Tulisan yang perlu dibaca...
LATAR BELAKANG
Masyarakat kini telah semakin banyak memanfaatkan Teknologi Informasi
secara intensif di dalam setiap aspek kehidupannya. Pemanfaatan ini
bukan hanya dilakukan oleh masyarakat perkotaan dan kelas sosial
menengah ke atas tetapi untuk jenis teknologi dan media elektronik
tertentu juga telah meluas hingga ke masyarakat pedesaan dan kelas
sosial menengah ke bawah.
Catatan: salah satunya adalah teknologi telepon selular GSM dan CDMA.
Media elektronik sebagai salah satu sarana Teknologi Informasi, tidak
digunakan untuk penyebaran informasi yang bersifat satu arah saja,
namun kini juga menjadi sarana transformasi informasi dan data yang
bersifat interaktif sehingga transaksi sosial ekonomi pun dapat
dilakukan melalui media elektronik. Antara lain misalnya terjadi pada
teknologi telepon, internet dlsb.
Industri perbankan adalah salah satu bidang jasa yang secara ekstensif
menyelenggarakan layanan sdengan memanfaatkan media elektronik
(e-banking). Sebagian besar bank pada saat ini bahkan mengandalkan
Teknologi Informasi dan media elektronik sebagai basis layanannya.
Sehingga layanan perbankan yang diselenggarakannya kini menawarkan
berbagai kemudahan yang dapat dimanfaatkan masyarakat setiap saat dan
dimana saja, tidak dibatasi jarak, ruang dan waktu.
Jenis teknologi (e-banking) dan media elektronik yang digunakan antara
lain adalah:
1. Layanan perbankan online, memungkinkan terjadinya hubungan dan
transaksi antar cabang secara real time (seketika) melalui jaringan
komputer sehingga memudahkan, mempercepat pengelolaan/ manajemen serta
pelayanan. Tidak ada penundaan akibat hambatan komunikasi dan
pertukaran data, informasi transaksi antar cabang. Bahkan antar bank
yang memiliki kerjasama kini juga telah melakukan pertukaran informasi
dan data secara online sehingga memudahkan dan meniadakan hambatan
transaksi antar nasabah yang berbeda bank;
2. Layanan jaringan mesin ATM (Automated Teller Machine), memungkinkan
masyarakat untuk melakukan transaksi perbankan melalui mesin ATM
misalnya untuk pembayaran, pengiriman atau penerimaan, pengambilan
tunai dan penyetoran (terbatas). Mesin ATM tersebar luas di seluruh
Indonesia dan bahkan di seluruh dunia (kerjasama antar penyelenggara
layanan ATM);
3. Layanan jaringan EDC (Electronic Data Capture), memungkinkan
masyarakat untuk melakukan transaksi pembelanjaan/ konsumsi di counter
merchant secara elektronik menggunakan kartu debit atau kartu kredit
maupun kartu tunai (voucher elektronik);
4. Layanan phone banking, memungkinkan masyarakat untuk melakukan
transaksi perbankan melalui telepon. Media elektronik yang serupa
adalah layanan SMS banking/mobile banking untuk mendukung aktivitas dan
mobilitas masyarakat;
5. Layanan internet banking, memungkinkan masyarakat untuk melakukan
transaksi perbankan melalui media jaringan komputer global yaitu
internet;
6. Layanan kartu kredit, kartu cicilan dan untuk pembayaran tunda sejenisnya.
Semua bank nasional pada saat ini telah terhubung secara online dan ada
yang bergabung dengan jaringan kerjasama layanan e-banking lokal maupun
internasional untuk memperluas jaringan dan meningkatkan efisiensi
layanan serta sekaligus meminimalisir biaya operasional dan perawatan.
Misalnya untuk layanan ATM yang kini paling banyak digunakan oleh
nasabah perbankan, pihak bank tidak hanya menyediakan layanan ini
melalui jaringan mesin ATM yang dimiliki sendiri (misalnya BCA 6.000
ATM, Mandiri 3.000 ATM, BNI 3.000 ATM, BRI 4.000 ATM) melainkan juga
bergabung dengan jaringan mesin ATM yang diselenggarakan oleh pihak
lain baik itu lokal (ATM Bersama, 11.000 ATM) dan internasional (Plus,
Cirrus, Alto, Link dll. yang memiliki jutaan ATM di seluruh dunia).
