Upload
noor-rahmat
View
8
Download
0
Embed Size (px)
Citation preview
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 1/17
MEWASPADAIKEJAHATANLAYANANPERBANKANELEKTRONIK(HIMBAUANKEPADAMASYARAKATDANKETERANGANPERS)RatethisarticlePublishedon21-01-201012:04PMNumberofViews:46762CommentsJakarta-MasyarakatkinitelahsemakinbanyakmemanfaatkanTeknologiInformasisecaraintensifdidalamsetiapaspekkehidupannya.Pemanfaataninibukanhanyadilakukanolehmasyarakatperkotaandankelassosialmenengahkeatastetapiuntukjenisteknologidanmediaelektroniktertentujugatelahmeluashinggakemasyarakatpedesaandankelassosialmenengahkebawah.
MediaelektroniksebagaisalahsatusaranaTeknologiInformasi,tidakdigunakanuntukpenyebaraninformasiyangbersifatsatuarahsaja,namunkinijugamenjadisaranatransformasiinformasidandatayangbersifatinteraktifsehinggatransaksisosialekonomipundapatdilakukanmelaluimediaelektronik.Antaralainmisalnyaterjadipadateknologitelepon,internetdlsb.
Industriperbankanadalahsalahsatubidangjasayangsecaraekstensifmenyelenggarakanlayanansdenganmemanfaatkanmediaelektronik(e-banking).SebagianbesarbankpadasaatinibahkanmengandalkanTeknologiInformasidanmediaelektroniksebagaibasislayanannya.Sehinggalayananperbankanyangdiselenggarakannyak
inimenawarkanberbagaikemudahanyangdapatdimanfaatkanmasyarakatsetiapsaatdandimanasaja,tidakdibatasijarak,ruangdanwaktu.
Jenisteknologi(e-banking)danmediaelektronikyangdigunakanantaralainadalah:
1.Layananperbankanonline,memungkinkanterjadinyahubungandantransaksiantarcabangsecararealtime(seketika)melaluijaringankomputersehinggamemudahkan,mempercepatpengelolaan/manajemensertapelayanan.Tidakadapenundaanakibathambatankomunikasidanpertukarandata,informasitransaksiantarcabang.Bahkanantarbankyangmemilikikerjasamakinijugatelahmelakukanpertukaraninformasidandatasecaraonlinesehinggamemudahkandanmeniadakanhambatantransaksiantarnasabahyangberbedabank;
2.LayananjaringanmesinATM(AutomatedTellerMachine),memungkinkanmasyarakatuntukmelakukantransaksiperbankanmelaluimesinATMmisalnyauntukpembayaran,pengirimanataupenerimaan,pengambilantunaidanpenyetoran(terbatas).MesinATMtersebarluasdiseluruhIndonesiadanbahkandiseluruhdunia(kerjasamaantarpenyelenggaralayananATM);3.LayananjaringanEDC(ElectronicDataCapture),memungkinkanmasyarakatuntukmelakukantransaksipembelanjaan/konsumsidicountermerchantsecaraelektronikmenggunakankartudebitataukartukreditmaupunkartutunai(voucherelektronik);4.Layananphonebanking,memungkinkanmasyarakatuntukmelakukantransaksiperbankanmelaluitelepon.MediaelektronikyangserupaadalahlayananSMSbanking/mobilebankinguntukmendukungaktivitasdanmobilitasmasyarakat;5.Layananinternetbanking,memungkinkanmasyarakatuntukmelakukantransaksip
erbankanmelaluimediajaringankomputerglobalyaituinternet;6.Layanankartukredit,kartucicilandanuntukpembayarantundasejenisnya.
Semuabanknasionalpadasaatinitelahterhubungsecaraonlinedanadayangbergabungdenganjaringankerjasamalayanane-bankinglokalmaupuninternasionaluntukmemperluasjaringandanmeningkatkanefisiensilayanansertasekaligusmeminimalisirbiayaoperasionaldanperawatan.
MisalnyauntuklayananATMyangkinipalingbanyakdigunakanolehnasabahperbankan,pihakbanktidakhanyamenyediakanlayananinimelaluijaringanmesinATMy
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 2/17
angdimilikisendiri(misalnyaBCA6.000ATM,Mandiri3.000ATM,BNI3.000ATM,BRI4.000ATM)melainkanjugabergabungdenganjaringanmesinATMyangdiselenggarakanolehpihaklainbaikitulokal(ATMBersama,11.000ATM)daninternasional(Plus,Cirrus,Alto,Linkdll.yangmemilikijutaanATMdiseluruhdunia).
NasabahpenggunakartuATMtidakharustergantungdanmelakukantransaksidarimesinATMbankybs.dapatmenggunakanATMlainyangmemilikikerjasamadenganbankpenerbitasalnya.BiasanyalogojaringanATMyangdidukungterteradisetiapkartuATM.Sehinggapenggunabisamemilih.
SemuabanknasionalkinimenerbitkankartuATM,bahkanbeberapabanknasionalse
caraotomatisakanmemberikankartuATMkepadanasabahuntuksetiappembukaanrekeningbaru.Diperkirakanpadaakhirtahun2009diIndonesiaadasekitar50jutapenggunakartuATMaktifdimanasebagianbesardarikartuATMtersebutjugaberfungsisebagaikartudebit(dapatdigunakansebagaimediapembayaranelektronikdimerchantpembelanjaanyangmemilikikerjasamadenganbank).
SemakinluasnyatrendpemanfaatankartuATMdankartukreditsebagaialatpembayaranmendorongtumbuhnyalayananperbankanlainyangditujukankepadamerchantpembayaranyaitusistemEDC.SekaranginidiseluruhduniasistemEDCtelahdigunakandijutaancountermerchantyangmeliputihampirseluruhjenistransaksiekonomiyangbersifatkonsumsibaikitubarangmaupunjasa.
KecenderunganlainyangsemakinmeningkattajamadalahpemanfaatanlayananSMS/m
obilebankingdaninternetbanking.Mobilitasmasyarakatmodernyangsemakintinggi,tersedianyainfrastrukturdansemakinmurahnyabiayapenggunaanlayananteknologiinisertaanekakemudahanyangditawarkan,sepertitidakdiperlukannyakehadiranfisik(orangdantandatanganfisik,alat:kartudanmesinATM,mesinEDC)ketikamelakukansuatutransaksi,menjadidayatarikutamayangmenyebabkannasabahmemilihmenggunakanlayanantsb.Pihakmerchantpunjugadiuntungkankarenatidakperluharusmemilikioutletsecarafisik,tidakterbatasruangdanwaktusehinggaoperasionalnyaefisien.
ASPEKPENGAMANAN
Sebagaimanateknologilainnya,selainmemilikikelebihanberupakemudahandanmanfaatluasyangmeningkatkankualitaskehidupanmanusia,makalayananperbankan
elektronikjugamemilikibanyakkelemahanyangpatutdiwaspadaidandiantisipasi.Sehingga,teknologitersebuttetapdapatdipakai,manfaatnyaterusdinikmatiolehumatmanusianamunjugaharusadatanggungjawab,pengawasandanupayauntukmemperbaikikelemahan,menanggulangipermasalahanyangmungkintimbulsertayangpalingpentingadalahmeningkatkankesadarandanmenanamkanpemahamantentangresikodaripemanfaatanteknologiyangdigunakanolehlayananperbankanituterutamakepadamasyarakatluas,pengguna/nasabah,pemerintah/regulator,aparatpenegakhukumdanpenyelenggaralayananitusendiri(bank,merchant,operatorlayananpihakketigadlsb.).Karenamasalahkeamananadalahtanggungjawabbersama,semuapihakharusturutsertaberperanaktifdalamupayapengamanan.
Kerjasamasemuapihakyangterkaitpemanfaatanteknologiinisangatdiperlukan.Adasebuahjargondalamduniainformationsecurityyaitu:“yoursecurityismysec
urity”,artinyasemuapihakpastimemilikititikkerawanandankarenanyamasing-masingmemilikipotensiresikoyangmungkindapatdieksploitasiolehpihaklainyangberniattidakbaik.Makaapabilaterjadiinsidenterkaitkerawananitu,seluruhkomponenyangsalingterkaitharusturutbertanggungjawabuntukmenanggulangidanmeningkatkanupayameminimalisirresikosertamencegahkejadianserupadimasadepan.
Misalnya,banktidakmungkinmelakukanpengamananapabilanasabahtidakmemilikipemahamanmengenaikemungkinanresikokerawanandankelemahanpadasistemelektronikyangdigunakan.Sebaliknya,nasabahyangtelahberhati-hatisekalipunakan
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 3/17
dapatmenjadikorbanapabilabanklalaiataugagaldidalampengawasandanupayapeningkatanpengamanansistemsecaraterus-menerus.Demikianjugaapabilaaturandaripemerintahlemahdanpenegakhukumtidakmemilikikemampuanyangmemadaiuntukterusmengikutiperkembangansistemdanteknologimakaketikaterjadiinsidenakansulituntukmelakukanpenindakanterhadapsemuapihakyangseharusnyabertanggungjawab.
