Monday, February 22, 2010

security banking

Dalam tugas kali ini,saya ingin membahas beberapa kemungkinan di dunia perbankan yang mungkin dikembangkan lebih lanjut dengan perkembangan ekonomi yang mulai banyak berbasis pada teknologi informasi. Tentunya di luar hal-hal yang sudah umum di dunia perbankan saat ini, seperti infrastruktur ATM bersama dll. Secara umum akan ada dua (2) hal besar di dunia perbankan yang dapat terasa manfaatnya,

  1. Interaksi di sisi customer / client.
  2. Beberapa isu interaksi / clearing antar Bank.

Secara umum ada empat (4) aspek keamanan jaringan, yaitu:

  • Penetration testing
  • Certificate Authority / PKI
  • Vulnerability Testing
  • Managed Security Services

Masing-masing aspek akan mencakup yang yang cukup kompleks, misalnya, aspek Penetration Testing meliputi Active Content Monitoring / Filtering, Intrusion Detection – Host Based, Firewall, Intrusion Detection – Network Based, Authorization, Air Gap Technology, Network Authentication, Security Appliances. Aspek Certificate Authority / Public Key Infrastructure meliputi hal Certificate Authority, File & Session Encryption, VPN & Cryptographic Communications, Secure Web Servers, Single Sign On, Web Application Security. Tentunya merupakan cabang ilmu tersendiri untuk menjamin sebuah infrastruktur yang sangat aman. Saran bagi pembaca yang ingin mendalami lebih lanjut, sangat di sarankan untuk membaca-baca http://www.sans.org dan http://rr.sans.org. Bagi pembaca yang ingin melihat bagaimana teknik-teknik hacking yang terbaru mungkin ada baiknya membaca http://packetstormsecurity.org. Mohon berhati-hati dalam mendalami ilmu keamanan jaringan jangan sampai terbakar sendiri.

Sebagian besar dari teknologi keamanan jaringan sebetulnya tersedia secara terbuka (open source). Misalnya untuk certicicate authority / PKI saya biasanya menggunakan openSSL; Untuk secure web transaction biasanya digunakan standard secure HTTP (https); untuk membangun Virtual Private Network antar bank biasanya digunakan Free Secure Wide Area Network (FreeSWAN). Semua biasanya tersedia di berbagai distribusi Linux.

Dengan menguasai teknik keamanan jaringan dan mampu membuat aman-nya jaringan maka bukan mustahil kita dapat lebih mengeffisienkan infrastruktur backoffice industri perbankan. Bukan mustahil kita dapat menggunakan infrastruktur yang berbasis Internet dan IntraNet sebagai backbone infrastruktur per bankan. Terutama untuk menjangkau bank-bank cabang atau bank bergerak di daerah urban, sub-urban bahkan daerah rural dan remote jika di inginkan.

Yang akan menjadi lebih seru lagi adalah jika clearning antar Bank yang biasanya dilakukan melalui Bank Indonesia dapat dikembangkan secara online. Setahu saya hal ini sedang terjadi di Bank Indonesia. Yang tentunya akan menjadi tantangan yang lumayan membuat kepala pusing para pimpinan Bank yang biasanya mempunyai background non-teknik. Dengan semakin effisien-nya mekanisme clearning, maka jumlah transaksi akan dapat berlipat ganda dalam waktu yang jauh lebih singkat.

Di sisi pelanggan / pengguna jasa Bank, perkembangan teknologi tidak kalah menarik. Secara umum ada dua (2) teknologi yang menjadi basis interaksi dunia perbankan dengan pelanggannya agar dapat dilakukan transaksi secara on-line dan transaksional, yaitu,

  • Selular Telepon.
  • Internet

Secara umum telepon selular menjadi lebih menarik karena jumlah pelanggan yang lebih dari 10 juta pelanggan, sedang Internet hanya sekitar 4 juta saja. Bahkan berdasarkan berita di http://www.cellular-news.com, menurut CSFB, Indonesia termasuk yang mempunyai potensi yang sangat besar, rangking ke dua di Asia Pacific bagi pertumbuhan pengguna selular dengan tambahan sekitar 2.14 pelanggan di akhir tahun 2002 yang lalu. Tentunya akan bertambah seru lagi dengan semakin banyaknya operator yang menggelar infrastruktur selular.

