1.1
Sistem Keamanan E-Banking
Menurut Gary Lewis dan Kenneth Thygerson
(Harahap, Khairil Aswan : 52), ada dua jenis sistem keamanan yang dipakai dalam
internet banking, antara lain:
1. Sistem Cryptography
Sistem
ini menggunakan angka-angka yang dikenal dengan kunci (key). Sistem ini disebut
juga dengan sistem sandi. Ada dua tipe cryptography, yaitu simetris dan
asimetris. Pada sistem simestris menggunakan kode kunci yang sama bagi penerima
dan pengirim pesan. Kelemahan dari cryptography simestris adalah kunci ini
harus dikirim pada pihak penerima dan hal ini memungkingkan seseorang untuk
mengganggu di tengah jalan. Sistem cryptography asimetris juga mempunyai kelemahan
yaitu jumlah kecepatan pengiriman data menjadi berkurang karena adanya tambahan
kode. Sistem ini biasanya digunakan untuk mengenali nasabah dan melindungi
informasi finansial nasabah.
2. Sistem Firewall
Firewall
merupakan sistem yang digunakan untuk mencegah pihak-pihak yang tidak diijinkan
untuk memasuki daerah yang dilindungi dalam unit pusat kerja perusahaan.
Firewall berusaha untuk mencegah pihak-pihak yang mencoba masuk tanpa ijin
dengan cara melipatgandakan dan mempersulit hambatan-hambatan yang ada. Namun,
yang perlu diingatkan adalah bahwa sitem firewall ini tidak dapat mencegah
masuknya virus atau gangguan yang berasala dari dalam perusahaan itu sendiri.
Aspek
keamanan komputer mempunyai beberapa lingkup yang penting, yaitu:
a. Privacy & Confidentiality
Hal
yang paling penting dalam aspek ini adalah usaha untuk menjaga data dan
informasi dari pihak yang tidak diperbolehkan mengkasesnya. Privacy lebih
mengarah kepada data-data yang sifatnya privat. Sebagai contoh, email pengguna
yang tidak boleh dibaca admin. Sedangkan confidentiality berhubungan dengan
data yang diberikan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Contohnya, daftar pelanggan sebuah ISP.
b. Integrity
Aspek
ini mengutamakan data atau informasi tidak boleh diakses tanpa seizin
pemiliknya. Sebagai contoh, sebuah email yang dikirim pengirim seharusnya tidak
dapat dibaca orang lain sebelum sampai ke tujuannya.
c. Authentication
Hal
ini menekankan mengenai keaslian suatu data / informasi, termasuk juga pihak
yang memberi data atau mengaksesnya tersebut merupakan pihak yang dimaksud.
Contohnya seperti penggunaan PIN atau password.
d. Availability
Aspek
yang berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sebuah sistem
inofrmasi yang diserang dapat menghambat ketersediaan informasi yang diberikan.
e. Access Control
Aspek
ini berhubungan dengan cara pengaksesan informasi. Hal ini biasanya berhubungan
dengan klasifikasi data (public, private confidential, top secret) & user
(guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy.
Seringkali dilakukan dengan menggunakan kombinasi user ID atau password dengan
metode lain seperti kartu atau biometrics.
f. Non-Repudiation
Hal
ini menekankan agar sebuah pihak tidak dapat menyangkal telah melakukan
transaksi atau pengaksesan data tertentu. Aspek ini sangat penting dalam hal
e-commerce. Sebagai contoh, seseorang yang mengirim email pemesanan barang
tidak dapat disangkal telah mengirim email tersebut.
1.2 Keamanan Internet Banking Mandiri
Aplikasi Internet Banking Mandiri dijamin
kerahasiaan dan keamanannya, dalam hal ini Bank Mandiri menggunakan teknologi
enkripsi Secure Socket Layer (SSL) 128 bit, yang akan melindungi komunikasi
antara komputer nasabah dengan server Bank Mandiri. Untuk menambah keamanan
digunakan metode time out session, dimana setelah 10 menit tanpa aktivitas
Nasabah, maka akses akan tidak aktif lagi.
Selain itu Bank Mandiri akan menjaga
kerahasian data pengguna Internet Banking Mandiri, dan hanya orang tertentu
yang berhak untuk mengakses informasi tersebut untuk digunakan sebagaimana
mestinya (dalam hal ini Bank Mandiri akan selalu mengingatkan karyawan akan
pentingnya menjaga kerahasian data Nasabah). Bank Mandiri tidak akan
memperlihatkan / menjual data tersebut kepada pihak ke tiga.
Bank Mandiri juga tidak secara otomatis mengumpulkan
informasi data pengunjung Internet Banking Mandiri, hanya beberapa informasi
umum yang akan dikumpulkan dan digunakan antara lain :
a.
