Friday, 22 January 2010
(Himbauan Kepada Masyarakat dan Keterangan Pers)
LATAR BELAKANG
Masyarakat kini telah semakin banyak memanfaatkan Teknologi Informasi secara
intensif di dalam setiap aspek kehidupannya. Pemanfaatan ini bukan hanya
dilakukan oleh masyarakat perkotaan dan kelas sosial menengah ke atas tetapi
untuk jenis teknologi dan media elektronik tertentu juga telah meluas hingga
ke masyarakat pedesaan dan kelas sosial menengah ke bawah.
Catatan: salah satunya adalah teknologi telepon selular GSM dan CDMA.
Media elektronik sebagai salah satu sarana Teknologi Informasi, tidak
digunakan untuk penyebaran informasi yang bersifat satu arah saja, namun
kini juga menjadi sarana transformasi informasi dan data yang bersifat
interaktif sehingga transaksi sosial ekonomi pun dapat dilakukan melalui
media elektronik. Antara lain misalnya terjadi pada teknologi telepon,
internet dlsb.
Industri perbankan adalah salah satu bidang jasa yang secara ekstensif
menyelenggarakan layanan sdengan memanfaatkan media elektronik (e-banking).
Sebagian besar bank pada saat ini bahkan mengandalkan Teknologi Informasi
dan media elektronik sebagai basis layanannya. Sehingga layanan perbankan
yang diselenggarakannya kini menawarkan berbagai kemudahan yang dapat
dimanfaatkan masyarakat setiap saat dan dimana saja, tidak dibatasi jarak,
ruang dan waktu.
Jenis teknologi (e-banking) dan media elektronik yang digunakan antara lain
adalah:
1. Layanan perbankan online, memungkinkan terjadinya hubungan dan transaksi
antar cabang secara real time (seketika) melalui jaringan komputer sehingga
memudahkan, mempercepat pengelolaan/manajemen serta pelayanan. Tidak ada
penundaan akibat hambatan komunikasi dan pertukaran data, informasi
transaksi antar cabang. Bahkan antar bank yang memiliki kerjasama kini juga
telah melakukan pertukaran informasi dan data secara online sehingga
memudahkan dan meniadakan hambatan transaksi antar nasabah yang berbeda
bank;
2. Layanan jaringan mesin ATM (Automated Teller Machine), memungkinkan
masyarakat untuk melakukan transaksi perbankan melalui mesin ATM misalnya
untuk pembayaran, pengiriman atau penerimaan, pengambilan tunai dan
penyetoran (terbatas). Mesin ATM tersebar luas di seluruh Indonesia dan
bahkan di seluruh dunia (kerjasama antar penyelenggara layanan ATM);
3. Layanan jaringan EDC (Electronic Data Capture), memungkinkan masyarakat
untuk melakukan transaksi pembelanjaan/konsumsi di counter merchant secara
elektronik menggunakan kartu debit atau kartu kredit maupun kartu tunai
(voucher elektronik);
4. Layanan phone banking, memungkinkan masyarakat untuk melakukan transaksi
perbankan melalui telepon. Media elektronik yang serupa adalah layanan SMS
banking/mobile banking untuk mendukung aktivitas dan mobilitas masyarakat;
5. Layanan internet banking, memungkinkan masyarakat untuk melakukan
transaksi perbankan melalui media jaringan komputer global yaitu internet;
6. Layanan kartu kredit, kartu cicilan dan untuk pembayaran tunda
sejenisnya.
Semua bank nasional pada saat ini telah terhubung secara online dan ada yang
bergabung dengan jaringan kerjasama layanan e-banking lokal maupun
internasional untuk memperluas jaringan dan meningkatkan efisiensi layanan
serta sekaligus meminimalisir biaya operasional dan perawatan.
Misalnya untuk layanan ATM yang kini paling banyak digunakan oleh nasabah
perbankan, pihak bank tidak hanya menyediakan layanan ini melalui jaringan
mesin ATM yang dimiliki sendiri (misalnya BCA 6.000 ATM, Mandiri 3.000 ATM,
BNI 3.000 ATM, BRI 4.000 ATM) melainkan juga bergabung dengan jaringan mesin
ATM yang diselenggarakan oleh pihak lain baik itu lokal (ATM Bersama, 11.000
ATM) dan internasional (Plus, Cirrus, Alto, Link dll. yang memiliki jutaan
ATM di seluruh dunia).