Nasabah pengguna kartu ATM tidak harus tergantung dan melakukan
transaksi dari mesin ATM bank ybs. dapat menggunakan ATM lain yang
memiliki kerjasama dengan bank penerbit asalnya. Biasanya logo jaringan
ATM yang didukung tertera di setiap kartu ATM. Sehingga pengguna bisa
memilih.
Semua bank nasional kini menerbitkan kartu ATM, bahkan beberapa bank
nasional secara otomatis akan memberikan kartu ATM kepada nasabah untuk
setiap pembukaan rekening baru. Diperkirakan pada akhir tahun 2009 di
Indonesia ada sekitar 50 juta pengguna kartu ATM aktif dimana sebagian
besar dari kartu ATM tersebut juga berfungsi sebagai kartu debit (dapat
digunakan sebagai media pembayaran elektronik di merchant pembelanjaan
yang memiliki kerjasama dengan bank).
Semakin luasnya trend pemanfaatan kartu ATM dan kartu kredit sebagai
alat pembayaran mendorong tumbuhnya layanan perbankan lain yang
ditujukan kepada merchant pembayaran yaitu sistem EDC. Sekarang ini di
seluruh dunia sistem EDC telah digunakan di jutaan counter merchant
yang meliputi hampir seluruh jenis transaksi ekonomi yang bersifat
konsumsi baik itu barang maupun jasa.
Kecenderungan lain yang semakin meningkat tajam adalah pemanfaatan
layanan SMS/mobile banking dan internet banking. Mobilitas masyarakat
modern yang semakin tinggi, tersedianya infrastruktur dan semakin
murahnya biaya penggunaan layanan teknologi ini serta aneka kemudahan
yang ditawarkan, seperti tidak diperlukannya kehadiran fisik (orang dan
tanda tangan fisik, alat : kartu dan mesin ATM, mesin EDC) ketika
melakukan suatu transaksi, menjadi daya tarik utama yang menyebabkan
nasabah memilih menggunakan layanan tsb. Pihak merchant pun juga
diuntungkan karena tidak perlu harus memiliki outlet secara fisik,
tidak terbatas ruang dan waktu sehingga operasionalnya efisien.
ASPEK PENGAMANAN
Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa
kemudahan dan manfaat luas yang meningkatkan kualitas kehidupan
manusia, maka layanan perbankan elektronik juga memiliki banyak
kelemahan yang patut diwaspadai dan diantisipasi. Sehingga, teknologi
tersebut tetap dapat dipakai, manfaatnya terus dinikmati oleh umat
manusia namun juga harus ada tanggung jawab, pengawasan dan upaya untuk
memperbaiki kelemahan, menanggulangi permasalahan yang mungkin timbul
serta yang paling penting adalah meningkatkan kesadaran dan menanamkan
pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh
layanan perbankan itu terutama kepada masyarakat luas,
pengguna/nasabah, pemerintah/regulato r, aparat penegak hukum dan
penyelenggara layanan itu sendiri (bank, merchant, operator layanan
pihak ketiga dlsb.). Karena masalah keamanan adalah tanggung jawab
bersama, semua pihak harus turut serta berperan aktif dalam upaya
pengamanan.
Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat
diperlukan. Ada sebuah jargon dalam dunia information security yaitu:
“your security is my security”, artinya semua pihak pasti memiliki
titik kerawanan dan karenanya masing-masing memiliki potensi resiko
yang mungkin dapat dieksploitasi oleh pihak lain yang berniat tidak
baik. Maka apabila terjadi insiden terkait kerawanan itu, seluruh
komponen yang saling terkait harus turut bertanggung jawab untuk
menanggulangi dan meningkatkan upaya meminimalisir resiko serta
mencegah kejadian serupa di masa depan.
Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak
memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan
pada sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah
berhati-hati sekalipun akan dapat menjadi korban apabila bank lalai
atau gagal di dalam pengawasan dan upaya peningkatan pengamanan sistem
secara terus-menerus. Demikian juga apabila aturan dari pemerintah
lemah dan penegak hukum tidak memiliki kemampuan yang memadai untuk
terus mengikuti perkembangan sistem dan teknologi maka ketika terjadi
insiden akan sulit untuk melakukan penindakan terhadap semua pihak yang
seharusnya bertanggung jawab.
Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang
berniat jahat akan selalu memilih celah kerawanan yang paling lemah
sebagai pintu masuk. Sehingga semua pihak turut bertanggung jawab dan
harus saling membantu (bekerjasama) untuk mengawasi, memperbaiki dan
menutup celah tersebut tanpa saling menyalahkan karena justru akan
berakibat melemahkan peran dan potensi setiap pihak dalam upaya
pengamanan bersama. Setiap pihak adalah satu simpul rangkaian rantai
pengamanan dan semua saling bergantung satu sama lain, karenanya semua
sama pentingnya.
TITIK KERAWANAN
Selama beberapa waktu ID-SIRTII telah melakukan kajian terhadap data
kejadian insiden keamanan dan kasus kejahatan terkait layanan perbankan
elektronik di Indonesia. Pada prinsipnya disimpulkan ada beberapa titik
kerawanan yang patut diwaspadai dan diperbaiki sebagai antisipasi di
masa depan.
1. Kerawanan prosedur perbankan. Paling menonjol adalah lemahnya proses
identifikasi dan validasi calon nasabah. Masalah ini bukan sepenuhnya
kesalahan bank, karena di Indonesia belum diterapkan Single Identity
Number (SIM) yang terintegrasi antar departemen terkait pelaksanaan
pelayanan publik, sehingga mudah sekali untuk melakukan pemalsuan
identitas dan mengecoh sistem validasi bank sehingga akhirnya akan
berakibat pada penyalahgunaan rekening, fasilitas dan layanan terkait
dengan nasabah seperti kartu ATM/debit untuk kegiatan kejahatan mulai
fraud (penipuan) hingga ke pencucian uang. Kecenderungannya para pelaku
kejahatan akan memilih untuk sejauh mungkin hanya menggunakan layanan
elektronik saja, menghindari transaksi dan kontak fisik baik dengan
petugas bank maupun korban.
Bentuk kelemahan prosedur lainnya adalah sistem outsourcing di dalam
pemasaran produk perbankan. Banyak sekali terjadi kasus pencurian
identitas calon nasabah dan juga nasabah serta tidak terjaminnya
perlindungan data dan informasi pribadi dalam jangka panjang akan
menjadi titik kerawanan yang paling potensial untuk dimanfaatkan oleh
para pelaku berbagai jenis kejahatan bukan hanya terkait layanan
elektronik perbankan melainkan juga kejahatan lainnya. Pengamatan
ID-SIRTII pada tahun 2009 pada “underground market” menunjukkan bahwa
data identitas nasabah perbankan asal Indonesia cukup banyak
diperjualbelikan.
Kasus paling menonjol terkait pencurian data/bocornya nasabah akibat
kerawanan prosedur pengamanan di perusahaan outsourcing terjadi pada
tahun 2008, ketika 7 juta data rekening kartu kredit dibobol oleh
sindikat pengedar narkotika yang juga melakukan pemalsuan kartu kredit
untuk kepentingan transaksi bisnisnya. Untuk catatan, diperkirakan pada
akhir tahun 2009 kartu kredit yang diterbitkan oleh bank asal Indonesia
jumlahnya sekitar 9 – 11 juta.
Sejumlah kerawanan prosedur lainnya juga dijumpai di dalam sistem
verifikasi untuk layanan SMS/mobile banking dan internet banking.
Nasabah harus memahami cara kerja layanan tsb. dan memperhatikan dengan
cermat setiap transaksi yang terjadi dan melakukan cross check apabila
dijumpai potensi kelemahan dan kesalahan. Harus diperhatikan bahwa
layanan tsb. melibatkan pihak selain bank yaitu operator selular dan
provider internet sehingga kelemahan bisa saja terjadi pada sistem
mereka, bukan pada sistem perbankan. Seharusnya pihak bank, operator
selular dan provider internet harus lebih banyak lagi melakukan
sosialisasi prosedur pengamanan kepada para penggunanya sehingga resiko
terjadinya insiden dapat diminimalisir.