Nama domain yang akan digunakan Nasabah untuk mengakses
internet.
b.
Internet address yang digunakan untuk mengakses web
site Bank Mandiri.
c.
Browser yang digunakan
d.
Hari, tanggal & waktu mengakses internet
e.
Pilihan yang ditentukan oleh Nasabah untuk memberikan
informasi kepada Bank, antara lain jenis rekening.
Untuk dapat mengakses Internet Banking
Mandiri Nasabah harus memasukkan terlebih dahulu User ID dan PIN, dan untuk
keamanan Nasabah diharuskan memasukkan kembali PIN untuk setiap transaksi yang
bersifat finansial. Mengingat banyaknya variasi internet browser yang ada, dan
internet banking harus mengikuti keamanan masing-masing browser, maka saat ini
Bank Mandiri menyediakan sarana internet banking yang lebih cocok diakses
dengan menggunakan Netscape Communicator 4.7 atau Microsoft Internet Explorer
versi 5 .01 atau versi terakhir.
Internet Banking menggunakan beberapa
metode keamanan terkini seperti:
a.
Penggunaan protokol Hyper Text Transfer Protokol Secure
(HTTPS), yang membuat pengiriman data dari server ke ISP dan klien berupa data
acak yang terenkripsi.
b.
Penggunaan teknologi enkripsi Secure Socket Layer (SSL)
128 bit, dari Verisign. Dengan SSL inilah, transfer data yang terjadi harus
melalui enkripsi SSL pada komunikasi tingkat socket.
c.
Penggunaan user
ID dan PIN untuk login ke layanan Internet Banking ini.
d.
Penggunaan metode time out session, yang menyebabkan
bila setelah 10 menit nasabah tidak melakukan aktivitas apapun, akses tidak
berlaku lagi.
e.
Penggunaan PIN Mandiri untuk setiap aktivitas
perbankan. PIN ini di-generate dari Token PIN Mandiri.
1.3
Penanggulangan
Ancaman pada Sistem Internet Banking Mandiri
Ada usaha pengamanan yang dapat digunakan
untuk meningkatkan tingkat keamanan dan pada saat yang sama meningkatkan
kepercayaan (trust) dari nasabah. Secara teknis sistem dapat diproteksi dengan
menggunakan firewall, Intrusion Detection System (IDS), dan produk cryptography
(untuk encryption dan decryption seperti penggunaan SSL). Selain hal teknis
yang tidak kalah pentingnya adalah usaha untuk meningkatkan awareness (baik
dari pihak management, operator, penyelenggara jasa, sampai ke nasabah),
membuat policy (procedure) yang baik dan mengevaluasi sistem secara berkala.
Penanggulangan potensi penyerangan keamanan
sitem internet banking, diantaranya;
a.
IP spoofing diantisipasi dengan penyaringan oleh
router.
b.
User name spoofing, sistem otentikasi mencegah
seseorang dari berpura-pura menjadi user lain dengan memerlukan sandi untuk
mengakses bank, transmisi semua password terenkripsi, dan menggunakan encrypted
one-time “cookies” untuk mempertahankan state yang telah disahkan.
c.
Upaya untuk Crack Database Otentikasi (Attempts to
Crack Authentication Database), Informasi account pelanggan yang disimpan pada
database server yang terlindungi di belakang firewall dan database tidak dapat
di download dari Internet.
d.
Serangan berbasis web server (Web Server Based
Attacks), Serangan terhadap Netscape Commerce Server adalah digagalkan karena
lingkungan chroot-ed dan karena proses “outside” yang tidak bisa melihat
apa-apa pada proses “inside”. Firewall hanya mengizinkan mail untuk melewati
dan menggunakan SMTP filter. Setiap mesin minimal dikonfigurasi untuk hanya
melakukan tugasnya, dan tidak lebih. Pengamanan di atas pada prinsipnya
merupakan usaha untuk memenuhi aspek keamanan seperti authentication,
confidentiality / privacy, non-repudiation, dan availability. Adanya pengamanan
ini tidak membuat sistem menjadi 100% aman akan tetapi dapat membuat sistem
dipercaya (trusted). Potensi lubang keamanan dapat dianggap sebagai resiko.
Maka masalah ini dapat diubah menjadi masalah risk management.
1.4
Solusi
Alternatif
Untuk mengantisipasi berbagai permasalahan
yang terkait dengan keamanan sistem informasi, maka perlu diimplementasikan
suatu kebijakan dan prosedur pengamanan yang mencakup :
1.
Identifikasi sumber-sumber dan aset-aset yang akan dilindungi
2.
Analisa kemungkinan ancaman dan konsekuensinya.
3.