Nasabah pengguna kartu ATM tidak harus tergantung dan melakukan transaksi
dari mesin ATM bank ybs. dapat menggunakan ATM lain yang memiliki kerjasama
dengan bank penerbit asalnya. Biasanya logo jaringan ATM yang didukung
tertera di setiap kartu ATM. Sehingga pengguna bisa memilih.
Semua bank nasional kini menerbitkan kartu ATM, bahkan beberapa bank
nasional secara otomatis akan memberikan kartu ATM kepada nasabah untuk
setiap pembukaan rekening baru. Diperkirakan pada akhir tahun 2009 di
Indonesia ada sekitar 50 juta pengguna kartu ATM aktif dimana sebagian besar
dari kartu ATM tersebut juga berfungsi sebagai kartu debit (dapat digunakan
sebagai media pembayaran elektronik di merchant pembelanjaan yang memiliki
kerjasama dengan bank).
Semakin luasnya trend pemanfaatan kartu ATM dan kartu kredit sebagai alat
pembayaran mendorong tumbuhnya layanan perbankan lain yang ditujukan kepada
merchant pembayaran yaitu sistem EDC. Sekarang ini di seluruh dunia sistem
EDC telah digunakan di jutaan counter merchant yang meliputi hampir seluruh
jenis transaksi ekonomi yang bersifat konsumsi baik itu barang maupun jasa.
Kecenderungan lain yang semakin meningkat tajam adalah pemanfaatan layanan
SMS/mobile banking dan internet banking. Mobilitas masyarakat modern yang
semakin tinggi, tersedianya infrastruktur dan semakin murahnya biaya
penggunaan layanan teknologi ini serta aneka kemudahan yang ditawarkan,
seperti tidak diperlukannya kehadiran fisik (orang dan tanda tangan fisik,
alat : kartu dan mesin ATM, mesin EDC) ketika melakukan suatu transaksi,
menjadi daya tarik utama yang menyebabkan nasabah memilih menggunakan
layanan tsb. Pihak merchant pun juga diuntungkan karena tidak perlu harus
memiliki outlet secara fisik, tidak terbatas ruang dan waktu sehingga
operasionalnya efisien.
ASPEK PENGAMANAN
Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa kemudahan
dan manfaat luas yang meningkatkan kualitas kehidupan manusia, maka layanan
perbankan elektronik juga memiliki banyak kelemahan yang patut diwaspadai
dan diantisipasi. Sehingga, teknologi tersebut tetap dapat dipakai,
manfaatnya terus dinikmati oleh umat manusia namun juga harus ada tanggung
jawab, pengawasan dan upaya untuk memperbaiki kelemahan, menanggulangi
permasalahan yang mungkin timbul serta yang paling penting adalah
meningkatkan kesadaran dan menanamkan pemahaman tentang resiko dari
pemanfaatan teknologi yang digunakan oleh layanan perbankan itu terutama
kepada masyarakat luas, pengguna/nasabah, pemerintah/regulator, aparat
penegak hukum dan penyelenggara layanan itu sendiri (bank, merchant,
operator layanan pihak ketiga dlsb.). Karena masalah keamanan adalah
tanggung jawab bersama, semua pihak harus turut serta berperan aktif dalam
upaya pengamanan.
Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat
diperlukan. Ada sebuah jargon dalam dunia information security yaitu: “your
security is my security”, artinya semua pihak pasti memiliki titik kerawanan
dan karenanya masing-masing memiliki potensi resiko yang mungkin dapat
dieksploitasi oleh pihak lain yang berniat tidak baik. Maka apabila terjadi
insiden terkait kerawanan itu, seluruh komponen yang saling terkait harus
turut bertanggung jawab untuk menanggulangi dan meningkatkan upaya
meminimalisir resiko serta mencegah kejadian serupa di masa depan.
Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak
memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada
sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah
berhati-hati sekalipun akan dapat menjadi korban apabila bank lalai atau
gagal di dalam pengawasan dan upaya peningkatan pengamanan sistem secara
terus-menerus. Demikian juga apabila aturan dari pemerintah lemah dan
penegak hukum tidak memiliki kemampuan yang memadai untuk terus mengikuti
perkembangan sistem dan teknologi maka ketika terjadi insiden akan sulit
untuk melakukan penindakan terhadap semua pihak yang seharusnya bertanggung
jawab.
Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat
jahat akan selalu memilih celah kerawanan yang paling lemah sebagai pintu
masuk. Sehingga semua pihak turut bertanggung jawab dan harus saling
membantu (bekerjasama) untuk mengawasi, memperbaiki dan menutup celah
tersebut tanpa saling menyalahkan karena justru akan berakibat melemahkan
peran dan potensi setiap pihak dalam upaya pengamanan bersama. Setiap pihak
adalah satu simpul rangkaian rantai pengamanan dan semua saling bergantung
satu sama lain, karenanya semua sama pentingnya.
TITIK KERAWANAN
Selama beberapa waktu ID-SIRTII telah melakukan kajian terhadap data
kejadian insiden keamanan dan kasus kejahatan terkait layanan perbankan
elektronik di Indonesia. Pada prinsipnya disimpulkan ada beberapa titik
kerawanan yang patut diwaspadai dan diperbaiki sebagai antisipasi di masa
depan.
1. Kerawanan prosedur perbankan. Paling menonjol adalah lemahnya proses
identifikasi dan validasi calon nasabah. Masalah ini bukan sepenuhnya
kesalahan bank, karena di Indonesia belum diterapkan Single Identity Number
(SIM) yang terintegrasi antar departemen terkait pelaksanaan pelayanan
publik, sehingga mudah sekali untuk melakukan pemalsuan identitas dan
mengecoh sistem validasi bank sehingga akhirnya akan berakibat pada
penyalahgunaan rekening, fasilitas dan layanan terkait dengan nasabah
seperti kartu ATM/debit untuk kegiatan kejahatan mulai fraud (penipuan)
hingga ke pencucian uang. Kecenderungannya para pelaku kejahatan akan
memilih untuk sejauh mungkin hanya menggunakan layanan elektronik saja,
menghindari transaksi dan kontak fisik baik dengan petugas bank maupun
korban.
Bentuk kelemahan prosedur lainnya adalah sistem outsourcing di dalam
pemasaran produk perbankan. Banyak sekali terjadi kasus pencurian identitas
calon nasabah dan juga nasabah serta tidak terjaminnya perlindungan data dan
informasi pribadi dalam jangka panjang akan menjadi titik kerawanan yang
paling potensial untuk dimanfaatkan oleh para pelaku berbagai jenis
kejahatan bukan hanya terkait layanan elektronik perbankan melainkan juga
kejahatan lainnya. Pengamatan ID-SIRTII pada tahun 2009 pada “underground
market” menunjukkan bahwa data identitas nasabah perbankan asal Indonesia
cukup banyak diperjualbelikan.
Kasus paling menonjol terkait pencurian data/bocornya nasabah akibat
kerawanan prosedur pengamanan di perusahaan outsourcing terjadi pada tahun
2008, ketika 7 juta data rekening kartu kredit dibobol oleh sindikat
pengedar narkotika yang juga melakukan pemalsuan kartu kredit untuk
kepentingan transaksi bisnisnya. Untuk catatan, diperkirakan pada akhir
tahun 2009 kartu kredit yang diterbitkan oleh bank asal Indonesia jumlahnya
sekitar 9 – 11 juta.
Sejumlah kerawanan prosedur lainnya juga dijumpai di dalam sistem verifikasi
untuk layanan SMS/mobile banking dan internet banking. Nasabah harus
memahami cara kerja layanan tsb. dan memperhatikan dengan cermat setiap
transaksi yang terjadi dan melakukan cross check apabila dijumpai potensi
kelemahan dan kesalahan. Harus diperhatikan bahwa layanan tsb. melibatkan
pihak selain bank yaitu operator selular dan provider internet sehingga
kelemahan bisa saja terjadi pada sistem mereka, bukan pada sistem perbankan.
