusahaan publik, nirlaba dan beberapa
perusahaan swasta menyerahkan pengajuan dokumen keuangan dan berbagai jenis
pengajuan organisasi kepada pemerintah. Pengajuan dokumen ini dapat berisi
informasi berharga misal, pengungkapan properti nyata, kendaraan, peralatan dan
kekayaan intelektual yang terdaftar atas nama organisasi. Pengajuan dokumen bisnis
ini dapat bermanfaat bagi para profesional intelijen untuk mengidentifikasi
perusahaan-perusahaan dalam yurisdiksi dan dapat digunakan untuk memetakan
kepentingan bisnis petugas dan mengungkap koneksi yang kurang diketahui /
tersembunyi antara bisnis.
6. Laporan dan studi Industri
Laporan dan studi industri menyediakan ringkasan penelitian pasar primer dan sekunder
dalam berbagai industri dan banyak dari laporan dan studi ini dapat bermanfaat bagi para
profesional intelijen. Laporan ini dapat memberikan tolok ukur statistik yang menunjukkan
posisi perusahaan dalam industrinya untuk memperkirakan status keuangan perusahaan
target. Selain itu, mereka membantu menggambarkan standar untuk mengevaluasi perusahaan
yang sukses di industri tertentu. Sumber daya dasar untuk laporan dan studi industri adalah
sumber-sumber pemerintah, database komersial dan direktori.
7. Media cetak berkala
Ada ribuan media cetak seperti majalah, jurnal, buletin, direktori, surat kabar dan buku
tahunan yang memberikan informasi tentang bisnis, dan kini informasi surat kabar juga bisa
kita temui dalam bentuk basis data online baik gratis maupun berbayar. Publikasi ini bisa
menjadi sumber informasi yang sangat baik terutama informasi latar belakang tentang
individu atau bisnis.
8. Sumber Online
Profesional intelijen bisa menggunakan internet untuk mendapatkan informasi berharga
tentang entitas target. Banyak sekali informasi yang dapat diakses melalui internet dengan
sedikit biaya atau tanpa biaya.
9. Analisis data
Profesional intelijen dapat menggunakan perangkat lunak analisis data untuk tujuan
intelijen. Fungsi ini dapat dilakukan oleh program perangkat lunak analitis dapat dengan
mudah diterjemahkan ke kebutuhan intelijen bisnis, mengungkapkan pola dan hubungan
antara perusahaan yang berkaitan dengan pengarsipan perusahaan, pencarian pejabat/dewan
direksi, aplikasi hak kekayaan intelektual yang dimiliki entitas. Hal ini dapat menunjukkan
mengenai tempat para ilmuwan utama menjabat seperti direktur, dan tenaga kerja profesional
lain yang berpengaruh dalam entitas tersebut.
10. Iklan pekerjaan
Iklan lowongan pekerjaan dapat berisi informasi berharga seperti keterampilan kerja
yang dibutuhkan oleh perusahaan target dan jumlah karyawan yang ingin dipekerjakan.
Dengan informasi seperti itu, jenis proyek yang sedang dikembangkan, dan dimana
perusahaan mencurahkan sumber daya manusianya. Lowongan pekerjaan juga menunjukkan
informasi terkait gaji karyawan, sehingga hal ini bisa bermanfaat bagi pesaing dalam
merekrut karyawan yang diharapkan dan membantu mengidentifikasi karyawan yang mungin
rentan terhadap taktik rekrutmen karena upah rendah atau tingkat ketidakpuasan karyawan
dengan cara menganalisis informasi tingkat turnover didepartemen tertentu diperusahaan
target.
11. Pernyataan dampak lingkungan
Pernyataan dampak lingkungan diperlukan untuk tindakan tertentu secara signifikan
mempengaruhi kualitas lingkungan manusia dan mengandung sejumlah besar informasi
historis, keuangan dan operasional. Rincian tentang kemungkinan kecelakaan dan tindakan
preventif dan penanganan terkait dampak lingkungan bisa memberikan gambaran yang baik
tentang ukuran dan kemampuan operasional pabrik atau perusahaan. Seringkali informasi
semacam ini dapat digunakan untuk mengidentifikasi tanggal proyek akan dimulai.
