MEWASPADAI KEJAHATAN terhadap LAYANAN PERBANKAN ELEKTRONIK (HIMBAUAN KEPADA MASYARAKAT DAN KETERANGAN PERS)

Masyarakat kini telah semakin banyak memanfaatkan Teknologi Informasi secara intensif di dalam setiap aspek kehidupannya. Pemanfaatan ini bukan hanya dilakukan oleh masyarakat perkotaan dan kelas sosial menengah ke atas tetapi untuk jenis teknologi dan media elektronik tertentu juga telah meluas hingga ke masyarakat pedesaan dan kelas sosial menengah ke bawah.

Media elektronik sebagai salah satu sarana Teknologi Informasi, tidak digunakan untuk penyebaran informasi yang bersifat satu arah saja, namun kini juga menjadi sarana transformasi informasi dan data yang bersifat interaktif sehingga transaksi sosial ekonomi pun dapat dilakukan melalui media elektronik. Antara lain misalnya terjadi pada teknologi telepon, internet dlsb.

Industri perbankan adalah salah satu bidang jasa yang secara ekstensif menyelenggarakan layanan sdengan memanfaatkan media elektronik (e-banking). Sebagian besar bank pada saat ini bahkan mengandalkan Teknologi Informasi dan media elektronik sebagai basis layanannya. Sehingga layanan perbankan yang diselenggarakannya kini menawarkan berbagai kemudahan yang dapat dimanfaatkan masyarakat setiap saat dan dimana saja, tidak dibatasi jarak, ruang dan waktu.

Jenis teknologi (e-banking) dan media elektronik yang digunakan antara lain adalah:

1.    Layanan perbankan online, memungkinkan terjadinya hubungan dan transaksi antar cabang secara real time (seketika) melalui jaringan komputer sehingga memudahkan, mempercepat pengelolaan/manajemen serta pelayanan. Tidak ada penundaan akibat hambatan komunikasi dan pertukaran data, informasi transaksi antar cabang. Bahkan antar bank yang memiliki kerjasama kini juga telah melakukan pertukaran informasi dan data secara online sehingga memudahkan dan meniadakan hambatan transaksi antar nasabah yang berbeda bank;
2.    Layanan jaringan mesin ATM (Automated Teller Machine), memungkinkan masyarakat untuk melakukan transaksi perbankan melalui mesin ATM misalnya untuk pembayaran, pengiriman atau penerimaan, pengambilan tunai dan penyetoran (terbatas). Mesin ATM tersebar luas di seluruh Indonesia dan bahkan di seluruh dunia (kerjasama antar penyelenggara layanan ATM);
3.    Layanan jaringan EDC (Electronic Data Capture), memungkinkan masyarakat untuk melakukan transaksi pembelanjaan/konsumsi di counter merchant secara elektronik menggunakan kartu debit atau kartu kredit maupun kartu tunai (voucher elektronik);
4.    Layanan phone banking, memungkinkan masyarakat untuk melakukan transaksi perbankan melalui telepon. Media elektronik yang serupa adalah layanan SMS banking/mobile banking untuk mendukung aktivitas dan mobilitas masyarakat;
5.    Layanan internet banking, memungkinkan masyarakat untuk melakukan transaksi perbankan melalui media jaringan komputer global yaitu internet;
6.    Layanan kartu kredit, kartu cicilan dan untuk pembayaran tunda sejenisnya.

Semua bank nasional pada saat ini telah terhubung secara online dan ada yang bergabung dengan jaringan kerjasama layanan e-banking lokal maupun internasional untuk memperluas jaringan dan meningkatkan efisiensi layanan serta sekaligus meminimalisir biaya operasional dan perawatan.

Misalnya untuk layanan ATM yang kini paling banyak digunakan oleh nasabah perbankan, pihak bank tidak hanya menyediakan layanan ini melalui jaringan mesin ATM yang dimiliki sendiri (misalnya BCA 6.000 ATM, Mandiri 3.000 ATM, BNI 3.000 ATM, BRI 4.000 ATM) melainkan juga bergabung dengan jaringan mesin ATM yang diselenggarakan oleh pihak lain baik itu lokal (ATM Bersama, 11.000 ATM) dan internasional (Plus, Cirrus, Alto, Link dll. yang memiliki jutaan ATM di seluruh dunia).

