Label:

MASALAH KEMANAN PERBANKAN INDONESIA DILIHAT DARI SEGI IT


BAB 4 LAPORAN

1.    PENDAHULUAN
Pada era globalisasi ini tentu teknologi sudah berkembang sangat pesat disegala bidang. Termasuk pula pada bidang perbankan yang sekarang sudah sangat memanfaatkan kemajuan teknologi. Contoh dari teknologi yang sudah mulai di terapkan adalah penggunaan msin ATM dan internet banking. Adapula penggunaan sistem otomatis yang sudah terkomputerisasi di bank itu sendiri.


Dengan majunya teknologi pasti akan memnutupi masalah lama dan akan memunculkan masalah baru dalam bidang perbankan di Indonesia. Misalkan dulu sebelum menggunakan sistem ATM nasabah harus ke bank untuk mengambil uan mereka. Sedangkan sekarang setelah ada ATM nasabah sudah tidak perlu pergi ke bank lagi hanya perlu pergi ke ATM yangterdekat dari tempat nasabah tersebut berada. Tetapi dengan munculnya mesin ATM tersebut muncullah masalah baru seperti pembobolan ATM, Penipuan terhadap Nasabah, dan berbagai macam masalah keamanan lainnya.

2.    PERMASALAHAN
Para nasabah belakangan dihantui kekhawatiran yang tinggi atas nasib simpanannya di bank menyusul peristiwa pembobolan rekening via ATM di beberapa kota. Pihak perbankan tampaknya kini mulai memperbaiki standar dan prosedur keamanannya. Namun, nasabah pun dituntut lebih hati-hati.

Pada pertengahan hingga akhir Januari 2010, Indonesia dihebohkan pembobolan banyak rekening nasabah bank, khususnya via mesin ATM (anjungan tunai mandiri). Hampir semua berita di berbagai media menurunkan headline kasus ini. Kasus bermula di Bali. Bank Indonesia (BI) mencatat ada 13 ATM milik enam bank yang rekening nasabahnya dibobol, yakni BCA, Bank Mandiri, BNI, BRI, Bank Permata dan BII. Bahkan, di salah satu bank, ada 236 rekening yang dibobol dengan kerugian mencapai Rp 4,1 miliar.

Belakangan, kasus pembobolan dana nasabah melalui ATM itu tidak hanya terjadi di Bali, melainkan juga di beberapa daerah, seperti Mataram, Medan, Yogyakarta, dan Jakarta. Diperkirakan total kerugian nasabah dari beberapa bank di sejumlah wilayah di Indonesia hingga tulisan ini dibuat telah mencapai lebih dari Rp 17,4 miliar.

Menurut Ruby Alamsyah, analis forensik digital, modus operandi yang dilakukan para pembobol ATM ini adalah dengan teknik skimming atau pencurian data magnetic stripe kartu ATM yang dikombinasikan dengan PIN capture (pengintipan PIN ”personal identity number). Pelaku menyiapkan satu set alatskimmer yang dipasang di mulut ATM untuk mengopi data kartu ATM. Adapun untuk mencuri PIN nasabah, pelaku memasang spy cam yang diarahkan ke keypad. “Ada juga yang menggunakankeypad palsu, sehingga meskipun ditutup tangan tetap terekam, ungkap Ruby. Jadi, ini bukancyber crime, tetapi lebih ke physical crime. Pelaku tidak perlu mengerti TI. Kalau cyber crime sudah menyentuh sistem, sedangkan pelaku pada kasus pembobolan ATM tidak menyentuh sistem, skimmerberada di luar (sistem).


Apa pun bentuk kejahatannya, tentu saja kondisi itu cukup mengkhawatirkan, karena bisa menurunkan tingkat kepercayaan masyarakat terhadap masalah keamanan (security) perbankan nasional. Betulkah banking security nasional begitu rentan terhadap upaya pembobolan? “Overall, sistem keamanan perbankan Indonesia sudah bagus, tetapi celah keamanannya belum dipreventifkan secara sempurna,” kata Ruby. Sebenarnya teknologi atau sistem keamanan transaksi yang digunakan perbankan di Indonesia sudah cukup bagus,  Aswin Wirjadi, mantan Wakil Presdir BCA, mengimbuhi dalam kesempatan lain.

3.       DASAR TEORI / ARTIKEL PENDUKUNG 
Pembangunan sistem pembayaran merupakan fungsi dari kapasitas perbankan, kemajuan teknologi, kebutuhan masyarakat, dan kerja sama internasional. Semua faktor ini secara bersama-sama menentukan keandalan sistem perbankan di setiap negara. Fungsi ini juga tidak terbelenggu oleh constant elasticity of substitution. Untuk negara-negara Uni Eropa dan Amerika Serikat, kemajuan teknologi bersifat increasing return to scale. 

Penelitian Forrester terhadap IT perbankan untuk tahun 2023 menyebutkan, "Identified a series of requirements and the architectural layers of the future banking platform. The key layers show: (1) a focus on personalized customer services and real-time information analysis; (2) a separation of product design and customization; and (3) a clear distinction between core competencies and nondifferentiation functions supported by selective sourcing. These layers will belong to one, two, or more financial services firms, and they will be connected via a federated semantic banking backbone." Sejauh mana sistem pembayaran di masa depan kompatibel dengan kecenderungan ini patutlah menjadi perhatian yang serius. Juga harus dipertimbangkan, sistem IT dari sistem pembayaran harus sudah pada generasi kelima yang bersifat Grid dengan cerminan n-tier, virtual environment, dan service-oriented architecture. Hanya dengan Grid, ancaman keamanan dalam sistem pembayaran nasional dapat diminimalkan. Jika Bank Indonesia memberikan arahan yang jelas dalam konteks teknologi Grid, bank besar seperti BCA dan Mandiri akan mengalokasikan investasinya pada teknologi ini secepat mungkin. Sistem pembayaran yang efisien dan efektif diperlukan karena sangat penting untuk berfungsinya sistem keuangan (financial system) dan perekonomian, serta kemudahan dan kecepatan proses pembayaran berpengaruh besar dalam pertumbuhan ekonomi. Namun, harus diingat bahwa risiko dalam sistem pembayaran dapat berpengaruh terhadap stabilitas sistem keuangan. Stack (2006) mengatakan, "The complexity and rigidity of traditional systems results in the too-familiar misalignment between IT and the business. The IT side is bogged down with the burden of maintaining 20th-century systems and processes that have become too bloated and inefficient to deal with the demands imposed by the 21st-century business environment. In many organizations, that maintenance burden approaches 80% of the total IT budget." 

Sistem pembayaran yang mampu meminimalkan risiko (risiko likuiditas, risiko kredit, risiko hukum, dan risiko operasional) dan mendukung stabilitas sistem keuangan merupakan pilihan yang tepat. Sistem pembayaran yang memungkinkan pemrosesan transaksi secara mudah, cepat, akurat dengan biaya yang rendah juga akan semakin diperlukan. Sistem ini juga harus mampu melakukan pemberian akses yang adil dan setara (equal) baik kepada peserta sistem pembayaran maupun kepada masyarakat luas sebagai pengguna. Sistem ini bertujuan untuk melindungi dan/atau memenuhi hak-hak stakeholder pengguna sistem pembayaran. Hingga saat ini sistem kliring manual merupakan sistem penyelenggaraan kliring yang dalam pelaksanaan penghitungan dan pembuatan rekapitulasi penghitungan (bilyet saldo kliring) serta pemilahan warkat dilakukan secara manual oleh setiap peserta kliring. 