Yang paling mengkhawatirkan dan terbukti paling sering dieksploitasi
oleh pelaku kejahatan adalah kerawanan prosedur pada mesin ATM dan
mesin EDC. Masalahnya adalah minimnya upaya pengawasan bank terhadap
dua sistem tsb. Sehingga nasabah dituntut untuk lebih
berhati-hati/ waspada saat bertransaksi di ATM dan EDC. Bukan hanya
modus eksploitasi yang melibatkan teknologi seperti skimming namun juga
yang konvensional seperti hipnotis serta aneka penipuan via SMS, undian
berhadiah dll. bahkan ada juga nigerian scam. Sangat jarang dijumpai
pesan peringatan (reminder) kepada nasabah maupun upaya peningkatan
sistem pengamanan yang memadai dengan misalnya memasang kamera pengawas
di semua ATM.
2. Kerawanan fisik. Sebagian besar kartu ATM yang digunakan bank saat
ini jenisnya magnetic stripe card yang tidak dilengkapi pengaman chip
(smart card). Kartu jenis ini sangat mudah digandakan. Perangkat
penggandaan dan bahan baku kartu magnetic ini dapat dengan mudah
dijumpai di pasaran dengan harga yang sangat murah. Saat ini baru kartu
kredit saja yang telah diganti dengan jenis smart card sejak Januari
2010 sesuai ketentuan Bank Indonesia. Seharusnya penggantian jenis
kartu dan peningkatan teknologi yang digunakan harus lebih sering
dilakukan karena modus kejahatan pun semakin cepat mengalami perubahan.
Selain jenis smart card, sekarang juga sudah dikembangkan jenis kartu
lain (next generation) yang lebih kuat teknologi pengamanannya seperti
smartcard yang dilengkapi chip RFID, biometrik dlsb. Setiap bank
penyelenggara layanan perbankan elektronik seharusnya menyiapkan road
map untuk secara periodik mengganti jenis kartu dan meningkatkan
keamanan fisiknya.
Standar pengamanan mesin ATM dan EDC juga masih sangat kurang.
Seharusnya mesin ATM dilengkapi dengan sensor, alarm, kamera pengawas
dan berbagai mekanisme pengamanan lainnya. Misalnya penggunaan privacy
screen dengan sudut penglihatan yang sempit, cover untuk melindungi
numeric keypad, anti skimming card reader hole hingga mungkin apabila
diperlukan emergency intercom unit. Dengan teknologi telekomunikasi
berbasis IP yang kini tersedia, semua fasilitas pengamanan itu dapat
diselenggarakan dengan biaya yang murah.
Secara fisik yang perlu diperhatikan adalah keamanan sistem jaringan
yang digunakan oleh layanan tsb. Baik itu SMS/mobile banking ataupun
internet banking pada dasarnya melalui jaringan publik yang
sesungguhnya tidak aman karena dipergunakan oleh masyarakat umum bukan
sebuah saluran independen (private) yang terjamin. Sehingga harus
diperhatikan dan menjadi prioritas utama untuk menerapkan metode
pengamanan virtual, misalnya VPN, SSL (digital signature) dan
penggunaan algoritma enkripsi yang lebih kuat dari waktu ke waktu.
Sosialisasi pengamanan fisik pada sisi nasabah pengguna pun juga harus
dilakukan. Misalnya saat menggunakan akses internet publik yang tidak
terjamin keamanannya seperti di warnet, hotspot, maupun ketika
menggunakan mobile internet. Pengamanan terhadap gadget ketika sering
memanfaatkan SMS/mobile banking, juga harus menjadi perhatian yang
lebih serius. Banyak pengguna gadget tidak menyadari bahwa pelaku
kejahatan menggunakan modus trashing (mencari data sampah yang
tertinggal atau terhapus dari perangkat gadget bekas).