Nasabah pengguna kartu ATM tidak harus tergantung dan melakukan transaksi dari mesin ATM bank ybs. dapat menggunakan ATM lain yang memiliki kerjasama dengan bank penerbit asalnya. Biasanya logo jaringan ATM yang didukung tertera di setiap kartu ATM. Sehingga pengguna bisa memilih.

Semua bank nasional kini menerbitkan kartu ATM, bahkan beberapa bank nasional secara otomatis akan memberikan kartu ATM kepada nasabah untuk setiap pembukaan rekening baru. Diperkirakan pada akhir tahun 2009 di Indonesia ada sekitar 50 juta pengguna kartu ATM aktif dimana sebagian besar dari kartu ATM tersebut juga berfungsi sebagai kartu debit (dapat digunakan sebagai media pembayaran elektronik di merchant pembelanjaan yang memiliki kerjasama dengan bank).

Semakin luasnya trend pemanfaatan kartu ATM dan kartu kredit sebagai alat pembayaran mendorong tumbuhnya layanan perbankan lain yang ditujukan kepada merchant pembayaran yaitu sistem EDC. Sekarang ini di seluruh dunia sistem EDC telah digunakan di jutaan counter merchant yang meliputi hampir seluruh jenis transaksi ekonomi yang bersifat konsumsi baik itu barang maupun jasa.

Kecenderungan lain yang semakin meningkat tajam adalah pemanfaatan layanan SMS/mobile banking dan internet banking. Mobilitas masyarakat modern yang semakin tinggi, tersedianya infrastruktur dan semakin murahnya biaya penggunaan layanan teknologi ini serta aneka kemudahan yang ditawarkan, seperti tidak diperlukannya kehadiran fisik (orang dan tanda tangan fisik, alat : kartu dan mesin ATM, mesin EDC) ketika melakukan suatu transaksi, menjadi daya tarik utama yang menyebabkan nasabah memilih menggunakan layanan tsb. Pihak merchant pun juga diuntungkan karena tidak perlu harus memiliki outlet secara fisik, tidak terbatas ruang dan waktu sehingga operasionalnya efisien.

ASPEK PENGAMANAN

Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa kemudahan dan manfaat luas yang meningkatkan kualitas kehidupan manusia, maka layanan perbankan elektronik juga memiliki banyak kelemahan yang patut diwaspadai dan diantisipasi. Sehingga, teknologi tersebut tetap dapat dipakai, manfaatnya terus dinikmati oleh umat manusia namun juga harus ada tanggung jawab, pengawasan dan upaya untuk memperbaiki kelemahan, menanggulangi permasalahan yang mungkin timbul serta yang paling penting adalah meningkatkan kesadaran dan menanamkan pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh layanan perbankan itu terutama kepada masyarakat luas, pengguna/nasabah, pemerintah/regulator, aparat penegak hukum dan penyelenggara layanan itu sendiri (bank, merchant, operator layanan pihak ketiga dlsb.). Karena masalah keamanan adalah tanggung jawab bersama, semua pihak harus turut serta berperan aktif dalam upaya pengamanan.

Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat diperlukan. Ada sebuah jargon dalam dunia information security yaitu: “your security is my security”, artinya semua pihak pasti memiliki titik kerawanan dan karenanya masing-masing memiliki potensi resiko yang mungkin dapat dieksploitasi oleh pihak lain yang berniat tidak baik. Maka apabila terjadi insiden terkait kerawanan itu, seluruh komponen yang saling terkait harus turut bertanggung jawab untuk menanggulangi dan meningkatkan upaya meminimalisir resiko serta mencegah kejadian serupa di masa depan.

Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah berhati-hati sekalipun akan dapat menjadi korban apabila bank lalai atau gagal di dalam pengawasan dan upaya peningkatan pengamanan sistem secara terus-menerus. Demikian juga apabila aturan dari pemerintah lemah dan penegak hukum tidak memiliki kemampuan yang memadai untuk terus mengikuti perkembangan sistem dan teknologi maka ketika terjadi insiden akan sulit untuk melakukan penindakan terhadap semua pihak yang seharusnya bertanggung jawab.

Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat jahat akan selalu memilih celah kerawanan yang paling lemah sebagai pintu masuk. Sehingga semua pihak turut bertanggung jawab dan harus saling membantu (bekerjasama) untuk mengawasi, memperbaiki dan menutup celah tersebut tanpa saling menyalahkan karena justru akan berakibat melemahkan peran dan potensi setiap pihak dalam upaya pengamanan bersama. Setiap pihak adalah satu simpul rangkaian rantai pengamanan dan semua saling bergantung satu sama lain, karenanya semua sama pentingnya.

TITIK KERAWANAN

Selama beberapa waktu ID-SIRTII telah melakukan kajian terhadap data kejadian insiden keamanan dan kasus kejahatan terkait layanan perbankan elektronik di Indonesia. sPada prinsipnya disimpulkan ada beberapa titik kerawanan yang patut diwaspadai dan diperbaiki sebagai antisipasi di masa depan.

1.    Kerawanan prosedur perbankan. Paling menonjol adalah lemahnya proses identifikasi dan validasi calon nasabah. Masalah ini bukan sepenuhnya kesalahan bank, karena di Indonesia belum diterapkan Single Identity Number (SIM) yang terintegrasi antar departemen terkait pelaksanaan pelayanan publik, sehingga mudah sekali untuk melakukan pemalsuan identitas dan mengecoh sistem validasi bank sehingga akhirnya akan berakibat pada penyalahgunaan rekening, fasilitas dan layanan terkait dengan nasabah seperti kartu ATM/debit untuk kegiatan kejahatan mulai fraud (penipuan) hingga ke pencucian uang. Kecenderungannya para pelaku kejahatan akan memilih untuk sejauh mungkin hanya menggunakan layanan elektronik saja, menghindari transaksi dan kontak fisik baik dengan petugas bank maupun korban.

Bentuk kelemahan prosedur lainnya adalah sistem outsourcing di dalam pemasaran produk perbankan. Banyak sekali terjadi kasus pencurian identitas calon nasabah dan juga nasabah serta tidak terjaminnya perlindungan data dan informasi pribadi dalam jangka panjang akan menjadi titik kerawanan yang paling potensial untuk dimanfaatkan oleh para pelaku berbagai jenis kejahatan bukan hanya terkait layanan elektronik perbankan melainkan juga kejahatan lainnya. Pengamatan ID-SIRTII pada tahun 2009 pada “underground market” menunjukkan bahwa data identitas nasabah perbankan asal Indonesia cukup banyak diperjualbelikan.

Kasus paling menonjol terkait pencurian data/bocornya nasabah akibat kerawanan prosedur pengamanan di perusahaan outsourcing terjadi pada tahun 2008, ketika 7 juta data rekening kartu kredit dibobol oleh sindikat pengedar narkotika yang juga melakukan pemalsuan kartu kredit untuk kepentingan transaksi bisnisnya. Untuk catatan, diperkirakan pada akhir tahun 2009 kartu kredit yang diterbitkan oleh bank asal Indonesia jumlahnya sekitar 9 – 11 juta.

Sejumlah kerawanan prosedur lainnya juga dijumpai di dalam sistem verifikasi untuk layanan SMS/mobile banking dan internet banking. Nasabah harus memahami cara kerja layanan tsb. dan memperhatikan dengan cermat setiap transaksi yang terjadi dan melakukan cross check apabila dijumpai potensi kelemahan dan kesalahan. Harus diperhatikan bahwa layanan tsb. melibatkan pihak selain bank yaitu operator selular dan provider internet sehingga kelemahan bisa saja terjadi pada sistem mereka, bukan pada sistem perbankan. Seharusnya pihak bank, operator selular dan provider internet harus lebih banyak lagi melakukan sosialisasi prosedur pengamanan kepada para penggunanya sehingga resiko terjadinya insiden dapat diminimalisir.

