Pengamanan Data Perbankan Elektronis

Pencurian data dengan skala cukup besar menjadi semakin heboh belakangan ini. Kalau kita menengok sekilas ke belakang, ada beberapa kejadian yang sempat menjadi perhatian masyarakat dunia.

Detik.com (11 Juni 2012) memberitakan terjadinya pencurian 77 juta data pengguna Playsation Network (PSN) – termasuk di dalamnya 12 juta nomor kartu kredit yang tidak terenkripsi. Kemudian 6,5 juta password situs jaringan profesional LinkedIn yang berhasil diretas, sampai kepada situs kencan khusus pasangan jomblo eHarmony dengan pengguna lebih dari 20 juta orang. Pembobolan situs LinkedIn sempat disebut sebagai kasus pembobolan terbesar dalam 10 tahun terakhir ini.

Baru-baru ini, RSA Security - suatu perusahaan yang bergerak di bidang keamanan data juga tak luput dari serangan para peretas (hacker). Perusahaan di bawah naungan group EMC ini kebobolan sedikitnya 40 juta token, yang biasanya digunakan untuk mengakses data pribadi dan perusahaan.

Baru-baru ini (June 2012), seorang peretas yang katanya sudah lama berkecimpung di dunia maya mengaku telah membobol 97 bank di Amerika Serikat. Ia mempersiapkan aksinya selama 3 bulan dan sebagai buktinya ia merilis sebagian data yang berjumlah 17 ribu data nasabah. Di situsnya, ia juga menyediakan link bagi yang mau mengunduh data lengkap sebesar 50GB yang terdiri dari 113 halaman.

Pengamanan data Perbankan Elektronis

Sebagai pengguna, misalnya nasabah bank, kita mempercayakan keamanan data kita kepada bank tempat kita berinvestasi. Kita percaya bahwa jika kita bertransaksi melalui ATM, Internet Banking atau Mobile Banking misalnya,  transaksi tersebut dijamin keamanannya dan hanya kita sendirilah yang dapat mengakses rekening kita tersebut.

Bank, sebagai penyedia layanan perbankan elektronik untuk masyarakat harus dapat selalu menjamin hal-hal yang berkenaan dengan keamanan data nasabahnya, dan bank sangat memperhatikan hal-hal seperti ini untuk menjaga kepercayaan nasabah terhadap layanannya.

Kita ambil contoh saja misalnya layanan perbankan elektronik Automated Teller Machine (ATM), atau yang juga kita kenal sebagai Anjungan Tunai Mandiri. Masyarakat Indonesia sudah cukup terbiasa dengan layanan mesin elektronik yang dapat mengeluarkan uang ini, dan juga berbagai layanan lainnya yang berkembang seperti melakukan transfer (pemindahan dana) antar rekening/antar bank, membayar berbagai macam tagihan, membeli pulsa operator seluler dan lainnya.

Kerapkali, dengan merebaknya layanan jaringan sosial (social network) seperti Blackberry Messaging (BBM), Facebook, dan Twitter misalnya, kita menerima broadcast informasi untuk dapat mengetahui PIN (Personal Identification Number) ATM orang lain dengan melakukan cara-cara (metode) tertentu. Hal ini, tentu saja menimbulkan kekhawatiran dalam diri kita terhadap keamanan rekening kita di bank.

     Secara Teknologi Informasi, Bank telah memastikan bahwa tidak ada seorangpun, di luar nasabah itu sendiri yang dapat mengetahui PIN ATM-nya. Cara pengamanan ini ditempuh dengan mekanisme penggabungan metode enkripsi (penyandian data) dan hashing (memetakan penyandian ke suatu angka yang dapat diverifikasi dengan cara tertentu). 

     Bahkan, metode ini memastikan bahkan pihak bank sendiripun tidak dapat mengetahui PIN seorang nasabah tertentu. Pihak bank hanya dapat melakukan reset PIN nasabah ke suatu nilai awal tertentu (misalnya 123456) setelah melalui prosedur dan proses persetujuan internal, namun tidak dapat melihat PIN nasabah yang sedang aktif. Bank secara terus-menerus melakukan pengkinian terhadap sistem teknologi informasi yang dijalankannya sejalan dengan perkembangan perubahan yang terjadi di masyarakat.

Secara umum, pengamanan sistem teknologi informsi dapat dilakukan secara berlapis. Mulai dari jaringan, aplikasi dan proses kerja terkait, sampai kepada database di pusat data (data center).