Perkirakan biaya atau kerugian-kerugian yang dapat
ditimbulkan.
4.
Analisa potensi tindakan penangkal dan biayanya serta
kerugian lainnya.
5.
Mekanisme pengamanan yang sesuai.
6.
Perlu adanya suatu ketentuan yang mengatur perbankan nasional
yang memiliki pusat penyimpanan, pemrosesan data atau informasi dan transaksi
perbankan yang letaknya di luar negeri.
7.
Perlu dibentuk sebuah unit kerja khusus atau divisi
Pengamanan – Pencegahan kejahatan perbankan di dalam struktur Bank / Bank
Indonesia yang fungsinya untuk melakukan penerapan kebijakan pengamanan sistem,
melakukan penelitian untuk pencegahan terhadap ancaman / kejahatan yang sudah
ada maupun yang mungkin terjadi dan melakukan tindakan recovery serta pemantauan
transaksi perbankan selama 24 jam.
8.
Bank Indonesia perlu melakukan audit terhadap sistem
teknologi informasi dan komunikasi yang dilakukan oleh perbankan untuk setiap
kurun waktu tertentu.
9.
Memperketat / mengendalikan dengan cermat akses nasabah
maupun pegawai kejaringan sistem ICT perbankan, agar seluruh pegawai perbankan
mengetahui bahwa mereka juga dipantau.
10.
Perlu adanya ketentuan (Peraturan atau UU) agar perbankan
bertanggung jawab dengan mengganti uang nasabah yang hilang akibat kelemahan
sistem pengamanan ICT perbankan.
11.
Perlu digunakan Perangkat Lunak Komputer Deteksi (software)
untuk aktifitas rekening nasabah agar apabila terjadi kejanggalan transaksi
dapat ditangani dengan cepat.
12.
Perlu sosialisasi aktif dari perbankan kepada masyarakat /
nasabah dan pegawai perbankan mengenai bentuk-bentuk kejahatan yang dapat
terjadi dengan produk / layanan yang disediakannya.
13.
Menambah persyaratan formulir identitas pada waktu pembukaan
rekening baru untuk pemeriksaan pada data base yang menghimpun daftar orang bermasalah
dengan institusi keuangan.
14.
Pihak perbankan harus meningkatkan keamanan Internet Banking
dengan melakukan beberapa hal seperti :
·
Melakukan standarisasi dalam pembuatan aplikasi Internet
Banking.
·
Terdapat panduan apabila terjadi fraud dalam Internet
Banking.
·
Pemberian informasi yang jelas kepada user sedangkan pihak
pemerintah dapat membebankanmasalah keamanan Internet Banking kepada pihak bank
sehingga apabila terjadi fraud dalam suatu nilai tertentu, user dapat
mengajukan klaim.
15.
Khusus perihal beban pembuktian, perlu dipikirkan kemungkinan
untuk menerapkan om kering van bewijslast atau pembuktian terbalik untuk kasus-kasus
cybercrime yang sulit pembuktiannya. Tujuannya
adalah untuk mengadili para carder yang berbelanja dengan menggunakan kartu kredit orang lain secara melawan hukum.
16.
Selain pembaharuan terhadap hukum pidana matriil dan formil,
juga dibutuhkan badan khususuntuk menanggulangi cybercrime yang terdiri atas
penyidik khusus yang bertugas untuk melakukan investigasi bahkan sampai pada tahap
penuntutan.
17.
Mengadakan pelatihan perihal cyber space kepada aparat
penegak hukum yang mutlak dilakukan.
18.
Perlu dibuat suatu kerja sama untuk meningkatkan koordinasi
dan tukar menukar informasi secara online dan ditunjuk contact person dengan
mengikutsertakan berbagai pihak.
19.
Sebaiknya dibuat aturan hukum yang mewajibkan setiap
penyelenggara Internet Banking agar dalam setiap transaksi dari
“siapa pun” dan dari “mana pun” para pihak diharuskan mencantumkan dan diminta memberikan “digital signature atau tanda
tangan elektronik” dalam transaksi online tersebut.
20.
POLRI dan Bank Indonesia harus melakukan beberapa hal penting
yang meliputi :
·
Mengembangkan wadah untuk melakukan hubungan informal untuk
menumbuhkan hubungan formal.
·
Pusat penyebaran ke semua partisipan.
·
Pengkinian (update) data setiap bulan tentang
perkembangan penanganan hukum.
·
Program pertukaran pelatihan.
·
Membuat format website antar pelaku usaha kartu kredit.
·
Membuat pertemuan yang berkesinambungan antar penegak
hukum.Melakukan tukar menukar strategi tertentu dalam mencegah / mengantisipasi
cybercrime di masa depan.
Tidak ada komentar:
Posting Komentar