12. Dokumen komersial (misal : pengajuan UCC - Uniform Commercial Code)
Dokumen komersial dapat memberikan informasi berharga tentang transaksi bisnis
perusahaan target. Dokumen komersial ini dapat berupa catatan yang dihasilkan bank,
perusahaan pembiayaan dan kreditor yang mungkin menggunakan properti sebagai jaminan
hutang. Para lembaga ini dapat mengidentifikasi properti pribadi yang dibiayai individu atau
bisnis dan mereka dapat memberikan detail operasional dengan menjelaskan peralatan dan
bahan yang telah dibeli atau dijaminkan. Contoh di USA, UCC adalah lembaga yang
mengatur dokumen pengajuan komersial. UCC fillings ini adalah catatan publik yang
mendokumentasikan pinjaman atau sewa yang diperoleh dengan aset aman.

D. Target Favorit Karyawan dari profesional Intelijen

Profesional intelijen dapat mencari karyawan organisasi target selama pencarian
informasi yang berharga. Karyawan yang menjadi target dapat dari berbagai departemen
dalam perusahaan diantaranya sbb :
1. Departemen Penelitian dan Pengembangan (RnD)
Departemen RnD bisa memiliki risiko terhadap para pengintai perusahaan karena nilai
datanya yang penting (eksklusif). Profesional intelijen biasanya melibatkan para karyawan
RnD dalam komunikasi informasi seperti mengajak ikut serta dalam berpartisipasi dalam
pameran dagang, konferensi atau fungsi industri lainnya. Berbagai agenda ini memberikan
kesempatan bagi mata-mata untuk mempelajari detail-detail penting terkit produk atau proyek
hanya dengan mendengarkan presentasi atau mengajukan pernyataan diskusi untuk menggali
informasi penting perusahaan. Para karyawan RnD juga terkadang tidak sengaja memasukkan
rincian informasi sensitif perusahaan kedalam jurnal industri atau media lainnya. Hal ini juga
bisa terjadi pada profesional akademik yang mungkin memilih perusahaan untuk melalukan
penelitian. Apabila perusahaan mempekerjakan seseorang akademisi untuk melakukan
penelitian, manajemen harus memastikan bahwa akademisi tersebut harus mampu
merahasiakan hasilnya. Selain itu manajmeen harus memastikan bahwa penggunaan asisten
pengajar atau mahasiswa magang yang dipekerjakan mampu menjaga persyaratan
kerahasiaan.
2. Departemen Pemasaran
Rencana pemasaran perusahaan dapat memberikan informasi berharga kepada
profesional intelijen mengenai tanggal rilis produk, rencana iklan dan hasil pengujian. Hal ini
memiliki risiko dari pesaing atau oknum yang berniat menjatuhkan perusahaan dengan
menggagalkan keberhasilan atas rencana dan kegiatan operasional perusahaan.
3. Departemen Produksi
Informasi mengenai aktifitas produksi perusahaan dapat menjadi berharga bagi para
pesaingnya dan manajer produksi sering menjadi sumber informasi yang baik bagi para
profesional intelijen atau mata-mata.
4. Departemen Sumber Daya Manusia (HRD)
Profesional intelijen sering memperhatikan berbagai informasi dan postingan mengenai
pekerjaan perusahaan dan informasi lowongan pekerjaan. Para mata-mata berusaha mencoba
mengajukan lamaran kerja dan mengikuti wawancara kerja untuk mempelajari informasi
tambahan tentang perusahaan target dan apa yang terjadi pada pekerjaan itu.