Seharusnya pihak bank, operator selular dan provider internet harus lebih
banyak lagi melakukan sosialisasi prosedur pengamanan kepada para
penggunanya sehingga resiko terjadinya insiden dapat diminimalisir.
Yang paling mengkhawatirkan dan terbukti paling sering dieksploitasi oleh
pelaku kejahatan adalah kerawanan prosedur pada mesin ATM dan mesin EDC.
Masalahnya adalah minimnya upaya pengawasan bank terhadap dua sistem tsb.
Sehingga nasabah dituntut untuk lebih berhati-hati/waspada saat bertransaksi
di ATM dan EDC. Bukan hanya modus eksploitasi yang melibatkan teknologi
seperti skimming namun juga yang konvensional seperti hipnotis serta aneka
penipuan via SMS, undian berhadiah dll. bahkan ada juga nigerian scam.
Sangat jarang dijumpai pesan peringatan (reminder) kepada nasabah maupun
upaya peningkatan sistem pengamanan yang memadai dengan misalnya memasang
kamera pengawas di semua ATM.
2. Kerawanan fisik. Sebagian besar kartu ATM yang digunakan bank saat ini
jenisnya magnetic stripe card yang tidak dilengkapi pengaman chip (smart
card). Kartu jenis ini sangat mudah digandakan. Perangkat penggandaan dan
bahan baku kartu magnetic ini dapat dengan mudah dijumpai di pasaran dengan
harga yang sangat murah. Saat ini baru kartu kredit saja yang telah diganti
dengan jenis smart card sejak Januari 2010 sesuai ketentuan Bank Indonesia.
Seharusnya penggantian jenis kartu dan peningkatan teknologi yang digunakan
harus lebih sering dilakukan karena modus kejahatan pun semakin cepat
mengalami perubahan. Selain jenis smart card, sekarang juga sudah
dikembangkan jenis kartu lain (next generation) yang lebih kuat teknologi
pengamanannya seperti smartcard yang dilengkapi chip RFID, biometrik dlsb.
Setiap bank penyelenggara layanan perbankan elektronik seharusnya menyiapkan
road map untuk secara periodik mengganti jenis kartu dan meningkatkan
keamanan fisiknya.
Standar pengamanan mesin ATM dan EDC juga masih sangat kurang. Seharusnya
mesin ATM dilengkapi dengan sensor, alarm, kamera pengawas dan berbagai
mekanisme pengamanan lainnya. Misalnya penggunaan privacy screen dengan
sudut penglihatan yang sempit, cover untuk melindungi numeric keypad, anti
skimming card reader hole hingga mungkin apabila diperlukan emergency
intercom unit. Dengan teknologi telekomunikasi berbasis IP yang kini
tersedia, semua fasilitas pengamanan itu dapat diselenggarakan dengan biaya
yang murah.
Secara fisik yang perlu diperhatikan adalah keamanan sistem jaringan yang
digunakan oleh layanan tsb. Baik itu SMS/mobile banking ataupun internet
banking pada dasarnya melalui jaringan publik yang sesungguhnya tidak aman
karena dipergunakan oleh masyarakat umum bukan sebuah saluran independen
(private) yang terjamin. Sehingga harus diperhatikan dan menjadi prioritas
utama untuk menerapkan metode pengamanan virtual, misalnya VPN, SSL (digital
signature) dan penggunaan algoritma enkripsi yang lebih kuat dari waktu ke
waktu.
Sosialisasi pengamanan fisik pada sisi nasabah pengguna pun juga harus
dilakukan. Misalnya saat menggunakan akses internet publik yang tidak
terjamin keamanannya seperti di warnet, hotspot, maupun ketika menggunakan
mobile internet. Pengamanan terhadap gadget ketika sering memanfaatkan
SMS/mobile banking, juga harus menjadi perhatian yang lebih serius. Banyak
pengguna gadget tidak menyadari bahwa pelaku kejahatan menggunakan modus
trashing (mencari data sampah yang tertinggal atau terhapus dari perangkat
gadget bekas).
