Welcome to my blog, hope you enjoy reading :)
RSS

Rabu, 12 Oktober 2011

Telematika e-banking

Telematika dan E-Banking

Kata ini tidak terdengar begitu asing di telinga kita. Telematika sering kali kita sebut dalam percakapan sehari-hari tanpa mengetahui apa arti mengenai telematika itu sendiri. Banyak orang yang salah mengartikan telematika tetapi mereka tetap saja dengan percaya diri menyebut kata ini, walaupun interpretasinya menjadi salah. Sebenarnya, apa itu telematika??
Telematika adalah istilah untuk mendefinisikan Telekomunikasi melalui media informatika. Telematika mencakup dua teknik, yaitu telekomunikasi dan informatika. Keduanya dapat digunakan dalam bidang penelitian seperti digital data processing, network programming, managemen telekomunikasi, sentral telepon, router, dan lain sebagainya.
Penerapan Telematika
Penggunaan telematika sangat membantu bagi masyarakat. Misalnya dalam bidang pembangunan daerah, dengan adanya telematika, aliran informasi dapat diterima oleh penduduk Indonesia yang berada di daerah terpencil dengan letak geografis yang sulit untuk dijangkau. Penerimaan informasi pun akan merata di semua daerah, tak terkecuali daerah terpencil di Indonesia.
Seiring dengan berjalannya waktu, perkembangan Telematika yang sangat pesat menjadikannya bagian dari insfrastruktur pembangunan. Sebagai bukti, Telematika dapat mempercepat transaksi dan perhitungan bisnis menjadi lebih akurat melalui e-commerce. Hampir semua transaksi bisa dilakukan dimana saja dan kapan saja, contohnya adalah penggunaan internet banking yang semakin gencar belakangan ini.
Internet banking atau e-banking adalah salah satu aplikasi di dunia bisnis yang berbasis internet. E-banking didukung oleh perkembangan teknologi informasi, telekomunikasi dan tentunya internet. Di Indonesia sendiri, hampir semua bank sudah mempunyai aplikasi internet banking, sebagai contoh Bank BCA dengan aplikasi Klik BCA.


Persyaratan Bisnis
Adapun persyaratan bisnis untuk Internet Banking adalah :
1. Aplikasi yang mudah digunakan : implementasi agar memudahkan pengguna adalah melalui pendekatan menggunakan web browser.
2. Layanan dapat dijangkau dimana saja : dengan menggunakan internet sebagai penghubung, memungkinkan untuk aplikasi ini dapat diakses dari mana saja di dunia.
3. Murah : dengan adanya internet, biaya pengaksesan Internet Banking menjadi lebih murah.
4. Aman : untuk keamanan, dilakukan dengan menerapkan teknik kriptografi (penggunaan enkripsi dengan SSL/ Secure Socket Layer) atau VPN( Virtual Private Network) untuk menghubungkan kantor pusat dengan kantor cabang.
5. Dapat diandalkan

