TUGAS TELEMATIKA
“ ARSITEKTUR E-BANKING “
Nama Kelompok :
ANGELINA VENDY ANINDITA
NOVI KARLINA (11108439)
YULIYANNI (12108121)
PERSYARATAN KEAMANAN
Perkembangan teknologi informasi, telekomunikasi, dan Internet
menyebabkan mulai munculnya aplikasi bisnis yang berbasis Internet. Salah
satu aplikasi yang mulai mendapat perhatian adalah Internet Banking atau
sering juga disebut e-Banking. Beberapa statistik menunjukkan naiknya jumlah
pelaku e-Banking di dunia. Di Indonesia sudah ada beberapa pelaku Internet
Banking. Salah satu pelaku yang cukup dikenal di masyarakat adalah layanan
“KlikBCA” dari BCA.
Salah satu aspek yang sangat penting dalam layanan perbankan adalah
aspek keamanan (security). Sayangnya masalah keamanan ini seringkali
terabaikan(baik secara teknis dan non-teknis) sehingga terjadi beberapa
masalah. Di Indonesia sudah ada beberapa berita mengenai orang yang merasa
uangnya dicuri melalui transaksi Internet Banking. Adanya situs “plesetan”
(typosquatter) kilkbca.com yang bukan milik BCA akan tetapi dibuat menyerupai
klikbca.com juga menjadi fakta yang menodai Internet Banking di Indonesia. Jika
masalah ini tidak diatasi, maka kepercayaan masyarakat akan amannya
transaksi Internet Banking menjadi lunturdan menyebabkan layanan ini
dihindari.
Masalah keamanan merupakan salah satu topik yang cukup kompleks.
Pembahasan pada white paper ini tidak dapat secara menyeluruh dan hanya
difokuskan kepada aplikasi Internet Banking. Pembahasan secara rinci
mengenai keamanan sistem informasi dapat dilihat pada buku referensi yang
terdapat pada bagian akhir dari white paper ini.
Secara umum potensi lubang keamanan (securityhole) yang dapat
dieksploitasi dalam Internet Banking dapat dilihat pada gambar Aspek
keamanan yang harus dijaga dari Internet Banking adalah:
· Confidentiality : dimana data-data harus diamankan dari penyadapan
· Integrity : data tidak boleh diubah tanpa ijin dari yang berhak
· Authentication : untuk meyakinkan identitas nasabah dan identitas dari
situs web
· Non-repudiation : bahwa nasabah tidak dapat menyangkal telah melakukan
transaksi
· Availability : terkait dengan ketersediaan layanan, termasuk up-time
dari situs web Aspek-aspek di atas harus dapat diberikan
dalam implementasi dari Internet Banking.
Berikut ini sedikit penjabaran dari aspek-aspek di atas.
Confidentiality
Aspek confidentiality memberi jaminan bahwa data-data tidak dapat
disadap oleh pihak-pihak yang tidak berwenang. Serangan terhadap aspek ini
adalah penyadapan nama account dan PIN dari pengguna Internet Banking.
Penyadapan dapat dilakukan pada sisi terminal (komputer) yang digunakan oleh
nasabah atau padajaringan (network) yang mengantarkan data dari sisi nasabah
ke penyedia jasaInternet Banking. Penyadapan di sisi komputer dapat dilakukan
dengan memasangprogram keylogger yang dapat mencatat kunci yang
diketikkan oleh pengguna. Penggunaan keylogger ini tidak terpengaruh oleh
pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah (sebelum
terenkripsi) tercatat dalamsebuah berkas.Penyadapan di sisi jaringan dapat
dilakukan dengan memasang program sniffer yang dapat menyadap data-data
yang dikirimkan melalui jaringan Internet.Pengamanan di sisi network
dilakukan dengan menggunakan enkripsi. Teknologi yang umum digunakan
adalah Secure Socket Layer (SSL) dengan panjang kunci 128 bit.
Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih
kompleks. Hal ini disebabkan banyaknya kombinasi dari lingkungan nasabah.