Sehinggasemuanyasalingterkait,tidakberdirisendiri.Pihakyangberniatjahatakanselalumemilihcelahkerawananyangpalinglemahsebagaipintumasuk.Sehinggasemuapihakturutbertanggungjawabdanharussalingmembantu(bekerjasama)untukmengawasi,memperbaikidanmenutupcelahtersebuttanpasalingmenyalahk
ankarenajustruakanberakibatmelemahkanperandanpotensisetiappihakdalamupayapengamananbersama.Setiappihakadalahsatusimpulrangkaianrantaipengamanandansemuasalingbergantungsatusamalain,karenanyasemuasamapentingnya.
TITIKKERAWANAN
SelamabeberapawaktuID-SIRTIItelahmelakukankajianterhadapdatakejadianinsidenkeamanandankasuskejahatanterkaitlayananperbankanelektronikdiIndonesia.sPadaprinsipnyadisimpulkanadabeberapatitikkerawananyangpatutdiwaspadaidandiperbaikisebagaiantisipasidimasadepan.
1.Kerawananprosedurperbankan.Palingmenonjoladalahlemahnyaprosesidentifi
kasidanvalidasicalonnasabah.Masalahinibukansepenuhnyakesalahanbank,karenadiIndonesiabelumditerapkanSingleIdentityNumber(SIM)yangterintegrasiantardepartementerkaitpelaksanaanpelayananpublik,sehinggamudahsekaliuntukmelakukanpemalsuanidentitasdanmengecohsistemvalidasibanksehinggaakhirnyaakanberakibatpadapenyalahgunaanrekening,fasilitasdanlayananterkaitdengannasabahsepertikartuATM/debituntukkegiatankejahatanmulaifraud(penipuan)hinggakepencucianuang.Kecenderungannyaparapelakukejahatanakanmemilihuntuksejauhmungkinhanyamenggunakanlayananelektroniksaja,menghindaritransaksidankontakfisikbaikdenganpetugasbankmaupunkorban.
Bentukkelemahanprosedurlainnyaadalahsistemoutsourcingdidalampemasaranprodukperbankan.Banyaksekaliterjadikasuspencurianidentitascalonnasabahdanjuganasabahsertatidakterjaminnyaperlindungandatadaninformasipribadi
dalamjangkapanjangakanmenjadititikkerawananyangpalingpotensialuntukdimanfaatkanolehparapelakuberbagaijeniskejahatanbukanhanyaterkaitlayananelektronikperbankanmelainkanjugakejahatanlainnya.PengamatanID-SIRTIIpadatahun2009pada“undergroundmarket”menunjukkanbahwadataidentitasnasabahperbankanasalIndonesiacukupbanyakdiperjualbelikan.
Kasuspalingmenonjolterkaitpencuriandata/bocornyanasabahakibatkerawananprosedurpengamanandiperusahaanoutsourcingterjadipadatahun2008,ketika7jutadatarekeningkartukreditdibobololehsindikatpengedarnarkotikayangjugamelakukanpemalsuankartukredituntukkepentingantransaksibisnisnya.Untukcatatan,diperkirakanpadaakhirtahun2009kartukredityangditerbitkanolehbankasalIndonesiajumlahnyasekitar9–11juta.
SejumlahkerawananprosedurlainnyajugadijumpaididalamsistemverifikasiuntuklayananSMS/mobilebankingdaninternetbanking.Nasabahharusmemahamicarakerjalayanantsb.danmemperhatikandengancermatsetiaptransaksiyangterjadidanmelakukancrosscheckapabiladijumpaipotensikelemahandankesalahan.Harusdiperhatikanbahwalayanantsb.melibatkanpihakselainbankyaituoperatorselulardanproviderinternetsehinggakelemahanbisasajaterjadipadasistemmereka,bukanpadasistemperbankan.Seharusnyapihakbank,operatorselulardanproviderinternetharuslebihbanyaklagimelakukansosialisasiprosedurpengamanankepadaparapenggunanyasehinggaresikoterjadinyainsidendapatdiminimalisir.
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 4/17
YangpalingmengkhawatirkandanterbuktipalingseringdieksploitasiolehpelakukejahatanadalahkerawananprosedurpadamesinATMdanmesinEDC.Masalahnyaadalahminimnyaupayapengawasanbankterhadapduasistemtsb.Sehingganasabahdituntutuntuklebihberhati-hati/waspadasaatbertransaksidiATMdanEDC.BukanhanyamoduseksploitasiyangmelibatkanteknologisepertiskimmingnamunjugayangkonvensionalsepertihipnotissertaanekapenipuanviaSMS,undianberhadiahdll.bahkanadajuganigerianscam.Sangatjarangdijumpaipesanperingatan(reminder)kepadanasabahmaupunupayapeningkatansistempengamananyangmemadaidenganmisalnyamemasangkamerapengawasdisemuaATM.
2.Kerawananfisik.SebagianbesarkartuATMyangdigunakanbanksaatinijenisnyamagneticstripecardyangtidakdilengkapipengamanchip(smartcard).Kartujenisinisangatmudahdigandakan.Perangkatpenggandaandanbahanbakukartumagneticinidapatdenganmudahdijumpaidipasarandenganhargayangsangatmurah.SaatinibarukartukreditsajayangtelahdigantidenganjenissmartcardsejakJanuari2010sesuaiketentuanBankIndonesia.Seharusnyapenggantianjeniskartudanpeningkatanteknologiyangdigunakanharuslebihseringdilakukankarenamoduskejahatanpunsemakincepatmengalamiperubahan.Selainjenissmartcard,sekarangjugasudahdikembangkanjeniskartulain(nextgeneration)yanglebihkuatteknologipengamanannyasepertismartcardyangdilengkapichipRFID,biometrikdlsb.Setiapbankpenyelenggaralayananperbankanelektronikseharusnyamenyiapkanroadmapuntuksecaraperiodikmenggantijeniskartudanmeningkatkankeamananfisiknya.
StandarpengamananmesinATMdanEDCjugamasihsangatkurang.SeharusnyamesinATMdilengkapidengansensor,alarm,kamerapengawasdanberbagaimekanismepengamananlainnya.Misalnyapenggunaanprivacyscreendengansudutpenglihatanyangsempit,coveruntukmelindunginumerickeypad,antiskimmingcardreaderholehinggamungkinapabiladiperlukanemergencyintercomunit.DenganteknologitelekomunikasiberbasisIPyangkinitersedia,semuafasilitaspengamananitudapatdiselenggarakandenganbiayayangmurah.
Secarafisikyangperludiperhatikanadalahkeamanansistemjaringanyangdigunakanolehlayanantsb.BaikituSMS/mobilebankingataupuninternetbankingpadadasarnyamelaluijaringanpublikyangsesungguhnyatidakamankarenadipergunakanolehmasyarakatumumbukansebuahsaluranindependen(private)yangterjamin.
Sehinggaharusdiperhatikandanmenjadiprioritasutamauntukmenerapkanmetodepengamananvirtual,misalnyaVPN,SSL(digitalsignature)danpenggunaanalgoritmaenkripsiyanglebihkuatdariwaktukewaktu.
Sosialisasipengamananfisikpadasisinasabahpenggunapunjugaharusdilakukan.Misalnyasaatmenggunakanaksesinternetpublikyangtidakterjaminkeamanannyasepertidiwarnet,hotspot,maupunketikamenggunakanmobileinternet.PengamananterhadapgadgetketikaseringmemanfaatkanSMS/mobilebanking,jugaharusmenjadiperhatianyanglebihserius.Banyakpenggunagadgettidakmenyadaribahwapelakukejahatanmenggunakanmodustrashing(mencaridatasampahyangtertinggalatauterhapusdariperangkatgadgetbekas).
3.Kerawananaplikasi.Secarateknis,untuklayananyangsangatkritissepertip
erbankan,prosespengembanganaplikasiyangdigunakanseharusnyamengikutikaidahyangdisebutdengansecureprogrammingdandikerjakanolehahliprogrammingyangmemilikikemampuansecureprogrammingini.Selanjutnyaaplikasiinisecaraperiodikharusdiaudit,dilakukanpenetrationtestinguntukmenemukancelahkeamanandanupdateuntukmenjaminkeamanandantelahditutupnyakerawananpadaaplikasi.Audittidakhanyadilakukanpadasisiaplikasiperbankannamunjugaharusdilakukanpadasistempihakketigayangmenjembataniaksesantarabankdengannasabahnya,yaitusistemdanjaringanmilikoperatorselulardanproviderinternet.