Yang paling mengkhawatirkan dan terbukti paling sering dieksploitasi oleh pelaku kejahatan adalah kerawanan prosedur pada mesin ATM dan mesin EDC. Masalahnya adalah minimnya upaya pengawasan bank terhadap dua sistem tsb. Sehingga nasabah dituntut untuk lebih berhati-hati/waspada saat bertransaksi di ATM dan EDC. Bukan hanya modus eksploitasi yang melibatkan teknologi seperti skimming namun juga yang konvensional seperti hipnotis serta aneka penipuan via SMS, undian berhadiah dll. bahkan ada juga nigerian scam. Sangat jarang dijumpai pesan peringatan (reminder) kepada nasabah maupun upaya peningkatan sistem pengamanan yang memadai dengan misalnya memasang kamera pengawas di semua ATM.

2.    Kerawanan fisik. Sebagian besar kartu ATM yang digunakan bank saat ini jenisnya magnetic stripe card yang tidak dilengkapi pengaman chip (smart card). Kartu jenis ini sangat mudah digandakan. Perangkat penggandaan dan bahan baku kartu magnetic ini dapat dengan mudah dijumpai di pasaran dengan harga yang sangat murah. Saat ini baru kartu kredit saja yang telah diganti dengan jenis smart card sejak Januari 2010 sesuai ketentuan Bank Indonesia. Seharusnya penggantian jenis kartu dan peningkatan teknologi yang digunakan harus lebih sering dilakukan karena modus kejahatan pun semakin cepat mengalami perubahan. Selain jenis smart card, sekarang juga sudah dikembangkan jenis kartu lain (next generation) yang lebih kuat teknologi pengamanannya seperti smartcard yang dilengkapi chip RFID, biometrik dlsb. Setiap bank penyelenggara layanan perbankan elektronik seharusnya menyiapkan road map untuk secara periodik mengganti jenis kartu dan meningkatkan keamanan fisiknya.

Standar pengamanan mesin ATM dan EDC juga masih sangat kurang. Seharusnya mesin ATM dilengkapi dengan sensor, alarm, kamera pengawas dan berbagai mekanisme pengamanan lainnya. Misalnya penggunaan privacy screen dengan sudut penglihatan yang sempit, cover untuk melindungi numeric keypad, anti skimming card reader hole hingga mungkin apabila diperlukan emergency intercom unit. Dengan teknologi telekomunikasi berbasis IP yang kini   tersedia, semua fasilitas pengamanan itu dapat diselenggarakan dengan biaya yang murah.

Secara fisik yang perlu diperhatikan adalah keamanan sistem jaringan yang digunakan oleh layanan tsb. Baik itu SMS/mobile banking ataupun internet banking pada dasarnya melalui jaringan publik yang sesungguhnya tidak aman karena dipergunakan oleh masyarakat umum bukan sebuah saluran independen (private) yang terjamin. Sehingga harus diperhatikan dan menjadi prioritas utama untuk menerapkan metode pengamanan virtual, misalnya  VPN, SSL (digital signature) dan penggunaan algoritma enkripsi yang lebih kuat dari waktu ke waktu.

Sosialisasi pengamanan fisik pada sisi nasabah pengguna pun juga harus dilakukan. Misalnya saat menggunakan akses internet publik yang tidak terjamin keamanannya seperti di warnet, hotspot, maupun ketika menggunakan mobile internet. Pengamanan terhadap gadget ketika sering memanfaatkan SMS/mobile banking, juga harus menjadi perhatian yang lebih serius. Banyak pengguna gadget tidak menyadari bahwa pelaku kejahatan menggunakan modus trashing (mencari data sampah yang tertinggal atau terhapus dari perangkat gadget bekas).

