Para nasabah belakangan dihantui
kekhawatiran yang tinggi atas nasib simpanannya di bank menyusul
peristiwa pembobolan rekening via ATM di beberapa kota. Pihak perbankan
tampaknya kini mulai memperbaiki standar dan prosedur keamanannya.
Namun, nasabah pun dituntut lebih hati-hati..
Pada pertengahan hingga akhir Januari
2010, Indonesia dihebohkan pembobolan banyak rekening nasabah bank,
khususnya via mesin ATM (anjungan tunai mandiri). Hampir semua berita di
berbagai media menurunkan headline kasus ini. Kasus bermula di
Bali. Bank Indonesia (BI) mencatat ada 13 ATM milik enam bank yang
rekening nasabahnya dibobol, yakni BCA, Bank Mandiri, BNI, BRI, Bank
Permata dan BII. Bahkan, di salah satu bank, ada 236 rekening yang
dibobol dengan kerugian mencapai Rp 4,1 miliar.
Belakangan, kasus pembobolan dana
nasabah melalui ATM itu tidak hanya terjadi di Bali, melainkan juga di
beberapa daerah, seperti Mataram, Medan, Yogyakarta, dan Jakarta.
Diperkirakan total kerugian nasabah dari beberapa bank di sejumlah
wilayah di Indonesia hingga tulisan ini dibuat telah mencapai lebih dari
Rp 17,4 miliar.
Menurut Ruby Alamsyah, analis forensik digital, modus operandi yang dilakukan para pembobol ATM ini adalah dengan teknik skimming atau pencurian data magnetic stripe kartu ATM yang dikombinasikan dengan PIN capture (pengintipan PIN—personal identity number). Pelaku menyiapkan satu set alat skimmer yang dipasang di mulut ATM untuk mengopi data kartu ATM. Adapun untuk mencuri PIN nasabah, pelaku memasang spy cam yang diarahkan ke keypad. “Ada juga yang menggunakan keypad palsu, sehingga meskipun ditutup tangan tetap terekam,†ungkap Ruby. “Jadi, ini bukan cyber crime, tetapi lebih ke physical crime. Pelaku tidak perlu mengerti TI. Kalau cyber crime sudah menyentuh sistem, sedangkan pelaku pada kasus pembobolan ATM tidak menyentuh sistem, skimmer berada di luar (sistem).â€
Apa pun bentuk kejahatannya, tentu
saja kondisi itu cukup mengkhawatirkan, karena bisa menurunkan tingkat
kepercayaan masyarakat terhadap masalah keamanan (security) perbankan nasional. Betulkah banking security nasional begitu rentan terhadap upaya pembobolan? “Overall,
sistem keamanan perbankan Indonesia sudah bagus, tetapi celah
keamanannya belum dipreventifkan secara sempurna,” kata Ruby.
“Sebenarnya teknologi atau sistem keamanan transaksi yang digunakan
perbankan di Indonesia sudah cukup bagus,†Aswin Wirjadi, mantan Wakil
Presdir BCA, mengimbuhi dalam kesempatan lain.
Bahkan, untuk mobile dan Internet banking, menurut Ruby dan Aswin, sistem teknologi yang diadopsi perbankan nasional sudah lebih canggih. Internet banking di Indonesia menggunakan sistem autentikasi yang jauh lebih bagus. “End to end dari PC atau handphone sampai ke servernya, dijaga full. Jika ada yang meng-crack di tengah-tengahnya, tidak bisa membaca datanya secara penuh,” ujar Ruby.
Sistem keamanan transaksi via Internet di perbankan Indonesia menggunakan token, yakni alat verifikasi transaksi. Dengan token ini relatif aman, karena menggunakan dynamic password. Faktor variabelnya yaitu tanggal dan berapa kali melakukan transaksi, sehingga akan berubah terus. “Sejak ada token ini, belum pernah dengar ada pembobolan,” kata Aswin. Untuk mobile banking, lebih sulit lagi dibobol, karena autentikasinya menggunakan nomor ponsel yang didaftarkan ke provider dan perbankan.