5. Departemen Penjualan
Karyawan di departemen penjualan menjadi sumber informasi yang sangat baik untuk
mengetahui detail produk terkait dan strategi pemasaran dan harga produk
6. Departemen Pembelian
Agar pembelian dapat mengungkapkan produk mana yang paling laris terjual, serta
informasi mengenai pemasok dan biaya pasokan dan layanan perusahaan.

E. Bagaimana Informasi Dicuri

Pelaku / oknum berusaha mencuri informasi dengan berbagai cara dan metode (tidak
semua legal) untuk mendapatkan akses kerahasiaan bisnis organisasi. Berikut ini cara umum
yang menjadikan informasi dapat jatuh ditangan yang salah :
1. Peristiwa kelalaian
Karyawan terkadang tidak sengaja memberikan informasi sensitif karena kelalaian
melalui media sosial, ketika berbicara dengan teman atau saat pihak karyawan, manajer atau
eksekutif yang menyampaikan pidato yang lebih dari seharusnya di konferensi industri.
Selain itu publikasi seperti buletin atau laporan kepada pemegang saham dan pidato atau
makalah yang disajikan pada konferensi dapat menjadi informasi berharga bagi pesaing.
Maka penting bagi karyawan dilatih untuk memahami informasi sensitif mana saja yang
benar-benar tidak boleh diungkapkan sembarangan ke pihak luar perusahaan. Pihak manajer
dan auditor internal harus menerapkan sistem tinjauan lanjutan di mana staf teknis atau
keamanan memeriksa semua pekerjaan sebelum publikasi.
2. Lepas pengawasan dari media fisik
Data sensitif yang sering dimuat dilaptop, flash drive USB, kartu memori, tablet, ponsel,
dan perangkat media portabel lainnya yang semuanya dapat dengan mudah hilang. Penting
agar informasi pada perangkat ini dienkripsi, dilindungi oleh kata sandi dan diaktifkan untuk
menghapusan jarak jauh jika memungkinkan.
3. Prosedur keamanan yang rendah
Untuk memastikan keamanan data dan mencegah kehilangan data yang tidak disengaja,
organisasi harus menggunakan dan memperbarui sistem secara teratur untuk melindungi dan
membuang informasi rahasia. Mengklasifikasikan data, membatasi akses logis dan
memastikan bahwa kebijakan tersedia untuk akses logis dan memastikan bahwa kebijakan
tersedia untuk tren yang muncul adalah semua contoh proses yang dapat diterapkan untuk
menghindari menempatkan informasi sensitif pada risiko yang mungkin terjadi.
4. Membuang dokumen dan media yang tidak tepat
 Profesional intelijen dapat memperoleh informasi sensitif dari dokumen dan media yang
dibuang sembarangan tanpa dihancurkan terlebih dahulu. Selain itu ketika menjual aset
perusahaan atau mengembalikan aset sewaan seperti komputer, perangkat seluler, mesin
fotocopy tanpa terlebih dahulu memastikan bahwa semua data sensitif telah dihapus atau
dibersihkan terlebih dahulu.
5. Tindakan Orang Dalam
Orang yang memiliki akses atau pengetahuan orang dalam tentang suatu organisasi,
mewakili salah satu ancaman terbesar terhadap informasi organisasi dan orang dalam yang
jahat menyebabkan sejumlah besar pelanggaran. Karyawan yang merasa dirugikan atau tidak
puas di tempat kerja dapat membalas dendam dengan menyabotase data perusahaannya. Ada
dua jenis tindakan orang dalam sbb :
a. Mata-mata orang dalam : mata-mata perusahaan akan berusaha mendapatkan
informasi dengan merekrut orang dalam yang ada untuk bertindak sebagai agennya
didalam. Seseorang yang bekerjasama dengan intelijen direkrut oleh perusahaan
target untuk memata-matai perusahaan tersebut dan mengkhianati kepercayaan atasan
yang telah merekrutnya. Cara/teknik yang dilakukan mata-mata pada perusahaan
adalah dengan menyuap, memeras, menggunakan rayuan romantis atau seksual,
mengeksploitasi perasaan sosial atau politik yang kuat, mengadu domba. Salah satu
langkah mengatasinya dengan cara manajemen harus melaporkan setiap upaya
perekrutan yang dicurigai, perusahaan melatih karyawannya untuk selalu waspada
terhadap orang-orang yang mendorong dan membiayai pelayanan karyawan,
mengekspresikan banyak simpati, menawarkan bantuan masalah keuangan dengan
serius, merayu karyawan, dan pemerasan karyawan.