3. Kerawanan aplikasi. Secara teknis, untuk layanan yang sangat kritis
seperti perbankan, proses pengembangan aplikasi yang digunakan seharusnya
mengikuti kaidah yang disebut dengan secure programming dan dikerjakan oleh
ahli programming yang memiliki kemampuan secure programming ini. Selanjutnya
aplikasi ini secara periodik harus diaudit, dilakukan penetration testing
untuk menemukan celah keamanan dan update untuk menjamin keamanan dan telah
ditutupnya kerawanan pada aplikasi. Audit tidak hanya dilakukan pada sisi
aplikasi perbankan namun juga harus dilakukan pada sistem pihak ketiga yang
menjembatani akses antara bank dengan nasabahnya, yaitu sistem dan jaringan
milik operator selular dan provider internet.
Kelemahan aplikasi sebenarnya adalah sebuah konsekuensi logis yang mungkin
terjadi akibat semakin kompleksnya fitur dan layanan yang disediakan oleh
aplikasi tsb. dalam rangka untuk memenuhi kebutuhan penggunanya. Sehingga
prosedur, pengawasan, kehati-hatian di dalam setiap proses peningkatan
kemampuan aplikasi harus menjadi prioritas utama implementasi.
Jenis exploitasi aplikasi pun sekarang ini juga semakin meningkat jumlah dan
kualitasnya dan banyak diantaranya yang menggunakan metode yang semula tidak
pernah terpikirkan para pengembang aplikasi untuk perbankan. Seperti
misalnya, serangan tidak lagi dilakuken lewat front end melainkan melalui
celah keamanan back end. Peretas berusaha membangun suatu saluran backdoor
melalui sistem back end bank dengan cara menyusupkan trojan atau bots ke
dalam jaringan internal perusahaan. Banyak pengembang aplikasi perbankan
hanya fokus antisipasi pengamanan pada sisi front end namun membiarkan sisi
back end terbuka lebar.
4. Kerawanan perilaku. Salah satu penyebab utama terjadinya insiden keamanan
di dalam dunia Teknologi Informasi adalah akibat kelemahan manusia. Baik itu
SDM perbankan, nasabah itu sendiri maupun juga aparat penegak hukum. Pada
sisi perbankan, tidak semua SDM disiplin di dalam menerapkan prosedur
pengamanan. Sedangkan di sisi nasabah upaya sosialisasi untuk menciptakan
kesadaran masih dilakukan secara parsial dan kasuistis. Seharusnya proses
ini dilaksanakan secara paralel dengan setiap kegiatan marketing dan melekat
di dalam setiap produk perbankan (bukan hanya untuk e-banking saja) dan
harus dilaksanakan secara terus-menerus, karena bank adalah bisnis jasa
berbasis kepercayaan (trust) sehingga isu keamanan seharusnya menempati
prioritas tertinggi yang harus disampaikan kepada nasabah.
Pada prakteknya bank penyelenggarakan e-banking akan menerapkan prosedur
pengamanan pragmatis yang pada dasarnya hanya melindungi kepentingan bank.
Kepentingan nasabah justru tidak terlindungi, semua resiko harus ditanggung
sendiri. Karena dalam setiap insiden bank menempatkan dirinya juga sebagai
korban bukan sebagai penanggung jawab. Mengakui kelemahan adalah hal tabu
yang dianggap akan mencederai integritas bank dan menurunkan tingkat
kepercayaan nasabah. Akibatnya setiap insiden selalu ditutupi dan nasabah
yang lain tidak menyadari adanya suatu kelemahan yang dapat membayakan
kepentingan mereka.
Di negara lain, misalnya Jepang, pemerintah menerapkan aturan yang mengubah
mindset dunia perbankan di dalam mensikapi terjadinya insiden keamanan.
Pemerintah Jepang justru mewajibkan kepada pihak bank yang mengalami
insiden/serangan untuk membuka informasi secara detail bukan hanya kepada
nasabah melainkan juga kepada publik sehingga terjadi proses pembelajaran
dan terbentuk kesadaran terhadap aspek keamanan dan pengamanan. Sehingga
bank lain dapat secepatnya melakukan antisipasi seandainya memiliki
kelemahan serupa. Karena kemanan adalah tanggung jawab semua pihak, “your
security is my security”.