Salah satu bank yang cukup masif dalam pemanfaatan teknologi informasi adalah BCA. Diklaim Jeffrey Sukardi, Head of IT Security Group
BCA, sistem pengamanan transaksi melalui ATM di BCA sudah sesuai dengan
standar perbankan internasional, yaitu dengan menggunakan kartu
magnetik dan PIN. Karena itu, kartu ATM BCA dapat digunakan di mesin ATM
bank lain, termasuk di luar negeri. Adapun pada Internet banking, BCA merupakan salah satu pelopor penggunaan dynamic password dengan KeyBCA (token) sejak 2002. “Pada saat sebagian besar bank-bank lain di dunia masih menggunakan password statis untuk sistem Internet banking, BCA telah menggunakan dynamic password,†ujarnya bangga.
Ironisnya, BCA termasuk bank yang
paling banyak menderita pembobolan dana nasabah di ATM. Jeffrey
menjelaskan, dari hasil analisis database menunjukkan bahwa pada kasus ATM skimming
Januari lalu, PIN semua korban direkam di Bali pada akhir 2008. Jadi,
pelaku kejahatan mengumpulkan PIN dan data kartu para korban pada akhir
2008. “Dan pada Januari 2010 barulah mereka memakainya untuk menarik
dana dari rekening korban.â€
Sebenarnya, lanjut Jeffrey, pihaknya telah melakukan antisipasi sejak awal 2009 dengan memasang PIN pad cover dan alat pengaman lainnya. “Kini semua ATM BCA sudah dilengkapi dengan PIN pad cover, anti-skimmer dan jitter
untuk menjamin keamanan nasabah,†ujarnya. Selain itu, kini pihaknya
gencar melakukan edukasi cara bertransaksi yang aman. Ia berharap,
nasabah bank di Indonesia lebih sadar bahwa PIN adalah kunci
rekeningnya. Jadi, PIN mereka harus dilindungi dan tidak boleh
diberitahukan kepada siapa pun. “Kalau bisa bobol, berarti ada orang
lain yang mengetahui PIN nasabah,†tambahnya.
Selain masalah PIN yang bisa diintip,
pembobolan dana nasabah melalui ATM juga dimungkinkan karena sarananya
(kartu) yang bisa dibobol. Menurut Paul S. Hasjim, Direktur Operasi
& Ti Bank CIMB Niaga, suatu transaksi melalui kartu tidak bisa
mengandalkan teknologi magnetik. Sebab, kelemahan menggunakan teknologi
magnetik ini datanya bisa dikopi. “PIN dari (pihak) bank tidak bisa
diambil (dicuri informasinya). Tetapi kalau diambil dengan video (candid camera), tentu bisa,†ucap Paul.
Diakui Paul, keamanan di booth ATM CIMB Niaga sudah dilakukan. Namun, alat pengaman untuk mencegah modus skimmer
itu belum bisa diimplementasi di seluruh ATM milik Bank CIMB Niaga. Ini
berkaitan dengan tingginya biaya yang harus dikeluarkan, sehingga mesti
dilakukan secara bertahap. Saat ini, prioritasnya di lokasi-lokasi
terpencil, yang memungkinkan ATM itu dipasangi alat skimmer.
Untuk transaksi mobile dan Internet banking, Paul mengklaim tingkat keamanannya terjamin. Menurutnya, untuk keamanan transaksi melalui mobile dan Internet banking, banknya sudah menggunakan teknologi Secure Sockets Layer (SSL). Selain itu, supaya lebih aman, pihaknya juga telah menggunakan soft token lewat M-Pin, yang akan dikirimkan via SMS. Tambahan M-Pin tersebut hanya bisa dipakai sekali dan berlaku selama seminggu. “Ada user ID dan password yang statis dan ada juga yang dinamis, yaitu M-Pin. Jadi, kombinasi,” ujarnya. Jadi, untuk keamanan transaksi mobile dan Internet banking di CIMB Niaga ini ada tiga lapis, yakni user ID dan password, individual keyword—yaitu pertanyaan seputar nasabah dan hanya dia yang tahu (misalnya, apa hobinya)—dan M-Pin.