Kelemahanaplikasisebenarnyaadalahsebuahkonsekuensilogisyangmungkinterja
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 5/17
diakibatsemakinkompleksnyafiturdanlayananyangdisediakanolehaplikasitsb.dalamrangkauntukmemenuhikebutuhanpenggunanya.Sehinggaprosedur,pengawasan,kehati-hatiandidalamsetiapprosespeningkatankemampuanaplikasiharusmenjadiprioritasutamaimplementasi.
Jenisexploitasiaplikasipunsekaranginijugasemakinmeningkatjumlahdankualitasnyadanbanyakdiantaranyayangmenggunakanmetodeyangsemulatidakpernahterpikirkanparapengembangaplikasiuntukperbankan.Sepertimisalnya,serangantidaklagidilakukenlewatfrontendmelainkanmelaluicelahkeamananbackend.Peretasberusahamembangunsuatusaluranbackdoormelaluisistembackendbankdengancaramenyusupkantrojanataubotskedalamjaringaninternalperusahaan.
Banyakpengembangaplikasiperbankanhanyafokusantisipasipengamananpadasisifrontendnamunmembiarkansisibackendterbukalebar.
4.Kerawananperilaku.SalahsatupenyebabutamaterjadinyainsidenkeamanandidalamduniaTeknologiInformasiadalahakibatkelemahanmanusia.BaikituSDMperbankan,nasabahitusendirimaupunjugaaparatpenegakhukum.Padasisiperbankan,tidaksemuaSDMdisiplindidalammenerapkanprosedurpengamanan.Sedangkandisisinasabahupayasosialisasiuntukmenciptakankesadaranmasihdilakukansecaraparsialdankasuistis.Seharusnyaprosesinidilaksanakansecaraparaleldengansetiapkegiatanmarketingdanmelekatdidalamsetiapprodukperbankan(bukanhanyauntuke-bankingsaja)danharusdilaksanakansecaraterus-menerus,karenabankadalahbisnisjasaberbasiskepercayaan(trust)sehinggaisukeamananseharusnyamenempatiprioritastertinggiyangharusdisampaikankepadanasabah.
Padaprakteknyabankpenyelenggarakane-bankingakanmenerapkanprosedurpengamananpragmatisyangpadadasarnyahanyamelindungikepentinganbank.Kepentingannasabahjustrutidakterlindungi,semuaresikoharusditanggungsendiri.Karenadalamsetiapinsidenbankmenempatkandirinyajugasebagaikorbanbukansebagaipenanggungjawab.Mengakuikelemahanadalahhaltabuyangdianggapakanmencederaiintegritasbankdanmenurunkantingkatkepercayaannasabah.Akibatnyasetiapinsidenselaluditutupidannasabahyanglaintidakmenyadariadanyasuatukelemahanyangdapatmembayakankepentinganmereka.
Dinegaralain,misalnyaJepang,pemerintahmenerapkanaturanyangmengubahmindsetduniaperbankandidalammensikapiterjadinyainsidenkeamanan.PemerintahJepangjustrumewajibkankepadapihakbankyangmengalamiinsiden/seranganuntuk
membukainformasisecaradetailbukanhanyakepadanasabahmelainkanjugakepadapubliksehinggaterjadiprosespembelajarandanterbentukkesadaranterhadapaspekkeamanandanpengamanan.Sehinggabanklaindapatsecepatnyamelakukanantisipasiseandainyamemilikikelemahanserupa.Karenakemananadalahtanggungjawabsemuapihak,“yoursecurityismysecurity”.
E-bankingbukanlahlayananperbankankonvensional,karenayangdilayaniadalahnasabahyangtelahhidupdidalambudayaonlineyangberbedaparadigmadenganduniaoffline.Makapendekatanyangdigunakandidalamlayananpunseharusnyamengacupadabudayaonline.Misalnya,apabiladidalamperbankankonvensional,insidenharusditutupiuntukmencegahterjadinyaresikolain,sepertirush.Dalamlayananperbankanonlinesetiapinsidenjustruharussegeradiumumkansecaraterbukakarenaakibatdariseranganbisasangatcepatdanluassehinggadapatmenimbulk
andampakyangluarbiasakarenasifatnyayangonlinerealtime.
Nasabahyangsangattergantungdansecaraintensiftelahmenggunakanlayanane-banking,justruakanmemberikanapresiasitinggiapabilabankmemilikikeberaniandanketerbukaanuntukmengungkapkankelemahandaninsidenyangdialami.Karenadidalambudayaonline,pengakuanadalahwujudtanggungjawabdanitikadbaikdankecepatanresponadalahisukrusial.Apabilabanktelahmengetahuimasalahitumakatidakseharusnyamenyembunyikankelemahantersebut,justruwajibmengumumkantindakanterbaikapayangtelahdilakukanuntukmitigasi,recoverydanpencegahansertaantisipasidimasadatang.Terutamatindakanpencegahanapayangperl
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 6/17
udilakukanolehnasabah,misalnyauntukmenghentikantransaksisementarawaktu.Dengancarademikianjustruintegritasbankcepatdipulihkankarenatelahmampumenunjukkankecepatanrespon,tanggungjawabsertakemampuanmengelolakrisis.
Bankjugaharusmemilikitimresponinsidenyangmemilikikemampuanmenghadapipotensiancaman,gangguandanseranganterhadapsistemelektronik.Timiniharusselalusiagadanmemantautrenddanmoduskejahatansertateknologiyangdinamis(cepatberubah).Dimasadamai,timinidapatterlibatdidalamkegiatansosialisasidankampanyekesadarantentangkeamanandanpengamananbaiksecarainternaldidalambankmaupunkepadamasyarakatagarlebihmemahamiproblematikadandinamikamasalahkeamanandiduniaperbankan.
Masyarakatpadaumumnyadannasabahpadakhususnyaharusterusmendapatkanupdate,informasitentangmasalahkeamanandiduniaperbankanbahkanbiladiperlukantoolsuntukmengamankandiri.Bankharusmelakukankampanyesecaraumumagarmasyarakatdannasabahpahamadanyaancamanbahaya.Misalnya,harusdijelaskankondisidisekitarmesinATMdanprosedursertaetikayangsebaiknyaditerapkanketikamemanfaatkanlayanantsb.Contoh:perlunyajarakantriandalambatasyangamanagarorangtidakmudahmengintip.Layananperingatan(reminder,misalnyaviaSMS)berupaanjuranuntukmenggantiPINdanpasswordsecararutin,pesankewaspadaanterhadapanekamoduspenipuan,hipnotisdlsb.termasukpraktekskimming.Nasabahbahkantidakpernahdiberikanarahanuntukmelakukanobservasikondisi,situasimesinATMdanlingkungansekitarnyasebelummelakukantransaksi.
Demikianjugadengannasabahlayananonlinebanking.Updateinformasimengenaimodusphising,passwordhijacking,ancamanpenyebaranmalwaresertapotensipencurianinformasipersonalharusdilakukansecaraperiodik.DiIndonesia,bankyangmemilikilayananonlinebahkantidakmemanfaatkansaranaemailuntukberkomunikasidengannasabahnya,tidakmenerbitkannewsletterataumengaktifkanmailinglistyangsesungguhnyabebasbiaya.Iniartinyainimenunjukkanbahwawalaupunmenyelenggarakanlayananonline,sesungguhnyabankmasihmenggunakanparadigmaoffline.Bahkandidalammenyampaikankeluhanpun,nasabahe-bankingtetapdimintauntukmenghubungicustomerserviceviatelepon.Padahalsangatdimungkinkanuntukpelanggane-bankingmenyediakanlayanancustomerserviceviainstantmessengerdanatauemail.Apalagiditengahtrendduniayangsudahsemakinmobiledanalwayson.Layanandukungansemacaminisangatmenentukanpersepsinasabahdalammengukurkemampuandantingkatpercepatanresponbankdidalammenanganiinsiden.
5.Kerawananregulasidankelemahanpenegakanhukum.Sebagianbesarregulasiperbankanmasihmenggunakanparadigmakonvensionalyangsepenuhnyamelindungikepentinganbank.Regulasiinisudahsaatnyadirubah,karenaarahkegiatanperbankansekarangyangmemasukieraonlinedantransaksielektroniksehinggatanggungjawabpengamananmenjadimasalahbersama.Bankharusmenjadipihakyangbertanggungjawabkarenaposisisebagaisistempenyelenggaralayanantransaksielektronik.PeraturanperundanganyangbarusepertuUUNo.11/2008TentangITEjugatelahmulaimengaturmasalahini.Dimasadepanakansemakinbanyakperaturanyangdigolongkansebagaicyberlawiniakandiberlakukanolehpemerintah.Sehinggadiharapkanadakepastianhukumbagiparapenyelenggaralayanandanpengguna.