3. Kerawanan aplikasi. Secara teknis, untuk layanan yang sangat kritis
seperti perbankan, proses pengembangan aplikasi yang digunakan
seharusnya mengikuti kaidah yang disebut dengan secure programming dan
dikerjakan oleh ahli programming yang memiliki kemampuan secure
programming ini. Selanjutnya aplikasi ini secara periodik harus
diaudit, dilakukan penetration testing untuk menemukan celah keamanan
dan update untuk menjamin keamanan dan telah ditutupnya kerawanan pada
aplikasi. Audit tidak hanya dilakukan pada sisi aplikasi perbankan
namun juga harus dilakukan pada sistem pihak ketiga yang menjembatani
akses antara bank dengan nasabahnya, yaitu sistem dan jaringan milik
operator selular dan provider internet.
Kelemahan aplikasi sebenarnya adalah sebuah konsekuensi logis yang
mungkin terjadi akibat semakin kompleksnya fitur dan layanan yang
disediakan oleh aplikasi tsb. dalam rangka untuk memenuhi kebutuhan
penggunanya. Sehingga prosedur, pengawasan, kehati-hatian di dalam
setiap proses peningkatan kemampuan aplikasi harus menjadi prioritas
utama implementasi.
Jenis exploitasi aplikasi pun sekarang ini juga semakin meningkat
jumlah dan kualitasnya dan banyak diantaranya yang menggunakan metode
yang semula tidak pernah terpikirkan para pengembang aplikasi untuk
perbankan. Seperti misalnya, serangan tidak lagi dilakuken lewat front
end melainkan melalui celah keamanan back end. Peretas berusaha
membangun suatu saluran backdoor melalui sistem back end bank dengan
cara menyusupkan trojan atau bots ke dalam jaringan internal
perusahaan. Banyak pengembang aplikasi perbankan hanya fokus antisipasi
pengamanan pada sisi front end namun membiarkan sisi back end terbuka
lebar.
4. Kerawanan perilaku. Salah satu penyebab utama terjadinya insiden
keamanan di dalam dunia Teknologi Informasi adalah akibat kelemahan
manusia. Baik itu SDM perbankan, nasabah itu sendiri maupun juga aparat
penegak hukum. Pada sisi perbankan, tidak semua SDM disiplin di dalam
menerapkan prosedur pengamanan. Sedangkan di sisi nasabah upaya
sosialisasi untuk menciptakan kesadaran masih dilakukan secara parsial
dan kasuistis. Seharusnya proses ini dilaksanakan secara paralel dengan
setiap kegiatan marketing dan melekat di dalam setiap produk perbankan
(bukan hanya untuk e-banking saja) dan harus dilaksanakan secara
terus-menerus, karena bank adalah bisnis jasa berbasis kepercayaan
(trust) sehingga isu keamanan seharusnya menempati prioritas tertinggi
yang harus disampaikan kepada nasabah.
Pada prakteknya bank penyelenggarakan e-banking akan menerapkan
prosedur pengamanan pragmatis yang pada dasarnya hanya melindungi
kepentingan bank. Kepentingan nasabah justru tidak terlindungi, semua
resiko harus ditanggung sendiri. Karena dalam setiap insiden bank
menempatkan dirinya juga sebagai korban bukan sebagai penanggung jawab.
Mengakui kelemahan adalah hal tabu yang dianggap akan mencederai
integritas bank dan menurunkan tingkat kepercayaan nasabah. Akibatnya
setiap insiden selalu ditutupi dan nasabah yang lain tidak menyadari
adanya suatu kelemahan yang dapat membayakan kepentingan mereka.
Di negara lain, misalnya Jepang, pemerintah menerapkan aturan yang
mengubah mindset dunia perbankan di dalam mensikapi terjadinya insiden
keamanan. Pemerintah Jepang justru mewajibkan kepada pihak bank yang
mengalami insiden/serangan untuk membuka informasi secara detail bukan
hanya kepada nasabah melainkan juga kepada publik sehingga terjadi
proses pembelajaran dan terbentuk kesadaran terhadap aspek keamanan dan
pengamanan. Sehingga bank lain dapat secepatnya melakukan antisipasi
seandainya memiliki kelemahan serupa. Karena kemanan adalah tanggung
jawab semua pihak, “your security is my security”.