3.    Kerawanan aplikasi. Secara teknis, untuk layanan yang sangat kritis seperti perbankan, proses pengembangan aplikasi yang digunakan seharusnya mengikuti kaidah yang disebut dengan secure programming dan dikerjakan oleh ahli programming yang memiliki kemampuan secure programming ini. Selanjutnya aplikasi ini secara periodik harus diaudit, dilakukan penetration testing untuk menemukan celah keamanan dan update untuk menjamin keamanan dan telah ditutupnya kerawanan pada aplikasi. Audit tidak hanya dilakukan pada sisi aplikasi perbankan namun juga harus dilakukan pada sistem pihak ketiga yang menjembatani akses antara bank dengan nasabahnya, yaitu sistem dan jaringan milik operator selular dan provider internet.

Kelemahan aplikasi sebenarnya adalah sebuah konsekuensi logis yang mungkin terjadi akibat semakin kompleksnya fitur dan layanan yang disediakan oleh aplikasi tsb. dalam rangka untuk memenuhi kebutuhan penggunanya. Sehingga prosedur, pengawasan, kehati-hatian di dalam setiap proses peningkatan kemampuan aplikasi harus menjadi prioritas utama implementasi.

Jenis exploitasi aplikasi pun sekarang ini juga semakin meningkat jumlah dan kualitasnya dan banyak diantaranya yang menggunakan metode yang semula tidak pernah terpikirkan para pengembang aplikasi untuk perbankan. Seperti misalnya, serangan tidak lagi dilakuken lewat front end melainkan melalui celah keamanan back end. Peretas berusaha membangun suatu saluran backdoor melalui sistem back end bank dengan cara menyusupkan trojan atau bots ke dalam jaringan internal perusahaan. Banyak pengembang aplikasi perbankan hanya fokus antisipasi pengamanan pada sisi front end namun membiarkan sisi back end terbuka lebar.

4.    Kerawanan perilaku. Salah satu penyebab utama terjadinya insiden keamanan di dalam dunia Teknologi Informasi adalah akibat kelemahan manusia. Baik itu SDM perbankan, nasabah itu sendiri maupun juga aparat penegak hukum. Pada sisi perbankan, tidak semua SDM disiplin di dalam menerapkan prosedur pengamanan. Sedangkan di sisi nasabah upaya sosialisasi untuk menciptakan kesadaran masih dilakukan secara parsial dan kasuistis. Seharusnya proses ini dilaksanakan secara paralel dengan setiap kegiatan marketing dan melekat di dalam setiap produk perbankan (bukan hanya untuk e-banking saja) dan harus dilaksanakan secara terus-menerus, karena bank adalah bisnis jasa berbasis kepercayaan (trust) sehingga isu keamanan seharusnya menempati prioritas tertinggi yang harus disampaikan kepada nasabah.

Pada prakteknya bank penyelenggarakan e-banking akan menerapkan prosedur pengamanan pragmatis yang pada dasarnya hanya melindungi kepentingan bank. Kepentingan nasabah justru tidak terlindungi, semua resiko harus ditanggung sendiri. Karena dalam setiap insiden bank menempatkan dirinya juga sebagai korban bukan sebagai penanggung jawab. Mengakui kelemahan adalah hal tabu yang dianggap akan mencederai integritas bank dan menurunkan tingkat kepercayaan nasabah. Akibatnya setiap insiden selalu ditutupi dan nasabah yang lain tidak menyadari adanya suatu kelemahan yang dapat membayakan kepentingan mereka.

Di negara lain, misalnya Jepang, pemerintah menerapkan aturan yang mengubah mindset dunia perbankan di dalam mensikapi terjadinya insiden keamanan. Pemerintah Jepang justru mewajibkan kepada pihak bank yang mengalami insiden/serangan untuk membuka informasi secara detail bukan hanya kepada nasabah melainkan juga kepada publik sehingga terjadi proses pembelajaran dan terbentuk kesadaran terhadap aspek keamanan dan pengamanan. Sehingga bank lain dapat secepatnya melakukan antisipasi seandainya memiliki kelemahan serupa. Karena kemanan adalah tanggung jawab semua pihak, “your security is my security”.