b. Mata-mata yang menjadi karyawan tetap (sleepers) : pelaku pencuri informasi
memiliki minat jangka panjang dalam memonitor perusahaan, ia akan menempatkan
mata-mata diperusahaan target sebagai karyawan tetap. Secara teratur mata-mata
akan melaporkan informasi kepada intelijen tentang operasi perusahaan. Mata-mata
yang terlatih dengan baik akan sulit untuk dideteksi. Sleepers ini adalah orang yang
sengaja ditanam sebagai karyawan tetap perusahaan untuk mengekstrasi informasi.
Perbedaan dengan mata-mata orang dalam bahwa untuk mata-mata orang dalam
adalah karyawan yang ada di organisasi dengan berbagai teknik yang ada telah
membuat suatu kompromi dengan pihak dalam perusahaan lainnya untuk
menyerahkan rahasia perusahaannya kepada profesional intelijen.
6. Infiltrasi fisik
Infiltrasi fisik adalah proses dimana seseorang memasuki organisasi target untuk
memata-matai karyawan organisasi. Salah satu teknik infiltrasi yang umum dilakukan adalah
mengamankan posisi atau berperan sebagai karyawan atau pekerja kontrak dari organisasi
target. Contoh, mata-mata mendapatkan pekerjaan sebagai petugas keamanan atau anggota
kru petugas kebersihan. Teknik infiltrasinya dengan mencuri atau membuat lencana karyawan
milik organisasi target.
Ada beberapa tanda untuk mendeteksi yang menunjukkan adanya mata-mata ditengah
lingkungan perusahaan (kamar, kantor, ruang surat, dok pengiriman, area penyimpanan media
komputer atau area sensitif lainnya) diantaranya :
- Layanan teknisi muncul tanpa dipanggil
 - Adanya laporan karyawan tentang kehilangan lencana keamana, kartu akses, kata
sandi dan sebagainya
- Data informasi sensitif tidak beres
- Meja kerja atau kantor karyawan telah diotak-atik
- Individu mencoba memasuki fasilitas tanpa identifikasi atau otorisasi yang tepat.

- Individu berusaha mendapatkan akses ke area fisik dengan membonceng

(mengeksploitasi asosiasi palsu dengan orang lain yang memiliki akses yang sah ke
area tersebut)
Petugas keamanan akan menerapkan tindakan balasan khusus untuk menggagalkan
upaya mata-mata dalam menyusup ke perusahaan mereka. Langkah penanggulangannya sbb :
- Hindari menyimpan data kepemilikan di area yang terlihat publik
- Membentuk prosedur untuk melacak dan mengunci data sensitif
- Ikatan yang benar dan identifikasi petugas kebersihan dan kontrol akses mereka ke
fasilitas verifikasi kredensial vendor dan meminta perwakian perusahaan mengawal
mereka selama kunjungan dilakukan
- Enkripsi atau proteksi data dan hak milik apapun
- Mendidik karyawan untuk menyimpan data sensitif dengan benar dan
mempertanyakan kredensial siapapun yang mengunjungi situs ini
- Meminta karyawan untuk menandatangani perjanjian kerahasiaan
7. Intelijen transaksional
Pihak intelijen akan memperoleh informasi berharga dengan mengamati hapir semua
transaksi bisnis. Misalnya dokumentasi perjalanan bisnis atau dokumen transaksi pembelian
barang atau jasa, apabila informasi tersebut dikumpulkan bisa memberikan profil luas
mengenai target dan perusahaannya misal hobi para pejabat penting dalam perusahaan
(manajer, dewan direksi dll) yang digunakan untuk menyiapkan pengawasan. Informasi ini
dapat diperoleh melalui agen perjalanan, perusahaan kartu kredit, staf penyedia jaringan
telepon atau internet, karyawan di tempat hiburan (karaoke, club malam) dll yang memiliki
akses ke transaksi transaksional. Hal ini bisa dimanfaatkan para intelijen mata-mata untuk
memperoleh informasi mengenai kebiasaan, hobi, tempat tinggal atau tempat yang biasa
dikunjungi oleh target dalam perusahaan korban. Setelah mata-mata menganalisis pola
kebiasaan target, maka intelijen akan memulai aksinya untuk berusaha melakukan pendekatan
(dengan berbagai macam teknik seperti pendekatan melalui percakapan yang bersahabat atau
melalui pengenalan dengan wanita) yang bertujuan untuk melemahkan dan mendapatkan
informasi penting dan sensitif.