Semangatkerjasamaharusmenjadiplatformdasardidalammenghadapiinsidenkeam
ananlayanane-banking.Bankharusterbukadansecepatnyamemberikanaksespadapenegakhukumuntukmelakukaninvestigasidanmitigasi.Tidakmenghalangidenganalasanaturankerahasiaanbankataupunprosedurbirokrasi.Diduniaonline,percepatantindakansangatpentinguntukmencegahterjadinyadampakyanglebihluaskarenapelakudapatberaksididalamhitunganwaktuyangsangatcepatdantidakterbatasjarak,ruangapalagibirokrasi.Petugasyangmelakukaninvestigasidanmitigasipuntidakhanyasekedarharusprofesionaldanmemilikikeahliansertapengalamannamunjugaharusmemilikiintegritastinggi.Merekaharusdiberikankepercayaandankesempatansertakewenanganyangluasuntukbekerja.
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 7/17
Karenadidalamduniaelektronikini,batasan-batasanmanajemendanbirokrasitidakberlaku.Misalnyaseorangperetasyangmelakukanpenyusupandanmenyerangsistemelektronikbankmungkinakanberusahauntukmencapaihakaksestertinggididalamsistemuntukmelakukancoverup(penghapusanjejak)dantentunyamemperolehkeuntunganyangsebesar-besarnya.Sehinggaparapenyidikpunharusdiberikanotoritasyangsamaketikamerekabekerjadalamsistemagarbisamelacakdanmengejarpelaku.Halsepertiini(otoritaspenuhdalammitigasidaninvestigasi)harusdiaturdalamregulasididalamsistemperbankan,bilaperluregulasiBImaupunpemerintah.Disatusisimasalahpengawasandanjaminanintegritasjugadiperlukan.
Aparatpenegakhukumpadaumumnyamemilikiketerbatasankeahlian,sumberdayadanjugamembutuhkanbantuanpihakketiga,setidaknyasebagaipendapatkedua.Karenakejahatanelektronikselalumemilikiduasisiyangberbeda.Sisiteknisdansisikejahatanitusendiri.Padasisiteknis,kemampuansemacamitubisadimilikiolehsiapapundanbukantidakmungkinituberasaldarikelemahandidalamsistemitusendiri.Sedangkandarisisikejahatanmemerlukankeahlianpenyidikandaninstingpenegakhukumyangmemangprofesionaldibidangnya.Makapendekatanterhadapinsidencybercrimepunharusdilakukansekaligusdariduasisitersebut.
Untukmendapatkankeahliantersebutdiperlukansistempendidikanyangkredibel,berkualitasdanberkelanjutan.Kemudianharusmemilikijamterbanguntukmendapatkanpengalamanyangmemadaidanpengakuanbaiksecaralegalformal(misalnyaberupasertifikasi)maupunsecarainformaldarikomunitaskeamananinformasi.Peng
akuanformalmudahdidapatkandenganmengikutianekaprogramsertifikasikeahlian.NPengakuaninformalmembutuhkandedikasidankontribusikepadakomunitasdalamjangkapanjang.Paraaparatpenegakhukumcybercrimeharusmampuberdirididuasisitersebut.Apalagididalamprosesinvestigasinantinya,peransertakomunitasiniakansangatbesardanpenting.Karenamerekalahyangmenyediakanjaringanmanusiayangmemilikisumberinformasiberhargaterkaitaktivitaskejahatanitudansekaligusterutamamodus,trikdanteknologiyangdigunakan.
PROYEKSIKEAMANANE-BANKING2010
Dimasadepanupayadanmoduskejahatanterhadaplayananperbankanelektronikakansemakinmeningkatterutamayangtidakmelibatkaninteraksifisik(transaksiteller,mesinATM,EDC)dantidakmembutuhkanperangkatmediatransaksifisik(ka
rtumagnetik/smartcard,token,bukutabungandlsb.).SehinggakelemahandancelahkeamananaplikasilayananinternetbankingsertaSMS/mobilebankingdanjenislayanantransaksionlinelainnyaakanmenjadisasaranutamauntukdieksploitasi.
Apalagipenggunaselularsaatinitelahmencapaisetengahdaritotalpopulasi(135juta),demikianjugapenggunainternetjugameningkattajam(35juta)padaakhir2009.Sehinggapotensiuntukmemanfaatkan2jenislayananperbankanelektronikinisangattinggi.Untukdiketahui,SMS/mobilebankingdiIndonesiasaatinidiperkirakandigunakanoleh3jutapenggunaaktif.Sedangkanuntukinternetbankingdigunakanolehsekitar1jutapenggunaaktif.Makapertumbuhaniniakansangatmenarikperhatianparapelakukejahatandanmenjadikannyasebagaisasaranladangyangbaru.
WalaupunpadasaatinijumlahpenggunalayananonlinebankingtersebutmasihterlihatsedikitbiladibandingkandenganpenggunakartuATMataukartukreditmisalnya,namunsesungguhnyainijugaterkaitdenganstrategimarketingbankitusendiri.PadaprinsipnyabankmasihlebihbanyakfokuspadapemasaranprodukofflinebankingatauautomatedsemionlinebankingsepertiATM,EDCdanprodukpembayarancerdassepertivouchercard.Karenaalasantingkatsalestransaksikonvensionalinimasihsangattinggi.Sehinggabankmenahanlajupertumbuhanuntukonlinebankingdengancaramembatasikekayaanfiturdankapasitaspelayanannya.Sehinggaonlinebankingpunbarudigunakansecaraterbatasdikalangannasabahdanmer
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 8/17
chanttertentu.Trendinternasionalsesungguhnyatidakbisadibendunglagi.Sehingga,padasaatnya,sesuaituntutanpasaronlinebankingakanbooming.
Ketikaboomingituterjadi,makakasusupayapencuriandatapersonalnasabahakanmeningkattajamdanberbagaimoduslamamaupunbaruakandilakukanolehparapelaku.Jebakanphisingsiteakansemakinmarakdananekatools/exploit/malwareyangakandigunakanuntukmenjebolaplikasionlinebankingdanataumenyusupkedalamjaringanbackenddanmemata-mataikomputernasabahjugaakanmenyebarluas.Sehinggabank,operatorselulerdanproviderinternetsejaksaatiniharuslebihproaktifdidalammelakukansosialisasiuntukmenciptakankesadarankepadanasabahnyasebagaiupayaantisipasi.Selainituprosedurinternalsertateknologi
yangdigunakanjugaterusditingkatkan.V
TantanganlayananelektronikdalamperkembanganduniaMasadepanlayananelektroniksangatterangtetapitetapmemilikibeberapatanta
ngan.Adabeberapatantangandalamlayananelektronik,sepertiyangdiidentifikasiolehSheth&Sharma(2007)[21]adalah: RendahnyapenetrasiTIKterutamadinegara-negaraberkembang; PenipuandiruanginternetyangdiperkirakansekitarUSD2.8billion Privasikarenamunculnyaberbagaijenisspywaredan Karakteristikmengganggulayanan(misalnyaberbasisteleponselular)sebagaiangganmungkintidaksukadihubungidenganpenyedialayanansetiapsaatdandisetiaptempat.Tantanganpertamadankendalautamauntukplatformlayananelektronikterhadappenetrasiinternet.Dibeberapanegaraberkembang,akseskeinternetterbatasdankecepatanjugaterbatas.Dalamkasusiniperusahaan-perusahaandanpelangganakanterusmenggunakanplatformtradisional.Isukeduayangmenjadiperhatianadalahpenipuandiinternet.Halinidiantisipasibahwapenipuandibisniselektron
ikbiayainternetruang$2,8miliar.Kemungkinanpenipuanakanterusmengurangipemanfaataninternet.Isuketigaadalahprivasi.Karenabaikspywaredanlubangkeamanandalamsistemoperasi,adakekhawatiranbahwakonsumenmelakukantransaksiyangmemilikiketerbatasanprivasi.Misalnya,dengandiam-diammengikutiaktivitasonline,perusahaandapatmengembangkandeskripsiyangcukupakuratmengenaiprofilpelanggan.Kemungkinanpelanggaranprivasiakanmengurangipemanfaataninternet.Masalahterakhiradalahbahwalayananelektronikjugabisamengganggukarenalayananelektronikmengurangihambatanwaktudanlokasilaindarikontrak.Sebagaicontoh,perusahaandapatmenghubungiorangmelaluiperangkattelepongenggamsetiapsaatdandisetiaptempat.Pelanggantidakmengambilsepertiperilakumengganggudantidakbolehmenggunakanplatformlayananelektronik.(Heinerdanlyer,2007)[22]
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 9/17
MEWASPADAIKEJAHATANLAYANANPERBANKANELEKTRONIK(HIMBAUANKEPADAMASYARAKATDANKETERANGANPERS)RatethisarticlePublishedon21-01-201012:04PMNumberofViews:46762CommentsJakarta-MasyarakatkinitelahsemakinbanyakmemanfaatkanTeknologiInformasisecaraintensifdidalamsetiapaspekkehidupannya.Pemanfaataninibukanhanya
dilakukanolehmasyarakatperkotaandankelassosialmenengahkeatastetapiuntukjenisteknologidanmediaelektroniktertentujugatelahmeluashinggakemasyarakatpedesaandankelassosialmenengahkebawah.
