Salah satu aspek yang sangat penting dalam layanan perbankan adalah aspek keamanan (security). Sayangnya masalah keamanan ini seringkali terabaikan baik secara teknis dan non-teknis) sehingga terjadi beberapa masalah. Di Indonesia sudah ada beberapa berita mengenai orang yang merasa uangnya dicuri melalui transaksi Internet Banking. Adanya situs “plesetan” (typosquatter) kilkbca.com yang bukan milik BCA akan tetapi dibuat menyerupai klikbca.com juga menjadi fakta yang menodai Internet Banking di Indonesia. Jika masalah ini tidak diatasi, maka kepercayaan masyarakat akan amannya transaksi Internet Banking menjadi luntur dan menyebabkan layanan ini dihindari.
1. ASPEK Keamanan
Aspek keamanan yang harus dijaga dari Internet Banking adalah:
• Confidentiality: dimana data-data harus diamankan dari penyadapan
• Integrity: data tidak boleh diubah tanpa ijin dari yang berhak
• Authentication: untuk meyakinkan identitas nasabah dan identitas dari situs web Arsitektur Internet Banking Yang Terpercaya – INDOCISC.com – v. 1.0
• Non-repudiation: bahwa nasabah tidak dapat menyangkal telah melakukan transaksi
• Availability: terkait dengan ketersediaan layanan, termasuk up-time dari situs web
Aspek-aspek di atas harus dapat diberikan dalam implementasi dari Internet Banking। Berikut ini sedikit penjabaran dari aspek-aspek di atas.
1.1 Confidentiality
Aspek confidentiality memberi jaminan bahwa data-data tidak dapat disadap oleh pihak-pihak yang tidak berwenang. Serangan terhadap aspek ini adalah penyadapan nama account dan PIN dari pengguna Internet Banking. Penyadapan dapat dilakukan pada sisi terminal (komputer) yang digunakan oleh nasabah atau pada Jaringan (network) yang mengantarkan data dari sisi nasabah ke penyedia jasa Internet Banking. Penyadapan di sisi komputer dapat dilakukan dengan memasang program keylogger yang dapat mencatat kunci yang diketikkan oleh pengguna. Penggunaan keylogger ini tidak terpengaruh oleh pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah (sebelum terenkripsi) tercatat dalam sebuah berkas. Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer yang dapat menyadap data-data yang dikirimkan melalui jaringan Internet. Pengamanan di sisi network dilakukan dengan menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer (SSL) dengan panjang kunci 128 bit.
Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah mengakses Internet Banking dari tempat yang dia tidak kenal atau yang meragukan integritasnya seperti misalnya warnet yang tidak jelas, maka kemungkinan penyadapan di sisi terminal dapat terjadi. Untuk itu perlu disosialisasikan untuk memperhatikan tempat dimana nasabah mengakses Internet Banking. Penggunaan key yang berubah-ubah pada setiap sesi transaksi (misalnya dengan menggunakan token generator) dapat menolong. Namun hal ini sering menimbulkan ketidaknyamanan.
Sisi back-end dari bank sendiri harus diamankan dengan menggunakan Virtual Private Network (VPN) antara kantor pusat dan kantor cabang. Hal ini dilakukan untuk menghindari adanya fraud yang dilakukan dari dalam (internal).
1.2 Integrity
Aspek integrity menjamin integritas data, dimana data tidak boleh berubah atau diubah oleh pihak-pihak yang tidak berwenang. Salah satu cara untuk memproteksi hal ini adalah dengan menggunakan checksum, signature, atau certificate. Mekanisme signature akan dapat mendeteksi adanya perubahan terhadap data. Selain pendeteksian (dengan menggunakan checksum, misalnya) pengamanan lain yang dapat dilakukan adalah dengan menggunakan mekanisme logging (pencatatan) yang ekstensif sehingga jika terjadi masalah dapat dilakukan proses mundur (rollback).