8. Rekayasa sosial
Mata-mata akan menggunakan rekayasa sosial untuk mendorong karyawan target agar
membocorkan informasi sensitif. Rekayasa sosial ini adalah tindakan menggunakan teknik
tipuan untuk memanipulasi orang untuk mengambil tindakan tertentu atau mengungkapkan
informasi. Skema rekayasa sosial ini tidak membutuhkan keahlian khusus seperti teknis
teknologi informasi, namun mata-mata akan melemahkan target melalui psikologis sosial
pada individu bertujuan untuk mendapatkan akses ilegal ke sistem, sehingga mereka akan
melakukan penipuan, penyusupan ke jaringan, mendapatkan akses ke gedung, mencuri
rahasia pihak lain, mencuri identitas atau melakukan tindakan kejahatan lainnnya.
Mengapa penyerangan dengan skema rekayasa sosial bisa berhasil ?. Hal ini karena
rekayasa sosial mengeksploitasi sifat-sifat dasar manusia seperti kecerendungan mempercayai
orang lain, rasa sungkan dengan sesama, keinginan menolong/membantu, keengganan
menolak permintaan, dll.
Bagaimana skema rekayasa sosial bekerja ?. Teknik rekayasa sosial menyerang target
melalui kemungkinan 4 fase diantaranya mengumpulkan kecerdasan (mendapatkan keahlian)
dari target, melakukan jalinan hubungan yang akrab sehingga terbangun kepercayaan,
mendapatkan informasi dengan memanfaatkan hubungan yang terjalin dengan baik. Intelijen
sosial mencari informasi mengenai organisasi target, karyawannya dan kerentanannya untuk
membuat target lebih rentan terhadap manipulasi.
Keterampilan sosial yang perlu dilakukan untuk mendapatkan kepercayaan target
diantaranya ; keterampilan komunikasi, kemampuan beradaptasi, keterampilan hubungan dan
ikatan, keterampilan interogasi (keterampilan mengajukan pertanyaan dan merespons,
keterampilan mempengaruhi orang lain dan keterampilan dalam memanipulasi orang lain.
Setelah intelijen sosial mengumpulkan sejumlah informasi yang tepat tentang target, ia
akan menentukan taktik mana yang paling cocok untuk mencapai tujuan yang diinginkan.
Teknik yang digunakan diantaranya :
 Dalih : tindakan meniru orang lain atau membuat pernyataan yang salah atau
menyesatkan untuk membujuk target untuk mengeluarkan informasi atau melakukan
beberapa tindakan. Intelijen sosial sering terlibat dalam dalih dengan menyamar
sebagai orang yang berwenang, anggota dukungan teknis, seseorang yang memiliki
akses sah ke jaringan target, individu yang membutuhkan bantuan, pegawai
pemerintah dan sebagainya.
