Pendahuluan
Beberapa waktu lalu beberapa bank besar mengalami pembobolan transaksi perbankan. Hal ini menunjukkan betapa canggihnya para pelaku kejahatan yang berusaha untuk menembus ataupun menggunakan kode-kode rahasia nasabah perbankan yang berpengaruh kepada hal-hal yang merugikan nasabah dan bank itu sendiri. Kusus yang terjadi di bank local dapat kita lihat di Bank BNI tahun 1987 dengan raibnya dana di Bank BNI New York sebesar 18 juta dolar AS dan terakhir di bulan November 2003 terjadi raibnya sebesar Rp 1,7 Trilyun di Bank BNI Kebayoran Baru. Dan hal menarik yang dapat dikembangkan dari sudut pengendalian / audit dalam penerapan e-banking di industri perbankan bagaimana teknologi IT yang menerapkan dapat secara aman dan terkendali diterapkan serta memberikan jaminan perlindungan nasabah dan pihak bank yang melibatkan peran bank sentral / otoritas moniter untuk pengawasan.
Dalam hal ini perlu dipahami mengenai dasar acuan dan metode-metode audit TI pada perbankan yang menerapkan system e-banking terkait dengan aspek security. Selanjutnya selaku otoritas moneter dan juga asosiasi pemilik bank dihaparpkan dapat mewujudkan kegiatan perbankan yang telah menerapkan e-banking secara aman, cepat dan akurat serta dapat memberikan kepuasan bagi nasabah dan pemilik Bank yang dalam hal ini digunakan bank Permata.
Dari hasil audit TI yang disampaikan oleh tim auditor diketahui bahwa hasil penilaian pelaksanaan audit TI di Bank Permata, masih dalam katagori Fair dengan nilai 72.67% (di antara 50.00% s/d 75.00%).
Dari hasil penilaian yang didapat Bank Permata artinya beberapa elemen sistem telah sesuai dengan standar system manajemen mutu ISO 9001-2000, tetapi masih ada bagian yang penting dari sistem mutu yang belum sesuai dengan standar tersebut atau bahkan tidak ada sama sekali. Temukan dengan tepat area tersebut dan terapkan sistem/standar yang diminta. Sebagai petunjuk tambahan dapat digunakan petunjuk (manual) resmi seperti ISO 9001-2000 atau dapatkan pelayanan dari para ahli/konsultan ISO 9001-2000.
Gambaran topologi sambungan antara pelanggan / user ke situs e-Banking dapat berupa kelompok jaringan. Pengguna akan menggunakan komputernya yang biasanya tersambung ke LAN di kantor. LAN di kantor biasanya tersambung ke Internet melalui Router (kemungkinan Router ADSL) ke Internet. Situs e-banking biasanya tersambung langsung ke Internet dan dapat berlokasi di hosting provider, atau di bank itu sendiri.
Gambaran topologi sambungan antara pelanggan / user ke situs e-Banking dapat berupa kelompok jaringan. Pengguna akan menggunakan komputernya yang biasanya tersambung ke LAN di kantor. LAN di kantor biasanya tersambung ke Internet melalui Router (kemungkinan Router ADSL) ke Internet. Situs e-banking biasanya tersambung langsung ke Internet dan dapat berlokasi di hosting provider, atau di bank itu sendiri.
Serangan di Internet ada beberapa jenis serangan yang dapat terjadi pada seseorang yang sedang mengakses Internet, seperti:
Social Engineering, Viruse/Trojan/Spyware, Denial of Service (DoS), Sniffing, IP Spoofing, Worm, Replay Attack, Man In The Middle.
Serangan spesifik pada masing-masing komponen jaringan dapat di sederhanakan sebagai berikut, serangan pada computer pengguna akan banyak berupa virus, Trojan, spyware, keylogger. Biasanya kondisi ini akan lebih parah lagi pada computer di WARNET yang menggunakan system operasi Windows.
