Posts Tagged ‘Payment’

Kultur Penunjang Peristiwa Bobolnya ATM

No Comments
Posted 25 Feb 2010 — by admin
Category Sharing Vision

Ternyata, kultur masyarakat Indonesia memang menunjang terjadinya peristiwa bobolnya sejumlah anjungan tunai mandiri (ATM), belum lama ini. Kok bisa? Dimitri Mahayana, Fasilitator sekaligus Chief Lembaga Riset Telematika Sharing Vision, dalam Sharing Vision: Payment Business Market, 24-25 Februari ini, mengungkapkan prilaku tersebut.
Pertama, masyarakat Indonesia memiliki solodaritas-nilai gotong royong tinggi dengan sesamanya. Sungkan rasanya tidak berbagi sesuatu, sekalipun itu yang sifatnya konfidensial dan pribadi. Maka tak perlu heran, nomor PIN kartu ATM/debit/kredit pun sering di-share pada keluarga. Niatnya baik, prakteknya kontraproduktif.

Kedua, budaya ewuh pakewuh. Ini membuat rasa sungkan terhadap sesama melebihi segalanya. Daripada ribut-ribut, lebih baik diselesaikan secara kekeluargaaan, atau bahkan lebih baik diam saja. Makanya, begitu ada kasus pembobolan ATM, lebih baik diam saja daripada melapor. Komplotan peretas pun sulit dilacak.

Ketiga, budaya mistik di Indonesia juga masih kuat. Dalam konteks pembobolan ATM, proses hiptonis dan seterusnya, ada yang ditemukan. Begitu mendengar sesuatu yang terdengar gaib dan sensasional, masyarakat bukan menggunakan akal sehatnya. Namun malah tertarik, meski akhirnya kena perangkap.

Dengan tiga prilaku ini, maka kejahatan lebih mudah terjadi. Apalagi, dilihat dari sisi size bangsa, peretas jaringan sistem pembayaran di manapun akan selalu tertarik dengan kondisi Indonesia. Sebab, seiring jumlah penduduknya yang di atas 200 juta, jumlah nominal mapun transaksi pun luar biasa besar.

Ambil contoh dalam transaksi RTGS (real time gross settlement), di mana setiap hari transkasinya bernilai Rp180 triliun! Lantas, volume transaksi ATM berkisar 150 juta per bulan dengan nominal sekitar Rp170 triliun.

Dari jumlah itu, nominalnya mencapai Rp5 triliun per hari dengan rata-rata penarikan tiap nasabah Rp1,2 juta per bulan. Di sisi lain, berdasarkan data World Bank, transaksi bulanan 6 juta tenaga kerja Indonesia/TKI juga sangat besar.

Diproyeksikan, angkanya mencapai Rp100 triliun dengan kecenderungan transfer ke tanah air menggunakan net-banking. Maka siapa yang tidak ngiler apabila melihat deratan angka-angka ini.

”Dengan tren sindikasi peretas yang berasal dari satu negara, maka sebut saja peretas asal Rusia yang paling jago seluruh dunia, pasti melihat angka-angka ini. Di negaranya sendiri, pasti tidak sebesar Indonesia,” ujar Dimitri.

Atas situasi prilaku kurang safe dan tingginya potensi transaksi ini, maka ada tiga hal yang direkomendasikan olehnya. Pertama, di tengah bukti kegagalan industri perbankan menjaga sistemnya, maka sistem manajemen resiko perbankan harus diperketat.

Kedua, Bank Indonesia sebagai regulator inti harus lebih tegas dan berani mengatur industri keuangan dalam melindungi nasabah, bukan malah diatur industri. Ketiga, pola regulator perbankan Amerika harus segera diadopsi.

