Kemanan Teknologi Informasi Dalam Perbankan
Dalam dunia
Perbankan banyak mengalami masalah terutama dalam bidang IT. Sebagian besar
iklan perbankan menggunakan jargon-jargon teknologi seperti Secured by Verisign
128-bits SSL, dan Token Internet Banking untuk meyakinkan nasabah bahwa
transaksi e-banking aman. Tidak lama lagi kita akan semakin sering mendengar
jargon teknologi lainnya: kartu pintar (smartcard) / kartu chip. Tapi apakah
penggunaan teknologi keamanan yang semakin canggih sudah pasti akan
meningkatkan keamanan transaksi e-banking secara signifikan? Jawabannya: Tidak!
Faktor Kunci
Yang Dihilangkan
Selain jasa
konsultasi dibidang keamanan informasi, saya dan rekan-rekan di XecureIT
mengerjakan berbagai proyek audit keamanan, vulnerability assessment dan/atau
penetration testing. Namun, kurang dari 80% proyek-proyek tersebut memasukan
faktor manusia dalam lingkup pekerjaan. Mengapa? Beberapa penanggung-jawab
proyek terang terangan mengakui bahwa jika faktor manusia dimasukan, maka
sistem keamanannya akan mudah ditembus. Beberapa lainnya, enggan mengutarakan
secara langsung.
Bank butuh laporan
yang mampu meyakinkan Bank Indonesia bahwa sistem e-banking mereka aman. Karena
80% masalah keamanan informasi disebabkan faktor manusia, faktor kunci inilah
yang paling layak dihilangkan dari lingkup pekerjaan agar tidak timbul masalah
berarti dalam laporan yang diserahkan ke Bank Indonesia.
Kunci
Keamanan Pada Manusia, Teknologi Hanya Membantu
Keamanan yang baik
selalu berkaitan dengan tiga hal: orang, proses dan teknologi. Beberapa bank
berusaha keras menerapkan hal tersebut. Tapi sayangnya edukasi keamanan informasi
hanya diterapkan secara internal. Tidak kepada nasabah, yang notabene pemakai
dan yang paling sering menjadi sasaran kejaharan perbankan.
Sejak bersama-sama
dengan berbagai komunitas TI lainnya mendeklarasikan Hari Kesadaran Keamanan
Informasi (HKKI) pada tanggal 7 Maret 2007, Komunitas Keamanan Informasi (KKI)
terus menerus mengutarakan pentingnya dunia perbankan melaksanakan program
kesadaran keamanan informasi bagi nasabah yang sungguh-sungguh. Bukan dengan
cara malu-malu kucing dengan memasang tips keamanan disalah satu pojok situs
web milik bank. Coba kita bandingkan dengan gencarnya iklan diberbagai media
yang mempromosikan keamanan e-banking.
Rekan-rekan di dunia
perbankan khawatir nasabah akan salah menerjemahkan program kesadaran keamanan
informasi. Khawatir kalau nasabah mendapat kesan sistem keamanan e-banking
tidak aman. Dengan dibiarkan (“didukung�) oleh Bank Indonesia sebagai
regulator, dunia perbankan Indonesia menerapkan metode keamanan Security by
Obscurity. (Merasa) Aman karena tidak tahu kondisi sebenarnya bahwa tidak aman.
Tindakan menyesatkan dan membahayakan nasabah.
Namun, kondisi
tersebut sepertinya mulai berubah dan diharapkan akan terus bergulir. Tanggal 1
Februari 2010, Bank Indonesia memasang iklan ¼ halaman di harian Kompas
mengenai cara aman menggunakan ATM. Tidak ada pilihan lain untuk “mengakuâ€
dan menyadarkan nasabah bahwa Keamanan TI e-banking yang selama ini dibuat
seolah-olah tidak mungkin dibobol, terbukti hanya ilusi. Keamanan e-banking
ternyata amat bergantung pada nasabah, bukan hanya pada berbagai teknologi
keamanan.
Pengelolaan
Risiko
Walaupun menggunakan
teknologi kartu pintar / kartu chip, pembobolan rekening nasabah akan terus
berlanjut selama dunia perbankan tidak sungguh-sungguh menerapkan sistem keamanan
yang menyeluruh. Saya khawatir, dengan dalih sudah menggunakan sistem kartu
chip, bank akan semakin mudah mentransfer seluruh risiko yang ada kepada
nasabah. Sehingga bank nyaris tidak memiliki risiko jika terjadi pembobolan.
Logika bisnis sederhana akan berlaku. Jika risiko ditangan nasabah, untuk apa
bank mempertaruhkan citranya dengan menjelaskan seluruh risiko yang ada dalam
penggunaan e-banking? Untuk apa bank mengeluarkan uang yang jumlahnya tidak
sedikit untuk meningkatkan keamanan secara sungguh-sungguh?
Ada 3 hal yang
menurut saya menjadi bentuk tanggung-jawab bank untuk melindungi uang nasabah:
1.Bank harus bertanggung-jawab terhadap seluruh akibat dari transaksi elektronik yang tidak diakui nasabah.
1.Bank harus bertanggung-jawab terhadap seluruh akibat dari transaksi elektronik yang tidak diakui nasabah.
2.Bank harus
mengumumkan secara tertulis kepada nasabah yang bersangkutan dan mengumumkan di
media masa jika terjadi pencurian data nasabah atau sistem perbankan berhasil
diretas pihak lain.
3.Bank harus memberi
edukasi yang jelas dan lengkap kepada nasabah akan seluruh risiko yang ada saat
melakukan transaksi elektronik.
3 kondisi tersebut
diatas saling mendukung satu sama lain dan akan memotivasi bank-bank untuk
tidak lagi bermain kucing-kucingan dengan berbagai Peraturan Bank Indonesia.
Point 1 dan 2 akan merubah paradigma bank dalam melakukan analisa risiko.
Jumlah kerugian yang amat besar yang selama ini secara otomatis menjadi beban
nasabah akan berpindah ke pihak bank. Laporan sering terjadinya pembobolan yang
selama ini hanya menjadi konsumsi Bank Indonesia akan menjadi konsumsi publik.
Bank yang sering dibobol secara otomatis akan kehilangan kepercayaan, berarti
kehilangan potensi bisnis.
Tidak ada bank yang
akan berani menanggung kedua risiko tersebut. Risiko yang selama ini ditanggung
nasabah dan dirahasiakan. Selain akan melakukan pembenahan prosedur keamanan,
arsitektur TI dan konfigurasi sistem, dapat dipastikan bank juga akan melakukan
langkah yang paling efektif untuk mengurangi risiko tersebut secara signifikan
yaitu dengan memberikan edukasi kepada nasabah. Agar efektif, program edukasi
tersebut mau tidak mau harus menjelaskan berbagai risiko e-banking dan langkah
pencegahannya.
Lalu, bagaimana jika
nasabah “membobol†rekeningnya sendiri? Ada banyak cara untuk mengatasi hal
tersebut. Namun bukan tugas saya sebagai nasabah untuk memberi tahu bank apa
yang harus dilakukan untuk melindungi dirinya sendiri.
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)
Sumber :
http://think.securityfirst.web.id/ilusi-keamanan-teknologi-informasi-system-perbankan/