E-banking bukanlah layanan perbankan konvensional, karena yang dilayani adalah nasabah yang telah hidup di dalam budaya online yang berbeda paradigma dengan dunia offline. Maka pendekatan yang digunakan di dalam layanan pun seharusnya mengacu pada budaya online. Misalnya, apabila di dalam perbankan konvensional, insiden harus ditutupi untuk mencegah terjadinya resiko lain, seperti rush. Dalam layanan perbankan online setiap insiden justru harus  segera diumumkan secara terbuka karena akibat dari serangan bisa sangat cepat dan luas sehingga dapat menimbulkan dampak yang luar biasa karena sifatnya yang online real time.

Nasabah yang sangat tergantung dan secara intensif telah menggunakan layanan e-banking, justru akan memberikan apresiasi tinggi apabila bank memiliki keberanian dan keterbukaan untuk mengungkapkan kelemahan dan insiden yang dialami. Karena di dalam budaya online, pengakuan adalah wujud tanggung jawab dan itikad baik dan kecepatan respon adalah isu krusial. Apabila bank telah mengetahui masalah itu maka tidak seharusnya menyembunyikan kelemahan tersebut, justru wajib mengumumkan tindakan terbaik apa yang telah dilakukan untuk mitigasi, recovery dan pencegahan serta antisipasi di masa datang. Terutama tindakan pencegahan apa yang perlu dilakukan oleh nasabah, misalnya untuk menghentikan transaksi sementara waktu. Dengan cara demikian justru integritas bank cepat dipulihkan karena telah mampu menunjukkan kecepatan respon, tanggung jawab serta kemampuan mengelola krisis.

Bank juga harus memiliki tim respon insiden yang memiliki kemampuan menghadapi potensi ancaman, gangguan dan serangan terhadap sistem elektronik. Tim ini harus selalu siaga dan memantau trend dan modus kejahatan serta teknologi yang dinamis (cepat berubah). Di masa damai, tim ini dapat terlibat di dalam kegiatan sosialisasi dan kampanye kesadaran tentang keamanan dan pengamanan baik secara internal di dalam bank maupun kepada masyarakat agar lebih memahami problematika dan dinamika masalah keamanan di dunia perbankan.

Masyarakat pada umumnya dan nasabah pada khususnya harus terus mendapatkan update, informasi tentang masalah keamanan di dunia perbankan bahkan bila diperlukan tools untuk mengamankan diri. Bank harus melakukan kampanye secara umum agar masyarakat dan nasabah paham adanya ancaman bahaya. Misalnya, harus dijelaskan kondisi di sekitar mesin ATM dan prosedur serta etika yang sebaiknya diterapkan ketika memanfaatkan layanan tsb. Contoh: perlunya jarak antrian dalam batas yang aman agar orang tidak mudah mengintip. Layanan peringatan (reminder, misalnya via SMS) berupa anjuran untuk mengganti PIN dan password secara rutin, pesan kewaspadaan terhadap aneka modus penipuan, hipnotis dlsb. termasuk praktek skimming. Nasabah bahkan tidak pernah diberikan arahan untuk melakukan observasi kondisi, situasi mesin ATM dan lingkungan sekitarnya sebelum melakukan transaksi.

Demikian juga dengan nasabah layanan online banking. Update informasi mengenai modus phising, password hijacking, ancaman penyebaran malware serta potensi pencurian informasi personal harus dilakukan secara periodik. Di Indonesia, bank yang memiliki layanan online bahkan tidak memanfaatkan sarana email untuk berkomunikasi dengan nasabahnya, tidak menerbitkan newsletter atau mengaktifkan mailing list yang sesungguhnya bebas biaya. Ini artinya ini menunjukkan bahwa walaupun menyelenggarakan layanan online, sesungguhnya bank masih menggunakan paradigma offline. Bahkan di dalam menyampaikan keluhan pun, nasabah e-banking tetap diminta untuk menghubungi customer service via telepon. Padahal sangat dimungkinkan untuk pelanggan e-banking menyediakan layanan customer service via instant messenger dan atau email. Apalagi di tengah trend dunia yang sudah semakin mobile dan always on. Layanan dukungan semacam ini sangat menentukan persepsi nasabah dalam mengukur kemampuan dan tingkat percepatan respon bank di dalam menangani insiden.