Menurut Ruby, dalam sistem keamanan
perbankan ada beberapa hal yang perlu diperhatikan, yaitu celah
keamanan, ancaman dan solusi. Untuk ATM, celah keamanannya yaitu kartu
ATM yang masih magnetik sehingga mudah dikopi datanya. Adapun
ancamannya: skimmer yang dipasang di ATM. Dengan begitu, solusi sederhananya adalah minimal memasang anti-skimming
sebagai antisipasi untuk menghindari kejahatan ATM. “Untuk penyedia
jaringan ATM seperti Artajasa dan Rintis, mereka tidak bisa bertanggung
jawab, mereka hanya menyediakan jasa networkinng,†Ruby menjelaskan.
Pernyataan Ruby tentu diiyakan Iwan
Setiawan, Presiden Direktur PT Rintis Sejahtera—penyedia jaringan ATM
dan Debit Prima (Prima EFT Switching). Ia menyebutkan posisi
perusahaannya lebih sebagai perantara/intermediasi yang melaksanakan
pengelolaan jaringan transaksi elektronik antar-anggota (bank peserta)
dan penyelesaian transaksinya. “Jadi adanya pembobolan uang melalui
ATM, itu terjadi di ranah operasional, bukan di ranah sistem kami.
Sebab, secara sistem sama sekali tidak ada kebocoran,†kata Iwan.
Dijelaskan Iwan, setiap tahap kerja
transaksi dalam jaringan sangat aman karena data yang dikirimkan dalam
keadaan terenkripsi. Siklus transaksi melalui Prima EFT Switching
sebagai prinsipal meliputi lima tahap. Pertama, kartu ATM milik Bank
Peserta Prima A (issuing bank) digunakan di mesin ATM milik Bank Peserta Prima B (acquiring bank). Kedua, acquiring bank akan memverifikasi BIN (bank identification number). Ketiga, dari BIN tersebut acquiring bank selanjutnya mengidentifikasi ke mana mereka harus mengarahkan transaksi tersebut. Dalam hal ini, acquiring bank akan me-routing
transaksi ke Prima dengan cara mengirim data transaksi kartu (nomor
kartu dan PIN) dan jenis transaksi ke Prima. Data yang dikirim itu dalam
keadaan terenkripsi. Keempat, data yang diterima dari acquiring bank oleh Prima akan diverifikasi dan diteruskan ke issuing bank untuk mendapatkan approval dan authorization. Kelima, approval dan authorization dari issuing bank dikirim ke Prima dan selanjutnya diteruskan ke acquiring bank. “Jadi, semuanya sangat aman karena dalam keadaan terenkripsi,†ujar Iwan menegaskan.
Lebih lanjut, Iwan menjelaskan, sebagai switcher, Prima selalu menekankan aspek security. Dari segi infrastruktur jaringan komunikasi, jaringan yang menghubungkan host Prima dengan issuing dan acquiring bank menggunakan jaringan private
yang tertutup. Data PIN yang dikirim juga dalam keadaan terenkripsi.
Sementara indentifikasi dan otorisasi transaksi nasabah tetap
dilaksanakan issuing bank dan setiap bank peserta diwajibkan menggunakan sistem pengamanan dari Prima, regulator, dan international benchmarking, seperti firewall dan hardware security module (HSM).
Termasuk, melakukan uji coba dengan bank peserta sebelum menjalankan
fitur transaksi Prima. “Sebenarnya, sejak tahun lalu kami sudah
mengingatkan pihak bank peserta Prima untuk mengantisipasi masalah yang
muncul dengan memasang PIN cover dan anti-skiming di mesin ATM. Tetapi kadang perbankan membutuhkan waktu untuk menerapkan ini,†kata Iwan.
Lantas, bagaimana solusinya agar
pembobolan dana nasabah melalui ATM tidak terjadi lagi di waktu
mendatang? Selain langkah pragmatis melengkapi ATM dengan perangkat anti-skimmer, pad cover dan kamera CCTV, semua pihak pun sepakat teknologi yang digunakan untuk kartu ATM ini harus sudah diganti. Jadi, bukan lagi magnetic stripe, tetapi sudah harus beralih ke chip card –seperti halnya untuk kartu kredit yang sudah menggunakan teknologi chip.
Namun, untuk kartu debit seperti kartu ATM, pihak perbankan masih
menunggu regulasi dan standar yang ditetapkan BI. “Kuncinya mesti pindah
ke chip. Dengan adanya kejadian di Bali, diharapkan BI bisa segera mengeluarkan standarnya untuk penggunaan chip,” ujar Paul.
Akan tetapi, tentu saja, beralih ke teknologi chip card
ini tidak mudah dan tidak murah. Pasalnya, di Indonesia diperkirakan
ada sekitar 60 juta kartu. Jika masing-masing kartu harganya US$ 2, dana
yang dibutuhkan mencapai US$ 120 juta, alias lebih dari Rp 1 triliun.
Selain harus mengganti kartu, semua ATM pun harus dilengkapi chip card reader
yang harganya minimum US$ 400. Padahal, di Indonesia ada lebih dari 30
ribu ATM. Jadi, untuk ATM pun butuh investasi sekitar Rp 1 trilun.
Selain butuh biaya yang besar, konversi dari magnetic stripe ke chip card ini pun butuh waktu yang lama. Ketika kartu kredit diwajibkan menggunakan chip card
butuh waktu tiga tahun, dengan jumlah kartu sekitar 12 juta. Dan ketika
masa transisi tersebut sistem tetap terbuka, sehingga kemungkinan
munculnya kejahatan-kejahatan itu tetap masih ada. “Untuk itu, harus
ada strategi jangka pendek, menengah dan panjang, Tidak bisa cuma satu
solusi,†kata Aswin.
Aswin menyarankan, pihak bank harus lebih awas. Maksudnya, pihak bank harus memiliki konsep monitoring
yang kuat. Transaksi-transaksi yang mencurigakan, seperti selalu
mengambil uang dan transfer dalam jumlah maksimum yang ditentukan, harus
diperhatikan. “Pengamanan tidak hanya dari sisi teknologi, tapi juga
dalam prosedur,” ujarnya tegas. Selain itu, ATM juga harus sering
diperiksa: apakah ada pemasangan alat-alat tertentu, seperti skimmer atau kamera. Juga, perlu ada reminder
kepada nasabah untuk melakukan pergantian PIN secara berkala, 2-3 bulan
sekali diganti. “Dengan ini bisa lebih aman tanpa harus mengeluarkan
biaya yang sangat tinggi.”
Nasabah sendiri, imbuh Ruby, dalam melakukan transaksi harus berhati-hati. Misalnya,
melihat apakah ada mesin skimmer,
atau kamera tersembunyi. Termasuk dalam menjaga kerahasiaan PIN. Selain
itu, diupayakan bisa melakukan transaksi di ATM yang ada di dalam bank,
atau paling tidak di tempat keramaian. “Regulator, dalam hal ini BI,
harus sudah menerapkan aturan di mana ada waktunya pihak bank untuk
diaudit sistem keamanannya, sesuai dengan standar internasional.
Regulator harus meningkatkan kontrol dan menjaga hasil audit, jangan
sampai bocor,†kata Ruby mengimbau.
Tentu saja, jika fasilitas transaksi
perbankan seperti ATM — yang sekarang sudah menjadi bagian dari hajat
hidup orang banyak — terjamin keamanannya, nasabah pun bisa kembali
tenang. (*)
Reportase: Moh. Husni Mubarak & Sigit A. Nugroho/Riset: Siti Sumariyati
Sumber:
http://swa.co.id/technology/keamanan-perbankan-dahulukan-prosedur-ketimbang-teknologi
Tidak ada komentar:
Posting Komentar