Persyaratan Keamanan
1 Confidentiality
Aspek confidentiality memberi jaminan bahwa data-data tidak dapat disadap oleh pihak-pihak yang tidak berwenang. Serangan terhadap aspek ini adalah penyadapan nama account dan PIN dari pengguna Internet Banking. Penyadapan dapat dilakukan pada sisi terminal (komputer) yang digunakan oleh nasabah atau pada jaringan (network) yang mengantarkan data dari sisi nasabah ke penyedia jasa Internet Banking. Penyadapan di sisi komputer dapat dilakukan dengan memasang program keylogger yang dapat mencatat kunci yang diketikkan oleh pengguna.
Penggunaan keylogger ini tidak terpengaruh oleh pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah (sebelum terenkripsi) tercatat dalam sebuah berkas.Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer yang dapat menyadap data-data yang dikirimkan melalui jaringan Internet. Pengamanan di sisi network dilakukan dengan menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer (SSL) dengan panjang kunci 128 bit. Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah mengakses Internet Banking dari tempat yang dia tidak kenal atau yang meragukan integritasnya seperti misalnya warnet yang tidak jelas, maka kemungkinan penyadapan di sisi terminal dapat terjadi. Untuk itu perlu disosialisasikan untuk memperhatikan tempat dimana nasabah mengakses Internet Banking. Penggunaan key yang berubah-ubah pada setiap sesi transaksi (misalnya dengan menggunakan token generator) dapat menolong. Namun hal ini sering menimbulkan ketidaknyamanan.
Sisi back-end dari bank sendiri harus diamankan dengan menggunakan Virtual Private Network (VPN) antara kantor pusat dan kantor cabang. Hal ini dilakukan untuk menghindari adanya fraud yang dilakukan dari dalam (internal).
2 Integrity
Aspek integrity menjamin integritas data, dimana data tidak boleh berubah atau diubah oleh pihak-pihak yang tidak berwenang. Salah satu cara untuk memproteksi hal ini adalah dengan menggunakan checksum, signature, atau certificate. Mekanisme signature akan dapat mendeteksi adanya perubahan terhadap data. Selain pendeteksian (dengan menggunakanchecksum, misalnya) pengamanan lain yang dapat dilakukan adalah dengan menggunakan mekanisme logging (pencatatan) yang ekstensif sehingga jika terjadi masalah dapat dilakukan proses mundur (rollback).
3 Authentication
Authentication digunakan untuk meyakinkan orang yang mengakses servis dan juga server (web) yang memberikan servis. Mekanisme yang umum digunakan untuk melakukan authentication di sisi pengguna biasanya terkait dengan:
• Sesuatu yang dimiliki (misalnya kartu ATM, chipcard)
• Sesuatu yang diketahui (misalnya userid, password, PIN, TIN)
• Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata)
Salah satu kesulitan melakukan authentication adalah biasanya kita hanya menggunakan userid/account number dan password/PIN. Keduanya hanya mencakup satu hal saja (yang diketahui) dan mudah disadap. Pembahasan carapengamanan hal ini ada pada bagian lain. Sementara itu mekanisme untuk menunjukkan keaslian server (situs) adalah dengan digital certificate. Sering kali hal ini terlupakan dan sudah terjadi kasus di Indonesia dengan situs palsu “kilkbca.com”. Situs palsu akan memiliki sertifikat yang berbeda dengan situs Internet Banking yang asli.
4 Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan transaksi maka dia tidak dapat menolak telah melakukan transaksi. Hal ini dilakukan dengan menggunakan digital signature yang diberikan oleh kripto kunci publik (public key cryptosystem). Mekanisme konfirmasi (misal melalui telepon) juga merupakan salah
satu cara untuk mengurangi kasus. Penggunaan logging yang ekstensif juga dapat mendeteksi adanya masalah. Seringkali logging tidak dilakukan secara ekstensif sehingga menyulitkan pelacakan jika terjadi masalah. (Akses dari nomor IP berapa? Terminal yang mana? Jam berapa? Apa saja yang dilakukan?)
5 Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah bank menggelar layanan Internet Banking dan kemudian tidak dapat menyediakan layanan tersebut ketika dibutuhkan oleh nasabah, maka nasabah akan mempertanyakan keandalannya dan meninggalkan layanan tersebut. Bahkan dapat dimungkinkan nasabah akan pindah ke bank yang dapat memberikan layanan lebih baik. Serangan terhadap availability dikenal dengan istilah Denial of Service (DoS) attack. Sayangnya serangan seperti ini mudah dilakukan di Internet dikarenakan teknologi yang ada saat ini masih menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk menjaga ketersediaan layanan antara lain menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network monitoring,Disaster Recovery Plan (DRP), Business Process Resumption. Istilah-istilah ini memang sering membingungkan (dan menakutkan). Mereka adalah teknik dan mekanisme untuk meningkatkan keandalan.




Implementasi Sistem
Arsitektur dari sistem Internet Banking yang aman menggunakan filosofi pengamanan berlapis. Dalam hal ini sistem dibagi menjadi beberapa level (tier). Secara garis besar, sistem dapat dibagi menjadi dua bagian: front-end (yang berhubungan dengan nasabah) dan back-end (yang berhubungan dengan bank). Kedua bagian ini biasanya dipisahkan dengan firewall (bisa sebuah firewall atau beberapa firewall jika dibutuhkan keandalan dan kinerja yang sangat tinggi). Berikut ini rancangan arsitektur internet banking dengan pengamanan berlapis.