E-banking bukanlah layanan perbankan konvensional, karena yang dilayani
adalah nasabah yang telah hidup di dalam budaya online yang berbeda
paradigma dengan dunia offline. Maka pendekatan yang digunakan di dalam
layanan pun seharusnya mengacu pada budaya online. Misalnya, apabila di
dalam perbankan konvensional, insiden harus ditutupi untuk mencegah
terjadinya resiko lain, seperti rush. Dalam layanan perbankan online setiap
insiden justru harus segera diumumkan secara terbuka karena akibat dari
serangan bisa sangat cepat dan luas sehingga dapat menimbulkan dampak yang
luar biasa karena sifatnya yang online real time.
Nasabah yang sangat tergantung dan secara intensif telah menggunakan layanan
e-banking, justru akan memberikan apresiasi tinggi apabila bank memiliki
keberanian dan keterbukaan untuk mengungkapkan kelemahan dan insiden yang
dialami. Karena di dalam budaya online, pengakuan adalah wujud tanggung
jawab dan itikad baik dan kecepatan respon adalah isu krusial. Apabila bank
telah mengetahui masalah itu maka tidak seharusnya menyembunyikan kelemahan
tersebut, justru wajib mengumumkan tindakan terbaik apa yang telah dilakukan
untuk mitigasi, recovery dan pencegahan serta antisipasi di masa datang.
Terutama tindakan pencegahan apa yang perlu dilakukan oleh nasabah, misalnya
untuk menghentikan transaksi sementara waktu. Dengan cara demikian justru
integritas bank cepat dipulihkan karena telah mampu menunjukkan kecepatan
respon, tanggung jawab serta kemampuan mengelola krisis.
Bank juga harus memiliki tim respon insiden yang memiliki kemampuan
menghadapi potensi ancaman, gangguan dan serangan terhadap sistem
elektronik. Tim ini harus selalu siaga dan memantau trend dan modus
kejahatan serta teknologi yang dinamis (cepat berubah). Di masa damai, tim
ini dapat terlibat di dalam kegiatan sosialisasi dan kampanye kesadaran
tentang keamanan dan pengamanan baik secara internal di dalam bank maupun
kepada masyarakat agar lebih memahami problematika dan dinamika masalah
keamanan di dunia perbankan.
Masyarakat pada umumnya dan nasabah pada khususnya harus terus mendapatkan
update, informasi tentang masalah keamanan di dunia perbankan bahkan bila
diperlukan tools untuk mengamankan diri. Bank harus melakukan kampanye
secara umum agar masyarakat dan nasabah paham adanya ancaman bahaya.
Misalnya, harus dijelaskan kondisi di sekitar mesin ATM dan prosedur serta
etika yang sebaiknya diterapkan ketika memanfaatkan layanan tsb. Contoh:
perlunya jarak antrian dalam batas yang aman agar orang tidak mudah
mengintip. Layanan peringatan (reminder, misalnya via SMS) berupa anjuran
untuk mengganti PIN dan password secara rutin, pesan kewaspadaan terhadap
aneka modus penipuan, hipnotis dlsb. termasuk praktek skimming. Nasabah
bahkan tidak pernah diberikan arahan untuk melakukan observasi kondisi,
situasi mesin ATM dan lingkungan sekitarnya sebelum melakukan transaksi.
Demikian juga dengan nasabah layanan online banking. Update informasi
mengenai modus phising, password hijacking, ancaman penyebaran malware serta
potensi pencurian informasi personal harus dilakukan secara periodik. Di
Indonesia, bank yang memiliki layanan online bahkan tidak memanfaatkan
sarana email untuk berkomunikasi dengan nasabahnya, tidak menerbitkan
newsletter atau mengaktifkan mailing list yang sesungguhnya bebas biaya. Ini
artinya ini menunjukkan bahwa walaupun menyelenggarakan layanan online,
sesungguhnya bank masih menggunakan paradigma offline. Bahkan di dalam
menyampaikan keluhan pun, nasabah e-banking tetap diminta untuk menghubungi
customer service via telepon. Padahal sangat dimungkinkan untuk pelanggan
e-banking menyediakan layanan customer service via instant messenger dan
atau email. Apalagi di tengah trend dunia yang sudah semakin mobile dan
always on. Layanan dukungan semacam ini sangat menentukan persepsi nasabah
dalam mengukur kemampuan dan tingkat percepatan respon bank di dalam
menangani insiden.