Dari sisi jaringan, pemasangan firewall (baik berupa hardware maupun software) sebagai cara untuk mengamankan jaringan internal dari akses yang tidak seharusnya, merupakan suatu keharusan, apalagi akses nasabah terhadap data (misal transaksi perbankan melalui internet banking dan mobile banking) dilakukan melalui jaringan publik (Internet Service Provider - ISP, operator seluler maupun Internet).

Berbagai macam metode juga digunakan untuk mengamankan berbagai aplikasi dan proses kerja untuk menjamin integritas system secara keseluruhan. Misalnya, akses yang diberikan terhadap operator yang sedang bertugas untuk dapat melihat saldo nasabah yang melakukan panggilan melalui call center suatu bank (akses terhadap aplikasi berdasarkan tugas). Jika diperlukan perubahan data nasabah, menambah daftar pembayaran tagihan listrik bulanan misalnya – dapat dilakukan langsung oleh operator yang bersangkutan, maupun meminta persetujuan terlebih dahulu dari penyelianya (supervisor). Seluruh aktifitas ini dicatat secara elektronik, untuk keperluan audit nantinya.

Security Intelligence and Analytics. Think Integrated.

Security Intelligence and Analytics. Think Integrated.
build a strong security posture that helps reduce costs, improve service, manage risk, and enable innovation

 Dengan perkembangan Teknologi Informasi (TI) yang sedemikian cepat dan meningkatnya penggunaan Bring Your Own Device (BYOD), kita – sebagai para pengguna - semakin saja dimanjakan saja dengan layanan-layanan baru dengan akses yang semakin mudah dan cepat. BYOD dalam bentuk smartphone, tablet maupun phablet (phone + tablet) sudah semakin canggih saja, didukung oleh akses berkecepatan tinggi (sudah mendukung akses 4G untuk iPhone 5 dan Samsung Galaxy Note II misalnya) sehingga layanan data streaming berkapasitas besar dapat menjadi lebih baik.

Ini menjadikan lingkungan operasional TI untuk mengelola hal-hal tersebut menjadi semakin kompleks. Para penyedia layanan yang biasanya mengelola lingkungan data center serta jaringan distribusinya, juga harus melebarkan layanannya untuk mengelola BYOD yang jumlahnya mencapai jutaan tersebut, yang secara geografis, terdistribusi secara luas.

Compliance (kepatuhan terhadap regulasi, standard industri) adalah hal yang penting dan harus dipenuhi, demikian juga di sektor Teknologi Informasi. Tantangannya adalah, bagaimana organisasi dapat secara proaktif melakukan pemantauan dan pencegahan terhadap terjadinya potensial serangan ke aset-aset TI-nya, dan kalau memungkinkan dilakukan secara real-time. Dalam skala yang kecil, ini mungkin belum menjadi masalah; Namun dalam skala yang besar, misal memantau 2 milyar security event per hari seperti di salah satu perusahaan Fortune-5, dapat menjadikan masalah operasional menjadi sangat kompleks dan tidak mungkin dilakukan tanpa adanya otomasi dengan skalabilitas tinggi.

Insiden yang terjadi baru-baru ini (sumber: riset IBM X-Force, 2011) telah sangat mengganggu aktifitas bisnis organisasi, seperti yang terjadi pada Aplikasi Web CitiGroup, Jaringan Sony Playstation, dan layanan Gmail. Faktor IT Security secara end-to-end (di berbagai level pendukung aktifitas bisnis seperti: network security, server security, virtual server security, mobile endpoint security, database security, pengelolaan akses pengguna, aplikasi web, security monitoring, security analytics) suatu menjadi tantangan yang nyata dan strategis untuk organisasi, yang dalam beberapa tahun belakangan ini sudah menjadi bahan pembicaraan di boardroom (meeting direksi), tidak hanya bahan diskusi yang terkonsentrasi di tim TI.

Kembali kepada contoh perusahaan Fortune-5 di atas, dengan menggunakan solusi IBM QRadar Security Intelligence, dapat mengurangi 2 milyar event per hari menjadi hanya 25 high-priority event saja. In tentu saja suatu kemajuan yang sangat signifikan bagi aktifitas operasional organisasi dalam menangani tantangan IT Security. Solusi Security Intelligence melakukan korelasi dan analisa terhadap berbagai security data.