5.    Kerawanan regulasi dan kelemahan penegakan hukum. Sebagian besar regulasi perbankan masih menggunakan paradigma konvensional yang sepenuhnya melindungi kepentingan bank. Regulasi ini sudah saatnya dirubah, karena arah kegiatan perbankan sekarang yang memasuki era online dan transaksi elektronik sehingga tanggung jawab pengamanan menjadi masalah bersama. Bank harus menjadi pihak yang bertanggung jawab karena posisi sebagai sistem penyelenggara layanan transaksi elektronik. Peraturan perundangan yang baru sepertu UU No. 11/2008 Tentang ITE juga telah mulai mengatur masalah ini. Di masa depan akan semakin banyak peraturan yang digolongkan sebagai cyber law ini akan diberlakukan oleh pemerintah. Sehingga diharapkan ada kepastian hukum bagi para penyelenggara layanan dan pengguna.

Semangat kerjasama harus menjadi platform dasar di dalam menghadapi insiden keamanan layanan e-banking. Bank harus terbuka dan secepatnya memberikan akses pada penegak hukum untuk melakukan investigasi dan mitigasi. Tidak menghalangi dengan alasan aturan kerahasiaan bank ataupun prosedur birokrasi. Di dunia online, percepatan tindakan sangat penting untuk mencegah terjadinya dampak yang lebih luas karena pelaku dapat beraksi di dalam hitungan waktu yang sangat cepat dan tidak terbatas jarak, ruang apalagi birokrasi. Petugas yang melakukan investigasi dan mitigasi pun tidak hanya sekedar harus profesional dan memiliki keahlian serta pengalaman namun juga harus memiliki integritas tinggi. Mereka harus diberikan kepercayaan dan kesempatan serta kewenangan yang luas untuk bekerja.

Karena di dalam dunia elektronik ini, batasan-batasan manajemen dan birokrasi tidak berlaku. Misalnya seorang peretas yang melakukan penyusupan dan menyerang sistem elektronik bank mungkin akan berusaha untuk mencapai hak akses tertinggi di dalam sistem untuk melakukan cover up (penghapusan jejak) dan tentunya memperoleh keuntungan yang sebesar-besarnya. Sehingga para penyidik pun harus diberikan otoritas yang sama ketika mereka bekerja dalam sistem agar bisa melacak dan mengejar pelaku. Hal seperti ini (otoritas penuh dalam mitigasi dan investigasi) harus diatur dalam regulasi di dalam sistem perbankan, bila perlu regulasi BI maupun pemerintah. Di satu sisi masalah pengawasan dan jaminan integritas juga diperlukan.

Aparat penegak hukum pada umumnya memiliki keterbatasan keahlian, sumber daya dan juga membutuhkan bantuan pihak ketiga, setidaknya sebagai pendapat kedua. Karena kejahatan elektronik selalu memiliki dua sisi yang berbeda. Sisi teknis dan sisi kejahatan itu sendiri. Pada sisi teknis, kemampuan semacam itu bisa dimiliki oleh siapapun dan bukan tidak mungkin itu berasal dari kelemahan di dalam sistem itu sendiri. Sedangkan dari sisi kejahatan memerlukan keahlian penyidikan dan insting penegak hukum yang memang profesional di bidangnya. Maka pendekatan terhadap insiden cyber crime pun harus dilakukan sekaligus dari dua sisi tersebut.