”Regulator Amerika itu intinya siap mengganti kerugian nasabah terlebih dahulu, sepanjang perbankan tidak bisa menunjukkan buktinya. Kalau regulator Eropa, bank cenderung lepas tangan, hampir mirip di Indonesia,” tutupnya. (Sharing Vision/*)

* Catatan sekilas  Sharing Vision Payment Business Market, Technology Trend 2010 & Regulation Update, 24-25 Februari 2010. Terimakasih untuk partisipasi Bank Indonesia, Bank BNI, Bank BRI, Bank BTN, Bank Bukopin, Bank CIMB Niaga, Bank DKI, Bank Mandiri, Bank Syariah Mandiri, Aplikasi Lintasarta, Bahana TCW, Sigam Cipta Caraka, Telkom, Telkomsel.

Tags: ,

Keamanan Penggunaan Kartu berbasis Kartu chip dalam Sistem Pembayaran

1 Comment
Posted 10 Feb 2010 — by admin
Category Sharing Vision

Oleh Budi Sulistyo

Teknik pembobolan rekening nasabah dengan menggunakan kartu ATM (automatic teller machine) palsu sebenarnya bukan merupakan hal baru. Sharing Vision mencatat bahwa insiden pembobolan dengan teknik ini sudah terjadi dan terpublikasi pada tahun 2005. Teknik pembobolan ini dilakukan terhadap kartu ATM yang dengan teknologi magnetic stripe. Bank Indonesia (BI) sebenarnya sudah menerbitkan peraturan yang mendorong migrasi kartu magnetic ke kartu chip. Hal ini dituangkan daam Surat Edaran Bank Indonesia No 7/60 yang merupakan tindak lanjut dari Peraturan Bank Indonesia No 7/52/2005 tentang Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu, BI mewajibkan penggunaan teknologi chip pada kartu ATM, kartu debet, dan kartu kredit yang diterbitkan mulai tanggal 1 September 2006, baik untuk pemegang kartu baru ataupun untuk penggantian kartu lama (renewal). Adapun penggantian kartu lama wajib dilakukan paling lambat 31 Desember 2008. Informasi. Menurut sumber dari BI, migrasi untuk kartu kredit sudah mencapai 99,6% per desember 2009 (sumber: http://economy.okezone.com/read/2009/12/29/320/289074/320/migrasi-kartu-kredit-ke-chip-sudah-99-6).  Untuk kartu debit, tampaknya proses dan kebijakan migrasi masih belum jelas.

Keamanan Kartu Berbasis Magnetic Stripe

Dari perspektif keamanan TI, kartu ATM dan PIN merupakan sarana yang digunakan untuk melakukan otentikasi. Kartu ATM membuktikan bahwa pengguna/nasabah memiliki sarana otentikasi tertentu (what do you have) dan PIN membuktikan bahwa pengguna/nasabah mengetahui data atau informasi tertentu (what do you know). Sehingga dari sisi otentikasi transaksi, sistem ini menggunakan otentikasi  dua faktor. Faktor what do you have berisiko untuk disalahgunakan jika orang yang tidak berhak dapat menggunakan  kartu ATM asli tanpa ijin atau memalsukannya. Faktor what do you know, yang meningkatkan keamanan sistem otentikasi, juga dapat disalahgunakan ketika PIN diketahui oleh orang yang tidak berhak.
Hingga saat ini, Indonesia masih menggunakan kartu ATM berteknologi magnetic stripe. Bagaimana gambaran aspek keamanan dari teknologi ini? Apakah pembobolan ATM yang terjadi akhir-akhir ini mutlak disebabkan oleh teknologi tersebut?
Teknologi kartu magnetic ini secara inheren tidak aman karena kartu menyimpan data-data secara plain atau tanpa enkripsi sehingga dapat dibaca oleh alat pembaca (magnetic stripe reader) manapun. Sekali terbaca, maka dengan menggunakan perangkat magnetic stripe writer, kartu baru yang memiliki fungsi yang identik dengan kartu asli dapat dibuat dengan mudah (kloning). Pelaku pemalsuan kartu melakukan teknik skimming untuk mencuri data-data kartu magnetik untuk selanjutnya dituliskan secara identik ke dalam kartu baru. Teknik skimming  ini dilakukan dengan cara memasang magnetic stripe reader tambahan ke terminal ATM atau POS (point of sales) yang sah.
Kartu hasil kloning dapat digunakan untuk bertransaksi secara penuh jika PIN juga diketahui. Pencurian PIN dilakukan dengan cara memasang kamera mini tersembunyi dalam ruang ATM untuk mengintip PIN yang dari balik badan nasabah. Jika PIN tidak diketahui, setidaknya pelaku pemalsuan atau pencurian kartu dapat melakukan transaksi belanja dengan kartu debit.