5. Kerawanan regulasi dan kelemahan penegakan hukum. Sebagian besar regulasi
perbankan masih menggunakan paradigma konvensional yang sepenuhnya
melindungi kepentingan bank. Regulasi ini sudah saatnya dirubah, karena arah
kegiatan perbankan sekarang yang memasuki era online dan transaksi
elektronik sehingga tanggung jawab pengamanan menjadi masalah bersama. Bank
harus menjadi pihak yang bertanggung jawab karena posisi sebagai sistem
penyelenggara layanan transaksi elektronik. Peraturan perundangan yang baru
sepertu UU No. 11/2008 Tentang ITE juga telah mulai mengatur masalah ini. Di
masa depan akan semakin banyak peraturan yang digolongkan sebagai cyber law
ini akan diberlakukan oleh pemerintah. Sehingga diharapkan ada kepastian
hukum bagi para penyelenggara layanan dan pengguna.
Semangat kerjasama harus menjadi platform dasar di dalam menghadapi insiden
keamanan layanan e-banking. Bank harus terbuka dan secepatnya memberikan
akses pada penegak hukum untuk melakukan investigasi dan mitigasi. Tidak
menghalangi dengan alasan aturan kerahasiaan bank ataupun prosedur
birokrasi. Di dunia online, percepatan tindakan sangat penting untuk
mencegah terjadinya dampak yang lebih luas karena pelaku dapat beraksi di
dalam hitungan waktu yang sangat cepat dan tidak terbatas jarak, ruang
apalagi birokrasi. Petugas yang melakukan investigasi dan mitigasi pun tidak
hanya sekedar harus profesional dan memiliki keahlian serta pengalaman namun
juga harus memiliki integritas tinggi. Mereka harus diberikan kepercayaan
dan kesempatan serta kewenangan yang luas untuk bekerja.
Karena di dalam dunia elektronik ini, batasan-batasan manajemen dan
birokrasi tidak berlaku. Misalnya seorang peretas yang melakukan penyusupan
dan menyerang sistem elektronik bank mungkin akan berusaha untuk mencapai
hak akses tertinggi di dalam sistem untuk melakukan cover up (penghapusan
jejak) dan tentunya memperoleh keuntungan yang sebesar-besarnya. Sehingga
para penyidik pun harus diberikan otoritas yang sama ketika mereka bekerja
dalam sistem agar bisa melacak dan mengejar pelaku. Hal seperti ini
(otoritas penuh dalam mitigasi dan investigasi) harus diatur dalam regulasi
di dalam sistem perbankan, bila perlu regulasi BI maupun pemerintah. Di satu
sisi masalah pengawasan dan jaminan integritas juga diperlukan.
Aparat penegak hukum pada umumnya memiliki keterbatasan keahlian, sumber
daya dan juga membutuhkan bantuan pihak ketiga, setidaknya sebagai pendapat
kedua. Karena kejahatan elektronik selalu memiliki dua sisi yang berbeda.
Sisi teknis dan sisi kejahatan itu sendiri. Pada sisi teknis, kemampuan
semacam itu bisa dimiliki oleh siapapun dan bukan tidak mungkin itu berasal
dari kelemahan di dalam sistem itu sendiri. Sedangkan dari sisi kejahatan
memerlukan keahlian penyidikan dan insting penegak hukum yang memang
profesional di bidangnya. Maka pendekatan terhadap insiden cyber crime pun
harus dilakukan sekaligus dari dua sisi tersebut.