E-banking bukanlah layanan perbankan konvensional, karena yang dilayani
adalah nasabah yang telah hidup di dalam budaya online yang berbeda
paradigma dengan dunia offline. Maka pendekatan yang digunakan di dalam
layanan pun seharusnya mengacu pada budaya online. Misalnya, apabila di
dalam perbankan konvensional, insiden harus ditutupi untuk mencegah
terjadinya resiko lain, seperti rush. Dalam layanan perbankan online
setiap insiden justru harus segera diumumkan secara terbuka karena
akibat dari serangan bisa sangat cepat dan luas sehingga dapat
menimbulkan dampak yang luar biasa karena sifatnya yang online real
time.
Nasabah yang sangat tergantung dan secara intensif telah menggunakan
layanan e-banking, justru akan memberikan apresiasi tinggi apabila bank
memiliki keberanian dan keterbukaan untuk mengungkapkan kelemahan dan
insiden yang dialami. Karena di dalam budaya online, pengakuan adalah
wujud tanggung jawab dan itikad baik dan kecepatan respon adalah isu
krusial. Apabila bank telah mengetahui masalah itu maka tidak
seharusnya menyembunyikan kelemahan tersebut, justru wajib mengumumkan
tindakan terbaik apa yang telah dilakukan untuk mitigasi, recovery dan
pencegahan serta antisipasi di masa datang. Terutama tindakan
pencegahan apa yang perlu dilakukan oleh nasabah, misalnya untuk
menghentikan transaksi sementara waktu. Dengan cara demikian justru
integritas bank cepat dipulihkan karena telah mampu menunjukkan
kecepatan respon, tanggung jawab serta kemampuan mengelola krisis.
Bank juga harus memiliki tim respon insiden yang memiliki kemampuan
menghadapi potensi ancaman, gangguan dan serangan terhadap sistem
elektronik. Tim ini harus selalu siaga dan memantau trend dan modus
kejahatan serta teknologi yang dinamis (cepat berubah). Di masa damai,
tim ini dapat terlibat di dalam kegiatan sosialisasi dan kampanye
kesadaran tentang keamanan dan pengamanan baik secara internal di dalam
bank maupun kepada masyarakat agar lebih memahami problematika dan
dinamika masalah keamanan di dunia perbankan.
Masyarakat pada umumnya dan nasabah pada khususnya harus terus
mendapatkan update, informasi tentang masalah keamanan di dunia
perbankan bahkan bila diperlukan tools untuk mengamankan diri. Bank
harus melakukan kampanye secara umum agar masyarakat dan nasabah paham
adanya ancaman bahaya. Misalnya, harus dijelaskan kondisi di sekitar
mesin ATM dan prosedur serta etika yang sebaiknya diterapkan ketika
memanfaatkan layanan tsb. Contoh: perlunya jarak antrian dalam batas
yang aman agar orang tidak mudah mengintip. Layanan peringatan
(reminder, misalnya via SMS) berupa anjuran untuk mengganti PIN dan
password secara rutin, pesan kewaspadaan terhadap aneka modus penipuan,
hipnotis dlsb. termasuk praktek skimming. Nasabah bahkan tidak pernah
diberikan arahan untuk melakukan observasi kondisi, situasi mesin ATM
dan lingkungan sekitarnya sebelum melakukan transaksi.
Demikian juga dengan nasabah layanan online banking. Update informasi
mengenai modus phising, password hijacking, ancaman penyebaran malware
serta potensi pencurian informasi personal harus dilakukan secara
periodik. Di Indonesia, bank yang memiliki layanan online bahkan tidak
memanfaatkan sarana email untuk berkomunikasi dengan nasabahnya, tidak
menerbitkan newsletter atau mengaktifkan mailing list yang sesungguhnya
bebas biaya. Ini artinya ini menunjukkan bahwa walaupun
menyelenggarakan layanan online, sesungguhnya bank masih menggunakan
paradigma offline. Bahkan di dalam menyampaikan keluhan pun, nasabah
e-banking tetap diminta untuk menghubungi customer service via telepon.
