Dikarenakan layanan Internet Banking menggunakan Internet sebagai media komunikasi, maka keamanan dari layanan Internet Banking bergantung kepada keamananan dari Internet. Pada bagian ini akan dibahas sedikit tentang keamanan Internet. Penjelasan yang lebih lengkap mengenai topik ini dapat dibaca pada bukubuku
yang tertera di bagian Referensi.
yang tertera di bagian Referensi.
Internet pada mulanya dikembangan di lingkungan akademis (pendidikan dan penelitan). Teknologi Internet yang digunakan saat ini bergantung kepada sebuah teknologi yang disebut IP (Internet Protocol) versi 4. IPv4 ini memiliki beberapa kelemahan ditinjau dari segi keamanan yang sudah diperbaiki di versi 6 (IP v6). Namun sayangnya IPv6 belum lazim dipergunakan.
Secara umum hubungan antara pengguna Internet dan penyedia layanan Internet Banking dapat dilihat pada gambar 1. Pengguna terhubung ke Internet melalui layanan Internet Service Provider (ISP), baik dengan menggunakan modem, DSL, cable modem, wireless, maupun dengan menggunakan leased line. ISP ini kemudian terhubung ke Internet melalui network provider (atau upstream). Di sisi penyedia layanan Internet Banking, terjadi hal yang serupa. Server Internet Banking terhubung ke Internet melalui ISP atau network provider lainnya. Gambar 1 juga menunjukkan beberapa potensi lubang keamanan (security hole).
Di sisi pengguna, komputer milik pengguna dapat disusupi virus dan trojan horse sehingga data-data yang berada di komputer pengguna (seperti nomor PIN, nomor kartu kredit, dan kunci rahasia lainnya) dapat disadap, diubah, dihapus, dan dipalsukan. Contoh virus SirCam3 yang beredar saat ini membuktikan bahwa datadata dari harddisk pengguna dapat tersebar ke seluruh dunia melalui email tanpa diketahui oleh pengguna yang bersangkutan.
Jalur antara pengguna dan ISP dapat juga di sadap. Sebagai contoh, seorang pengguna yang menggunakan komputer di lingkungan umum (public facilities) seperti di Warung Internet (warnet) dapat disadap informasinya oleh sesama pengguna warnet tersebut (atau pemilik warnet yang tidak bertanggung jawab)
ketika dia mengetikkan data-data rahasia melalui web.
Di sisi ISP, informasi dapat juga disadap dan dipalsukan. Sebagai contoh bila sistem keamanan dari sang ISP ternyata rentan, dan dia kebobolan, maka mungkin saja seorang cracker memasang program penyadap (sniffer) yang menyadap atau mengambil informasi tentang pelanggan ISP tersebut.
Di sisi penyedia jasa, dalam hal ini bank yang menyediakan layanan Internet Banking, ada juga potensi lubang keamanan. Berbagai kasus tentang keamanan dan institusi finansial sudah dilaporkan. Misalnya, ada kasus di Amerika serikat dimana seorang cracker berhasil masuk ke sebuah institusi finansial dan mengambil data-data nasabah dari berbagai bank yang berada dalam naungan institusi finansial tersebut. Di Indonesia sendiri ada “kasus” domain “plesetan” klikbca.com yang sempat membuat heboh.
Selain serangan yang bersifat penyadapan masih banyak jenis serangan lain seperti pemalsuan dan bahkan meniadakan servis (Denial of Service attack). Makalah ini tidak membahas serangan-serangan tersebut meskipun efek yang ditimbulkan oleh serangan tersebut cukup dahsyat juga.
Pengamanannya
Tulisan di atas mungkin membuat orang menjadi takut dengan layanan Internet Banking. Pihak nasabah takut accountnya disalahgunakan orang lain. Sementara itu, pihak bank takut membuat lubang keamanan dari sistem yang sudah dimilikinya. Lantas harus bagaimana? Ada usaha pengamanan yang dapat digunakan untuk meningkatkan tingkat keamanan dan pada saat yang sama meningkatkan kepercayaan (trust) dari nasabah. Secara teknis sistem dapat diproteksi dengan menggunakan firewall, Intrusion Detection System (IDS), dan produk cryptography (untuk encryption dan decryption seperti penggunaan SSL). Selain hal teknis yang tidak kalah pentingnya adalah usaha untuk meningkatkan awareness (baik dari pihak management, operator, penyelenggara jasa, sampai ke nasabah), membuat policy (procedure) yang baik dan mengevaluasi sistem secara berkala.
Pengamanan di atas pada prinsipnya merupakan usaha untuk memenuhi aspek keamanan seperti authentication, confidentiality / privacy, non-repudiation, dan availability. (Karena terbatasnya ruang dari makalah ini, pembaca dipersilahkan membaca buku yang tertera pada bagian referensi.) Adanya pengamanan ini tidak membuat sistem menjadi 100% aman akan tetapi dapat membuat sistem dipercaya (trusted). Potensi lubang keamanan dapat dianggap sebagai resiko. Maka masalah ini dapat diubah menjadi masalah risk
management.
Lubang keamanan (security hole) akan selalu ada. Hal ini bisa diamati dari situs web yang melaporkan adanya lubang keamanan setiap hari!. Namun bisnis tidak dapat berhenti karena adanya potensi lubang keamanan. Seperti halnya sebuah rumah, dia akan tetap memiliki pintu dan jendela meskipun pintu dan jendela ini dapat digunakan oleh pencuri. Yang dapat kita lakukan adalah meningkatkan tingkat kesulitan untuk masuk dengan menggunakan pengamanan-pengamanan, seperti menggunakan kunci (dalam kasus rumah), firewal & IDS (dalam kasus server Internet). Adanya proteksi ini membuat kita dapat hidup dengan lebih baik.
Demikian pula, layanan Internet Banking mudah-mudahan dapat memberikan kenyamanan nasabah dalam melakukan kegiatan perbankannya tanpa mengorbankan sisi keamanannya.
source : Budi Rahardjo budi@indocisc.com
Tidak ada komentar:
Posting Komentar