Untuk mendapatkan keahlian tersebut diperlukan sistem pendidikan yang
kredibel, berkualitas dan berkelanjutan. Kemudian harus memiliki jam terbang
untuk mendapatkan pengalaman yang memadai dan pengakuan baik secara legal
formal (misalnya berupa sertifikasi) maupun secara informal dari komunitas
keamanan informasi. Pengakuan formal mudah didapatkan dengan mengikuti aneka
program sertifikasi keahlian. NPengakuan informal membutuhkan dedikasi dan
kontribusi kepada komunitas dalam jangka panjang. Para aparat penegak hukum
cyber crime harus mampu berdiri di dua sisi tersebut. Apalagi di dalam
proses investigasi nantinya, peran serta komunitas ini akan sangat besar dan
penting. Karena merekalah yang menyediakan jaringan manusia yang memiliki
sumber informasi berharga terkait aktivitas kejahatan itu dan sekaligus
terutama modus, trik dan teknologi yang digunakan.
PROYEKSI KEAMANAN E-BANKING 2010
Di masa depan upaya dan modus kejahatan terhadap layanan perbankan
elektronik akan semakin meningkat terutama yang tidak melibatkan interaksi
fisik (transaksi teller, mesin ATM, EDC) dan tidak membutuhkan perangkat
media transaksi fisik (kartu magnetik/smart card, token, buku tabungan
dlsb.). Sehingga kelemahan dan celah keamanan aplikasi layanan internet
banking serta SMS/mobile banking dan jenis layanan transaksi online lainnya
akan menjadi sasaran utama untuk dieksploitasi.
Apalagi pengguna selular saat ini telah mencapai setengah dari total
populasi (135 juta), demikian juga pengguna internet meningkat tajam (35
juta) pada akhir 2009. Sehingga potensi untuk memanfaatkan 2 jenis layanan
perbankan elektronik ini sangat tinggi. Untuk diketahui, SMS/mobile banking
di Indonesia saat ini diperkirakan digunakan oleh 3 juta pengguna aktif.
Sedangkan untuk internet banking digunakan oleh sekitar 1 juta pengguna
aktif. Maka pertumbuhan ini akan sangat menarik perhatian para pelaku
kejahatan dan menjadikannya sebagai sasaran baru.
Walaupun pada saat ini jumlah pengguna layanan online banking tersebut masih
terlihat sedikit bila dibandingkan dengan pengguna kartu ATM atau kartu
kredit misalnya, namun sesungguhnya ini juga terkait dengan strategi
marketing bank itu sendiri. Pada prinsipnya bank masih lebih banyak fokus
pada pemasaran produk off line banking atau automated semi online banking
seperti ATM, EDC dan produk pembayaran cerdas seperti voucher card. Karena
alasan tingkat sales transaksi konvensional ini masih sangat tinggi.
Sehingga bank menahan laju pertumbuhan untuk online banking dengan cara
membatasi kekayaan fitur dan kapasitas pelayanannya. Sehingga online banking
pun baru digunakan secara terbatas dikalangan nasabah dan merchant tertentu.
Trend internasional sesungguhnya tidak bisa dibendung lagi. Sehingga, pada
saatnya, sesuai tuntutan pasar, online banking akan booming.
Ketika booming itu terjadi, maka kasus upaya pencurian data personal nasabah
akan meningkat tajam dan berbagai modus lama maupun baru akan dilakukan oleh
para pelaku. Jebakan phising site akan semakin marak dan aneka
tools/exploit/malware yang akan digunakan untuk menjebol aplikasi online
banking dan atau menyusup ke dalam jaringan back end dan memata-matai
komputer nasabah juga akan menyebar luas. Sehingga bank, operator seluler
dan provider internet sejak saat ini harus lebih proaktif di dalam melakukan
sosialisasi untuk menciptakan kesadaran kepada nasabahnya sebagai upaya
antisipasi. Selain itu prosedur internal serta teknologi yang digunakan juga
harus terus ditingkatkan.
http://www.idsirtii.or.id/index.php/news/2010/01/21/81/mewaspadai-kejahatan-layanan-perbankan-elektronik-himbauan-kepada-masyarakat-dan-keterangan-pers.html
0 comments:
Post a Comment