Perkembangan teknologi informasi, telekomunikasi, dan Internet
menyebabkan mulai munculnya aplikasi bisnis yang berbasis Internet. Salah satu
aplikasi yang mulai mendapat perhatian adalah Internet Banking atau sering juga
disebut e-Banking3. Beberapa statistik menunjukkan naiknya jumlah pelaku e-
Banking di dunia. Di Indonesia sudah ada beberapa pelaku Internet Banking. Salah
satu pelaku yang cukup dikenal di masyarakat adalah layanan �KlikBCA�4 dari BCA.
Salah satu aspek yang sangat penting dalam layanan perbankan adalah
aspek keamanan (security). Sayangnya masalah keamanan ini seringkali terabaikan
(baik secara teknis dan non-teknis) sehingga terjadi beberapa masalah. Di Indonesia
sudah ada beberapa berita mengenai orang yang merasa uangnya dicuri melalui
transaksi Internet Banking. keamanan tidak hanya bergantung
kepada jaringan (network) saja, melainkan juga bergantung kepada operating system
(OS) dan aplikasi (database). Pengamanan yang terfokus pada network saja
(misalnya hanya menggunakan SSL) tanpa melihat secara keseluruhan akan
berakibat fatal.
Adapun beberapa aspek ketersediaan layanan dalam implementasi dari Internet
Banking:
1. Confidentiality
Aspek confidentiality memberi jaminan bahwa data-data tidak dapat disadap oleh
pihak-pihak yang tidak berwenang. Serangan terhadap aspek ini adalah penyadapan
nama account dan PIN dari pengguna Internet Banking. Penyadapan dapat
dilakukan pada sisi terminal (komputer) yang digunakan oleh nasabah atau pada
jaringan (network) yang mengantarkan data dari sisi nasabah ke penyedia jasa
Internet Banking. Penyadapan di sisi komputer dapat dilakukan dengan memasang
program keylogger yang dapat mencatat kunci yang diketikkan oleh pengguna.
Penggunaan keylogger ini tidak terpengaruh oleh pengamanan di sisi jaringan
karena apa yang diketikkan oleh nasabah (sebelum terenkripsi) tercatat dalam
sebuah berkas.
Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer
yang dapat menyadap data-data yang dikirimkan melalui jaringan Internet.
Pengamanan di sisi network dilakukan dengan menggunakan enkripsi. Teknologi
yang umum digunakan adalah Secure Socket Layer (SSL) dengan panjang kunci
128 bit.
Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal
ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah
mengakses Internet Banking dari tempat yang dia tidak kenal atau yang meragukan
integritasnya seperti misalnya warnet yang tidak jelas, maka kemungkinan
penyadapan di sisi terminal dapat terjadi. Untuk itu perlu disosialisasikan untuk
memperhatikan tempat dimana nasabah mengakses Internet Banking. Penggunaan
key yang berubah-ubah pada setiap sesi transaksi (misalnya dengan menggunakan
token generator) dapat menolong. Namun hal ini sering menimbulkan
ketidaknyamanan.
Sisi back-end dari bank sendiri harus diamankan dengan menggunakan Virtual
Private Network (VPN) antara kantor pusat dan kantor cabang. Hal ini dilakukan
untuk menghindari adanya fraud yang dilakukan dari dalam (internal).
2. Integrity
Aspek integrity menjamin integritas data, dimana data tidak boleh berubah atau
diubah oleh pihak-pihak yang tidak berwenang. Salah satu cara untuk memproteksi
hal ini adalah dengan menggunakan checksum, signature, atau certificate.
Mekanisme signature akan dapat mendeteksi adanya perubahan terhadap data.
Selain pendeteksian (dengan menggunakan checksum, misalnya) pengamanan lain
yang dapat dilakukan adalah dengan menggunakan mekanisme logging (pencatatan)
yang ekstensif sehingga jika terjadi masalah dapat dilakukan proses mundur
(rollback).
3. Authentication
Authentication digunakan untuk meyakinkan orang yang mengakses servis dan juga
server (web) yang memberikan servis. Mekanisme yang umum digunakan untuk
melakukan authentication di sisi pengguna biasanya terkait dengan Arsitektur Internet Banking yang terpercaya, Salah satu kesulitan melakukan authentication adalah biasanya kita hanya menggunakan userid/account number dan password/PIN. Keduanya hanya mencakup satu hal saja (yang diketahui) dan mudah disadap. Pembahasan cara pengamanan hal ini ada pada bagian lain.
Sementara itu mekanisme untuk menunjukkan keaslian server (situs) adalah dengan
digital certificate. Sering kali hal ini terlupakan dan sudah terjadi kasus di Indonesia dengan situs palsu, situs palsu akan memiliki sertifikat yang berbeda
dengan situs Internet Banking yang asli.
4. Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan transaksi maka dia
tidak dapat menolak telah melakukan transaksi. Hal ini dilakukan dengan
menggunakan digital signature yang diberikan oleh kripto kunci publik (public key
cryptosystem). Mekanisme konfirmasi (misal melalui telepon) juga merupakan salah
satu cara untuk mengurangi kasus.
Penggunaan logging yang ekstensif juga dapat mendeteksi adanya masalah.
Seringkali logging tidak dilakukan secara ekstensif sehingga menyulitkan pelacakan
jika terjadi masalah. (Akses dari nomor IP berapa? Terminal yang mana? Jam
berapa? Apa saja yang dilakukan?)
5. Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah bank
menggelar layanan Internet Banking dan kemudian tidak dapat menyediakan
layanan tersebut ketika dibutuhkan oleh nasabah, maka nasabah akan
mempertanyakan keandalannya dan meninggalkan layanan tersebut. Bahkan dapat
dimungkinkan nasabah akan pindah ke bank yang dapat memberikan layanan lebih
baik. Serangan terhadap availability dikenal dengan istilah Denial of Service (DoS)
attack. Sayangnya serangan seperti ini mudah dilakukan di Internet dikarenakan
teknologi yang ada saat ini masih menggunakan IP (Internet Protocol) versi 4.
Mekanisme pengamanan untuk menjaga ketersediaan layanan antara lain
menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network
monitoring, Disaster Recovery Plan (DRP), Business Process Resumption. Istilahistilah
ini memang sering membingungkan (dan menakutkan). Mereka adalah teknik
dan mekanisme untuk meningkatkan keandalan.
Sumber: http://www.kaltim prov.go.id
Rabu, 17 Februari 2010
Seputar Security Perbankan Indonesia
Langganan:
Posting Komentar (Atom)
0 comments:
Posting Komentar