Jika nasabah mengakses Internet Banking dari tempat yang dia tidak kenal atau
yang meragukan integritasnya seperti misalnya warnet yang tidak jelas, maka
kemungkina npenyadapan di sisi terminal dapat terjadi. Untuk itu perlu
disosialisasikan untuk memperhatikan tempat dimana nasabah mengakses
Internet Banking. Penggunaan key yang berubah-ubah pada setiap sesi transaksi
(misalnya dengan menggunakan token generator) dapat menolong. Namun hal
ini sering menimbulkan ketidaknyamanan.
Sisi back-end dari bank sendiri harus diamankan dengan menggunakan
Virtual Private Network (VPN) antara kantor pusat dan kantor cabang. Hal ini
dilakukan untuk menghindari adanya fraud yang dilakukan dari dalam
(internal).
Integrity
Aspek integrity menjamin integritas data, dimana data tidak boleh
berubah atau diubah oleh pihak-pihak yang tidak berwenang. Salah satu cara
untuk memproteksi hal ini adalah dengan menggunakan checksum, signature,
atau certificate. Mekanisme signature akan dapat mendeteksi adanya perubahan
terhadap data. Selain pendeteksian (dengan menggunakan checksum, misalnya)
pengamanan lain yang dapat dilakukan adalah dengan menggunakan
mekanisme logging (pencatatan) yang ekstensif sehingga jika terjadi masalah
dapat dilakukan proses mundur (rollback).
Authentication
Authentication digunakan untuk meyakinkan orang yang mengakses
servis dan juga server (web) yang memberikan servis. Mekanisme yang umum
digunakan untuk melakukan authentication di sisi pengguna biasanya terkait
dengan:
· Sesuatu yang dimiliki (misalnya kartu ATM, chipcard)
· Sesuatu yang diketahui (misalnya userid, password, PIN, TIN)
· Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata)
Salah satu kesulitan melakukan authentication adalah biasanya kita
hanya menggunakan userid/account number dan password/PIN. Keduanya
hanya mencakup satu hal saja (yang diketahui) dan mudah disadap. Pembahasan
cara pengamanan hal ini ada pada bagian lain.
Sementara itu mekanisme untuk menunjukkan keaslian server (situs)
adalah dengan digital certificate. Sering kali hal ini terlupakan dan sudah terjadi
kasus di Indonesia dengan situs palsu “kilkbca.com”. Situs palsu akan memiliki
sertifikat yang berbeda dengan situs Internet Banking yang asli.
Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan
transaksi maka dia tidak dapat menolak telah melakukan transaksi. Hal ini
dilakukan dengan menggunakan digital signature yang diberikan oleh kripto
kunci publik (public key cryptosystem). Mekanisme konfirmasi (misal melalui
telepon) juga merupakan salah satu cara untuk mengurangi kasus. Penggunaan
logging yang ekstensif juga dapat mendeteksi adanya masalah. Seringkali logging
tidak dilakukan secara ekstensif sehingga menyulitkan pelacakan jika terjadi
masalah. (Akses dari nomor IP berapa? Terminal yang mana? Jam berapa? Apa
saja yang dilakukan?)
Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah
bank menggelar layanan Internet Banking dan kemudian tidak dapat
menyediakan layanan tersebut ketika dibutuhkan oleh nasabah, maka nasabah
akan mempertanyakan keandalannya dan meninggalkan layanan tersebut.
Bahkan dapat dimungkinkan nasabah akan pindah ke bank yang dapat
memberikan layanan lebih baik. Serangan terhadap availability dikenal dengan
istilah Denial of Service (DoS) attack. Sayangnya serangan seperti ini mudah
dilakukan di Internet dikarenakan teknologi yang ada saat ini masih
menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk
menjaga ketersediaan layanan antara lain menggunakan backup sites, DoS filter,
Intrusion Detection System (IDS), network monitoring, Disaster Recovery Plan
(DRP), Business Process Resumption. Istilah istilah ini memang sering
membingungkan (dan menakutkan). Mereka adalah teknik dan mekanisme
untuk meningkatkan keandalan.