Padahal sangat dimungkinkan untuk pelanggan e-banking menyediakan
layanan customer service via instant messenger dan atau email. Apalagi
di tengah trend dunia yang sudah semakin mobile dan always on. Layanan
dukungan semacam ini sangat menentukan persepsi nasabah dalam mengukur
kemampuan dan tingkat percepatan respon bank di dalam menangani insiden.
5. Kerawanan regulasi dan kelemahan penegakan hukum. Sebagian besar
regulasi perbankan masih menggunakan paradigma konvensional yang
sepenuhnya melindungi kepentingan bank. Regulasi ini sudah saatnya
dirubah, karena arah kegiatan perbankan sekarang yang memasuki era
online dan transaksi elektronik sehingga tanggung jawab pengamanan
menjadi masalah bersama. Bank harus menjadi pihak yang bertanggung
jawab karena posisi sebagai sistem penyelenggara layanan transaksi
elektronik. Peraturan perundangan yang baru sepertu UU No. 11/2008
Tentang ITE juga telah mulai mengatur masalah ini. Di masa depan akan
semakin banyak peraturan yang digolongkan sebagai cyber law ini akan
diberlakukan oleh pemerintah. Sehingga diharapkan ada kepastian hukum
bagi para penyelenggara layanan dan pengguna.
Semangat kerjasama harus menjadi platform dasar di dalam menghadapi
insiden keamanan layanan e-banking. Bank harus terbuka dan secepatnya
memberikan akses pada penegak hukum untuk melakukan investigasi dan
mitigasi. Tidak menghalangi dengan alasan aturan kerahasiaan bank
ataupun prosedur birokrasi. Di dunia online, percepatan tindakan sangat
penting untuk mencegah terjadinya dampak yang lebih luas karena pelaku
dapat beraksi di dalam hitungan waktu yang sangat cepat dan tidak
terbatas jarak, ruang apalagi birokrasi. Petugas yang melakukan
investigasi dan mitigasi pun tidak hanya sekedar harus profesional dan
memiliki keahlian serta pengalaman namun juga harus memiliki integritas
tinggi. Mereka harus diberikan kepercayaan dan kesempatan serta
kewenangan yang luas untuk bekerja.
Karena di dalam dunia elektronik ini, batasan-batasan manajemen dan
birokrasi tidak berlaku. Misalnya seorang peretas yang melakukan
penyusupan dan menyerang sistem elektronik bank mungkin akan berusaha
untuk mencapai hak akses tertinggi di dalam sistem untuk melakukan
cover up (penghapusan jejak) dan tentunya memperoleh keuntungan yang
sebesar-besarnya. Sehingga para penyidik pun harus diberikan otoritas
yang sama ketika mereka bekerja dalam sistem agar bisa melacak dan
mengejar pelaku. Hal seperti ini (otoritas penuh dalam mitigasi dan
investigasi) harus diatur dalam regulasi di dalam sistem perbankan,
bila perlu regulasi BI maupun pemerintah. Di satu sisi masalah
pengawasan dan jaminan integritas juga diperlukan.
Aparat penegak hukum pada umumnya memiliki keterbatasan keahlian,
sumber daya dan juga membutuhkan bantuan pihak ketiga, setidaknya
sebagai pendapat kedua. Karena kejahatan elektronik selalu memiliki dua
sisi yang berbeda. Sisi teknis dan sisi kejahatan itu sendiri. Pada
sisi teknis, kemampuan semacam itu bisa dimiliki oleh siapapun dan
bukan tidak mungkin itu berasal dari kelemahan di dalam sistem itu
sendiri. Sedangkan dari sisi kejahatan memerlukan keahlian penyidikan
dan insting penegak hukum yang memang profesional di bidangnya. Maka
pendekatan terhadap insiden cyber crime pun harus dilakukan sekaligus
dari dua sisi tersebut.