 Menepis/mengalihkan perhatian (surfing houlder) : ketika target sedang bekerja dalam
area sensitifnya, maka mata-mata berusaha mengalihkan perhatian target dengan cara
mengajak mengobrol atau meminta tolong dengan sesuatu lain, sehingga target
meninggalkan area sensitif tanpa pengawasan dan kontrol kerahasiaannya, sehingga
pihak mata-mata dapat masuk ke area sensitif tersebut dengan mudah untuk
mendapatkan informasi penting berharga.
 Spam dan email berantai : Intelijen sosial menggunakan spam dan email berantai
untuk melakukan serangannya. Email adalah metode umum yang digunakan dalam
serangan rekayasa sosial karena banyak digunakan dan intelijen akan mengirim email
yang dirancang agar terlihat berasal dari sumber populer dan terpercaya. Dia akan
menyertakan lampiran yang terinfeksi atau tautan yang mengarahkan target ke situs
jahat dalam email tersebut. Intelijen akan tahu bahwa email dengan pesan pribadi
yang menarik akan mendapatkan lebih banyak perhatian daripada email dengan pesan
luas.
 Phishing : skema populer yang melibatkan penipuan bisnis atau individu untuk
memberikan kata sandi, nomor rekening atau data sensitif lainnya dengan mengklaim
secara salah dari bisnis, bank , ISP atau entitas lain yang sebenarnya yang digunakan
oleh target untuk melakukan bisnis.
 Membalikkan rekayasa sosial (penyamaran) : skema rekayasa terbalik, intelijen
membuat target berpikir bahwa intelijen dapat membantu target dengan menyediakan
layanan terkait keamanan. Skema ini melibatkan tiga fase. Pertama, intelijen
menyabotase jaringan target atau membuat target berpikir bahwa jaringan telah
disabotase. Ini dapat dilakukan dengan meluncurkan serangan jaringan terhadap situs
web target atau dengan mengirim email dari alamat email palsu dengan tujuan untuk
 menginfeksi virus jaringan software target. Kedua, intelijen menempatkan diri dalam
posisi untuk membantu target dengan masalah aktual dengan cara mengiklankan
layanan mereka sebagai konsultan keamanan. Namun langkah terkahir, ketika intelijen
bekerja membantu permasalah terkait jaringan target, pada kenyataannya intelijen
tersebut melakukan tindakan kejahatan dalam jaringan komputer.
Setelah intelijen mengumpulkan informasi dan memilih teknik mata-mata, mereka akan
menghubungi target dan berusaha membangun kepercayaan dengan target. Berbagai cara
untuk membangun kepercayaan dengan target mereka diantaranya membuat target mereka
merasa nyaman saat menjalin hubungan komunikasi (mengobrol ringan, menjadi pendengar
yang baik, menunjukkan rasa empati mereka pada target) dan mengalihkan perhatian target.
Intelijen akan membangun kepercayaan dengan menghindari pertanyaan yang
mencurigakan dan sensitif, membangun percakapan untuk menghasut serangkaian
percakapan dengan target. Setelah membangun hubungan dan mendapatkan kepercayaan
target, maka intelijen akan menggali informasi dengan mendorong target mengeluarkan
informasi sekecil apapun secara perlahan (elicit skill) pada akhirnya untuk mencapai tujuan
mereka . Berikut beberapa taktik elisitasi yang umum digunakan oleh intelijen diantaranya ;
 menanggapi ego target (mampu membujuk targetuntuk masuk dalam percakapan
sensitif),
 mengekspresikan kepentingan bersama untuk memperluas hubungan antara intelijen
dan target,
 informasi sukarela (intelijen memberikan informasi yang bermanfaat secara sukarela
kepada target yang akhirnya memicu target merespon informasi yang sama
manfaatnya).
 Membangun rasa saling membantu : intelijen menumbuuhkan rasa tolong-menolong,
misalnya intelijen akan berusaha memecahkan permasalahan orang lain dimana
berharap target juga akan balik membantu dan memberikan informasi sensitif mereka.