ARSITEKTUR E-BANKING
Arsitektur dari sistem Internet Banking yang aman menggunakan filosofi
pengamanan berlapis. Dalam hal ini sistem dibagi menjadi beberapa level (tier).
Secara garis besar, sistem dapat dibagi menjadi dua bagian: front-end (yang
berhubungan dengan nasabah) dan back-end (yang berhubungan dengan bank).
Kedua bagian ini biasanya dipisahkan dengan firewall (bisa sebuah firewall
ataubeberapa firewall jika dibutuhkan keandalan dan kinerja yang sangat
tinggi).
Gambar Arsitektur dari sisi client
Front-end
Bagian front-end merupakan bagian yang langsung berhubungan dengan
nasabah. Melihat persyaratan yang ditelah diungkapkan pada bagian terdahulu,
bagian ini menggunakan web browser sebagai user interface. Beberapa topik
yang menarik untuk dibahas pada bagian front-end adalah disain dari interface
yang memudahkan bagi pengguna. Perlu diingat bahwa nasabah memiliki latar
belakang dan mekanisme akses yang beragam. Ada nasabah yang melakukan
akses dari kantor dengan komputer desktop yang high-end. Sementara itu ada
nasabah yang menggunakan komputer biasa dengan hubungan dialup. Untuk itu
disain jangan menggunakan grafik yang berlebihan (misalnya).
Masalah pengamanan di bagian front-end juga sering terlupakan. Kasuskasus
Internet Banking umumnya terjadi di sisi ini. Nasabah misalnya
menggunakan akses dari terminal di warnet yang sudah dipasangi alat penyadap
kunci yang kita ketikkan (dikenal dengan istilah key logger). Akibat dari ulah ini
maka penyadap dapat mengetahui account dan nomor PIN nasabah. Untuk itu
perlu dilakukan sosialisasi terhadap pengguna untuk mengakses layanan
Internet Banking melalui fasilitas yang dikenal aman.
Penggunaan token generator atau cryptocard yang menghasilkan
password yang berubah-ubah setiap sesinya merupakan salah satu usaha untuk
meningkatkan pengamanan. Bentuk dari token generator ini ada yang berupa
kalkulator sampai ke bentuk gantungan kunci. Namun pendekatan ini menjadi
mahal karena harus memberikan token generator kepada setiap nasabah. Jika
jumlah nasabah adalah jutaan, maka hal ini menjadi penghambat utama.
Penghambat lain adalah jika nasabah memiliki beberapa account di bank yang
berbeda-beda maka dia harus memiliki token generator yang berbeda-beda
sehingga tidak nyaman (bahkan tidakmungkin) dibawa pada saat yang
bersamaan. Maukah anda mengantongi 3 atau 4token generator dalam bentuk
kalkulator? Tentunya tidak! Selain itu penggunaan token generator ini sering
membingungkan bagi nasabah dan tidak nyaman.
Penanganan masalah di sisi nasabah sering terkait dengan penyedia jasa
akses seperti Internet Service Provider (ISP). Banyak penyedia jasa yang belum
dapat diajak bekerja sama jika terjadi masalah. Sebagai contoh, jika terjadi
transaksi fiktif dan dilacak sampai ke sebuah ISP, sejauhmana ISP akan
membantu pihak bank untuk melakukan pengusutan? Seringkali mereka tidak
mau karena kesibukan mereka dan tidak adanya keuntungan secara finansial
(bahkan harus keluar biaya) untuk melakukan hal tersebut. Hal ini perlu
mendapat perhatian kita bersama.
Back-end
Sisi back-end (dapur) merupakan hal yang terpenting. Implementasi di
sisi back-end harus dapat memenuhi aspek-aspek yang disyaratkan (secara
bisnis maupun secara teknis). Dilihat dari sisi arsitektur di back-end, terlihat
adanya trend untuk menggunakan middleware. Sistem dipisahkan menjadi tiga
aspek:
· Presentation layer
· Transaction layer
· Data(base) layer
Pemisahan di atas dilakukan untuk memudahkan implementasi dan
mempercepat deployment aplikasi baru. Pendekatan layering ini mirip dengan
layering di sisi network (OSI 7 layer) yang terbukti ampuh dalam dunia Internet.