Front-end
Bagian front-end merupakan bagian yang langsung berhubungan dengan nasabah. Melihat persyaratan yang ditelah diungkapkan pada bagian terdahulu, bagian ini menggunakan web browser sebagai user interface.
Beberapa topik yang menarik untuk dibahas pada bagian front-end adalah disain dariinterface yang memudahkan bagi pengguna. Perlu diingat bahwa nasabah memiliki latar belakang dan mekanisme akses yang beragam. Ada nasabah yang melakukan akses dari kantor dengan komputer desktop yang high-end. Sementara itu ada nasabah yang menggunakan komputer biasa dengan hubungan dialup. Untuk itu disain jangan menggunakan grafik yang berlebihan (misalnya). Masalah pengamanan di bagian front-end juga sering terlupakan. Kasus-kasus Internet Banking umumnya terjadi di sisi ini. Nasabah misalnya menggunakan akses dari terminal di warnet yang sudah dipasangi alat penyadap kunci yang kita ketikkan (dikenal dengan istilah key logger). Akibat dari ulah ini maka penyadap dapat mengetahui account dan nomor PIN nasabah. Untuk itu perlu dilakukan sosialisasi terhadap pengguna untuk mengakses layanan Internet Banking melalui fasilitas yang dikenal aman.
Penggunaan token generator atau cryptocard yang menghasilkan password yang berubah-ubah setiap sesinya merupakan salah satu usaha untuk meningkatkan pengamanan. Bentuk dari token generator ini ada yang berupa kalkulator sampai ke bentuk gantungan kunci. Namun pendekatan ini menjadi mahal karena harus memberikan token generator kepada setiap nasabah. Jika jumlah nasabah adalah jutaan, maka hal ini menjadi penghambat utama. Penghambat lain adalah jika nasabah memiliki beberapa account di bank yang berbeda-beda maka dia harus memiliki token generator yang berbeda-beda sehingga tidak nyaman (bahkan tidak mungkin) dibawa pada saat yang bersamaan. Maukah anda mengantongi 3 atau 4 token generator dalam bentuk kalkulator? Tentunya tidak! Selain itu penggunaan token generator ini sering membingungkan bagi nasabah dan tidak nyaman.
Penanganan masalah di sisi nasabah sering terkait dengan penyedia jasa akses seperti Internet Service Provider (ISP). Banyak penyedia jasa yang belum dapat diajak bekerja sama jika terjadi masalah. Sebagai contoh, jika terjadi transaksi fiktif dan dilacak sampai ke sebuah ISP, sejauhmana ISP akan membantu pihak bank untuk melakukan pengusutan? Seringkali mereka tidak mau karena kesibukan mereka dan tidak adanya keuntungan secara finansial (bahkan harus keluar biaya) untuk melakukan hal tersebut. Hal ini perlu mendapat perhatian kita bersama.
Back-end
Sisi back-end (dapur) merupakan hal yang terpenting. Implementasi di sisi back-end harus dapat memenuhi aspek-aspek yang disyaratkan (secara bisnis maupun secara teknis). Dilihat dari sisi arsitektur di back-end, terlihat adanya trend untuk menggunakan middleware. Sistem dipisahkan menjadi tiga aspek:
• Presentation layer
• Transaction layer
• Data(base) layer
Pemisahan di atas dilakukan untuk memudahkan implementasi dan mempercepatdeployment aplikasi baru. Pendekatan layering ini mirip dengan layering di sisi network (OSI 7 layer) yang terbukti ampuh dalam dunia Internet.
Implementasi yang ada saat ini sering sepotong-sepotong sehingga menyulitkan pengelolaan (management). Data tersebar di berbagai database yang terkait dengan aplikasi tertentu sehingga menyulitkan untuk mengintegrasikan data-data. Implementasi yang terpadu (integrated) akan memudahkan perusahaan di kemudian hari.
Pengamanan di sisi backend harus berlapis-lapis sehingga jika terjadi kebocoran tidak semua sistem menjadi kolaps. Perlu diingat pada bagian back-end ini pengamanan juga harus meliputi pengamanan kemungkinan terjadinya fraud yang dilakukan oleh orang dalam.
Pengamanan biasanya menggunakan komponen standar seperti:
• Firewall: sebagai pagar untuk menghadang usaha untuk masuk ke sistem. Firewall juga bersifat sebagai deterant bagi orang yang ingin coba coba.
• Intrusion Detection System (IDS): sebagai pendeteksi adanya aktivitas yang sudah terjadi/dilanggar.
• Network monitoring tools: sebagai usaha untuk mengamati kejahatan yang dilakukan melalui jaringan dikarenakan layanan Internet Banking dapat dilakukan dari mana saja melalui network.
• Log processor & analysis: untuk melakukan pendeteksi dan analisa terhadap kegiatan yang terjadi di sistem. Seringkali hal ini tidak dilakukan.
Selain hal-hal di atas, masih ada hal lain seperti mekanisme “incident handling”, organisasi yang menanganinya. (Apakah anda sudah memiliki incident response team di tempat anda? Jika sudah ada apakah letaknya di bawah IT atau operation atau internal audit atau unit tersendiri?)
Interface
Tampilan pada web BCA sangat sederhana. Disana terdapat beberapa pilihan menu yang dapat dipilih user sesuai kebutuhan. Pada halaman utama terdapat informasi mengenai kurs, iklan mengenai penawaran menggunakan produk BCA, dan teks berjalan yang memberikan informasi mengenai transaksi yang akan dilakukan dengan nominal tertentu. Untuk memulai transaksi, user dapat memilih sebagai transaksi bisnis atau individual. Untuk user yang baru pertama kali menggunakan, web ini mempunyai video demo untuk memberitahukan kepada user langkah-langkah penggunaan e-banking.
E-banking BCA menyediakan versi bahasa Inggris bagi pengguna asing yang tidak mengerti bahasa Indonesia. Terdapat pula menu Jaringan BCA yang memungkinkan bagi user untuk mengetahui dimana letak network BCA terdekat. Dalam menu ini, terbagi menjadi beberapa sub-menu diantaranya adalah mengenai visi dan misi, laporan tahunan, investor, info saham dan sebagainya. Pilihan ini terletak disebelah kiri web yang bisa dengan mudah di akses oleh user.

Tidak ada komentar:

Posting Komentar