MediaelektroniksebagaisalahsatusaranaTeknologiInformasi,tidakdigunakanuntukpenyebaraninformasiyangbersifatsatuarahsaja,namunkinijugamenjadisaranatransformasiinformasidandatayangbersifatinteraktifsehinggatransaksisosialekonomipundapatdilakukanmelaluimediaelektronik.Antaralainmisalnyaterjadipadateknologitelepon,internetdlsb.
Industriperbankanadalahsalahsatubidangjasayangsecaraekstensifmenyeleng
garakanlayanansdenganmemanfaatkanmediaelektronik(e-banking).SebagianbesarbankpadasaatinibahkanmengandalkanTeknologiInformasidanmediaelektroniksebagaibasislayanannya.Sehinggalayananperbankanyangdiselenggarakannyakinimenawarkanberbagaikemudahanyangdapatdimanfaatkanmasyarakatsetiapsaatdandimanasaja,tidakdibatasijarak,ruangdanwaktu.
Jenisteknologi(e-banking)danmediaelektronikyangdigunakanantaralainadalah:
1.Layananperbankanonline,memungkinkanterjadinyahubungandantransaksiantarcabangsecararealtime(seketika)melaluijaringankomputersehinggamemudahkan,mempercepatpengelolaan/manajemensertapelayanan.Tidakadapenundaanakibathambatankomunikasidanpertukarandata,informasitransaksiantarcabang.Bah
kanantarbankyangmemilikikerjasamakinijugatelahmelakukanpertukaraninformasidandatasecaraonlinesehinggamemudahkandanmeniadakanhambatantransaksiantarnasabahyangberbedabank;2.LayananjaringanmesinATM(AutomatedTellerMachine),memungkinkanmasyarakatuntukmelakukantransaksiperbankanmelaluimesinATMmisalnyauntukpembayaran,pengirimanataupenerimaan,pengambilantunaidanpenyetoran(terbatas).MesinATMtersebarluasdiseluruhIndonesiadanbahkandiseluruhdunia(kerjasamaantarpenyelenggaralayananATM);3.LayananjaringanEDC(ElectronicDataCapture),memungkinkanmasyarakatuntukmelakukantransaksipembelanjaan/konsumsidicountermerchantsecaraelektronikmenggunakankartudebitataukartukreditmaupunkartutunai(voucherelektronik);4.Layananphonebanking,memungkinkanmasyarakatuntukmelakukantransaksiperb
ankanmelaluitelepon.MediaelektronikyangserupaadalahlayananSMSbanking/mobilebankinguntukmendukungaktivitasdanmobilitasmasyarakat;5.Layananinternetbanking,memungkinkanmasyarakatuntukmelakukantransaksiperbankanmelaluimediajaringankomputerglobalyaituinternet;6.Layanankartukredit,kartucicilandanuntukpembayarantundasejenisnya.
Semuabanknasionalpadasaatinitelahterhubungsecaraonlinedanadayangbergabungdenganjaringankerjasamalayanane-bankinglokalmaupuninternasionaluntukmemperluasjaringandanmeningkatkanefisiensilayanansertasekaligusmeminimalisirbiayaoperasionaldanperawatan.
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 10/17
MisalnyauntuklayananATMyangkinipalingbanyakdigunakanolehnasabahperbankan,pihakbanktidakhanyamenyediakanlayananinimelaluijaringanmesinATMyangdimilikisendiri(misalnyaBCA6.000ATM,Mandiri3.000ATM,BNI3.000ATM,BRI4.000ATM)melainkanjugabergabungdenganjaringanmesinATMyangdiselenggarakanolehpihaklainbaikitulokal(ATMBersama,11.000ATM)daninternasional(Plus,Cirrus,Alto,Linkdll.yangmemilikijutaanATMdiseluruhdunia).
NasabahpenggunakartuATMtidakharustergantungdanmelakukantransaksidarimesinATMbankybs.dapatmenggunakanATMlainyangmemilikikerjasamadenganbankpenerbitasalnya.BiasanyalogojaringanATMyangdidukungterteradisetiapk
artuATM.Sehinggapenggunabisamemilih.
SemuabanknasionalkinimenerbitkankartuATM,bahkanbeberapabanknasionalsecaraotomatisakanmemberikankartuATMkepadanasabahuntuksetiappembukaanrekeningbaru.Diperkirakanpadaakhirtahun2009diIndonesiaadasekitar50jutapenggunakartuATMaktifdimanasebagianbesardarikartuATMtersebutjugaberfungsisebagaikartudebit(dapatdigunakansebagaimediapembayaranelektronikdimerchantpembelanjaanyangmemilikikerjasamadenganbank).
SemakinluasnyatrendpemanfaatankartuATMdankartukreditsebagaialatpembayaranmendorongtumbuhnyalayananperbankanlainyangditujukankepadamerchantpembayaranyaitusistemEDC.SekaranginidiseluruhduniasistemEDCtelahdigunakandijutaancountermerchantyangmeliputihampirseluruhjenistransaksieko
nomiyangbersifatkonsumsibaikitubarangmaupunjasa.
KecenderunganlainyangsemakinmeningkattajamadalahpemanfaatanlayananSMS/mobilebankingdaninternetbanking.Mobilitasmasyarakatmodernyangsemakintinggi,tersedianyainfrastrukturdansemakinmurahnyabiayapenggunaanlayananteknologiinisertaanekakemudahanyangditawarkan,sepertitidakdiperlukannyakehadiranfisik(orangdantandatanganfisik,alat:kartudanmesinATM,mesinEDC)ketikamelakukansuatutransaksi,menjadidayatarikutamayangmenyebabkannasabahmemilihmenggunakanlayanantsb.Pihakmerchantpunjugadiuntungkankarenatidakperluharusmemilikioutletsecarafisik,tidakterbatasruangdanwaktusehinggaoperasionalnyaefisien.
ASPEKPENGAMANAN
Sebagaimanateknologilainnya,selainmemilikikelebihanberupakemudahandanmanfaatluasyangmeningkatkankualitaskehidupanmanusia,makalayananperbankanelektronikjugamemilikibanyakkelemahanyangpatutdiwaspadaidandiantisipasi.Sehingga,teknologitersebuttetapdapatdipakai,manfaatnyaterusdinikmatiolehumatmanusianamunjugaharusadatanggungjawab,pengawasandanupayauntukmemperbaikikelemahan,menanggulangipermasalahanyangmungkintimbulsertayangpalingpentingadalahmeningkatkankesadarandanmenanamkanpemahamantentangresikodaripemanfaatanteknologiyangdigunakanolehlayananperbankanituterutamakepadamasyarakatluas,pengguna/nasabah,pemerintah/regulator,aparatpenegakhukumdanpenyelenggaralayananitusendiri(bank,merchant,operatorlayananpihakketigadlsb.).Karenamasalahkeamananadalahtanggungjawabbersama,semuapihakharusturutsertaberperanaktifdalamupayapengamanan.
Kerjasamasemuapihakyangterkaitpemanfaatanteknologiinisangatdiperlukan.Adasebuahjargondalamduniainformationsecurityyaitu:“yoursecurityismysecurity”,artinyasemuapihakpastimemilikititikkerawanandankarenanyamasing-masingmemilikipotensiresikoyangmungkindapatdieksploitasiolehpihaklainyangberniattidakbaik.Makaapabilaterjadiinsidenterkaitkerawananitu,seluruhkomponenyangsalingterkaitharusturutbertanggungjawabuntukmenanggulangidanmeningkatkanupayameminimalisirresikosertamencegahkejadianserupadimasadepan.
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 11/17
Misalnya,banktidakmungkinmelakukanpengamananapabilanasabahtidakmemilikipemahamanmengenaikemungkinanresikokerawanandankelemahanpadasistemelektronikyangdigunakan.Sebaliknya,nasabahyangtelahberhati-hatisekalipunakandapatmenjadikorbanapabilabanklalaiataugagaldidalampengawasandanupayapeningkatanpengamanansistemsecaraterus-menerus.Demikianjugaapabilaaturandaripemerintahlemahdanpenegakhukumtidakmemilikikemampuanyangmemadaiuntukterusmengikutiperkembangansistemdanteknologimakaketikaterjadiinsidenakansulituntukmelakukanpenindakanterhadapsemuapihakyangseharusnyabertanggungjawab.