Internet banking, melalui web dan e-mail, dapat menjadi fasilitas transaksi terutama untuk corporate customer karena pada hari ini cukup banyak kantor yang sudah on-line 24 jam ke Internet. Teknologi keamanan jaringan yang di jelaskan di atas juga telah cukup mapan, terutama jika digunakan enkripsi dengan panjang kunci 128 bit pada akses web bertumpu pada teknologi OpenSSL; 1024 bit pada transaksi e-mail bertumpu pada teknologi GnuPG di tambah teknologi One Time Password, seperti BCA-key di BCA, cukup handal untuk menjamin keamanan transaksi. Seperti hal-nya corporate banking lainnya sangat di untungkan karena transaksi yang diproses tidak banyak tapi mengalirkan uang dengan berjumlah sangat besar. Transaksi jenis ini justrun yang paling menguntungkan untuk dunia perbankan karena termasuk kategori transaksi Business To Business (B2B).

Berbeda dengan InterNet Banking, pada end-user atau customer biasa, aplikasi yang jelas-jelas akan menjangkau banyak massa adalah Short Message Services (SMS) yang jelas akan menjangkau banyak sekali pelanggan. Salah satu keuntungan dengan adanya teknologi selular bagi dunia pelanggan adalah sistem authentikasi yang sudah built-in dalam infrastruktur telepon selular. Authentikasi akan sangat memudahkan bagi dunia perbankan untuk melakukan mapping antara pelanggan / client antara dunia perbankan dengan dunia selular melalui nomor telepon dan nomor account.

Ada cukup banyak forum open standar untuk transaksi SMS, MMS, WAP yang menstandarisasi teknologi messaging antar pengguna selular telepon, diantaranya adalah http://www.openmobilealliance.org, http://www.smsforum.net dan http://www.nowsms.com. Bagi mereka yang ingin membuat sendiri gateway WAP dan SMS menggunakan solusi open source yang terbuka dapat berexperimen dan mencobanya dari http://www.kannel.org.

Adanya Internet Banking dan Mobile Banking akan menjadi lebih semarak lagi, jika saja ada kerjasama yang cukup erat antara dunia perbankan, operator selular, operator Internet dengan berbagai service provider, software house untuk mengembangkan aplikasi yang lebih terintegrasi dari berbagai layanan. Contoh sederhana, memberikan informasi perbankan, apakah itu kurs valuta asing, bunga bank, proses peminjaman uang, bunga deposit dll melalui SMS, e-mail, Web.

Pada tingkat yang lebih kompleks mendukung transaksi pembelian barang, penjualan barang dengan transaksi keuangan melalui SMS, tidak hanya tergantung pada mekanisme kartu debet atau kartu kredit yang biasa. Barangkali ini merupakan perkembangan menuju mobile commerce. Tentunya dibutuhkan service provider atau software house yang mampu membangun payment gateway terutama melalui SMS antara bank, penjual dan pembeli. Terutama karena mobile commerce termasuk kategori transaksi business to customer (B2C).

Bank merupakan sebuah entitas bisnis yang paling penting dibicarakan bila membahas teknologi informasi (TI). Proses bisnis yang masif, ketat, dan memiliki kompleksitas tinggi dalam bank serta manajemennya yang rigid tak dipungkiri butuh bantuan TI tingkat tinggi. Tanpa bantuan TI sangat tidak mungkin bank berkembang seperti sekarang ini.

Isu security data bank tetap menempati posisi utama dalam diskursus keamanan komputer. Citra sebagai gudang uang terlalu melekat di benak publik terlebih di kepala para kriminal. Teknik kejahatan pun selalu mengikuti evolusi peradaban. Jadi jangan berpikir Anda lebih pintar daripada penjahat. Mengenai security system, berikut penuturan Anthony Zboralski, Information Security Consultant dari PT Bellua Asia Pacific.