Implementasi yang ada saat ini sering sepotong-sepotong sehingga menyulitkan
pengelolaan (management). Data tersebar di berbagai database yang terkait
dengan aplikasi tertentu sehingga menyulitkan untuk mengintegrasikan datadata.
Implementasi yang terpadu (integrated) akan memudahkan perusahaan di
kemudian hari.
Gambar Arsitektur dari sisi Server
Pengamanan di sisi backend harus berlapis-lapis sehingga jika terjadi
kebocoran tidak semua sistem menjadi kolaps. Perlu diingat pada bagian backend
ini pengamanan juga harus meliputi pengamanan kemungkinan terjadinya
fraud yang dilakukan oleh orang dalam.
Pengamanan biasanya menggunakan komponen standar seperti:
· Firewall: sebagai pagar untuk menghadang usaha untuk masuk ke sistem.
Firewall juga bersifat sebagai deterant bagi orang yang ingin coba-coba.
· Intrusion Detection System (IDS): sebagai pendeteksi adanya aktivitas yang
sudah terjadi/dilanggar.
· Network monitoring tools: sebagai usaha untuk mengamati kejahatan yang
dilakukan melalui jaringan dikarenakan layanan Internet Banking dapat
dilakukan dari mana saja melalui network.
· Log processor & analysis: untuk melakukan pendeteksi dan analisa terhadap
kegiatan yang terjadi di sistem. Seringkali hal ini tidak dilakukan.
TEKNOLOGI DALAM E-BANKING
Internet banking adalah salah satu layanan perbankan yang menggunakan
teknologi komunikasi dan informasi seperti mobile banking (transaksi
menggunakan handphone, spt atm), sms banking dan telepon banking. Beberapa
gambaran umum mengenai jenis-jenis teknologi e-banking dapat dilihat di
bawah ini :
Automated teller machine (ATM).
Terminal elektronik yang disediakan lembaga keuangan atau perusahaan
lainnya yang membolehkan nasabah untuk melakukan penarikan tunai rekening
simpanannya di bank, melakukan setoran, cek saldo, atau pemindahan dana.
Computer banking.
Layanan bank yang bisa diakses oleh nasabah melalui koneksi internet ke pusatpusat
data bank, untuk melakukan beberapa layanan perbankan, menerima dan
membayar tagihan, dan lain-lain.
Debit (or check) card.
Kartu yang digunakan pada ATM atau terminal point-of-sale (POS) yang
memungkinkan pelanggan memperoleh dana yang langsung didebet (diambil)
dari rekening banknya.
Smart card.
Salah satu tipe stored-value card yang didalamnya tertanam satu atau lebih
chips atau microprocessors sehingga bisa menyimpan data, melakukan
perhitungan, atau melakukan proses untuk tujuan khusus (misalnya validasi
PIN, otorisasi pembelian, verifikasi saldo rekening, dan menyimpan data
pribadi). Kartu ini bisa digunakan pada system terbuka (misalnya untuk
pembayaran transportasi public) atau system tertutup (misalnya MasterCard
atau Visa networks)
KEUNTUNGAN
Dengan memanfaatkan e-banking banyak keuntungan yang akan
diperoleh nasabah terutama apabila dilihat dari banyaknya waktu dan tenaga
yang dapat dihemat karena e-banking jelas bebas antrian dan dapat dilakukan
dari mana saja sepanjang nasabah memiliki sarana pendukung untuk melakukan
layanan e-banking tersebut. Seorang nasabah akan dibekali dengan login dan
kode akses ke situs web dimana terdapat fasilitas e-banking milik bank
bersangkutan.
Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas
perbankan melalui situs web bank bersangkutan. Sebenarnya e- banking bukan
barang baru di internet, tapi diIndonesia sendiri baru beberapa tahun
belakangan ini marak diaplikasikan oleh beberapa bank papan atas.
SUMBER :
budirahardjo-banking.pdf
http://www.telematika/company.html
http://www.klikbca.com
http://www.teknologiebanking.com
http://www.indocisc.com
Tidak ada komentar:
Posting Komentar