Sehinggasemuanyasalingterkait,tidakberdirisendiri.Pihakyangberniatjaha
takanselalumemilihcelahkerawananyangpalinglemahsebagaipintumasuk.Sehinggasemuapihakturutbertanggungjawabdanharussalingmembantu(bekerjasama)untukmengawasi,memperbaikidanmenutupcelahtersebuttanpasalingmenyalahkankarenajustruakanberakibatmelemahkanperandanpotensisetiappihakdalamupayapengamananbersama.Setiappihakadalahsatusimpulrangkaianrantaipengamanandansemuasalingbergantungsatusamalain,karenanyasemuasamapentingnya.
TITIKKERAWANAN
SelamabeberapawaktuID-SIRTIItelahmelakukankajianterhadapdatakejadianinsidenkeamanandankasuskejahatanterkaitlayananperbankanelektronikdiIndonesia.sPadaprinsipnyadisimpulkanadabeberapatitikkerawananyangpatutdiwas
padaidandiperbaikisebagaiantisipasidimasadepan.
1.Kerawananprosedurperbankan.Palingmenonjoladalahlemahnyaprosesidentifikasidanvalidasicalonnasabah.Masalahinibukansepenuhnyakesalahanbank,karenadiIndonesiabelumditerapkanSingleIdentityNumber(SIM)yangterintegrasiantardepartementerkaitpelaksanaanpelayananpublik,sehinggamudahsekaliuntukmelakukanpemalsuanidentitasdanmengecohsistemvalidasibanksehinggaakhirnyaakanberakibatpadapenyalahgunaanrekening,fasilitasdanlayananterkaitdengannasabahsepertikartuATM/debituntukkegiatankejahatanmulaifraud(penipuan)hinggakepencucianuang.Kecenderungannyaparapelakukejahatanakanmemilihuntuksejauhmungkinhanyamenggunakanlayananelektroniksaja,menghindaritransaksidankontakfisikbaikdenganpetugasbankmaupunkorban.
Bentukkelemahanprosedurlainnyaadalahsistemoutsourcingdidalampemasaranprodukperbankan.Banyaksekaliterjadikasuspencurianidentitascalonnasabahdanjuganasabahsertatidakterjaminnyaperlindungandatadaninformasipribadidalamjangkapanjangakanmenjadititikkerawananyangpalingpotensialuntukdimanfaatkanolehparapelakuberbagaijeniskejahatanbukanhanyaterkaitlayananelektronikperbankanmelainkanjugakejahatanlainnya.PengamatanID-SIRTIIpadatahun2009pada“undergroundmarket”menunjukkanbahwadataidentitasnasabahperbankanasalIndonesiacukupbanyakdiperjualbelikan.
Kasuspalingmenonjolterkaitpencuriandata/bocornyanasabahakibatkerawananprosedurpengamanandiperusahaanoutsourcingterjadipadatahun2008,ketika7jutadatarekeningkartukreditdibobololehsindikatpengedarnarkotikayangjugamelakukanpemalsuankartukredituntukkepentingantransaksibisnisnya.Untuk
catatan,diperkirakanpadaakhirtahun2009kartukredityangditerbitkanolehbankasalIndonesiajumlahnyasekitar9–11juta.
SejumlahkerawananprosedurlainnyajugadijumpaididalamsistemverifikasiuntuklayananSMS/mobilebankingdaninternetbanking.Nasabahharusmemahamicarakerjalayanantsb.danmemperhatikandengancermatsetiaptransaksiyangterjadidanmelakukancrosscheckapabiladijumpaipotensikelemahandankesalahan.Harusdiperhatikanbahwalayanantsb.melibatkanpihakselainbankyaituoperatorselulardanproviderinternetsehinggakelemahanbisasajaterjadipadasistemmereka,bukanpadasistemperbankan.Seharusnyapihakbank,operatorselulardanp
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 12/17
roviderinternetharuslebihbanyaklagimelakukansosialisasiprosedurpengamanankepadaparapenggunanyasehinggaresikoterjadinyainsidendapatdiminimalisir.
YangpalingmengkhawatirkandanterbuktipalingseringdieksploitasiolehpelakukejahatanadalahkerawananprosedurpadamesinATMdanmesinEDC.Masalahnyaadalahminimnyaupayapengawasanbankterhadapduasistemtsb.Sehingganasabahdituntutuntuklebihberhati-hati/waspadasaatbertransaksidiATMdanEDC.BukanhanyamoduseksploitasiyangmelibatkanteknologisepertiskimmingnamunjugayangkonvensionalsepertihipnotissertaanekapenipuanviaSMS,undianberhadiahdll.bahkanadajuganigerianscam.Sangatjarangdijumpaipesanperingatan(rem
inder)kepadanasabahmaupunupayapeningkatansistempengamananyangmemadaidenganmisalnyamemasangkamerapengawasdisemuaATM.
2.Kerawananfisik.SebagianbesarkartuATMyangdigunakanbanksaatinijenisnyamagneticstripecardyangtidakdilengkapipengamanchip(smartcard).Kartujenisinisangatmudahdigandakan.Perangkatpenggandaandanbahanbakukartumagneticinidapatdenganmudahdijumpaidipasarandenganhargayangsangatmurah.SaatinibarukartukreditsajayangtelahdigantidenganjenissmartcardsejakJanuari2010sesuaiketentuanBankIndonesia.Seharusnyapenggantianjeniskartudanpeningkatanteknologiyangdigunakanharuslebihseringdilakukankarenamoduskejahatanpunsemakincepatmengalamiperubahan.Selainjenissmartcard,sekarangjugasudahdikembangkanjeniskartulain(nextgeneration)yanglebihkuatteknologipengamanannyasepertismartcardyangdilengkapichipRFID,biomet
rikdlsb.Setiapbankpenyelenggaralayananperbankanelektronikseharusnyamenyiapkanroadmapuntuksecaraperiodikmenggantijeniskartudanmeningkatkankeamananfisiknya.
StandarpengamananmesinATMdanEDCjugamasihsangatkurang.SeharusnyamesinATMdilengkapidengansensor,alarm,kamerapengawasdanberbagaimekanismepengamananlainnya.Misalnyapenggunaanprivacyscreendengansudutpenglihatanyangsempit,coveruntukmelindunginumerickeypad,antiskimmingcardreaderholehinggamungkinapabiladiperlukanemergencyintercomunit.DenganteknologitelekomunikasiberbasisIPyangkinitersedia,semuafasilitaspengamananitudapatdiselenggarakandenganbiayayangmurah.
Secarafisikyangperludiperhatikanadalahkeamanansistemjaringanyangdiguna
kanolehlayanantsb.BaikituSMS/mobilebankingataupuninternetbankingpadadasarnyamelaluijaringanpublikyangsesungguhnyatidakamankarenadipergunakanolehmasyarakatumumbukansebuahsaluranindependen(private)yangterjamin.Sehinggaharusdiperhatikandanmenjadiprioritasutamauntukmenerapkanmetodepengamananvirtual,misalnyaVPN,SSL(digitalsignature)danpenggunaanalgoritmaenkripsiyanglebihkuatdariwaktukewaktu.
Sosialisasipengamananfisikpadasisinasabahpenggunapunjugaharusdilakukan.Misalnyasaatmenggunakanaksesinternetpublikyangtidakterjaminkeamanannyasepertidiwarnet,hotspot,maupunketikamenggunakanmobileinternet.PengamananterhadapgadgetketikaseringmemanfaatkanSMS/mobilebanking,jugaharusmenjadiperhatianyanglebihserius.Banyakpenggunagadgettidakmenyadaribahwapelakukejahatanmenggunakanmodustrashing(mencaridatasampahyangtertinggal
atauterhapusdariperangkatgadgetbekas).
3.Kerawananaplikasi.Secarateknis,untuklayananyangsangatkritissepertiperbankan,prosespengembanganaplikasiyangdigunakanseharusnyamengikutikaidahyangdisebutdengansecureprogrammingdandikerjakanolehahliprogrammingyangmemilikikemampuansecureprogrammingini.Selanjutnyaaplikasiinisecaraperiodikharusdiaudit,dilakukanpenetrationtestinguntukmenemukancelahkeamanandanupdateuntukmenjaminkeamanandantelahditutupnyakerawananpadaaplikasi.Audittidakhanyadilakukanpadasisiaplikasiperbankannamunjugaharusdilakukanpadasistempihakketigayangmenjembataniaksesantarabankdengannasa
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 13/17
bahnya,yaitusistemdanjaringanmilikoperatorselulardanproviderinternet.