1.3 Authentication
Authentication digunakan untuk meyakinkan orang yang mengakses servis dan juga server (web) yang memberikan servis. Mekanisme yang umum digunakan untuk melakukan authentication di sisi pengguna biasanya terkait dengan:
• Sesuatu yang dimiliki (misalnya kartu ATM, chipcard)
• Sesuatu yang diketahui (misalnya userid, password, PIN, TIN)
• Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata)
Salah satu kesulitan melakukan authentication adalah biasanya kita hanya menggunakan userid/account number dan password/PIN. Keduanya hanya mencakup satu hal saja (yang diketahui) dan mudah disadap. Pembahasan cara pengamanan hal ini ada pada bagian lain. Sementara itu mekanisme untuk menunjukkan keaslian server (situs) adalah dengan digital certificate. Sering kali hal ini terlupakan dan sudah terjadi kasus di Indonesia dengan situs palsu “kilkbca.com”. Situs palsu akan memiliki sertifikat yang berbeda dengan situs Internet Banking yang asli.
1.4 Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan transaksi maka dia tidak dapat menolak telah melakukan transaksi. Hal ini dilakukan dengan menggunakan digital signature yang diberikan oleh kripto kunci publik (public key cryptosystem). Mekanisme konfirmasi (misal melalui telepon) juga merupakan salah satu cara untuk mengurangi kasus. Penggunaan logging yang ekstensif juga dapat mendeteksi adanya masalah. Seringkali logging tidak dilakukan secara ekstensif sehingga menyulitkan pelacakan jika terjadi masalah. (Akses dari nomor IP berapa? Terminal yang mana? Jam berapa? Apa saja yang dilakukan?)
1.5 Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah bank menggelar layanan Internet Banking dan kemudian tidak dapat menyediakan layanan tersebut ketika dibutuhkan oleh nasabah, maka nasabah akan mempertanyakan keandalannya dan meninggalkan layanan tersebut. Bahkan dapat dimungkinkan nasabah akan pindah ke bank yang dapat memberikan layanan lebih baik. Serangan terhadap availability dikenal dengan istilah Denial of Service (DoS) attack. Sayangnya serangan seperti ini mudah dilakukan di Internet dikarenakan teknologi yang ada saat ini masih menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk menjaga ketersediaan layanan antara lain menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network monitoring, DisasterRecovery Plan (DRP), Business Process Resumption. Istilah-istilah ini memang sering membingungkan (dan menakutkan). Mereka adalah teknik dan mekanisme untuk meningkatkan keandalan.
2. Metode Keamanan
Layanan ini menggunakan beberapa metode keamanan terkini seperti:
a. Penggunaan protokol Hyper Text Transfer Protokol Secure (HTTPS), yang membuat pengiriman data dari server ke ISP dan klien berupa data acak yang terenkripsi.
b. Penggunaan teknologi enkripsi Secure Socket Layer (SSL) 128 bit, dari Verisign. Dengan SSL inilah, transfer data yang terjadi harus melalui enkripsi SSL pada komunikasi tingkat socket.
c. Penggunaan user ID dan PIN untuk login ke layanan Internet Banking ini.
d. Penggunaan metode time out session, yang menyebabkan bila setelah 10 menit nasabah tidak melakukan aktivitas apapun, akses tidak berlaku lagi.
e. Penggunaan PIN untuk setiap aktivitas perbankan. PIN ini di-generate dari Token PIN.
3. Implementasi Sistem
Arsitektur dari sistem Internet Banking yang aman menggunakan filosofi pengamanan berlapis. Dalam hal ini sistem dibagi menjadi beberapa level (tier). Secara garis besar, sistem dapat dibagi menjadi dua bagian: front-end (yangberhubungan dengan nasabah) dan back-end (yang berhubungan dengan bank). Kedua bagian ini biasanya dipisahkan dengan firewall (bisa sebuah firewall atau beberapa firewall jika dibutuhkan keandalan dan kinerja yang sangat tinggi).
Topologi Internet Banking
dengan pengamanan yang berlapis
dengan pengamanan yang berlapis
Daftar Referensi
• Budi Rahardjo, “Keamanan Sistem Informasi Berbasis Internet,” PT Insan Infonesia & PT INDOCISC, downloadable book yang dapat diperoleh dari http://budi.insan.co.id
• S. Soundararajan, dan Debanjan Dey, “Architecting e-Banking High Assurance Security Solution,” Infosys.
• Chris Britton, “IT Architecture and Middleware: strategies for building large integrated systems,” Addison Wesley, 2001
Labels: SISTEM KEAMANAN e-banking
comment closed