Sistem kliring otomasi adalah sistem penyelenggaraan kliring yang dalam pelaksanaan penghitungan dan pembuatan rekapitulasi penghitungan (bilyet saldo kliring) serta pemilahan warkat dilakukan oleh penyelenggara secara otomatis. Sistem kliring elektronik adalah sistem penyelenggaraan kliring yang dalam pelaksanaan penghitungan dan pembuatan rekapitulasi penghitungan (bilyet saldo kliring) dilakukan secara elektronik disertai dengan penyampaian warkat peserta kepada penyelenggara untuk dipilah secara otomatis. Sejak 17 November 2000, sistem Bank Indonesia real time gross settlement (BI-RTGS) telah diimplementasikan dengan cakupan untuk seluruh wilayah Indonesia. ECB (2010), "The proliferation of IT has also set the stage for improving and managing risks in payment systems including Electronic Trading Systems, DVP/PVP, RTGS, Secured Netting Systems, The growth of the Central Counterparty (CCP), and Continuous Linked Settlement." Sistem pembayaran dan arsitektur perbankan Indonesia akhirnya memiliki himpunan irisan dalam konteks teknologi. Untuk itu, arah sistem pembayaran di Indonesia harus sudah ditentukan dari saat ini sehingga arsitektur perbankan Indonesia akan mengikutinya. Sejak Februari 2004, Bank Indonesia scripless securities settlement system (BI-SSSS) telah diimplementasikan untuk mengakomodasi kebutuhan settlement transaksi surat berharga (SBI dan surat utang negara). 

RTGS memiliki ciri-ciri antara lain sistem transfer dana antarbank bersifat online. Setiap instruksi transfer dana oleh bank langsung di-settle atau dpl langsung mendebet rekening bank pengirim dan mengkredit rekening bank penerima di BI (gross settlement), sepanjang saldo rekening giro bank pengirim mencukupi. Transaksi pembayaran antarbank bernilai besar dan/atau bersifat urgen (HVPS). Sifat transaksi RTGS ialah antarbank; bersifat credit transfer; dan Bank-BI bersifat credit transfer serta debit transfer. Implikasinya bagi perbankan adalah transaksi pembayaran antarbank dapat dilakukan secara online dan paperless; settlement dari setiap transaksi pembayaran antarbank dapat dilakukan dalam hitungan detik (real-time) sepanjang saldo rekening giro bank pengirim (sending bank) mencukupi; posisi 'terkini' saldo rekening giro dapat dimonitor setiap saat sepanjang hari; membantu pengaturan transmitting transaksi pembayaran antarbank dan pengelolaan likuiditas. Institute for Development and Research in Banking mengatakan bahwa, "Technology is indeed a differentiator not only in terms of competitive advantage, but also in terms of administrative and back-end processes…." Artinya, fragmentasi teknologi akan berimplikasi tidak hanya pada daya saing perbankan di Indonesia, tetapi juga perilakunya. Tantangan RTGS untuk meningkatkan liquidity saving secara sistematis juga harus dipertimbangkan. Konsekuensinya, treasury bank dituntut untuk meningkatkan disiplin dan profesionalismenya dalam mengelola likuiditas (liquidity management) dan risiko (risk management).

Keuntungan bagi Bank Indonesia sangatlah jelas yaitu, mengurangi risiko bank sentral akibat adanya 'time lag' antara transaksi dan settlement yang terjadi selama ini dalam transaksi pembayaran antarbank melalui kliring dengan multilateral netting. Pun, dengan penerapan CSA (centralised settlement account), akan tersedia informasi rekening bank secara real time dan menyeluruh. Kaseman (2004) menyebutkan, “Current and future technology implementations call for at least 20% of officers specialise in IT”. Dengan demikian peran Bank Indonesia adalah juga dalam menyiapkan sumber daya manusia, termasuk menyusun kebijakan, peraturan hukum dan prosedur sistem pembayaran; menjamin terselenggaranya sistem pembayaran yang dapat dipercaya, efisien, aman dan adil; fasilitator pengembangan melalui Forum Komunikasi Sistem Pembayaran Nasional (terdapat lima unsur yaitu manajemen risiko, teknologi informasi, standar dan produk, dan legal); pengawas; serta menjamin semua pihak yang terlibat dalam sistem pembayaran mengikuti aturan yang telah dibuat/disepakati. 
Terakhir, kerja sama internasional harus juga masuk peran Bank Indonesia sehingga sistem pembayaran nilai besar memiliki lebih dari satu sistem yang tentunya dapat dilakukan dengan metode migrasi seperti yang dilakukan negara Uni Eropa terhadap target 2. Dengan demikian, sistem pembayaran di Indonesia di masa depan dipastikan bukan hanya aman, melainkan juga bersifat liquidity saving.