 Memanfaatkan perasaan takut target : target yang sedang mengalami ketakutan sering
merasa panik dan tergesa-gesa. Emosi semacam itu akan mempengaruhi logika
penilaian manusia atau intelijen membuat target terjerat dalam masalah. Biasanya
intelijen akan menyamar menjadi orang yang berwenang dan membantu mengatasi
masalah dan rasa ketakutan dengan cara berkompromi yaitu syarat target
memberitahukan informasi sensitif atau memenuhi keinginan intelijen.
Red flag skema rekayasa sosial yang perlu diketahui untuk membantu perusahaan /
entitas agar lebih waspada dengan keberadaan intelijen sbb :
 Orang tersebut akan melakukan permintaan yang tidak biasa / tidak wajar
 Orang tersebut terlihat berbelit-belit dalam menjalin komunikasi/percakapan
 Orang yang pandai menyanjung atau memuji berlebihan
 Berusaha menghindar dalam sebuah meeting atau percakapan yang membahayakan
identitas sebenarnya sang pelaku
 Mengalihkan pembiacaraan atau mematikan telepon secara tiba-tiba dengan alasan
gangguan sinyal ketika membahas topik yang membahayakan identitas sebenarnya
pelaku
 Menjawab pertanyaan yang tidak diajukan
 Menawarkan bantuan untuk permasalahan yang tidak diketahui
 Meminta sesuatu agak terpaksa dan mengatakan bahwa hal tersebut mendesak/penting
  Memberitahukan akan ada konsekuensi yang buruk (dilebih-lebihkan) apabila
permintaan tidak dipenuhi
 Orang tersebut mengaku memiliki minat yang sama dan latar belakang yang sama
 Memberitahukan bahwa permintaan yang dia ajukan telah disetujui oleh manajemen
atau atasannya, namun pada kenyataannya tidak ada perizinan apapun
Setelah diketahui red flags yang mungkin terjadi, maka perlu adanya tindakan preventif
untuk mencegah pelaku melakukan penyerangan dengan skema teknik rekayasa sosial,
diantaranya sbb :
 Perusahaan perlu memiliki kebijakan dan prosedur keamanan yang jelas, khususnya
pada informasi berharga atau area pekerjaan yang sensitif
 Mengadakan pelatihan bagi karyawan mengenai kesadaran akan pentingnya
keamanan konduktor
 Mendidik karyawan dengan memberikan pengetahuan mengenai serangan rekayasa
sosial terkait psikologi dan sifat manusia, sehingga karyawan dapat mengidentifikasi
berbagai serangan sosial dan mewaspadai bagaimana serangan sosial tersebut bekerja,
bagaimana tips pencegahannya, serta memberikan wawasan data apa saja yang
mungkin menjadi target serangan, jenis informasi apa saja yang harus dirahasiakan
dan informasi mana saja yag diizinkan untuk disebarluaskan.
 Memantau dan melakukan pelatihan berkala pada karyawan mengenai pentingnya
menjaga keamanan hingga akan terus diingat oleh karyawan
 Melatih karyawan memverifikasi setiap permintaan pihak lain dengan cara membuat
daftar persyaratan identifikasi minimum yang harus dipenuhi orang yang mengajukan
permintaan, mengajukan pertanyaan identifikasi spesifik, memverifikasi identitas
orang yang mengajukan permintaan,
 Memverifikasi keaslian / kevalidan semua email
 Menghancurkan / merusak semua dokumen-dokumen yang berisi informasi rahasia
setelah tidak digunakan sebelum dibuang
 Memasang password untuk semua penyimpanan data sensitif
 Melatih karyawan mendokumentasikan peristiwa yang mencurigakan
 Melakukan audit internal atau menyelidiki tindakan yang dicurigai termasuk dalam
rekayasa sosial
 Melatih karyawan untuk mengatasi berbagai masalah yang terjadi
 Mengingatkan keamanan saat adanya aktivitas yang mencurigakan