Pencurian data dengan skala cukup besar menjadi semakin heboh belakangan ini. Kalau kita menengok sekilas ke belakang, ada beberapa kejadian yang sempat menjadi perhatian masyarakat dunia.
Detik.com (11 Juni
2012) memberitakan terjadinya pencurian 77 juta data
pengguna Playsation
Network
(PSN) – termasuk di dalamnya 12 juta nomor kartu kredit yang
tidak terenkripsi. Kemudian 6,5 juta password situs jaringan profesional LinkedIn yang
berhasil diretas, sampai kepada situs kencan khusus pasangan jomblo eHarmony dengan pengguna lebih dari 20 juta
orang. Pembobolan situs LinkedIn sempat disebut sebagai kasus pembobolan terbesar dalam 10 tahun terakhir ini.
Baru-baru ini, RSA Security - suatu perusahaan yang
bergerak di bidang keamanan data
juga tak luput dari serangan para peretas (hacker).
Perusahaan di bawah naungan
group EMC ini kebobolan sedikitnya 40 juta token,
yang biasanya digunakan untuk mengakses data
pribadi dan perusahaan.
Baru-baru ini (June 2012), seorang peretas yang
katanya sudah lama
berkecimpung di dunia maya mengaku telah membobol 97
bank di Amerika Serikat. Ia mempersiapkan aksinya selama 3 bulan dan sebagai buktinya ia merilis sebagian data
yang berjumlah 17 ribu data
nasabah. Di situsnya, ia juga menyediakan link
bagi yang
mau mengunduh data
lengkap sebesar 50GB
yang terdiri dari 113 halaman.
Pengamanan
data Perbankan
Elektronis
Sebagai pengguna, misalnya nasabah bank, kita mempercayakan keamanan data
kita kepada bank
tempat kita berinvestasi.
Kita percaya bahwa jika kita bertransaksi melalui ATM,
Internet
Banking atau Mobile
Banking misalnya, transaksi tersebut dijamin keamanannya dan hanya kita sendirilah yang dapat mengakses rekening kita tersebut.
Bank, sebagai penyedia layanan perbankan elektronik untuk masyarakat harus dapat selalu menjamin hal-hal yang berkenaan dengan keamanan data nasabahnya, dan bank sangat memperhatikan hal-hal seperti ini untuk menjaga kepercayaan nasabah terhadap layanannya.
Kita ambil contoh saja misalnya layanan perbankan elektronik Automated Teller Machine
(ATM), atau yang
juga kita kenal sebagai Anjungan Tunai Mandiri. Masyarakat
Indonesia sudah cukup terbiasa dengan layanan mesin elektronik yang
dapat mengeluarkan uang ini, dan juga berbagai layanan lainnya yang
berkembang seperti melakukan transfer (pemindahan dana) antar rekening/antar
bank, membayar berbagai macam tagihan, membeli pulsa
operator seluler dan lainnya.
Kerapkali, dengan merebaknya layanan jaringan sosial (social network) seperti Blackberry
Messaging
(BBM), Facebook, dan
Twitter misalnya, kita menerima broadcast informasi untuk dapat mengetahui PIN
(Personal Identification Number) ATM orang lain dengan melakukan cara-cara (metode) tertentu. Hal ini, tentu saja menimbulkan kekhawatiran dalam diri kita terhadap keamanan rekening kita di
bank.
Secara Teknologi Informasi, Bank telah memastikan bahwa tidak ada seorangpun, di luar nasabah itu sendiri yang dapat mengetahui PIN ATM-nya. Cara pengamanan ini ditempuh dengan mekanisme penggabungan metode enkripsi (penyandian
data) dan hashing
(memetakan penyandian ke suatu angka yang
dapat diverifikasi dengan cara tertentu).
Bahkan, metode ini memastikan bahkan pihak bank sendiripun tidak dapat mengetahui PIN seorang nasabah tertentu. Pihak bank hanya dapat melakukan reset PIN nasabah ke suatu nilai awal tertentu (misalnya
123456) setelah melalui prosedur dan
proses persetujuan internal, namun tidak dapat melihat PIN nasabah yang
sedang aktif.
Bank secara terus-menerus melakukan pengkinian terhadap sistem teknologi informasi yang
dijalankannya sejalan dengan perkembangan perubahan yang
terjadi di masyarakat.
Secara umum, pengamanan sistem teknologi informsi dapat dilakukan secara berlapis. Mulai dari jaringan, aplikasi dan proses kerja terkait, sampai kepada database di pusat data
(data
center).
Dari sisi jaringan, pemasangan firewall (baik berupa hardware maupun software) sebagai cara untuk mengamankan jaringan
internal dari akses yang
tidak seharusnya, merupakan suatu keharusan, apalagi akses nasabah terhadap data
(misal transaksi perbankan melalui internet
banking dan mobile
banking) dilakukan melalui jaringan publik (Internet
Service Provider
- ISP, operator seluler maupun Internet).
Berbagai macam metode juga digunakan untuk mengamankan berbagai aplikasi dan proses kerja untuk menjamin integritas system secara keseluruhan. Misalnya, akses yang diberikan terhadap operator yang sedang bertugas untuk dapat melihat saldo nasabah yang
melakukan panggilan melalui call
center suatu bank
(akses terhadap aplikasi berdasarkan tugas). Jika diperlukan perubahan data
nasabah, menambah daftar pembayaran tagihan listrik bulanan misalnya – dapat dilakukan langsung oleh
operator yang bersangkutan, maupun meminta persetujuan terlebih dahulu dari penyelianya (supervisor). Seluruh aktifitas ini dicatat secara elektronik, untuk keperluan
audit nantinya.