4.        ANALISA MASALAH
Sistem keamanan transaksi via Internet di perbankan Indonesia menggunakan token, yakni alat verifikasi transaksi. Dengan token ini relatif aman, karena menggunakan dynamic password. Faktor variabelnya yaitu tanggal dan berapa kali melakukan transaksi, sehingga akan berubah terus. “Sejak ada token ini, belum pernah dengar ada pembobolan,” kata Aswin. Untuk mobile banking, lebih sulit lagi dibobol, karena autentikasinya menggunakan nomor ponsel yang didaftarkan ke provider dan perbankan.

Salah satu bank yang cukup aktif dalam pemanfaatan teknologi informasi adalah BCA. Diklaim Jeffrey Sukardi, Head of IT Security Group BCA, sistem pengamanan transaksi melalui ATM di BCA sudah sesuai dengan standar perbankan internasional, yaitu dengan menggunakan kartu magnetik dan PIN. Karena itu, kartu ATM BCA dapat digunakan di mesin ATM bank lain, termasuk di luar negeri. Adapun pada Internet banking, BCA merupakan salah satu pelopor penggunaan dynamic password dengan KeyBCA (token) sejak 2002. Pada saat sebagian besar bank-bank lain di dunia masih menggunakan password statis untuk sistem Internet banking, BCA telah menggunakan dynamic password, ujarnya bangga.

Ironisnya, BCA termasuk bank yang paling banyak menderita pembobolan dana nasabah di ATM. Jeffrey menjelaskan, dari hasil analisis database menunjukkan bahwa pada kasus ATM skimming Januari lalu, PIN semua korban direkam di Bali pada akhir 2008. Jadi, pelaku kejahatan mengumpulkan PIN dan data kartu para korban pada akhir 2008. Dan pada Januari 2010 barulah mereka memakainya untuk menarik dana dari rekening korban.

Sebenarnya, lanjut Jeffrey, pihaknya telah melakukan antisipasi sejak awal 2009 dengan memasangPIN pad cover dan alat pengaman lainnya. Kini semua ATM BCA sudah dilengkapi dengan PIN pad cover, anti-skimmer dan jitter untuk menjamin keamanan nasabah, ujarnya. Selain itu, kini pihaknya gencar melakukan edukasi cara bertransaksi yang aman. Ia berharap, nasabah bank di Indonesia lebih sadar bahwa PIN adalah kunci rekeningnya. Jadi, PIN mereka harus dilindungi dan tidak boleh diberitahukan kepada siapa pun. Kalau bisa bobol, berarti ada orang lain yang mengetahui PIN nasabah,” tambahnya.

Selain masalah PIN yang bisa diintip, pembobolan dana nasabah melalui ATM juga dimungkinkan karena sarananya (kartu) yang bisa dibobol. Menurut Paul S. Hasjim, Direktur Operasi & Ti Bank CIMB Niaga, suatu transaksi melalui kartu tidak bisa mengandalkan teknologi magnetik. Sebab, kelemahan menggunakan teknologi magnetik ini datanya bisa dikopi. PIN dari (pihak) bank tidak bisa diambil (dicuri informasinya). Tetapi kalau diambil dengan video (candid camera), tentu bisa, ucap Paul.

Diakui Paul, keamanan di booth ATM CIMB Niaga sudah dilakukan. Namun, alat pengaman untuk mencegah modus skimmer itu belum bisa diimplementasi di seluruh ATM milik Bank CIMB Niaga. Ini berkaitan dengan tingginya biaya yang harus dikeluarkan, sehingga mesti dilakukan secara bertahap. Saat ini, prioritasnya di lokasi-lokasi terpencil, yang memungkinkan ATM itu dipasangi alat skimmer.

Untuk transaksi mobile dan Internet banking, Paul mengklaim tingkat keamanannya terjamin. Menurutnya, untuk keamanan transaksi melalui mobile dan Internet banking, banknya sudah menggunakan teknologi Secure Sockets Layer (SSL). Selain itu, supaya lebih aman, pihaknya juga telah menggunakan soft token lewat M-Pin, yang akan dikirimkan via SMS. Tambahan M-Pin tersebut hanya bisa dipakai sekali dan berlaku selama seminggu. “Ada user ID dan password yang statis dan ada juga yang dinamis, yaitu M-Pin. Jadi, kombinasi,” ujarnya. Jadi, untuk keamanan transaksi mobiledan Internet banking di CIMB Niaga ini ada tiga lapis, yakni user ID dan passwordindividual keyword” yaitu pertanyaan seputar nasabah dan hanya dia yang tahu (misalnya, apa hobinya)”dan M-Pin.

Menurut Ruby, dalam sistem keamanan perbankan ada beberapa hal yang perlu diperhatikan, yaitu celah keamanan, ancaman dan solusi. Untuk ATM, celah keamanannya yaitu kartu ATM yang masih magnetik sehingga mudah dikopi datanya. Adapun ancamannya: skimmer yang dipasang di ATM. Dengan begitu, solusi sederhananya adalah minimal memasang anti-skimming sebagai antisipasi untuk menghindari kejahatan ATM. Untuk penyedia jaringan ATM seperti Artajasa dan Rintis, mereka tidak bisa bertanggung jawab, mereka hanya menyediakan jasa networkinng, Ruby menjelaskan.

Pernyataan Ruby tentu diiyakan Iwan Setiawan, Presiden Direktur PT Rintis Sejahtera”penyedia jaringan ATM dan Debit Prima (Prima EFT Switching). Ia menyebutkan posisi perusahaannya lebih sebagai perantara/intermediasi yang melaksanakan pengelolaan jaringan transaksi elektronik antar-anggota (bank peserta) dan penyelesaian transaksinya. Jadi adanya pembobolan uang melalui ATM, itu terjadi di ranah operasional, bukan di ranah sistem kami. Sebab, secara sistem sama sekali tidak ada kebocoran, kata Iwan.

Dijelaskan Iwan, setiap tahap kerja transaksi dalam jaringan sangat aman karena data yang dikirimkan dalam keadaan terenkripsi. Siklus transaksi melalui Prima EFT Switching sebagai prinsipal meliputi lima tahap. Pertama, kartu ATM milik Bank Peserta Prima A (issuing bank) digunakan di mesin ATM milik Bank Peserta Prima B (acquiring bank). Kedua, acquiring bank akan memverifikasi BIN (bank identification number). Ketiga, dari BIN tersebut acquiring bank selanjutnya mengidentifikasi ke mana mereka harus mengarahkan transaksi tersebut. Dalam hal ini, acquiring bank akan me-routingtransaksi ke Prima dengan cara mengirim data transaksi kartu (nomor kartu dan PIN) dan jenis transaksi ke Prima. Data yang dikirim itu dalam keadaan terenkripsi. Keempat, data yang diterima dariacquiring bank oleh Prima akan diverifikasi dan diteruskan ke issuing bank untuk mendapatkanapproval dan authorization.

Kelima, approval dan authorization dari issuing bank dikirim ke Prima dan selanjutnya diteruskan ke acquiring bank. Jadi, semuanya sangat aman karena dalam keadaan terenkripsi, ujar Iwan menegaskan.
Lebih lanjut, Iwan menjelaskan, sebagai switcher, Prima selalu menekankan aspek security. Dari segi infrastruktur jaringan komunikasi, jaringan yang menghubungkan host Prima dengan issuing dan acquiring bank menggunakan jaringan private yang tertutup.
Data PIN yang dikirim juga dalam keadaan terenkripsi. Sementara indentifikasi dan otorisasi transaksi nasabah tetap dilaksanakanissuing bank dan setiap bank peserta diwajibkan menggunakan sistem pengamanan dari Prima, regulator, dan international benchmarking, seperti firewall dan hardware security module (HSM). Termasuk, melakukan uji coba dengan bank peserta sebelum menjalankan fitur transaksi Prima. “Sebenarnya, sejak tahun lalu kami sudah mengingatkan pihak bank peserta Prima untuk mengantisipasi masalah yang muncul dengan memasang PIN cover dan anti-skiming di mesin ATM. Tetapi kadang perbankan membutuhkan waktu untuk menerapkan ini, kata Iwan.

Lantas, bagaimana solusinya agar pembobolan dana nasabah melalui ATM tidak terjadi lagi di waktu mendatang? Selain langkah pragmatis melengkapi ATM dengan perangkat anti-skimmerpad coverdan kamera CCTV, semua pihak pun sepakat teknologi yang digunakan untuk kartu ATM ini harus sudah diganti. Jadi, bukan lagi magnetic stripe, tetapi sudah harus beralih ke chip card –seperti halnya untuk kartu kredit yang sudah menggunakan teknologi chip. Namun, untuk kartu debit seperti kartu ATM, pihak perbankan masih menunggu regulasi dan standar yang ditetapkan BI. “Kuncinya mesti pindah ke chip. Dengan adanya kejadian di Bali, diharapkan BI bisa segera mengeluarkan standarnya untuk penggunaan chip,” ujar Paul.

Akan tetapi, tentu saja, beralih ke teknologi chip card ini tidak mudah dan tidak murah. Pasalnya, di Indonesia diperkirakan ada sekitar 60 juta kartu. Jika masing-masing kartu harganya US$ 2, dana yang dibutuhkan mencapai US$ 120 juta, alias lebih dari Rp 1 triliun. Selain harus mengganti kartu, semua ATM pun harus dilengkapi chip card reader yang harganya minimum US$ 400. Padahal, di Indonesia ada lebih dari 30 ribu ATM. Jadi, untuk ATM pun butuh investasi sekitar Rp 1 trilun.

Selain butuh biaya yang besar, konversi dari magnetic stripe ke chip card ini pun butuh waktu yang lama. Ketika kartu kredit diwajibkan menggunakan chip card butuh waktu tiga tahun, dengan jumlah kartu sekitar 12 juta. Dan ketika masa transisi tersebut sistem tetap terbuka, sehingga kemungkinan munculnya kejahatan-kejahatan itu tetap masih ada. Untuk itu, harus ada strategi jangka pendek, menengah dan panjang, Tidak bisa cuma satu solusi, kata Aswin.

Aswin menyarankan, pihak bank harus lebih awas. Maksudnya, pihak bank harus memiliki konsepmonitoring yang kuat. Transaksi-transaksi yang mencurigakan, seperti selalu mengambil uang dan transfer dalam jumlah maksimum yang ditentukan, harus diperhatikan. “Pengamanan tidak hanya dari sisi teknologi, tapi juga dalam prosedur,” ujarnya tegas. Selain itu, ATM juga harus sering diperiksa: apakah ada pemasangan alat-alat tertentu, seperti skimmer atau kamera. Juga, perlu ada reminderkepada nasabah untuk melakukan pergantian PIN secara berkala, 2-3 bulan sekali diganti. “Dengan ini bisa lebih aman tanpa harus mengeluarkan biaya yang sangat tinggi.”

Nasabah sendiri, imbuh Ruby, dalam melakukan transaksi harus berhati-hati. Misalnya,melihat apakah ada mesin skimmer, atau kamera tersembunyi. Termasuk dalam menjaga kerahasiaan PIN. Selain itu, diupayakan bisa melakukan transaksi di ATM yang ada di dalam bank, atau paling tidak di tempat keramaian. Regulator, dalam hal ini BI, harus sudah menerapkan aturan di mana ada waktunya pihak bank untuk diaudit sistem keamanannya, sesuai dengan standar internasional. Regulator harus meningkatkan kontrol dan menjaga hasil audit, jangan sampai bocor, kata Ruby mengimbau.


5.       KESIMPULAN
Dari masala yang telah di ulik diatas mengenai masalah perbankan di Indonesia, kita dapat menarik kesimpulan bahwa baik dari sisi bank telah mengupayakan berbagai macam caa dengan memanfaat kan banyak teknologi mutakhir yang mulai diterapkan untuk kenyamanan nasabah. Dari sisi nasabah juga harus mengupayakan untuk berhati-hati ketika menggunakan ATM karena semutakhir apapun teknologi yang diterapkan masih saja memilikimkelemahan tersendiri.
Tentu saja, jika fasilitas transaksi perbankan seperti ATM — yang sekarang sudah menjadi bagian dari hajat hidup orang banyak — terjamin keamanannya, nasabah pun bisa kembali tenang.

SUMBER

0 komentar:

Posting Komentar