Serangan spesifik pada masing-masing komponen jaringan dapat di sederhanakan sebagai berikut, serangan pada computer pengguna akan banyak berupa virus, Trojan, spyware, keylogger. Biasanya kondisi ini akan lebih parah lagi pada computer di WARNET yang menggunakan system operasi Windows.
Serangan pada jaringan LAN, biasanya berupa Sniffing, Spoofing, Man in the middle Attack. Mungkin relative aman untuk di kantor, yang lingkungannya relative terkontrol. Akan tetapi di WARNET, biasanya kondisinya akan parah – apalagi jika banyak orang yang suka mengakses situs porno dll. Di situ sumber berbagai software yang tidak baik yang ada di Internet.
Di Internet, kondisinya juga tidak berbeda jauh dengan LAN di WARNET, biasanya di tambah dengan berbagai kemugkinan serangan lainnya seperti replay attack dll. Serangan pada server yang relative secure biasanya lebih banyak berupa usaha untuk mematikan server / jaringan pada server tersebut agar tidak dapat berfungsi (Denial of Service), melalui flood paket, worm, dan lain-lain.
Serangan secara computer biasanya dapat ditangani dengan relative mudah jika kita cukup berpengetahuan dan disiplin. Akan tetapi serangan yang bersifat non-IT serangan kepada manusia dalam bentuk “Social Engineering” akan sangat berbahaya sekali. Hal ini perlu di hayati oleh semua pengguna e-banking.
Sistem yang baik adalah sistem yang baik adalah sistem bisa memahami kelemahannya. Dalam hal ini karena adanya penggunaan IT resiko yang ada harus diminimalisasi. Sebagai upaya kea rah tersebut, dilakukan dengan upaya meminimalisasi kemungkinan serangan dapat dilakukan dengan beberapa cara, yaitu menggunakan enkripsi, dalam hal ini SSL 128bit yang sangat aman dari sniffer. Akan tetapi serangan seperti virus, Trojan, spyware di computer pengguna dan “social engineering” masih harus di hadapi di sisi penguna.
Sistem yang baik adalah sistem yang baik adalah sistem bisa memahami kelemahannya. Dalam hal ini karena adanya penggunaan IT resiko yang ada harus diminimalisasi. Sebagai upaya kea rah tersebut, dilakukan dengan upaya meminimalisasi kemungkinan serangan dapat dilakukan dengan beberapa cara, yaitu menggunakan enkripsi, dalam hal ini SSL 128bit yang sangat aman dari sniffer. Akan tetapi serangan seperti virus, Trojan, spyware di computer pengguna dan “social engineering” masih harus di hadapi di sisi penguna.
Firewall dapat di pasang di server. Akan tetapi, serangan berupa Distributed Denial of Service (DDOS), Flooding akan tetap menghantui server. Koordinasi dengan upstream provider menjadi penting. Intrusion Detection & Prevention System biasanya di instalasi di server. Untuk mendeteksi adanya serangan dari luar. Biasanya menggunakan finger print packet serangan untuk mendeteksi adanya serangan tersebut.
Pertahanan di sisi teknologi Informasi akan bertambah sulit di tembus jika di tambahkan lapisan pertahanan tambahan disisi proses transaksi. Pada Bank Permata e-Business, tambahan proteksi pada proses transaksi meliputi Penggunaan User ID and Password Tingkat Kewenangan, dengan tingkatan sebagai berikut:
System administrator, yang melakukan pendaftaran untuk seluruh pengguna yang menggunakan fitur dari Permatae-Business Maker, yang melakukan proses pembuatan atas transaksi Verifier, yang melakukan proses pemeriksaan atas transaksi Approver, yang melakukan proses persetujuan atas transaksi. Persetujuan transaksi dilakukan oleh lebih dari 1 orang dan secara berjenjang TIN & Token untuk Approver. Teknik Token merupakan teknik security One Time Password (OTP) yang hanya memungkinkan sebuah password digunakan satu kali saja, perhitungan password dilakukan menggunakan challenge-responds. Limit transaksi dan limit akses per fitur Audit trail melalui Permatae-Business.
Tidak ada komentar:
Posting Komentar