Kelemahanaplikasisebenarnyaadalahsebuahkonsekuensilogisyangmungkinterjadiakibatsemakinkompleksnyafiturdanlayananyangdisediakanolehaplikasitsb.dalamrangkauntukmemenuhikebutuhanpenggunanya.Sehinggaprosedur,pengawasan,kehati-hatiandidalamsetiapprosespeningkatankemampuanaplikasiharusmenjadiprioritasutamaimplementasi.
Jenisexploitasiaplikasipunsekaranginijugasemakinmeningkatjumlahdankualitasnyadanbanyakdiantaranyayangmenggunakanmetodeyangsemulatidakpernahterpikirkanparapengembangaplikasiuntukperbankan.Sepertimisalnya,seranga
ntidaklagidilakukenlewatfrontendmelainkanmelaluicelahkeamananbackend.Peretasberusahamembangunsuatusaluranbackdoormelaluisistembackendbankdengancaramenyusupkantrojanataubotskedalamjaringaninternalperusahaan.Banyakpengembangaplikasiperbankanhanyafokusantisipasipengamananpadasisifrontendnamunmembiarkansisibackendterbukalebar.
4.Kerawananperilaku.SalahsatupenyebabutamaterjadinyainsidenkeamanandidalamduniaTeknologiInformasiadalahakibatkelemahanmanusia.BaikituSDMperbankan,nasabahitusendirimaupunjugaaparatpenegakhukum.Padasisiperbankan,tidaksemuaSDMdisiplindidalammenerapkanprosedurpengamanan.Sedangkandisisinasabahupayasosialisasiuntukmenciptakankesadaranmasihdilakukansecaraparsialdankasuistis.Seharusnyaprosesinidilaksanakansecaraparaleldengansetiapkegiatanmarketingdanmelekatdidalamsetiapprodukperbankan(buk
anhanyauntuke-bankingsaja)danharusdilaksanakansecaraterus-menerus,karenabankadalahbisnisjasaberbasiskepercayaan(trust)sehinggaisukeamananseharusnyamenempatiprioritastertinggiyangharusdisampaikankepadanasabah.
Padaprakteknyabankpenyelenggarakane-bankingakanmenerapkanprosedurpengamananpragmatisyangpadadasarnyahanyamelindungikepentinganbank.Kepentingannasabahjustrutidakterlindungi,semuaresikoharusditanggungsendiri.Karenadalamsetiapinsidenbankmenempatkandirinyajugasebagaikorbanbukansebagaipenanggungjawab.Mengakuikelemahanadalahhaltabuyangdianggapakanmencederaiintegritasbankdanmenurunkantingkatkepercayaannasabah.Akibatnyasetiapinsidenselaluditutupidannasabahyanglaintidakmenyadariadanyasuatukelemahanyangdapatmembayakankepentinganmereka.
Dinegaralain,misalnyaJepang,pemerintahmenerapkanaturanyangmengubahmindsetduniaperbankandidalammensikapiterjadinyainsidenkeamanan.PemerintahJepangjustrumewajibkankepadapihakbankyangmengalamiinsiden/seranganuntukmembukainformasisecaradetailbukanhanyakepadanasabahmelainkanjugakepadapubliksehinggaterjadiprosespembelajarandanterbentukkesadaranterhadapaspekkeamanandanpengamanan.Sehinggabanklaindapatsecepatnyamelakukanantisipasiseandainyamemilikikelemahanserupa.Karenakemananadalahtanggungjawabsemuapihak,“yoursecurityismysecurity”.
E-bankingbukanlahlayananperbankankonvensional,karenayangdilayaniadalahnasabahyangtelahhidupdidalambudayaonlineyangberbedaparadigmadenganduniaoffline.Makapendekatanyangdigunakandidalamlayananpunseharusnyamengacupadabudayaonline.Misalnya,apabiladidalamperbankankonvensional,inside
nharusditutupiuntukmencegahterjadinyaresikolain,sepertirush.Dalamlayananperbankanonlinesetiapinsidenjustruharussegeradiumumkansecaraterbukakarenaakibatdariseranganbisasangatcepatdanluassehinggadapatmenimbulkandampakyangluarbiasakarenasifatnyayangonlinerealtime.
Nasabahyangsangattergantungdansecaraintensiftelahmenggunakanlayanane-banking,justruakanmemberikanapresiasitinggiapabilabankmemilikikeberaniandanketerbukaanuntukmengungkapkankelemahandaninsidenyangdialami.Karenadidalambudayaonline,pengakuanadalahwujudtanggungjawabdanitikadbaikdankecepatanresponadalahisukrusial.Apabilabanktelahmengetahuimasalahitu
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 14/17
makatidakseharusnyamenyembunyikankelemahantersebut,justruwajibmengumumkantindakanterbaikapayangtelahdilakukanuntukmitigasi,recoverydanpencegahansertaantisipasidimasadatang.Terutamatindakanpencegahanapayangperludilakukanolehnasabah,misalnyauntukmenghentikantransaksisementarawaktu.Dengancarademikianjustruintegritasbankcepatdipulihkankarenatelahmampumenunjukkankecepatanrespon,tanggungjawabsertakemampuanmengelolakrisis.
Bankjugaharusmemilikitimresponinsidenyangmemilikikemampuanmenghadapipotensiancaman,gangguandanseranganterhadapsistemelektronik.Timiniharusselalusiagadanmemantautrenddanmoduskejahatansertateknologiyangdinamis(cepatberubah).Dimasadamai,timinidapatterlibatdidalamkegiatansosial
isasidankampanyekesadarantentangkeamanandanpengamananbaiksecarainternaldidalambankmaupunkepadamasyarakatagarlebihmemahamiproblematikadandinamikamasalahkeamanandiduniaperbankan.
Masyarakatpadaumumnyadannasabahpadakhususnyaharusterusmendapatkanupdate,informasitentangmasalahkeamanandiduniaperbankanbahkanbiladiperlukantoolsuntukmengamankandiri.Bankharusmelakukankampanyesecaraumumagarmasyarakatdannasabahpahamadanyaancamanbahaya.Misalnya,harusdijelaskankondisidisekitarmesinATMdanprosedursertaetikayangsebaiknyaditerapkanketikamemanfaatkanlayanantsb.Contoh:perlunyajarakantriandalambatasyangamanagarorangtidakmudahmengintip.Layananperingatan(reminder,misalnyaviaSMS)berupaanjuranuntukmenggantiPINdanpasswordsecararutin,pesankewaspadaanterhadapanekamoduspenipuan,hipnotisdlsb.termasukpraktekskimming.Nas
abahbahkantidakpernahdiberikanarahanuntukmelakukanobservasikondisi,situasimesinATMdanlingkungansekitarnyasebelummelakukantransaksi.
Demikianjugadengannasabahlayananonlinebanking.Updateinformasimengenaimodusphising,passwordhijacking,ancamanpenyebaranmalwaresertapotensipencurianinformasipersonalharusdilakukansecaraperiodik.DiIndonesia,bankyangmemilikilayananonlinebahkantidakmemanfaatkansaranaemailuntukberkomunikasidengannasabahnya,tidakmenerbitkannewsletterataumengaktifkanmailinglistyangsesungguhnyabebasbiaya.Iniartinyainimenunjukkanbahwawalaupunmenyelenggarakanlayananonline,sesungguhnyabankmasihmenggunakanparadigmaoffline.Bahkandidalammenyampaikankeluhanpun,nasabahe-bankingtetapdimintauntukmenghubungicustomerserviceviatelepon.Padahalsangatdimungkinkanuntukpelanggane-bankingmenyediakanlayanancustomerserviceviainstantmessenger
danatauemail.Apalagiditengahtrendduniayangsudahsemakinmobiledanalwayson.Layanandukungansemacaminisangatmenentukanpersepsinasabahdalammengukurkemampuandantingkatpercepatanresponbankdidalammenanganiinsiden.
5.Kerawananregulasidankelemahanpenegakanhukum.Sebagianbesarregulasiperbankanmasihmenggunakanparadigmakonvensionalyangsepenuhnyamelindungikepentinganbank.Regulasiinisudahsaatnyadirubah,karenaarahkegiatanperbankansekarangyangmemasukieraonlinedantransaksielektroniksehinggatanggungjawabpengamananmenjadimasalahbersama.Bankharusmenjadipihakyangbertanggungjawabkarenaposisisebagaisistempenyelenggaralayanantransaksielektronik.PeraturanperundanganyangbarusepertuUUNo.11/2008TentangITEjugatelahmulaimengaturmasalahini.Dimasadepanakansemakinbanyakperaturanyangdigolongkansebagaicyberlawiniakandiberlakukanolehpemerintah.Sehinggadiharap
kanadakepastianhukumbagiparapenyelenggaralayanandanpengguna.