Untuk mendapatkan keahlian tersebut diperlukan sistem pendidikan yang
kredibel, berkualitas dan berkelanjutan. Kemudian harus memiliki jam
terbang untuk mendapatkan pengalaman yang memadai dan pengakuan baik
secara legal formal (misalnya berupa sertifikasi) maupun secara
informal dari komunitas keamanan informasi. Pengakuan formal mudah
didapatkan dengan mengikuti aneka program sertifikasi keahlian.
NPengakuan informal membutuhkan dedikasi dan kontribusi kepada
komunitas dalam jangka panjang. Para aparat penegak hukum cyber crime
harus mampu berdiri di dua sisi tersebut. Apalagi di dalam proses
investigasi nantinya, peran serta komunitas ini akan sangat besar dan
penting. Karena merekalah yang menyediakan jaringan manusia yang
memiliki sumber informasi berharga terkait aktivitas kejahatan itu dan
sekaligus terutama modus, trik dan teknologi yang digunakan.
PROYEKSI KEAMANAN E-BANKING 2010
Di masa depan upaya dan modus kejahatan terhadap layanan perbankan
elektronik akan semakin meningkat terutama yang tidak melibatkan
interaksi fisik (transaksi teller, mesin ATM, EDC) dan tidak
membutuhkan perangkat media transaksi fisik (kartu magnetik/smart card,
token, buku tabungan dlsb.). Sehingga kelemahan dan celah keamanan
aplikasi layanan internet banking serta SMS/mobile banking dan jenis
layanan transaksi online lainnya akan menjadi sasaran utama untuk
dieksploitasi.
Apalagi pengguna selular saat ini telah mencapai setengah dari total
populasi (135 juta), demikian juga pengguna internet meningkat tajam
(35 juta) pada akhir 2009. Sehingga potensi untuk memanfaatkan 2 jenis
layanan perbankan elektronik ini sangat tinggi. Untuk diketahui,
SMS/mobile banking di Indonesia saat ini diperkirakan digunakan oleh 3
juta pengguna aktif. Sedangkan untuk internet banking digunakan oleh
sekitar 1 juta pengguna aktif. Maka pertumbuhan ini akan sangat menarik
perhatian para pelaku kejahatan dan menjadikannya sebagai sasaran baru.
Walaupun pada saat ini jumlah pengguna layanan online banking tersebut
masih terlihat sedikit bila dibandingkan dengan pengguna kartu ATM atau
kartu kredit misalnya, namun sesungguhnya ini juga terkait dengan
strategi marketing bank itu sendiri. Pada prinsipnya bank masih lebih
banyak fokus pada pemasaran produk off line banking atau automated semi
online banking seperti ATM, EDC dan produk pembayaran cerdas seperti
voucher card. Karena alasan tingkat sales transaksi konvensional ini
masih sangat tinggi. Sehingga bank menahan laju pertumbuhan untuk
online banking dengan cara membatasi kekayaan fitur dan kapasitas
pelayanannya. Sehingga online banking pun baru digunakan secara
terbatas dikalangan nasabah dan merchant tertentu. Trend internasional
sesungguhnya tidak bisa dibendung lagi. Sehingga, pada saatnya, sesuai
tuntutan pasar, online banking akan booming.
Ketika booming itu terjadi, maka kasus upaya pencurian data personal
nasabah akan meningkat tajam dan berbagai modus lama maupun baru akan
dilakukan oleh para pelaku. Jebakan phising site akan semakin marak dan
aneka tools/exploit/ malware yang akan digunakan untuk menjebol aplikasi
online banking dan atau menyusup ke dalam jaringan back end dan
memata-matai komputer nasabah juga akan menyebar luas. Sehingga bank,
operator seluler dan provider internet sejak saat ini harus lebih
proaktif di dalam melakukan sosialisasi untuk menciptakan kesadaran
kepada nasabahnya sebagai upaya antisipasi. Selain itu prosedur
internal serta teknologi yang digunakan juga harus terus ditingkatkan.
http://www.idsirtii .or.id/index.php/news/ 2010/01/21/81/mewaspadai-
kejahatan- layanan-perbankan- elektronik-himbauan-kepada-
masyarakat-dan-keterangan- pers.html
No comments:
Post a Comment
Silahkan berkomentar dengan bahasa yang santun...