Senin, 13 Nov 2017 17:03 WIB

Kolom Telematika

Ancaman di Balik Tren Akses Keuangan Digital

Penulis: Satriyo Wibowo & B. Noviansyah - detikInet
Foto: Rachman Haryanto Foto: Rachman Haryanto
Jakarta - Mengikuti ramainya diskusi mengenai uang elektronik, beberapa fraud yang merugikan nasabah, dan meningkatnya serangan siber kepada industri keuangan, ternyata banyak sekali macam model bisnis dan produk keuangan dari digitalisasi layanan konvensional bank sampai inovasi teknologi keuangan.

Artikel ini akan membahas mengenai akses keuangan digital dengan fokus layanan perbankan elektronik, sementara dua artikel berikutnya membahas transaksi keuangan menggunakan kartu, serta tata kelola FinTech dengan fokus Uang Elektronik.

Layanan Perbankan Elektronik dan Serangan Siber

Perkembangan jaman dan teknologi mengubah pula cara kita menyimpan uang di bank. Dulu sekali menabung di celengan ayam sampai penuh, baru dimasukkan ke bank. Pengiriman uang pun memakai wesel pos, bukan produk inkaso bank.

Dengan berkembangnya instrumen investasi lain yang lebih menguntungkan, produk tabungan sekarang sudah tidak berperan sebagai produk investasi, namun sepertinya hanya sebagai tempat penyimpanan sementara sebelum dibelanjakan. Produk perbankan juga berkembang mengarah ke penyediaan jasa transaksi pembayaran dengan berbagai kanal digitalnya.

Perkembangan teknologi informasi membuat akses rekening tabungan tanpa harus ke cabang bank terdekat. Dimulai dari ATM di akhir era 90an yang membuat penarikan uang dari bank yang sama dapat dilakukan dari luar kota, diikuti dengan era Internet Banking yang memungkinkan penggunanya dapat melakukan akses keuangan kapanpun dan dimanapun.

Layanan perbankan elektronik ini memberikan akses langsung ke server milik bank untuk memperoleh informasi tabungan, melakukan komunikasi, dan melakukan transaksi perbankan. Namun demikian, bagaimana dengan keamanannya?

Serangan siber terhadap layanan keuangan dan perbankan ini sangat banyak terjadi. Menyerang peladen/server milik bank dan merchant tentunya akan memiliki keuntungan yang lebih besar daripada serangan ke nasabah perseorangan.

Itu sebabnya kasus serangan siber di Amerika yang terjadi di Home Depot, Target, Citigroup, Nasdaq, PNC, mengakibatkan jutaan data kartu kredit di Amerika tercuri. Beberapa serangan langsung ke peladen bank juga tercatat, bahkan kepada bank sentral.

Tentu hal ini merupakan hal-hal yang mendapatkan perhatian penuh bagi BI dan OJK selaku regulator sistem pembayaran dan industri keuangan di Indonesia. Secara bersama-sama, regulator dengan ketat menerapkan aturan manajemen risiko teknologi informasi kepada lembaga keuangan baik bank maupun nonbank.

Aturan ini memastikan keamanan internet bank dari level perencanaan, penyediaan sistem elektronik, DC/DRC, basis data, pemrosesan transaksi, dan rencana pemulihan bencana.

Aturan ini juga berlaku pula pada layanan FinTech tentunya dengan tidak bermaksud mematikan inovasi, tapi tidak juga membiarkan sistem keuangan menjadi rapuh. Proses perubahan sistem atau penambahan layanan yang tidak hati-hati, dapat diartikan berbeda oleh masyarakat luas, seringkali menjadi risiko yang dapat menurunkan kepercayaan masyarakat akan layanan perbankan elektronik.

Inovasi Produk Perbankan

Industri FinTech yang inovatif menjadi tantangan utama perbankan karena tidak membutuhkan investasi dan aset sebesar pendirian bank. Menyadari kondisi tersebut, mau tak mau perbankan harus melakukan inovasi sehingga nasabahnya lebih mudah melakukan akses produk keuangan menggunakan aplikasi pada smartphone. Kunci dari layanan tersebut adalah fitur keamanan MFA dan metode tokenisasi.

MFA (Multi Factors Authentication) memenuhi faktor what you have (rekening, kartu ATM, perangkat digital, token generator), what you know (PIN/Password), serta who you are (sidik jari dan bentuk muka). Sementara tokenisasi secara umum adalah proses menggantikan data sensitif menjadi informasi yang sepertinya tidak bermakna dan hanya berlaku pada waktu tertentu.

Token generator seperti Token Pin Mandiri, Key BCA, Token BNI digunakan untuk MFA Internet Banking. Fungsi waktu token generator telah disinkronisasi dengan peladen bank dan identitasnya dilekatkan pada nomor rekening nasabah. Ketika transaksi dilakukan pada satu waktu tertentu, token generator akan membangkitkan kode yang sama dengan peladen yang hanya dapat dipakai dalam rentang waktu terbatas, metode yang dikenal sebagai OTP (One Time Password).

Model pengamanan lainnya dengan otentikasi SIM dan MSISDN pada smartphone atau disebut juga out-of-band authentication. Metode ini memasangkan identitas nasabah (yang diakses melalui internet) dengan nomor seluler serta identitas pada smartphone (yang diakses melalui jaringan seluler) sehingga memenuhi MFA. Namun demikian, metode ini terdapat kelemahan ketika kita mengganti nomor atau smartphone kita, dan beberapa kasus pemalsuan identitas untuk mendapatkan kartu SIM korban telah terjadi (SIM Swap).

Bagaimana kita mengamankan akses keuangan digital kita? Beberapa tips umum mengenai keamanan berinternet bisa di baca di sini namun tambahan di bawah ini mungkin juga bermanfaaat.

1. Jangan memainkan smartphone di tepi jalan (sambil menunggu ojek online misalnya) karena semakin banyaknya aplikasi keuangan tersimpan di smartphone, semakin berbahaya apabila perangkat pintar itu dirampas orang dalam keadaan tidak terkunci.
2. Aktifkan fitur 2FA ketika mengakses layanan keuangan digital. Apabila mempunyai 2 smartphone, akan lebih baik jika otorisasi token dikirimkan secara silang ke perangkat yang berbeda.
3. Amankan perangkat, token, dan informasi PIN/password dari orang lain, jangan lupa logout ketika mengakses layanan di komputer umum.
4. Segera lapor kepada bank apabila mendapat informasi transaksi yang tidak dilakukan dengan menyertakan bukti dan kronologi.
5. Jika mengetahui produk keuangan yang mencurigakan segera lapor kepada BI - 1500131 (kaitannya sistem pembayaran) dan OJK - 1500655 (kaitannya dengan produk investasi dan asuransi) untuk memastikan izin dan pengawasannya.

Sehebat apa pun sistem keamanan yang disiapkan bank namun apabila kita sebagai pengguna tidak melindungi data pribadi dan kredensial kita, maka sistem itu tidak ada artinya. There is no SECURITY without U.


Penulis, Satriyo Wibowo (@sBowo) adalah pengurus Asosiasi Digital Entrepreneur Indonesia sementara B. Noviansyah (@tintinnya) adalah independent security researcher. Keduanya aktif di Indonesia Cyber Security Forum terutama dalam riset-riset yang berkaitan dengan Blockchain. (rou/fyk)
-
Load Komentar ...

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed