PERMASALAHAN ATAU KASUS IT DALAM PERBANKAN
Kemanan Teknologi Informasi Dalam
Perbankan
Dalam
dunia Perbankan banyak mengalami masalah terutama dalam bidang IT. Sebagian
besar iklan perbankan menggunakan jargon-jargon teknologi seperti Secured by
Verisign 128-bits SSL, dan Token Internet Banking untuk meyakinkan nasabah
bahwa transaksi e-banking aman. Tidak lama lagi kita akan semakin sering
mendengar jargon teknologi lainnya: kartu pintar (smartcard) / kartu chip. Tapi
apakah penggunaan teknologi keamanan yang semakin canggih sudah pasti akan
meningkatkan keamanan transaksi e-banking secara signifikan? Jawabannya: Tidak!
Faktor
Kunci Yang Dihilangkan
Selain jasa
konsultasi dibidang keamanan informasi, saya dan rekan-rekan di XecureIT
mengerjakan berbagai proyek audit keamanan, vulnerability assessment dan/atau
penetration testing. Namun, kurang dari 80% proyek-proyek tersebut memasukan
faktor manusia dalam lingkup pekerjaan. Mengapa? Beberapa penanggung-jawab
proyek terang terangan mengakui bahwa jika faktor manusia dimasukan, maka
sistem keamanannya akan mudah ditembus. Beberapa lainnya, enggan mengutarakan
secara langsung.
Bank butuh laporan
yang mampu meyakinkan Bank Indonesia bahwa sistem e-banking mereka aman. Karena
80% masalah keamanan informasi disebabkan faktor manusia, faktor kunci inilah
yang paling layak dihilangkan dari lingkup pekerjaan agar tidak timbul masalah
berarti dalam laporan yang diserahkan ke Bank Indonesia.
Kunci
Keamanan Pada Manusia, Teknologi Hanya Membantu
Keamanan yang baik
selalu berkaitan dengan tiga hal: orang, proses dan teknologi. Beberapa bank
berusaha keras menerapkan hal tersebut. Tapi sayangnya edukasi keamanan
informasi hanya diterapkan secara internal. Tidak kepada nasabah, yang notabene
pemakai dan yang paling sering menjadi sasaran kejaharan perbankan.
Sejak bersama-sama
dengan berbagai komunitas TI lainnya mendeklarasikan Hari Kesadaran Keamanan
Informasi (HKKI) pada tanggal 7 Maret 2007, Komunitas Keamanan Informasi (KKI)
terus menerus mengutarakan pentingnya dunia perbankan melaksanakan program
kesadaran keamanan informasi bagi nasabah yang sungguh-sungguh. Bukan dengan
cara malu-malu kucing dengan memasang tips keamanan disalah satu pojok situs
web milik bank. Coba kita bandingkan dengan gencarnya iklan diberbagai media
yang mempromosikan keamanan e-banking.
Rekan-rekan di dunia
perbankan khawatir nasabah akan salah menerjemahkan program kesadaran keamanan
informasi. Khawatir kalau nasabah mendapat kesan sistem keamanan
e-banking tidak aman. Dengan
dibiarkan (“didukung�)
oleh Bank Indonesia sebagai regulator, dunia perbankan Indonesia menerapkan metode keamanan
Security by Obscurity. (Merasa) Aman karena tidak tahu kondisi sebenarnya bahwa
tidak aman. Tindakan menyesatkan dan membahayakan nasabah.
Namun, kondisi
tersebut sepertinya mulai berubah dan diharapkan akan terus bergulir. Tanggal 1
Februari 2010, Bank Indonesia memasang iklan ¼ halaman di harian Kompas
mengenai cara aman menggunakan ATM. Tidak ada pilihan lain untuk “mengaku†dan menyadarkan
nasabah bahwa Keamanan TI e-banking yang selama ini dibuat seolah-olah tidak
mungkin dibobol,
terbukti hanya ilusi. Keamanan e-banking ternyata amat bergantung pada nasabah,
bukan hanya pada berbagai teknologi keamanan.
Pengelolaan
Risiko
Walaupun menggunakan
teknologi kartu pintar / kartu chip, pembobolan rekening nasabah akan terus
berlanjut selama dunia perbankan tidak sungguh-sungguh menerapkan sistem
keamanan yang menyeluruh. Saya khawatir, dengan dalih sudah menggunakan sistem
kartu chip, bank akan semakin mudah mentransfer seluruh risiko yang ada kepada
nasabah. Sehingga bank nyaris tidak memiliki risiko jika terjadi pembobolan.
Logika bisnis sederhana akan berlaku. Jika risiko ditangan nasabah, untuk apa
bank mempertaruhkan citranya dengan menjelaskan seluruh risiko yang ada dalam
penggunaan e-banking? Untuk apa bank mengeluarkan uang yang jumlahnya tidak
sedikit untuk meningkatkan keamanan secara sungguh-sungguh?
Ada 3 hal yang
menurut saya menjadi bentuk tanggung-jawab bank untuk melindungi uang nasabah:
1.Bank harus bertanggung-jawab terhadap seluruh akibat dari transaksi elektronik yang tidak diakui nasabah.
1.Bank harus bertanggung-jawab terhadap seluruh akibat dari transaksi elektronik yang tidak diakui nasabah.
2.Bank harus
mengumumkan secara tertulis kepada nasabah yang bersangkutan dan mengumumkan di
media masa jika terjadi pencurian data nasabah atau sistem perbankan berhasil
diretas pihak lain.
3.Bank harus memberi
edukasi yang jelas dan lengkap kepada nasabah akan seluruh risiko yang ada saat
melakukan transaksi elektronik.
3 kondisi tersebut
diatas saling mendukung satu sama lain dan akan memotivasi bank-bank untuk
tidak lagi bermain kucing-kucingan dengan berbagai Peraturan Bank Indonesia. Point 1 dan 2 akan merubah paradigma bank dalam
melakukan analisa risiko. Jumlah kerugian yang amat besar yang selama ini
secara otomatis menjadi beban nasabah akan berpindah ke pihak bank. Laporan
sering terjadinya pembobolan yang selama ini hanya menjadi konsumsi Bank
Indonesia akan menjadi konsumsi publik. Bank yang sering dibobol secara
otomatis akan kehilangan kepercayaan, berarti kehilangan potensi bisnis.
Tidak ada bank yang akan berani menanggung kedua
risiko tersebut. Risiko yang selama ini ditanggung nasabah dan dirahasiakan.
Selain akan melakukan pembenahan prosedur keamanan, arsitektur TI dan
konfigurasi sistem, dapat dipastikan bank juga akan melakukan langkah yang
paling efektif untuk mengurangi risiko tersebut secara signifikan yaitu dengan
memberikan edukasi kepada nasabah. Agar efektif, program edukasi tersebut mau
tidak mau harus menjelaskan berbagai risiko e-banking dan langkah
pencegahannya.
Lalu, bagaimana jika nasabah “membobol†rekeningnya sendiri? Ada banyak cara untuk mengatasi hal tersebut. Namun bukan tugas saya sebagai
nasabah untuk memberi tahu bank apa yang harus dilakukan untuk melindungi
dirinya sendiri.
Senior Information
Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Sumber
:
http://think.securityfirst.web.id/ilusi-keamanan-teknologi-informasi-system-perbankan/
0 komentar:
Posting Komentar