Semangatkerjasamaharusmenjadiplatformdasardidalammenghadapiinsidenkeamananlayanane-banking.Bankharusterbukadansecepatnyamemberikanaksespadapenegakhukumuntukmelakukaninvestigasidanmitigasi.Tidakmenghalangidenganalasanaturankerahasiaanbankataupunprosedurbirokrasi.Diduniaonline,percepatantindakansangatpentinguntukmencegahterjadinyadampakyanglebihluaskarenapelakudapatberaksididalamhitunganwaktuyangsangatcepatdantidakterbatasjarak,ruangapalagibirokrasi.Petugasyangmelakukaninvestigasidanmitigasipuntidakhanyasekedarharusprofesionaldanmemilikikeahlianserta
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 15/17
pengalamannamunjugaharusmemilikiintegritastinggi.Merekaharusdiberikankepercayaandankesempatansertakewenanganyangluasuntukbekerja.
Karenadidalamduniaelektronikini,batasan-batasanmanajemendanbirokrasitidakberlaku.Misalnyaseorangperetasyangmelakukanpenyusupandanmenyerangsistemelektronikbankmungkinakanberusahauntukmencapaihakaksestertinggididalamsistemuntukmelakukancoverup(penghapusanjejak)dantentunyamemperolehkeuntunganyangsebesar-besarnya.Sehinggaparapenyidikpunharusdiberikanotoritasyangsamaketikamerekabekerjadalamsistemagarbisamelacakdanmengejarpelaku.Halsepertiini(otoritaspenuhdalammitigasidaninvestigasi)harusdiaturdalamregulasididalamsistemperbankan,bilaperluregulasiBImaupu
npemerintah.Disatusisimasalahpengawasandanjaminanintegritasjugadiperlukan.
Aparatpenegakhukumpadaumumnyamemilikiketerbatasankeahlian,sumberdayadanjugamembutuhkanbantuanpihakketiga,setidaknyasebagaipendapatkedua.Karenakejahatanelektronikselalumemilikiduasisiyangberbeda.Sisiteknisdansisikejahatanitusendiri.Padasisiteknis,kemampuansemacamitubisadimilikiolehsiapapundanbukantidakmungkinituberasaldarikelemahandidalamsistemitusendiri.Sedangkandarisisikejahatanmemerlukankeahlianpenyidikandaninstingpenegakhukumyangmemangprofesionaldibidangnya.Makapendekatanterhadapinsidencybercrimepunharusdilakukansekaligusdariduasisitersebut.
Untukmendapatkankeahliantersebutdiperlukansistempendidikanyangkredibel,
berkualitasdanberkelanjutan.Kemudianharusmemilikijamterbanguntukmendapatkanpengalamanyangmemadaidanpengakuanbaiksecaralegalformal(misalnyaberupasertifikasi)maupunsecarainformaldarikomunitaskeamananinformasi.Pengakuanformalmudahdidapatkandenganmengikutianekaprogramsertifikasikeahlian.NPengakuaninformalmembutuhkandedikasidankontribusikepadakomunitasdalamjangkapanjang.Paraaparatpenegakhukumcybercrimeharusmampuberdirididuasisitersebut.Apalagididalamprosesinvestigasinantinya,peransertakomunitasiniakansangatbesardanpenting.Karenamerekalahyangmenyediakanjaringanmanusiayangmemilikisumberinformasiberhargaterkaitaktivitaskejahatanitudansekaligusterutamamodus,trikdanteknologiyangdigunakan.
PROYEKSIKEAMANANE-BANKING2010
Dimasadepanupayadanmoduskejahatanterhadaplayananperbankanelektronikakansemakinmeningkatterutamayangtidakmelibatkaninteraksifisik(transaksiteller,mesinATM,EDC)dantidakmembutuhkanperangkatmediatransaksifisik(kartumagnetik/smartcard,token,bukutabungandlsb.).SehinggakelemahandancelahkeamananaplikasilayananinternetbankingsertaSMS/mobilebankingdanjenislayanantransaksionlinelainnyaakanmenjadisasaranutamauntukdieksploitasi.
Apalagipenggunaselularsaatinitelahmencapaisetengahdaritotalpopulasi(135juta),demikianjugapenggunainternetjugameningkattajam(35juta)padaakhir2009.Sehinggapotensiuntukmemanfaatkan2jenislayananperbankanelektronikinisangattinggi.Untukdiketahui,SMS/mobilebankingdiIndonesiasaatinidiperkirakandigunakanoleh3jutapenggunaaktif.Sedangkanuntukinternetbank
ingdigunakanolehsekitar1jutapenggunaaktif.Makapertumbuhaniniakansangatmenarikperhatianparapelakukejahatandanmenjadikannyasebagaisasaranladangyangbaru.
WalaupunpadasaatinijumlahpenggunalayananonlinebankingtersebutmasihterlihatsedikitbiladibandingkandenganpenggunakartuATMataukartukreditmisalnya,namunsesungguhnyainijugaterkaitdenganstrategimarketingbankitusendiri.PadaprinsipnyabankmasihlebihbanyakfokuspadapemasaranprodukofflinebankingatauautomatedsemionlinebankingsepertiATM,EDCdanprodukpembayarancerdassepertivouchercard.Karenaalasantingkatsalestransaksikonvensi
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 16/17
onalinimasihsangattinggi.Sehinggabankmenahanlajupertumbuhanuntukonlinebankingdengancaramembatasikekayaanfiturdankapasitaspelayanannya.Sehinggaonlinebankingpunbarudigunakansecaraterbatasdikalangannasabahdanmerchanttertentu.Trendinternasionalsesungguhnyatidakbisadibendunglagi.Sehingga,padasaatnya,sesuaituntutanpasaronlinebankingakanbooming.
Ketikaboomingituterjadi,makakasusupayapencuriandatapersonalnasabahakanmeningkattajamdanberbagaimoduslamamaupunbaruakandilakukanolehparapelaku.Jebakanphisingsiteakansemakinmarakdananekatools/exploit/malwareyangakandigunakanuntukmenjebolaplikasionlinebankingdanataumenyusupkedalamjaringanbackenddanmemata-mataikomputernasabahjugaakanmenyebarluas
.Sehinggabank,operatorselulerdanproviderinternetsejaksaatiniharuslebihproaktifdidalammelakukansosialisasiuntukmenciptakankesadarankepadanasabahnyasebagaiupayaantisipasi.Selainituprosedurinternalsertateknologiyangdigunakanjugaterusditingkatkan.V
TantanganlayananelektronikdalamperkembanganduniaMasadepanlayananelektroniksangatterangtetapitetapmemilikibeberapatantangan.Adabeberapatantangandalamlayananelektronik,sepertiyangdiidentifikasiolehSheth&Sharma(2007)[21]adalah: RendahnyapenetrasiTIKterutamadinegara-negaraberkembang; PenipuandiruanginternetyangdiperkirakansekitarUSD2.8billion Privasikarenamunculnyaberbagaijenisspywaredan Karakteristikmengganggulayanan(misalnyaberbasisteleponselular)sebagaiangganmungkintidaksukadihubungidenganpenyedialayanansetiapsaatdandisetiaptempat.Tantanganpertamadankendalautamauntukplatformlayananelektronikterhadappenetrasiinternet.Dibeberapanegaraberkembang,akseskeinternetterbatasdan
kecepatanjugaterbatas.Dalamkasusiniperusahaan-perusahaandanpelangganakanterusmenggunakanplatformtradisional.Isukeduayangmenjadiperhatianadalahpenipuandiinternet.Halinidiantisipasibahwapenipuandibisniselektronikbiayainternetruang$2,8miliar.Kemungkinanpenipuanakanterusmengurangipemanfaataninternet.Isuketigaadalahprivasi.Karenabaikspywaredanlubangkeamanandalamsistemoperasi,adakekhawatiranbahwakonsumenmelakukantransaksiyangmemilikiketerbatasanprivasi.Misalnya,dengandiam-diammengikutiaktivitasonline,perusahaandapatmengembangkandeskripsiyangcukupakuratmengenaiprofilpelanggan.Kemungkinanpelanggaranprivasiakanmengurangipemanfaataninternet.Masalahterakhiradalahbahwalayananelektronikjugabisamengganggukarenalayananelektronikmengurangihambatanwaktudanlokasilaindarikontrak.Sebagaicontoh,perusahaandapatmenghubungiorangmelaluiperangkattelepongenggamsetiapsaatdandisetiaptempat.Pelanggantidakmengambilsepertiperil
akumengganggudantidakbolehmenggunakanplatformlayananelektronik.(Heinerdanlyer,2007)[22]
5/14/2018 Untitled - slidepdf.com
http://slidepdf.com/reader/full/untitled-55a92c839f148 17/17