Apakah Trusted Computing sedikit licin terhadap Hacker?
Trusted computing menjadi salah satu isu teknologi paling mutakhir saat ini. Ketika perangkat trusted computing ingin digunakan secara baik, secara matematis user harus yakin bahwa hal itu tidak akan disalahgunakan. Banyak jalan yang dapat ditempuh untuk membuat data yang dimiliki terasa aman. Begitu juga dalam dunia perbankan. Di dunia perbankan, untuk meningkatkan security, bank harus mengetahui apakah insfrastruktur yang dimilikinya itu aman (dari segi physical security, system security, dan network security).

Sampai sejauh mana pentingnya security dalam sebuah perusahaan?
Secara praktis, security dalam online banking system berkaitan dengan skema fungsi bisnis. Sebelum membuat semua data aman, hal yang harus dilakukan sebuah bank adalah mengetahui dengan pasti apa yang harus diamankan. Memang, hal yang faktual adalah sangat tidak mungkin membuat data yang dimiliki aman 100 %. Dalam sebuah bank, mungkin saja sudah terdapat security system yang baik, tapi tidak tertutup kemungkinan ada bagian lain yang terancam.
Selain itu, hal penting yang harus diingat tentang security, yakni bank harus melihat secara luas apa yang para penyerang (hacker) lakukan untuk menghancurkan sistem. Jika bank tidak mengetahui bagaimana sistem yang mereka bangun itu diserang, akan sangat sulit untuk mengetahui bagaimana menangkis serangan para hacker.

Bagaimana dengan peran infrastruktur yang baik?
Sebagian besar masalah yang dihadapi bank adalah kadang bank melakukan berbagai hal hanya untuk mendapatkan keuntungan. Dengan menggunakan jaringan yang tertutup, sering kali pihak bank merasa bahwa masalah security tidak perlu dikhawatirkan. Padahal, dengan kemajuan internet saat ini, bank harus meningkatkan sumber daya, pengetahuan, dan juga security system mereka. Kadang kala, sering ditemui, security management infrastructure tidak mereka miliki.
Solusinya, bank harus memulai dengan meng-upgrade SDM mereka agar mengerti konsep security dan terlibat sejak awal mengenai security system bank tersebut. Dengan demikian, faktor manusia memang menjadi kunci dalam security system dalam suatu perusahaan. Orang-orang yang berkaitan dengan security tidak hanya bertugas untuk menjalankan tugas dan mengantisipasi masalah yang dilakukan orang lain, tapi orang tersebut juga harus terlibat dalam security system sebuah perusahaan sejak awal. Satu hal yang patut diingat, dalam security, seseorang tidak bisa mengatakan kapan waktu yang tepat untuk menyerang sebuah sistem atau kapan suatu sistem itu diserang. Saat bank menggunakan sebuah security product, akan sangat mungkin terjadi kerusakan. Apalagi, dengan "kecanggihan" taktik para hacker, bisa dikatakan bahwa setiap sistem yang digunakan sudah tidak reliable lagi.

Jadi, sebaiknya bagaimana meningkatkan keamanan Jaringan Komputer Bank?
Serangan dari pihak luar terhadap bank-bank yang beroperasi, pasti akan selalu ada. Apalagi, uang menjadi kebutuhan vital. Tak heran jika bank menjadi incaran untuk "meraup" uang dalam jumlah besar. Bisa dibayangkan, ketika tindak kriminal lewat bank makin meningkat, banyak pihak yang dilibatkan, termasuk orang dalam bank tersebut. Misalnya saja, sebuah bank yang memiliki automatic changing machine, akan terjadi kemungkinan seseorang meng-hack data yang digunakan oleh bank tersebut dengan menggunakan "orang dalam". Hasilnya, uang pun bisa didapatkan dengan mudah. Di situlah letak tidak adanya keamanan 100 persen itu.
Setiap industri sangat bergantung pada fungsi bisnis yang akan diraih. Dengan demikian, serangan yang dilancarkan para hacker pun makin variatif. Hal yang harus diingat dalam dunia perbankan, jangan mengambil apa pun hanya untuk mendapatkan keuntungan. Lambat laun, security itu akan gagal. Sepantasnya, bank yang memiliki sistem keamanan yang bagus harus bisa merencanakan apa yang harus dilakukan sebelum sistem keamanan tersebut itu gagal bekerja. Itu kuncinya.

Sumber : wouw.com

Saturday, February 13, 2010

Hari minggu pagi yang cerah Berkat Tuhan hari ini kan tercurah