Untuk mendapatkan keahlian tersebut diperlukan sistem pendidikan yang kredibel, berkualitas dan berkelanjutan. Kemudian harus memiliki jam terbang untuk mendapatkan pengalaman yang memadai dan pengakuan baik secara legal formal (misalnya berupa sertifikasi) maupun secara informal dari komunitas keamanan informasi. Pengakuan formal mudah didapatkan dengan mengikuti aneka program sertifikasi keahlian. NPengakuan informal membutuhkan dedikasi dan kontribusi kepada komunitas dalam jangka panjang. Para aparat penegak hukum cyber crime harus mampu berdiri di dua sisi tersebut. Apalagi di dalam proses investigasi nantinya, peran serta komunitas ini akan sangat besar dan penting. Karena merekalah yang menyediakan jaringan manusia yang memiliki sumber informasi berharga terkait aktivitas kejahatan itu dan sekaligus terutama modus, trik dan teknologi yang digunakan.

PROYEKSI KEAMANAN E-BANKING 2010

Di masa depan upaya dan modus kejahatan terhadap layanan perbankan elektronik akan semakin meningkat terutama yang tidak melibatkan interaksi fisik (transaksi teller, mesin ATM, EDC) dan tidak membutuhkan perangkat media transaksi fisik (kartu magnetik/smart card, token, buku tabungan dlsb.). Sehingga kelemahan dan celah keamanan aplikasi layanan internet banking serta SMS/mobile banking dan jenis layanan transaksi online lainnya akan menjadi sasaran utama untuk dieksploitasi.

Apalagi pengguna selular saat ini telah mencapai setengah dari total populasi (135 juta), demikian juga pengguna internet juga meningkat tajam (35 juta) pada akhir 2009. Sehingga potensi untuk memanfaatkan 2 jenis layanan perbankan elektronik ini sangat tinggi. Untuk diketahui, SMS/mobile banking di Indonesia saat ini diperkirakan digunakan oleh 3 juta pengguna aktif. Sedangkan untuk internet banking digunakan oleh sekitar 1 juta pengguna aktif. Maka pertumbuhan ini akan sangat menarik perhatian para pelaku kejahatan dan menjadikannya sebagai sasaran ladang yang baru.

Walaupun pada saat ini jumlah pengguna layanan online banking tersebut masih terlihat sedikit bila dibandingkan dengan pengguna kartu ATM atau kartu kredit misalnya, namun sesungguhnya ini juga terkait dengan strategi marketing bank itu sendiri. Pada prinsipnya bank masih lebih banyak fokus pada pemasaran produk off line banking atau automated semi online banking seperti ATM, EDC dan produk pembayaran cerdas seperti voucher card. Karena alasan tingkat sales transaksi konvensional ini masih sangat tinggi. Sehingga bank menahan laju pertumbuhan untuk online banking dengan cara membatasi kekayaan fitur dan kapasitas pelayanannya. Sehingga online banking pun baru digunakan secara terbatas dikalangan nasabah dan merchant tertentu. Trend internasional sesungguhnya tidak bisa dibendung lagi. Sehingga, pada saatnya, sesuai tuntutan pasar online banking akan booming.

Ketika booming itu terjadi, maka kasus upaya pencurian data personal nasabah akan meningkat tajam dan berbagai modus lama maupun baru akan dilakukan oleh para pelaku. Jebakan phising site akan semakin marak dan aneka tools/exploit/malware yang akan digunakan untuk menjebol aplikasi online banking dan atau menyusup ke dalam jaringan back end dan memata-matai komputer nasabah juga akan menyebar luas. Sehingga bank, operator seluler dan provider internet sejak saat ini harus lebih proaktif di dalam melakukan sosialisasi untuk menciptakan kesadaran kepada nasabahnya sebagai upaya antisipasi. Selain itu prosedur internal serta teknologi yang digunakan juga terus ditingkatkan.

terima kasih kepada Bapak Muhammad Salahuddien

Wakil Ketua
(Indonesia Security Incident Response Team on Internet Infrastructure – ID-SIRTII)

Jasakom Crew..

All Communities Security forum

WE ARE ‘DE BEST..WE ARE FOR INDONESIA…

~ by andronymous on January 26, 2010.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: