IDENTIFIKASI KEBUTUHAN DATA (BACKWARD ANALYSIS) Nama Perusahaan : PT BANK SINARMAS Tbk. Kantor Pusat
: Wisma Bank Sinarmas, 1st & 2nd Floor Jl. MH. Thamrin No. 51 – Jakarta 10350
Telepon
: (021) 31990101
Fax
: (021) 31990401
SWIFT
: SBJKIDJA
Telex
: 67171 SHINPS IA
I-Telex
: 867171
Visi Perusahaan "Menjadi Bank terkemuka di Indonesia" Misi Perusahaan 1. Memperluas basis nasabah, mulai dari nasabah kecil hingga korporasi, melalui kerjasama dengan lembaga keuangan maupun mitra usaha lainnya. 2. Memperluas jaringan kantor untuk penetrasi pasar pada sentra-sentra UKM dan sektor usaha skala korporasi. 3. Meningkatkan kemampuan Teknologi Informasi dan Sumber Daya Manusia dalam rangka memberikan layanan terbaik. 4. Membudayakan sistem Manajemen Resiko sesuai dengan prinsip kehatihatian dan Good Corporate Governance. Aktivitas Bank Sinarmas dari konsep CRM adalah sebagai berikut : 1. Customer Service and Support dan Store Front and Field Service a.
Membangun database pelanggan yang kuat Kunci utama pengaplikasian CRM adalah adanya database pelanggan yang kuat. Informasi pelanggan diperoleh dari pelanggan baik berupa interaksi antara Bank Sinarmas dengan pelanggan termasuk juga informasi yang diperoleh melalui form aplikasi untuk pengajuan kredit ataupun permintaan suatu layanan (request costumer), customer, informasi tentang support yang diberikan,
order
complain,
interview dan survey yang telah diberikan. Pada penerapan konsep 1
struktur data DBMS (Data Base Management Systems), sourcing data yang b.
Membuat profil setiap pelanggan
2. Retention and Loyalty Program a.
Interaksi dengan pelanggan yang lebih targeted dan costumized
b.
Analisis profitabilitas dari tiap-tiap pelanggan
3. Marketing and fulfillment 4. Cross-sell dan up-sell, TeleSales Dengan tingkat kebutuhan yang dipetakan, Bank Sinarmas dapat memberikan komunikasi pemasaran terpadu yang lebih personal dan customized. Menurut Kudang 2011, disebutkan bahwa data base adalah koleksi terpadu dari data-data yang saling berkaitan yang dirancang untuk suatu enterprise. Analisis kebutuhan meliputi identifikasi dan inventarisasi jenis masukan sistem, proses yang diperlukan untuk mengolah data masukan dan jenis penyajian data yang diinginkan, serta jenis perangkat lunak dan keras yang digunakan. Menurut Anonim 2011, sumber data (sourcing data) didefinisikan
sebagai
subyek asal data dapat diperoleh. Pada proses CRM di Bank Sinarmas, sumber data berupa data nasabah yang diperoleh melalui pengisian aplikasi transaksi ataupun pengisian formulir pembukaan rekening. Pengisian aplikasi tersebut dapat dilakukan oleh nasabah baik secara manual maupun online di website www.banksinarman.com. Data yang diinformasikan calon nasabah dientry sebagai data transaksi yang merupakan supporting data, selanjutnya digunakan sebagai informasi pendukung pada proses identifikasi data nasabah (profiling nasabah). Akumulasi data tersebut merupakan media untuk mencapai tujuan pendataan Bank Sinarmas untuk menentukan sejauh mana proses transaksi yang dilakukan nasabah serta tingkat loyalitas nasabah. Informasi yang telah diolah tersebut merupakan piranti yang digunakan Bank sinarmas untuk monitoring nasabah dan untuk menentukan program retention and loyality. Secara garis besar dapat ditampilkan pada tabel berikut : 2
CRM
CRM
SORCES OF DATA APLIKASI TRANSAKSI FORMULIR PEMBUKAAN REKENING
SUPPORTING DATA
SUPPORTING INFORMATION
MANAGEMENT OBJEKTIF
MANAGEMENT FUNCTION
DATA TRANSAKSI
PROFILLING NASABAH
TRANSACTION PROGRES
MONITORING NASABAH
APLIKASI TRANSAKSI
DATA TRANSAKSI
PROFILLING NASABAH
LOYALITAS NASABAH
PROGRAM RETENTION AND LOYALITY
Tabel 1. Source of data untuk CRM Selanjutnya disajikan dalam diagram berikut :
Gambar 1. Data Requirment Bank Sinarmas
SUPPLY CHAIN MANAGEMENT (SCM) Secara umum Supply Chain Management didefinisikan sebagai integrasi dari proses bisnis kunci dari pengguna akhir sampai pemasok yang menyediakan produk, jasa, dan informasi yang meningkatkan nilai tambah pada pelanggan dan pemangku kepentingan lainnya (Stock dan Lambert 2001). Supply Chain (rantai pasok) sendiri memiliki arti sebagai jaringan dari
aliran jasa, material, dan
informasi yang menghubungkan antara perusahaan dengan pelanggan, pemenuhan permintaan, dan pemasok. Agar aliran jasa, material, dan informasi ini mengalir 3
dengan lancar dan sesuai tujuan yang diinginkan maka perlu dikelola maka lahirlah istilah supply chain management (manajemen rantai pasok). Strategi rantai pasok pada industri jasa sama pentingnya seperti dalam industri manufaktur. Desain rantai pasok pada industri jasa dikendalikan oleh adanya kebutuhan untuk menyediakan dukungan untuk elemen-elemen penting dari beragam paket jasa yang ditawarkan. Paket jasa yang dimaksud disini terdiri atas fasilitas pendukung, fasilitas produk, layanan ekspilisit, layanan implisit. a. Supporting facilities (fasilitas pendukung): Fasilitas pendukung ini merupakan fasilitas fisik yang memudahkan proses penyampaian jasa kepada pelanggan. Contoh fasilitas pendukung yang ada di Bank Sinarmas antara lain : kantor, komputer, server meja teller, meja costumer service, gimmick, banner, wall sign, LCD, sistem antrian nasabah. Dalam hal ini sistem informasi dihubungkan oleh server dengan berbagai perangkat seperti komputer personal untuk pelayanan di teller dan costumer service, LCD untuk menampilkan produk-produk Bank Sinarmas serta merchant-merchant yang kerjasama dengan Bank Sinarmas , dan sistem antrian nasabah yang membuat pelayanan terhadap nasabah yang datang menjadi rapi dan teratur. b. Facilitating goods (fasilitas produk): Fasilitas produk ini inheren dengan produk jasanya dan akan sampai kepada pelanggan secara fisik. Buku tabungan, atm, rekening koran, bilyet deposito, bilyet ssp, polis, token, aplikasi transaksi, slip penarikan, bilyet giro/cek, travel cek. c. Explicit services (layanan eksplisit): Serangkaian layanan yang terstandar yang inheren dengan produk jasa utama yang memberikan benefit kepada pelanggan. Pemberian layanan ini akan memberikan nilai tambah kepada pelanggan dan akan mendiferensiasikan produk antar bank. Layanan eksplisit di dalam Bank Sinarmas contohnya adalah pelayanan bunga 4
special rate, asuransi, nasabah prioritas. Berbagai layanan ini diolah dan dikelola melalu sistem perangkat lunak inti bank yaitu Temenos. d. Implicit services (layanan implisit): Layanan implisit merupakan layanan yang sifatnya tidak tampak jelas namun dapat dirasakan dan menimbulkan nilai positif bagi pelanggan. Layanan implisit di Bank Sinarmas contohnya adalah kemudahan transaksi via internet, kenyamanan, senyum ramah, perhatian yang baik ke costumer, personel bank yang ringan tangan. Layanan implisit ini terstandarisasi melalui SOP yang diterbitkan oleh bagian service quality. Skema SCM Bank Sinarmas dapat dilihat pada Gambar 2. Facilitating Goods
Supporting Facilities
Explicit Services
Implicit Services
BANK SINARMAS
NASABAH
Gambar 2.Supply Chain Management dalam Bank Sinarmas Sumber data dalam Supply Chain Management di Bank Sinarmas ada dua yaitu aplikasi transaksi dan formulir pembukaan rekening (Gambar 3). Keduanya dalam konsep SCM merupakan fasilitas yang melengkapi produk (facilitating goods). Data pendukung yang digunakan dalam pengelolaan database untuk SCM ini adalah berupa data transaksi. Data transaksi menunjukkan berbagai aktivitas perbankan yang dilakukan oleh nasabah spesifik baik bersifat internal banking maupun external banking.
5
Gambar 3. Aplikasi Transaksi Data yang ada kemudian diolah menjadi informasi pendukung yang berupa profil nasabah baik berdasarkan latar belakang profesi, pendidikan, dan terutama adalah berdasarkan besaran transaksi dan simpanan yang ada. Informasi pendukung yang ada sangat penting bagi manajemen perusahaan terutama dalam menjalankan fungsi pembuatan produk. Produk ini nantinya dibuat berdasarkan profil konsumen sehingga tepat guna dan sasaran. Produk ini merupakan objektif dari manajemen Bank Sinarmas.
Tabel 2. Data Requirement Analysis untuk SCM Bank Sinarmas SORCES OF
SUPPORTING
DATA
DATA
SUPPORTING INFORMATI ON
MANAGEMENT
MANAGEMENT
OBJECTIF
FUNCTION
APLIKASI TRANSAKSI SCM
FORMULIR
DATA
PROFILLING
TRANSAKSI
NASABAH
PRODUK
PROGRAM PRODUK
PEMBUKAAN REKENING
E-COMMERCE Electronic commerce (e-Commerce) adalah konsep yang mendeskripsikan proses pembelian, penjualan, atau pertukaran barang dan jasa serta informasi
6
melalui jaringan komputer termasuk Internet. Menurut Kalakota dan Whinston (1996), terdapat beberapa perspektif dari definisi e-Commerce, yaitu :
Perspektif komunikasi: e-Commerce adalah delivery barang dan jasa informasi atau pembayaran melalui jaringan komputer atau dengan alat elektronik lainnya.
Perspektif proses bisnis: e-Commerce adalah aplikasi teknologi dengan otomasi transaksi bisnis dan alur kerja.
Perspektif layanan: e-Commerce adalah alat untuk mengantarkan perusahaan, pelanggan, dan manajemen untuk memotong biaya sekaligus meningkatkan kualitas barang dan kecepatan pelayanan.
Perspektif online: e-Commerce adalah kemampuan membeli dan menjual produk dan informasi dengan Internet dan jasa online lainnya. Beberapa dimensi bisnis yang berkaitan dengan e-Commerce adalah :
brick-and-mortar (murni berbentuk fisik, baik proses bisnis maupun barang dan jasa), click and mortar (bisnis utama masih berbentuk fisik tetapi telah melakukan e-Commerce), brick-and-click (murni elektronik dan online, baik proses bisnis maupun barang dan jasa). e-Commerce digunakan di Bank Sinarmas dalam bentuk internet banking. Sumber data yang dikelola dalam pusat database yang ada berasal dari formulir permohonan internet banking (Gambar 4). Formulir ini juga berfungsi sebagai syarat administratif sehingga nasabah dapat memanfaatkan layanan internet banking di Bank Sinarmas. Data pendukung yang digunakan dalam internat banking adalah data nasabah yang mau bertransaksi lewat internet banking. Kedua data ini sangat penting sebagai acuan dalam mendapatkan informasi yang dibutuhkan dalam pembuatan informasi pendukung.
7
Gambar 4. Formulir Pendaftaran Internet Banking Informasi pendukung yang didapatkan dan dibuat dari sumber data adalah profil nasabah. Profil nasabah ini menjadi informasi yang kritis bagi pelaksanaan fungsi manajemen Bank Sinarmas terutama dalam meningkatkan penggunaan internet banking. Tentunya jelas objektif yang diinginkan manajemen adalah fasilitas pendukung jasa internet banking yaitu berupa pin mailer dan token. Tabel 3. Data Requirement Analysis untuk e-Commerce Bank Sinarmas SORCES OF
SUPPORTING
SUPPORTING
MANAGEMENT
MANAGEMENT
DATA
DATA
INFORMATION
OBJECTIF
FUNCTION
NASABAH FORMULIR
YANG MAU
MENINGKATKAN
E-
PERMOHONAN
BERTRANSAKSI
PROFIL
PIN MAILER,
PENGGUNAAN
COMMERCE
INTERNET
LEWAT
NASABAH
TOKEN
INTERNET
BANKING
INTERNET
BANKING
BANKING
METODA PENGAMANAN DATA Keamanan dan privasi data saat ini merupakan tantangan yang sangat spesifik bagi dunia perbankan (Nurastuti, 2011). Pengelolaan data dan informasi bank, selain keakuratan dan kecepatan, harus mempertimbangkan aspek keamanan. Aspek tersebut sangat penting mengingat sebagian besar data bank adalah data keuangan yang dimiliki pihak eksternal yang jumlah dan lalu lintas datanya sangat fluktuatif dan cepat. Keberhasilan pengamanan data tersebut akan meningkatkan kredibilitas bank sebagai lembaga kepercayaan masyarakat, meningkatkan peranan bank 8
sebagai instrumen moneter dalam lalu lintas pembayaran giral dari sisi perusahaan sebagai lembaga yang profit oriented, dapat mencegah kerugian yang akan mempengaruhi kondisi keuangan bank. Tujuan pengamanan data antara lain adalah : menjamin ketersediaan data, mencegah kerusakan dan korupsi data, mencegah penggunaan data oleh yang tidak berhak, menjamin pemutakhiran data dan validitas data (Seminar, 2011). Sedangkan jenis-jenis kerawanan
data dapat dikelompokkan antara lain :
kehilangan data, kerusakan data, data yang tidak dapat diakses, data yang tidak dapat diterjemahkan, data usang atau tidak valid, replika data yang tidak konsisten, penyalinan data, pengaksesan data terlarang dan penyalahgunaan data. Lingkup pengamanan data ada 3 yaitu : electronically safe (komputer dan jaringan); physically safe (ruangan, kanal, tempat, lingkungan) dan prosedurally safe (kebijakan, hukum/aturan, sistem mutu). Pengamanan data ada beberapa metode sesuai dengan lingkupnya, yaitu : Access right assignment, Authentication, Virus prevention detection & removal, Network protection & Security, Data encryption, Periodical data backup, Recovery System, Monitoring system dan Establishment of SOP & Training. Access right assignment dan Authentication Access right assignment intinya adalah siapa boleh mengakses apa. Hal ini terutama ditujukan bagi personil internal perusahaan. Karena informasi atau data sangat berbahaya atau dapat merugikan perusahaan apabila diakses oleh orang yang tidak semestinya. Sedangkan authentication adalah salah satu bentuk identifikasi untuk meyakinkan bahwa orang yang sedang berkomunikasi dengan kita adalah benar adanya, bukan pemalsuan identitas. Salah satu bentuk autentikasi yang paling sering dijumpai adalah: UserID disertai dengan Password, bahwa UserID adalah pernyataan tentang siapa yang sedang akses sistem atau sedang berkomunikasi, dan Password membuktikan bahwa orang tersebut benar adanya. Hanya saja sistem UserID dan Password ini ada kelemahannya, karena ada saja cara untuk mencari tahu password seseorang sehingga bisa terjadi pemalsuan identitas. 9
Salah satu sistem untuk mengurangi effek pemalsuan identitas atau pencurian password adalah dengan menerapkan OTP (One Time Password), dimana satu password hanya digunakan untuk satu kali akses, akses berikutnya harus menggunakan password yang berbeda. Sistem lain yang mengamankan autentikasi adalah Passport dan Kerberos. Selain menggunakan UserID dan Password, teknik autentikasi bisa diperluas dengan kombinasi biometric, misalnya UserID ditambah dengan sidikjari, atau UserID ditambah dengan mata-retina, dan sebagainya. Pasport adalah sistem yang memperluas autentikasi dengan menambahkan nomer-account yang disebut passport untuk memasuki suatu jaringan atau mendapat pelayanan online. Virus prevention detection & removal dan Network protection & Security Virus prevention detection & removal, adalah pengamanan data dari gangguan virus, dilakukan dengan menggunakan berbagai anti virus. Virus baru terus bermunculan sehingga sistem komputer harus selalu mendapat proteksi yang cukup agar dapat terhindar dari kejadian yang tidak diharapkan Sedangkan Network protection & Security adalah pengamanan data melalui jaringan. Setiap sistem jaringan memiliki kelemahan masing-masing sehingga perlu segera diteliti dan dicarikan cara untuk menutupi lubang-lubang kemanan-nya (security holes). Kelemahan bisa muncul dari sistem operasi jaringan yang digunakan, sehingga para pencipta perangkat lunak sistem operasi melakukan perbaikanperbaikan (operating system pacth) atau pemugaran (update, new release) terhadap produk-nya. Setiap proses instalasi software baru dari pengguna jaringan harus di-dokumen-tasikan, demikian pula setiap operasi dan akses perlu dicatat (logbook), sehingga bila timbul hal hal yang tidak di-inginkan, administrator jaringan bisa melakukan pelacakan. Akses dari luar jaringan maupun akses dari dalam ke luar harus melalui satu pintu (proxy server) yang diberi pengamanan (firewall), sehingga dapat mengurangi serangan keamanan (Akib, 2009). 10
Firewall Firewall pada jaringan komputer adalah perangkat lunak yang dipasang pada komputer server sehingga dapat melindungi jaringan dari serangan yang datangnya dari luar. Firewall dirancang untuk (Gambar 5) :
Mengatur dan mengawasi lalulintas data dari luar ke dalam jaringan dan juga sebaliknya, semua aliran data harus melewati firewall, yang tidak melalui firewall harus dicegah.
Menetapkan kebijakan keamanan jaringan sehingga yang bisa lewat hanya yang mempunyai hak.
Mencegah penyusupan dari luar agar tidak bisa mengganggu jaringan
Gambar 5. Firewall Proxy Server Proxy server pada dasarnya berfungsi seperti firewall jenis application level gateway, suatu server yang berada antara server jaringan dan internet. Proxy server melaksanakan beberapa proses aplikasi yang telah ditetapkan lebih dulu, misalnya melayani akses dari terminal ke suatu situs web, atau berfungsi sebagai “transfer agent” terhadap berbagai aplikasi yang memiliki akses keluar atau akses dari luar ke dalam jaringan. Proxy server bisa meningkatkan kerja jaringan antara lain dengan menyimpan aplikasi atau data yang sering diakses oleh user, misalkan suatu situs 11
web sangat populer (misalnya yahoo.com atau goggle.com) maka ketika user pertama melakukan akses ke situs tersebut, maka situs itu disimpan sehingga user kedua dan seterusnya merasa lebih cepat ketika meng-akses-nya karena tidak menunggu dari server asli tetapi dari proxy server saja. Proxy server juga bisa bisa juga berfungsi seperti “filter” dengan memberi aturan untuk tidak meng-akses situs-situs tertentu, misalnya akses ke situs pornografi dapat diproteksi, sehingga user tidak dapat mengunjungi situs-situs tersebut. Data Encryption Data yang dikirim melalui jaringan tidak jarang disadap oleh orang lain untuk kepentingan tertentu, sehingga timbul usaha untuk melakukan pengkodean terhadap data sebelum dikirim melalui jaringan agar tidak bisa dibaca oleh penyadap. Pengubahan data asli menjadi kode rahasia disebut proses data encryption atau enkripsi data. Setelah data rahasia sampai ke tujuan maka data ini dikembalikan ke bentuk aslinya, proses ini disebut data decryption. Ilmu matematik yang mendasari teknik enkripsi dan dekripsi disebut kriptologi sedangkan teknik dan sains dari proses enkripsi-dekripsi disebut kriptografi (Gambar 6). Naskah asli disebut sebagai plaintext dan naskah rahasia (yang telah di-enkrip) disebut ciphertext.
Gambar 6. Enkripsi-Dekripsi
Secara garis besar ada dua kategori kriptografi, yaitu: teknik simetris dan teknik asimetris. Teknik simetris berarti kunci/kode untuk melakukan enkripsi sama dengan kunci/kode untuk melakukan dekripsi. Teknik asimetri disebut juga
12
sebagai teknik kunci publik, menggunakan kunci yang berbeda antara enkripsi dan dekripsi (Gambar 7 dan 8)
Gambar 7. Kunci Simetri, Kunci Enkrip = Kunci Dekrip
Gambar 8.Kunci Publik, Kunci Enkrip <> Kunci Dekrip Substitution Cipher pada prinsipnya adalah penggantian huruf-huruf abjad dengan huruf lain, misalnya salah satu jenis substitution cipher yang paling tua adalah Caesar cipher, dimana abjad diganti abjad yang digeser kedepan beberapa posisi, misalnya untuk kunci geser = 3 maka daftar subsitusi-nya sebagai berikut. Abjad asli : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Abjad kode: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Plaintext : Saya kirim uang satu juta Ciphertext : Vdbd nlulp xdqj vdwx mxwd Rahasianya ada pada kunci geser = 3, bila penerima diberitahu maka ciphertext dengan mudah dapat di-dekripsi. Transposition cipher tidak melakukan penggantian (subsitusi) abjad, tetapi mengubah posisi pembacaan huruf dalam plaintext berdasarkan suatu kunci angka 13
atau kunci kata (keyword). Misalkan kunci kata yang digunakan adalah MANDI, maka dibuat 5 kolom sesuai dengan jumlah kolom dalam kunci, kemudian plainteks dimasukan baris per baris menempati kolom tersebut, cipehr dibaca perkolom sesuai urutan abjad kunci, misalnya sebagai berikut : M
A
N
D
I
S
A
y
A
K
I
R
i
M
U
A
N
g
S
A
T
U
j
U
T
A
Z
z
Z
Z
Plaintext : saya kirim uang satu juta Ciphertext : arnuz amsuz kuatz siata yigyz Semua algoritma kunci publik (asimetri) menggunakan fungsi matematis untuk mengubah plaintext menjadi ciphertext. Menurut Agung (2011), DiffieHellman menggunakan aritmetik modulus dimana dua kunci berbeda akan memberi hasil yang sama berdasarkan nilai modulus-nya. RSA adalah singkatan dari Rivest, Shamir, dan Adleman, tiga orang yang bekerja sama membangun suatu algoritma kunci publik. RSA merupakan algoritma kunci publik yang terkuat, dan seperti Diffie-Hellman, RSA juga menggunakan aritmetik modulus dalam komputasi enkripsi-dekripsi. Rabin adalah teknik yang merupakan salah satu variasi dari RSA, ditemukan oleh M.Rabin. ElGamal merupakan variasi dari Diffie-Hellman, ditemukan ElGamal. Salah satu aplikasi dari algoritma kunci publik adalah software PGP (Pretty Good Privacy). PGP digunakan untuk pengamanan berkomunikasi lewat e-mail, dimana e-mai di-enkripsi pada saat dikirim sehingga hanya orang yang memiliki kunci private yang bisa membaca e-mail tersebut.
14
Pengaman Data Di Bank Sinarmas (Existing Condition) Di Bank Sinarmas pengamanan terhadap Data sudah dilakukan. Untuk semua jenis dan penyebab kerawanan data, di Bank Sinarmas sampai dengan saat ini dapat teratasi. Physically Safe : Saat ini kondisi fisik yang terkait dengan data Bank Sinarmas dinilai cukup layak. Baik ruangan, kanal, tempat dan lingkungan cukup aman dari gangguan. Semua peralatan berada pada tempat yang relatif aman dari gangguan fisik. Electronically Safe : Komputer dan Jaringan saat ini dinilai cukup memadai sesuai dengan kapasitas dan jumlah Customer yang dilayani Bank Sinarmas. Tentu saja sesuai dengan perkembangan nasabah dan perkembangan teknologi, setiap saat perlu terus di update. Kerusakan Data : dilakukan dengan back up harian yang dilakukan petugas cabang, di support dengan server dengan kapasitas yang memadai. Print (hard copy) dari setiap transaksi akhir hari, dilakukan oleh petugas cabang. Data yang Tidak Dapat Diakses : diatasi oleh maintenance dari Divisi IT. Baik jaringan maupun sofware, setiap bulan sekali atau jika ada gangguan selalu di cek oleh Divisi IT Bank Sinarmas. Pengakesesan Data Terlarang : diatasi oleh adanya user id dan password bagi setiap karyawan sesuai dengan jabatan. Perubahan password secara rutin dilakukan 1 minggu sekali, untuk menanbah keamanan telah dipasang kamera CCTV Menambah hardware maupun Software dengan kapasitas yg lebih besar atau Versi yang lebih baru, antara lain: Memori, HardDisk, Server Baru, Anti Virus. (Jenis, Merk dan Spesifikasi Hardware dan Software tidak dapat kami paparkan karena mennyangkut kerahasiaan bank)
15
IDENTIFIKASI KERAWANAN DATA Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa kemudahan dan manfaat luas yang meningkatkan kualitas kehidupan manusia, maka layanan perbankan elektronik juga memiliki banyak kelemahan yang patut diwaspadai dan diantisipasi. Sehingga, teknologi tersebut tetap dapat dipakai, manfaatnya terus dinikmati oleh umat manusia namun juga harus ada tanggung jawab, pengawasan dan upaya untuk memperbaiki kelemahan, menanggulangi permasalahan yang mungkin timbul serta yang paling penting adalah meningkatkan kesadaran dan menanamkan pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh layanan perbankan itu terutama kepada masyarakat luas, pengguna/nasabah, pemerintah/regulator, aparat penegak hukum dan penyelenggara layanan itu sendiri (bank, merchant, operator layanan pihak ketiga dlsb.). Karena masalah keamanan adalah tanggung jawab bersama, semua pihak harus turut serta berperan aktif dalam upaya pengamanan. Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat diperlukan. Ada sebuah jargon dalam dunia information security yaitu: “your security is my security”, artinya semua pihak pasti memiliki titik kerawanan dan karenanya masing-masing memiliki potensi resiko yang mungkin dapat dieksploitasi oleh pihak lain yang berniat tidak baik. Maka apabila terjadi insiden terkait kerawanan itu, seluruh komponen yang saling terkait harus turut bertanggung jawab untuk menanggulangi dan meningkatkan upaya meminimalisir resiko serta mencegah kejadian serupa di masa depan. Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah berhati-hati sekalipun akan dapat menjadi korban apabila bank lalai atau gagal di dalam pengawasan dan upaya peningkatan pengamanan sistem secara terus-menerus. Demikian juga apabila aturan dari pemerintah lemah dan penegak hukum tidak memiliki kemampuan yang memadai untuk terus mengikuti perkembangan sistem dan teknologi maka ketika terjadi insiden akan sulit untuk 16
melakukan penindakan terhadap semua pihak yang seharusnya bertanggung jawab. Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat jahat akan selalu memilih celah kerawanan yang paling lemah sebagai pintu masuk. Sehingga semua pihak turut bertanggung jawab dan harus saling membantu (bekerjasama) untuk mengawasi, memperbaiki dan menutup celah tersebut tanpa saling menyalahkan karena justru akan berakibat melemahkan peran dan potensi setiap pihak dalam upaya pengamanan bersama. Setiap pihak adalah satu simpul rangkaian rantai pengamanan dan semua saling bergantung satu sama lain, karenanya semua sama pentingnya. Titik Kerawanan Selama beberapa waktu ID-SIRTII telah melakukan kajian terhadap data kejadian insiden keamanan dan kasus kejahatan terkait layanan perbankan elektronik di Indonesia. Pada prinsipnya disimpulkan ada beberapa titik kerawanan yang patut diwaspadai dan diperbaiki sebagai antisipasi di masa depan. 1. Kerawanan prosedur perbankan. Paling menonjol adalah lemahnya proses identifikasi dan validasi calon nasabah. Masalah ini bukan sepenuhnya kesalahan bank, karena di Indonesia belum diterapkan Single Identity Number (SIM) yang terintegrasi antar departemen terkait pelaksanaan pelayanan publik, sehingga mudah sekali untuk melakukan pemalsuan identitas dan mengecoh sistem validasi bank sehingga akhirnya akan berakibat pada penyalahgunaan rekening, fasilitas dan layanan terkait dengan nasabah seperti kartu ATM/debit untuk kegiatan kejahatan mulai fraud (penipuan) hingga ke pencucian uang. Kecenderungannya para pelaku kejahatan akan memilih untuk sejauh mungkin hanya menggunakan layanan elektronik saja, menghindari transaksi dan kontak fisik baik dengan petugas bank maupun korban. Bentuk kelemahan prosedur lainnya adalah sistem outsourcing di dalam pemasaran produk perbankan. Banyak sekali terjadi kasus pencurian identitas calon nasabah dan juga nasabah serta tidak terjaminnya perlindungan data dan informasi pribadi dalam jangka panjang akan menjadi titik kerawanan yang paling potensial untuk dimanfaatkan oleh para pelaku berbagai jenis kejahatan bukan 17
hanya terkait layanan elektronik perbankan melainkan juga kejahatan lainnya. Pengamatan
ID-SIRTII
pada
tahun
2009
pada
“underground
market”
menunjukkan bahwa data identitas nasabah perbankan asal Indonesia cukup banyak diperjualbelikan. Kasus paling menonjol terkait pencurian data/bocornya nasabah akibat kerawanan prosedur pengamanan di perusahaan outsourcing terjadi pada tahun 2008, ketika 7 juta data rekening kartu kredit dibobol oleh sindikat pengedar narkotika yang juga melakukan pemalsuan kartu kredit untuk kepentingan transaksi bisnisnya. Untuk catatan, diperkirakan pada akhir tahun 2009 kartu kredit yang diterbitkan oleh bank asal Indonesia jumlahnya sekitar 9 – 11 juta. Sejumlah kerawanan prosedur lainnya juga dijumpai di dalam sistem verifikasi untuk layanan SMS/mobile banking dan internet banking. Nasabah harus memahami cara kerja layanan tsb. dan memperhatikan dengan cermat setiap transaksi yang terjadi dan melakukan cross check apabila dijumpai potensi kelemahan dan kesalahan. Harus diperhatikan bahwa layanan tsb. melibatkan pihak selain bank yaitu operator selular dan provider internet sehingga kelemahan bisa saja terjadi pada sistem mereka, bukan pada sistem perbankan. Seharusnya pihak bank, operator selular dan provider internet harus lebih banyak lagi melakukan sosialisasi prosedur pengamanan kepada para penggunanya sehingga resiko terjadinya insiden dapat diminimalisir. Yang paling mengkhawatirkan dan terbukti paling sering dieksploitasi oleh pelaku kejahatan adalah kerawanan prosedur pada mesin ATM dan mesin EDC. Masalahnya adalah minimnya upaya pengawasan bank terhadap dua sistem tsb. Sehingga nasabah dituntut untuk lebih berhati-hati/waspada saat bertransaksi di ATM dan EDC. Bukan hanya modus eksploitasi yang melibatkan teknologi seperti skimming namun juga yang konvensional seperti hipnotis serta aneka penipuan via SMS, undian berhadiah dll. bahkan ada juga nigerian scam. Sangat jarang dijumpai pesan peringatan (reminder) kepada nasabah maupun upaya peningkatan sistem pengamanan yang memadai dengan misalnya memasang kamera pengawas di semua ATM. 18
2. Kerawanan fisik. Sebagian besar kartu ATM yang digunakan bank saat ini jenisnya magnetic stripe card yang tidak dilengkapi pengaman chip (smart card). Kartu jenis ini sangat mudah digandakan. Perangkat penggandaan dan bahan baku kartu magnetic ini dapat dengan mudah dijumpai di pasaran dengan harga yang sangat murah. Saat ini baru kartu kredit saja yang telah diganti dengan jenis smart card sejak Januari 2010 sesuai ketentuan Bank Indonesia. Seharusnya penggantian jenis kartu dan peningkatan teknologi yang digunakan harus lebih sering dilakukan karena modus kejahatan pun semakin cepat mengalami perubahan. Selain jenis smart card, sekarang juga sudah dikembangkan jenis kartu lain (next generation) yang lebih kuat teknologi pengamanannya seperti smartcard yang dilengkapi chip RFID, biometrik dlsb. Setiap bank penyelenggara layanan perbankan elektronik seharusnya menyiapkan road map untuk secara periodik mengganti jenis kartu dan meningkatkan keamanan fisiknya. Standar pengamanan mesin ATM dan EDC juga masih sangat kurang. Seharusnya mesin ATM dilengkapi dengan sensor, alarm, kamera pengawas dan berbagai mekanisme pengamanan lainnya. Misalnya penggunaan privacy screen dengan sudut penglihatan yang sempit, cover untuk melindungi numeric keypad, anti skimming card reader hole hingga mungkin apabila diperlukan emergency intercom unit. Dengan teknologi telekomunikasi berbasis IP yang kini tersedia, semua fasilitas pengamanan itu dapat diselenggarakan dengan biaya yang murah. Secara fisik yang perlu diperhatikan adalah keamanan sistem jaringan yang digunakan oleh layanan tsb. Baik itu SMS/mobile banking ataupun internet banking pada dasarnya melalui jaringan publik yang sesungguhnya tidak aman karena dipergunakan oleh masyarakat umum bukan sebuah saluran independen (private) yang terjamin. Sehingga harus diperhatikan dan menjadi prioritas utama untuk menerapkan metode pengamanan virtual, misalnya VPN, SSL (digital signature) dan penggunaan algoritma enkripsi yang lebih kuat dari waktu ke waktu. Sosialisasi pengamanan fisik pada sisi nasabah pengguna pun juga harus dilakukan. Misalnya saat menggunakan akses internet publik yang tidak terjamin keamanannya seperti di warnet, hotspot, maupun ketika menggunakan mobile 19
internet. Pengamanan terhadap gadget ketika sering memanfaatkan SMS/mobile banking, juga harus menjadi perhatian yang lebih serius. Banyak pengguna gadget tidak menyadari bahwa pelaku kejahatan menggunakan modus trashing (mencari data sampah yang tertinggal atau terhapus dari perangkat gadget bekas). 3. Kerawanan aplikasi. Secara teknis, untuk layanan yang sangat kritis seperti perbankan, proses pengembangan aplikasi yang digunakan seharusnya mengikuti kaidah yang disebut dengan secure programming dan dikerjakan oleh ahli programming yang memiliki kemampuan secure programming ini. Selanjutnya aplikasi ini secara periodik harus diaudit, dilakukan penetration testing untuk menemukan celah keamanan dan update untuk menjamin keamanan dan telah ditutupnya kerawanan pada aplikasi. Audit tidak hanya dilakukan pada sisi aplikasi perbankan namun juga harus dilakukan pada sistem pihak ketiga yang menjembatani akses antara bank dengan nasabahnya, yaitu sistem dan jaringan milik operator selular dan provider internet. Kelemahan aplikasi sebenarnya adalah sebuah konsekuensi logis yang mungkin terjadi akibat semakin kompleksnya fitur dan layanan yang disediakan oleh aplikasi tsb. dalam rangka untuk memenuhi kebutuhan penggunanya. Sehingga prosedur, pengawasan, kehati-hatian di dalam setiap proses peningkatan kemampuan aplikasi harus menjadi prioritas utama implementasi. Jenis exploitasi aplikasi pun sekarang ini juga semakin meningkat jumlah dan kualitasnya dan banyak diantaranya yang menggunakan metode yang semula tidak pernah terpikirkan para pengembang aplikasi untuk perbankan. Seperti misalnya, serangan tidak lagi dilakuken lewat front end melainkan melalui celah keamanan back end. Peretas berusaha membangun suatu saluran backdoor melalui sistem back end bank dengan cara menyusupkan trojan atau bots ke dalam jaringan internal perusahaan. Banyak pengembang aplikasi perbankan hanya fokus antisipasi pengamanan pada sisi front end namun membiarkan sisi back end terbuka lebar. 4. Kerawanan perilaku. Salah satu penyebab utama terjadinya insiden keamanan di dalam dunia Teknologi Informasi adalah akibat kelemahan manusia. Baik itu 20
SDM perbankan, nasabah itu sendiri maupun juga aparat penegak hukum. Pada sisi perbankan, tidak semua SDM disiplin di dalam menerapkan prosedur pengamanan. Sedangkan di sisi nasabah upaya sosialisasi untuk menciptakan kesadaran masih dilakukan secara parsial dan kasuistis. Seharusnya proses ini dilaksanakan secara paralel dengan setiap kegiatan marketing dan melekat di dalam setiap produk perbankan (bukan hanya untuk e-banking saja) dan harus dilaksanakan secara terus-menerus, karena bank adalah bisnis jasa berbasis kepercayaan (trust) sehingga isu keamanan seharusnya menempati prioritas tertinggi yang harus disampaikan kepada nasabah. Pada prakteknya bank penyelenggarakan e-banking akan menerapkan prosedur pengamanan pragmatis yang pada dasarnya hanya melindungi kepentingan bank. Kepentingan nasabah justru tidak terlindungi, semua resiko harus ditanggung sendiri. Karena dalam setiap insiden bank menempatkan dirinya juga sebagai korban bukan sebagai penanggung jawab. Mengakui kelemahan adalah hal tabu yang dianggap akan mencederai integritas bank dan menurunkan tingkat kepercayaan nasabah. Akibatnya setiap insiden selalu ditutupi dan nasabah yang lain tidak menyadari adanya suatu kelemahan yang dapat membayakan kepentingan mereka. Di negara lain, misalnya Jepang, pemerintah menerapkan aturan yang mengubah mindset dunia perbankan di dalam mensikapi terjadinya insiden keamanan. Pemerintah Jepang justru mewajibkan kepada pihak bank yang mengalami insiden/serangan untuk membuka informasi secara detail bukan hanya kepada nasabah melainkan juga kepada publik sehingga terjadi proses pembelajaran
dan
terbentuk
kesadaran
terhadap
aspek
keamanan
dan
pengamanan. Sehingga bank lain dapat secepatnya melakukan antisipasi seandainya memiliki kelemahan serupa. Karena kemanan adalah tanggung jawab semua pihak, “your security is my security”. E-banking bukanlah layanan perbankan konvensional, karena yang dilayani adalah nasabah yang telah hidup di dalam budaya online yang berbeda paradigma dengan dunia offline. Maka pendekatan yang digunakan di dalam layanan pun seharusnya mengacu pada budaya online. Misalnya, apabila di dalam 21
perbankan konvensional, insiden harus ditutupi untuk mencegah terjadinya resiko lain, seperti rush. Dalam layanan perbankan online setiap insiden justru harus segera diumumkan secara terbuka karena akibat dari serangan bisa sangat cepat dan luas sehingga dapat menimbulkan dampak yang luar biasa karena sifatnya yang online real time. Nasabah yang sangat tergantung dan secara intensif telah menggunakan layanan e-banking, justru akan memberikan apresiasi tinggi apabila bank memiliki keberanian dan keterbukaan untuk mengungkapkan kelemahan dan insiden yang dialami. Karena di dalam budaya online, pengakuan adalah wujud tanggung jawab dan itikad baik dan kecepatan respon adalah isu krusial. Apabila bank telah mengetahui masalah itu maka tidak seharusnya menyembunyikan kelemahan tersebut, justru wajib mengumumkan tindakan terbaik apa yang telah dilakukan untuk mitigasi, recovery dan pencegahan serta antisipasi di masa datang. Terutama tindakan pencegahan apa yang perlu dilakukan oleh nasabah, misalnya untuk menghentikan transaksi sementara waktu. Dengan cara demikian justru integritas bank cepat dipulihkan karena telah mampu menunjukkan kecepatan respon, tanggung jawab serta kemampuan mengelola krisis. Bank juga harus memiliki tim respon insiden yang memiliki kemampuan menghadapi potensi ancaman, gangguan dan serangan terhadap sistem elektronik. Tim ini harus selalu siaga dan memantau trend dan modus kejahatan serta teknologi yang dinamis (cepat berubah). Di masa damai, tim ini dapat terlibat di dalam kegiatan sosialisasi dan kampanye kesadaran tentang keamanan dan pengamanan baik secara internal di dalam bank maupun kepada masyarakat agar lebih memahami problematika dan dinamika masalah keamanan di dunia perbankan. Masyarakat pada umumnya dan nasabah pada khususnya harus terus mendapatkan update, informasi tentang masalah keamanan di dunia perbankan bahkan bila diperlukan tools untuk mengamankan diri. Bank harus melakukan kampanye secara umum agar masyarakat dan nasabah paham adanya ancaman bahaya. Misalnya, harus dijelaskan kondisi di sekitar mesin ATM dan prosedur serta etika yang sebaiknya diterapkan ketika memanfaatkan layanan tsb. Contoh: 22
perlunya jarak antrian dalam batas yang aman agar orang tidak mudah mengintip. Layanan peringatan (reminder, misalnya via SMS) berupa anjuran untuk mengganti PIN dan password secara rutin, pesan kewaspadaan terhadap aneka modus penipuan, hipnotis dlsb. termasuk praktek skimming. Nasabah bahkan tidak pernah diberikan arahan untuk melakukan observasi kondisi, situasi mesin ATM dan lingkungan sekitarnya sebelum melakukan transaksi. Demikian juga dengan nasabah layanan online banking. Update informasi mengenai modus phising, password hijacking, ancaman penyebaran malware serta potensi pencurian informasi personal harus dilakukan secara periodik. Di Indonesia, bank yang memiliki layanan online bahkan tidak memanfaatkan sarana email untuk berkomunikasi dengan nasabahnya, tidak menerbitkan newsletter atau mengaktifkan mailing list yang sesungguhnya bebas biaya. Ini artinya ini menunjukkan bahwa walaupun menyelenggarakan layanan online, sesungguhnya bank masih menggunakan paradigma offline. Bahkan di dalam menyampaikan keluhan pun, nasabah e-banking tetap diminta untuk menghubungi customer service via telepon. Padahal sangat dimungkinkan untuk pelanggan e-banking menyediakan layanan customer service via instant messenger dan atau email. Apalagi di tengah trend dunia yang sudah semakin mobile dan always on. Layanan dukungan semacam ini sangat menentukan persepsi nasabah dalam mengukur kemampuan dan tingkat percepatan respon bank di dalam menangani insiden. 5. Kerawanan regulasi dan kelemahan penegakan hukum. Sebagian besar regulasi perbankan masih menggunakan paradigma konvensional yang sepenuhnya melindungi kepentingan bank. Regulasi ini sudah saatnya dirubah, karena arah kegiatan perbankan sekarang yang memasuki era online dan transaksi elektronik sehingga tanggung jawab pengamanan menjadi masalah bersama. Bank harus menjadi pihak yang bertanggung jawab karena posisi sebagai sistem penyelenggara layanan transaksi elektronik. Peraturan perundangan yang baru sepertu UU No. 11/2008 Tentang ITE juga telah mulai mengatur masalah ini. Di masa depan akan semakin banyak peraturan yang digolongkan sebagai cyber law
23
ini akan diberlakukan oleh pemerintah. Sehingga diharapkan ada kepastian hukum bagi para penyelenggara layanan dan pengguna. Semangat kerjasama harus menjadi platform dasar di dalam menghadapi insiden keamanan layanan e-banking. Bank harus terbuka dan secepatnya memberikan akses pada penegak hukum untuk melakukan investigasi dan mitigasi. Tidak menghalangi dengan alasan aturan kerahasiaan bank ataupun prosedur birokrasi. Di dunia online, percepatan tindakan sangat penting untuk mencegah terjadinya dampak yang lebih luas karena pelaku dapat beraksi di dalam hitungan waktu yang sangat cepat dan tidak terbatas jarak, ruang apalagi birokrasi. Petugas yang melakukan investigasi dan mitigasi pun tidak hanya sekedar harus profesional dan memiliki keahlian serta pengalaman namun juga harus memiliki integritas tinggi. Mereka harus diberikan kepercayaan dan kesempatan serta kewenangan yang luas untuk bekerja. Karena di dalam dunia elektronik ini, batasan-batasan manajemen dan birokrasi tidak berlaku. Misalnya seorang peretas yang melakukan penyusupan dan menyerang sistem elektronik bank mungkin akan berusaha untuk mencapai hak akses tertinggi di dalam sistem untuk melakukan cover up (penghapusan jejak) dan tentunya memperoleh keuntungan yang sebesar-besarnya. Sehingga para penyidik pun harus diberikan otoritas yang sama ketika mereka bekerja dalam sistem agar bisa melacak dan mengejar pelaku. Hal seperti ini (otoritas penuh dalam mitigasi dan investigasi) harus diatur dalam regulasi di dalam sistem perbankan, bila perlu regulasi BI maupun pemerintah. Di satu sisi masalah pengawasan dan jaminan integritas juga diperlukan. Aparat penegak hukum pada umumnya memiliki keterbatasan keahlian, sumber daya dan juga membutuhkan bantuan pihak ketiga, setidaknya sebagai pendapat kedua. Karena kejahatan elektronik selalu memiliki dua sisi yang berbeda. Sisi teknis dan sisi kejahatan itu sendiri. Pada sisi teknis, kemampuan semacam itu bisa dimiliki oleh siapapun dan bukan tidak mungkin itu berasal dari kelemahan di dalam sistem itu sendiri. Sedangkan dari sisi kejahatan memerlukan keahlian penyidikan dan insting penegak hukum yang memang profesional di 24
bidangnya. Maka pendekatan terhadap insiden cyber crime pun harus dilakukan sekaligus dari dua sisi tersebut. Untuk mendapatkan keahlian tersebut diperlukan sistem pendidikan yang kredibel, berkualitas dan berkelanjutan. Kemudian harus memiliki jam terbang untuk mendapatkan pengalaman yang memadai dan pengakuan baik secara legal formal (misalnya berupa sertifikasi) maupun secara informal dari komunitas keamanan informasi. Pengakuan formal mudah didapatkan dengan mengikuti aneka program sertifikasi keahlian. NPengakuan informal membutuhkan dedikasi dan kontribusi kepada komunitas dalam jangka panjang. Para aparat penegak hukum cyber crime harus mampu berdiri di dua sisi tersebut. Apalagi di dalam proses investigasi nantinya, peran serta komunitas ini akan sangat besar dan penting. Karena merekalah yang menyediakan jaringan manusia yang memiliki sumber informasi berharga terkait aktivitas kejahatan itu dan sekaligus terutama modus, trik dan teknologi yang digunakan. Proyeksi Keamanan e-Banking 2010 Di masa depan upaya dan modus kejahatan terhadap layanan perbankan elektronik akan semakin meningkat terutama yang tidak melibatkan interaksi fisik (transaksi teller, mesin ATM, EDC) dan tidak membutuhkan perangkat media transaksi fisik (kartu magnetik/smart card, token, buku tabungan dlsb.). Sehingga kelemahan dan celah keamanan aplikasi layanan internet banking serta SMS/mobile banking dan jenis layanan transaksi online lainnya akan menjadi sasaran utama untuk dieksploitasi. Apalagi pengguna selular saat ini telah mencapai setengah dari total populasi (135 juta), demikian juga pengguna internet meningkat tajam (35 juta) pada akhir 2009. Sehingga potensi untuk memanfaatkan 2 jenis layanan perbankan elektronik ini sangat tinggi. Untuk diketahui, SMS/mobile banking di Indonesia saat ini diperkirakan digunakan oleh 3 juta pengguna aktif. Sedangkan untuk internet banking digunakan oleh sekitar 1 juta pengguna aktif. Maka pertumbuhan ini akan sangat menarik perhatian para pelaku kejahatan dan menjadikannya sebagai sasaran baru. 25
Walaupun pada saat ini jumlah pengguna layanan online banking tersebut masih terlihat sedikit bila dibandingkan dengan pengguna kartu ATM atau kartu kredit misalnya, namun sesungguhnya ini juga terkait dengan strategi marketing bank itu sendiri. Pada prinsipnya bank masih lebih banyak fokus pada pemasaran produk off line banking atau automated semi online banking seperti ATM, EDC dan produk pembayaran cerdas seperti voucher card. Karena alasan tingkat sales transaksi konvensional ini masih sangat tinggi. Sehingga bank menahan laju pertumbuhan untuk online banking dengan cara membatasi kekayaan fitur dan kapasitas pelayanannya. Sehingga online banking pun baru digunakan secara terbatas dikalangan nasabah dan merchant tertentu. Trend internasional sesungguhnya tidak bisa dibendung lagi. Sehingga, pada saatnya, sesuai tuntutan pasar, online banking akan booming. Ketika booming itu terjadi, maka kasus upaya pencurian data personal nasabah akan meningkat tajam dan berbagai modus lama maupun baru akan dilakukan oleh para pelaku. Jebakan phising site akan semakin marak dan aneka tools/exploit/malware yang akan digunakan untuk menjebol aplikasi online banking dan atau menyusup ke dalam jaringan back end dan memata-matai komputer nasabah juga akan menyebar luas. Sehingga bank, operator seluler dan provider internet sejak saat ini harus lebih proaktif di dalam melakukan sosialisasi untuk menciptakan kesadaran kepada nasabahnya sebagai upaya antisipasi. Selain itu prosedur internal serta teknologi yang digunakan juga harus terus ditingkatkan. IDENTIFIKASI ISU KODE ETIK NASIONAL DAN INTERNASIONAL Pemanfaatan teknologi informasi bagi industri perbankan dalam inovasi produk jasa bank juga dibayang-bayangi oleh potensi risiko kegagalan sistem dan/atau risiko kejahatan elektronik (cybercrime) yang dilakukan oleh orangorang yang tidak bertanggungjawab. Kegagalan sistem dapat disebabkan karena adanya kerusakan sistem (seperti misalnya server down), dan dalam skala luas bisa disebabkan karena adanya bencana alam. Sementara itu, cybercrime yang terjadi pada industri perbankan di Indonesia cenderung meningkat di Indonesia seperti terjadinya identity theft, carding, hacking, cracking, phising, viruses, cybersquating, ATM fraud, dll. Berdasarkan data Bank Indonesia, terdapat 26
peningkatan yang signifikan terkait penipuan E-Banking dalam 2 tahun terakhir. Pada tahun 2006 terdapat volume laporan 57,766 dengan nilai Rp. 36,5 Triliun, sedangkan pada tahun 2007 terdapat volume laporan 532.533 dengan nilai Rp. 45,7 Triliun(Santoso dan Pratiwi, 2010). Sebagai upaya pencegahan kejahatan dalam industri perbankan diperlukan pedoman nilai-nilai atau kode etik bagi orang-orang yang terlibat.Menurut Kamus Besar Bahasa Indonesia (1995),etika adalahnilai mengenai benar dan salah yang dianut suatu golongan atau masyarakat. Sedangkan Kode etik merupakan tatanan etika yang disepakati oleh suatu kelompok masyarakat tertentu yang umumnya termasuk dalam norma sosial. Sanksi atas pelanggaran kode etik mulanya berupa sanksi sosial yang disepakati secara bersama, namun bila ada kode etik yang memiliki sangsi yang berat yaitu yang merugikan pihak lain secara materil maupun moril, maka dapat masuk dalam kategori norma hukum. Berdasarkan Undang-Undang Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik, disebutkan bahwa para pihak yang melakukan transaksi elektronik wajib beriktikad baik dalam melakukan interaksi dan/atau pertukaran informasi.
Dalam undang-undang ini juga diatur sanksi
terhadap pihak-pihak yang melanggar berupa sanksi pidana, diantaranya yang terkait dengan operasional perbankan berupa kegiatan-kegiatan : 1.
Dengan sengaja dan tanpa hak menyebarkan berita bohong danmenyesatkan yang mengakibatkan kerugian konsumen dalam transaksi elektronik
2.
Dengan sengaja dan tanpa hak atau melawan hukum mengakseskomputer dan/atau sistem elektronik milikorang lain dengan cara melanggar,menerobos, melampaui,
atau
menjebol
sistem
pengamanan,
dengan
tujuan
untukmemperoleh informasi elektronik dan/atau dokumen elektronik. 3.
Dengan sengaja dan tanpa hak atau melawan hukum melakukanintersepsi atau penyadapan atas informasi elektronik dan/atau dokumen elektronik, kecuali untuk kepentingan penegakan hukum atas permintaan institusi penegakan hukum.
27
4.
Dengan sengaja dan tanpa hak atau melawan hukum dengan cara apapun memindahkan atau mentransfer informasi elektronik dan/atau dokumen elektronikkepada sistem elektronik orang lain yang tidak berhak.
5.
Dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apapun
yang
mengakibatkan
berakibat sistem
terganggunya
sistem
elektronikmenjadi
tidak
elektronik bekerja
dan/atau
sebagaimana
mestinya. 6.
Dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi,penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan agar informasi elektronik dan/atau dokumen elektronik tersebutdianggap seolah-olah data yang otentik. Ketentuan-ketentuan dalam Undang-Undang Nomor 11 Tahun 2008
tersebut tentunya wajib dipedomani bagi pihak atau orang-orang yang terkait sistem informasi atau database di Bank Sinar Mas. Selain ketentuan-ketentuan tersebut juga masih terdapat kode etik lainnya, diantaranya berupa : 1.
Privasi. Setiap individu memiliki hak untuk privasi, termasuk para nasabah Bank
Sinarmas.
Pelanggaran
kode
etik
yang
dihindari
meliputi
mengumpulkan dan berbagi informasi tentang individu tanpa sepengetahuan atau persetujuan nasabah biasanya berupa nomor telepon, nomor kartu kredit, alamat e-mail, dan informasi pribadi lainnya untuk membangun profil pelanggan individu. 2.
Piracy. Bank Sinar Mas hanya menggunakan produk-produk software yang original dalam operasional perusahaan, bukan hasil bajakan.
3.
Memanfaatkan pemantauan komputer dengan tujuan untuk memonitor percakapan, produktivitas karyawan atau gerakan individu.
4.
Menggunakan informasi pelanggan yang diperoleh dari berbagai sumber untuk membuatprofil pelanggan yang bisa dijual ke broker informasi atau perusahaan lain dan digunakanuntuk layanan bisnis pasar.
5.
Mengakses
komunikasi
melalui
email
atau
telpon
nasabah
tanpa
sepengatahuan atau persetejuan nasabah. 6.
Melakukan transaksi tanpa sepengetahuan dan atau persetujuan nasabah. 28
Kode etik yang berlaku di Indonesia dan Bank Sinar Mas pada umumnya hampir sama dengan kode etik yang berlaku secara global (internasional), karena kode etik yang berlaku umumnya diadopsi dari kode etik yang berlaku secara global. Kode etik global umumnya terkait dengan pencegahan cyber crime dan operasional perusahaan yang merugikan konsumen atau pihak lain. Beberapa contoh peraturan yang terkait kode etik dalam transaksi elektronik di beberapa negara lain diantaranya berupa : 1.
Di Amerika Serikat, Electronic Fund TrasferAct 1978 (EFTA) mengatur kerangka dasar penetapan hak, kewajiban dan tanggung jawab peserta yang terlibat dalam transfer dana elektronik. Istilah "Transfer Dana Elektronik" secara luas meliputi transaksi elektronik yang dimulai melalui terminal, telepon, komputer, atau pita perekam suara yang berisi perintah konsumen bagi lembaga keuangan untuk mendebet atau mengkredit rekening konsumen (Santoso dan Pratiwi, 2010).
2.
Di Australia, Kode Etik (Pedoman) Transfer Dana Elektronik telah dirilis pada tahun 2002. Kode ini bertujuan untuk perlindungan konsumen dalam bentuk penggunaan teknologi netral untuk penyelenggaraan e-banking dan pembayaran produk(Santoso dan Pratiwi, 2010).
3.
Di Denmark, di bawah undang-undang Instrumen Pembayaran tertentu, diatur bahwa dalam hal terjadi pelanggaran/penipuan oleh orang lain yang menyebabkan kerugian bagi pemegang kartu, maka
penerbit yang
bertanggung jawab, kecuali karena PIN digunakan oleh orang lain. Sebagaimana diketahui PIN bersifat pribadi dan rahasia sehingga PIN menjadi tanggung jawab pemegang kartu (Santoso dan Pratiwi, 2010 TANTANGAN KEDEPAN Di dunia perbankan, jika saat ini tidak memiliki infrastruktur sistem dan teknologi informasi yang baik, maka cepat atau lambat akan segera tersingkir dari arena persaingan, karena perbankan merupakan sebuah industri jasa, yang kinerjanya sangat dipengaruhi oleh variabel ruang dan waktu. Sehingga dapat dikatakan bahwa sistem dan teknologi informasi di perbankan, secara umum mempunyai fungsi utama yaitu untuk meningkatkan daya saing. Karena akan meningkatkan mutu layanan. 29
Untuk
meningkatkan
layanannya
maka
perusahaan
bank
harus
mempunyai database yang kuat terkait dengan data stakeholder di perusahaan tersebut. Database merupakan kunci untuk membuat rencana/ program dan strategi yang akan dilaksanakan oleh perusahaan. Teknologi terbaru di dunia maya yang saat ini sedang hangat dikembangkan adalah Cloud Computing. Di Indonesia teknologi ini belum banyak diterapkan. Tetapi karena manfaat dan keuntungannya, maka tidak ada salahnya Bank Sinarmas untuk mulai melakukan research teknologi ini, karena teknologi Cloud Computing menjanjikan efisiensi biaya IT dan keamanan yang jauh lebih baik dibanding teknologi yang selama ini digunakan, meskipun tentunya ada kekurangan yang mungkin harus dicermati.
30
DAFTAR PUSTAKA
Agung, P. 2011 http://panji-agung.blogspot.com/2011/04/cara-input-transaksikliring-per-hari.html diakses 13/7/2011 16:06 Akib,F. 2009. http://teknik-informatika.com/pengamanan-data diakses 12/7/2011 14:24 http://skripsimahasiswa.blogspot.com/2009/11/menentukan-sumber-data.html diakses 14 Juli 2011 http://skripsimahasiswa.blogspot.com/2009/11/menentukan-sumber-data.html diakses 14 Juli 2011 http://www.idsirtii.or.id/index.php/news/2010/01/21/81/mewaspadai-kejahatanlayanan-perbankan-elektronik-himbauan-kepada-masyarakat-dan-keteranganpers.html (Indonesia Security Incident Response Team on Internet Infrastructure – IDSIRTII) Kalakota, R and Whinston, AB. 1996. Elektronic Commerse : A Manager’s Guide. Massachusetts, US. Addison- Wisley Publication Company Inc. Nurastuti, W. 2011. Teknologi Perbankan. Graha Ilmu. Yogyakarta. Santoso, Agusdan Pratiwi,Dyah. 2010. Tanggung Jawab Penyelenggara Sistem Elektronik Perbankan dalam Kegiatan Transaksi Elektronik Pasca UU No. 11 Tahun 2008. Seminar, KB, 2011, Bahan Kuliah SIM MB-IPB, Bogor. Tidak dipublikasikan. Stock JR dan Lambert DM. 2001. Strategic Logistic Management Fourth Edition. McGraw-Hill Irwin, Singapore. UU No.11 tahun 2008 tentang Informasi Dan Transaksi Elektronik 31
LAMPIRAN KOMENTAR 10 BLOG
http://biblog.arcplan.com/2011/07/is-cloud-bi-worth-it/ http://blog.batchgeo.com/about-data-security-and-privacy/ http://clientsolutions.cpa2biz.com/2011/02/several-ways-to-protect-your-firmand-your-clients-from-ap-fraud-using-cloud-computing.html http://googleenterprise.blogspot.com/2011/04/security-first-security-and-data.html http://mariussoft.com/blog/?p=72 http://srmsblog.burtongroup.com/2008/12/security-on-the-move.html http://www.cloudswitch.com/blog/tag/data%20security
http://www.cloudswitch.com/page/a-cloud-security-bill-of-rights http://www.hldataprotection.com/2011/07/articles/financial-privacy/financialservices-industry-group-issues-social-media-guidance/ http://www.newsoftwares.net/blog/leak-prevention-data-security-in-the-digitalage/ http://www.purevpn.com/blog/data-security-in-cloud-environment/ http://www.youtube.com/watch?v=1SCZzgfdTBo&feature=player_embedded
32