Fitur Keamanan Kartu Chip (Smart Card)

Apa saja fitur keamanan dari kartu Chip yang menjadi kelebihan di bandingkan dengan Kartu Magnetik? Apa saja kriteria keamanan yang dapat dipenuhi oleh teknologi ini? Chip yang tertanam dalam kartu ini memungkinnya melakukan berbagai proses komputasi yang tidak dapat dilakukan oleh kartu berbasis magnetic stripe. Dengan kemampuan ini, kartu chip dapat menjalankan berbagai algoritma dan protokol keamanan yang cukup kompleks untuk memenuhi beberapa kriteria keamanan yang diantaranya mencakup: (1) kerahasiaan data  dengan menerapkan algoritma enkripsi dan mekanisme kendali akses, (2) integritas data dengan menerapkan algoritma fungsi hash dan tanda tangan dijital, (3) otentikasi dengan menerapkan protokol otentikasi yang berbasis algoritma enkripsi simetris ataupun asimetris, (4) non-repudiasi dengan menerapkan tanda tangan dijital dan (5) ketersediaan (availability) dengan dimungkinkannya pelaksanaan transaksi secara offline. Tingkat keamanan yang disediakan oleh kartu chip dalam sistem pembayaran sangat ditentukan oleh jenis kartu dan standar yang digunakan.
Berikut ini adalah penjelasan singkat mengenai fitur keamanan dari kartu chip dan sekaligus perbandingannya dengan kartu berbasis magnetic stripe:


Fitur keamanan

Kartu Chip

Kartu Magnetic Stripe
Enkripsi dalam komunikasi data Kartu chip dan terminal mempertukarkan data yang telah dienkripsi. Kartu chip dan terminal mempertukarkan data plain.
Kerahasiaan data yang tersimpan dalam kartu Data dilindungi dengan mekanisme akses kontrol atau dengan enkripsi. Semua data disimpan di kartu dalam bentuk plain
Otentikasi Terminal melakukan otentikasi terhadap kartu dengan menggunakan mekanisme static data authentication (SDA) atau dynamic data authentication (DDA). Data yang diperlukan untuk otentikasi dilindungi oleh mekanisme akses kontrol. Terminal melakukan otentikasi terhadap kartu dengan cara membaca data-data dalam magnetic stripe. Data-data ini tidak dilindungi dengan mekanisme akses kontrol.
Mekanisme otentikasi timbal balik dapat dilakukan, yaitu terminal mengotentikasi kartu dan kartu mengotentikasi terminal. Tidak memungkinkan mekanisme otentikasi timbal-balik.
Non repudiasi Mekanisme non-repudiasi dapat dilakukan karena terdapat data-data (kunci) yang dilindungi oleh mekanisme akses kontrol. Mekanisme biasanya berbasis asymmetric encryption. Tidak terdapat mekanisme  non-repudiasi karena kartu tidak memiliki mekanisme akses kontrol.
Transaksi secara offline Dalam transaksi offline, terminal tetap dapat melakukan otentikasi terhadap kartu (dengan SDA atau DDA) dan memeriksa integritas data otentikasi. Terminal tidak dapat memastikan integritas data otentikasi.

Apakah teknologi kartu  chip ini benar-benar aman? Apakah saat ini sudah ada contoh kasus mengenai pembobolan kartu chip? (Bersambung ke bagian 2) (Budi Sulistyo, Konsultan Senior & Fasilitator Sharing Vision)

Tags: , , ,