Artikel ini merupakan tulisan ulang dari tugas kuliah EL5215 Keamanan Perangkat Lunak, yaitu membuat security requirement untuk layanan internet banking, khususnya aspek confidentiality. Pada tugas ini, mahasiswa diminta untuk membuat security requirement untuk sebuah layanan internet banking. Aspek yang diminta adalah confidentiality requirement saja. Tugas ini merupakan tugas pertama dengan batas waktu pengumpulan 7 Februari 2017.

A. Pendahuluan

Kerahasiaan (confidentiality) merupakan salah satu dari tiga faktor utama keamanan selain integritas (integrity) dan ketersediaan (availability). Kerahasiaan menyatakan bahwa data tidak dapat diakses oleh orang yang tidak berhak.[1]⁠ Biasanya serangan yang berkaitan dengan kerahasiaan adalah penyadapan jaringan, penerobosan akses pada sistem komputer, penanaman trojan horse atau keylogger untuk mendapatkan data rahasia pada komputer korban. Adapun cara lain yang tidak berkaitan dengan teknis, yaitu melakukan social engineering.

Internet banking atau online banking merupakan sistem pembayaran elektronik yang membiarkan nasabah bank atau institusi finansial lainnya untuk melakukan transaksi finansial.[2]⁠ Sistem internet banking biasanya terhubung dengan atau merupakan bagian utama dari sistem perbankan yang dioperasikan oleh bank. Untuk mengakses fasilitas online banking, nasabah dengan akses internet perlu mendaftarkan diri ke bank untuk mendapatkan fasilitas tersebut dan menentukan password dan kredensial (credential) lainnya untuk verifikasi nasabah. Kredensial untuk online banking biasanya tidak sama dengan untuk mobile banking.

Pada makalah ini akan dibahas kerahasiaan serta kaitannya dengan internet banking. Bagian-bagian yang akan dibahas meliputi urgensi kerahasiaan pada internet banking, persyaratan fungsional dan non-fungsional pada internet banking, serta persyaratan kerahasiaan (confidentiality requirement) pada internet banking.

B. Pembahasan

1. Urgensi Kerahasiaan (Confidentiality) pada Internet Banking

Berdasarkan yang telah dipaparkan secara singkat pada bagian Pendahuluan, kerahasiaan merupakan salah satu faktor keamanan yang penting untuk diperhatikan pada internet banking. Alasan perlunya memperhatikan kerahasiaan adalah untuk menghindari pencurian atau penyalahgunaan akun rekening internet banking. Beberapa cara pengamanan terhadap serangan kerahasiaan ketika akses menggunakan internet, misalnya penggunaan kriptografi, atau membatasi akses ke sistem dengan username dan password. Adapun pengamanan terhadap akses internet banking ketika tanpa menggunakan internet, misalnya ketika pendaftaran atau ada komplain/masalah, yaitu dengan membatasi akses ke sistem dengan kartu identitas (misal KTP) dan buku tabungan untuk memverifikasi pemilik akun terkait.

2. Persyaratan Fungsional pada Internet Banking

Sebelum membahas penerapan ketentuan atau persyaratan kerahasiaan pada internet banking, pada bagian ini akan dipaparkan terlebih dahulu persyaratan fungsional pada internet banking. Menurut AlAbdullah dkk.[3]⁠, terdapat 9 persyaratan fungsional (functional requirements) pada internet banking. Persyaratan-persyaratan tersebut adalah sebagai berikut.

a. Nasabah (Customer)

Nasabah yang valid pada internet banking memiliki persyaratan untuk melakukan akses internet banking. Persyaratan-persyaratan tersebut merupakan poin-poin berikut yang disertai dengan penjelasan pada masing-masing poin.

b. Login (Login)

Nasabah dapat menggunakan sistem, memasukan username dan password yang telah dibuat sebelumnya (pada pendaftaran akun internet banking) dan tersimpan di database. Masukan pada fungsi ini harus username dan password yang valid, dan keluarannya (jika valid) adalah nasabah dapat memasuki halaman yang dapat membuatnya dapat melakukan berbagai transaksi. Namun, jika username atau password salah, maka sistem akan memberikan pesan yang menyatakan bahwa username atau password salah dan meminta nasabah untuk login ulang.

c. Tampilan Akun (View Account)

Tampilan akun mengizinkan nasabah untuk melihat informasi saldo dari depositnya, kartu kredit, dll. Nasabah juga dapat melihat riwayat transaksi dengan periode hingga maksimal 90 hari atau 60 hari, bergantung kebijakan tiap bank.

d. Transfer Dana (Transfer Funds)

Nasabah harus login ke sistem bank untuk dapat melakukan transaksi transfer dana. Transaksi dana dapat membuat nasabah melakukan transaksi dana antar nasabah, baik nasabah pada bank yang sama maupun berbeda. Proses transfer dapat dilakukan segera atau terjadwal berdasarkan keinginan nasabah, misal pada waktu atau tanggal tertentu.

e. Pembayaran Tagihan (Pay Bills)

Nasabah harus login ke sistem bank untuk dapat melakukan pembayaran tagihan melalui internet banking. Pembayaran tagihan dapat meliputi asuransi, telekomunikasi, TV kabel, listrik, dan pelayanan lainnya tergantung kebijakan bank. Nasabah dapat melakukan pembayaran tagihan dengan melakukan pendebitan saldo pada akunnya.

f. Fasilitas Cek (Cheque Services)

Nasabah harus login ke sistem bank, lalu dapat memeriksa status cek, apakah sudah dibayar, belum dibayar, diberhentikan, atau dikembalikan. Hal tersebut juga dapat memungkinkan nasabah untuk memberhentikan pembayaran cek dan meminta buku cek online.

g. Utilitas (Utility)

Nasabah harus login ke sistem bank, kemudian sistem dapat mengizinkan nasabah untuk mengganti password dan informasi kontak lainnya. Dengan fitur ini, nasabah dapat juga mengganti informasi pribadi pada profil online di sistem internet banking. Lalu, nasabah juga dapat membatalkan fasilitas ATM, dan sejenisnya.

h. Logout (Logout)

Nasabah harus login ke sistem bank, lalu fungsi ini (yaitu logout) dapat digunakan ketika pengguna telah menyelesaikan aktivitasnya dengan internet banking dan ingin keluar dari sistem agar tidak ada pihak yang menyalahgunakan akunnya. Kemudian, sistem akan memberitahu jika nasabah telah berhasil keluar dari sistem.

i. Administrator (Administrator)

Administrator adalah orang yang dapat melakukan perubahan pada sistem internet banking, misalnnya menambahkan atau menghapus nasabah, memeriksa transaksi, dll.. Administrator juga harus merupakan pengguna yang valid. Oleh karena itu, administrator harus memiliki username dan password.

3. Persyaratan Keamanan pada Internet Banking

Selain persyaratan fungsional, ada juga persyaratan non-fungsional (non-functional requirements) pada internet banking. Menurut AlAbdullah dkk.[3]⁠, persyaratan non-fungsional pada internet banking, yaitu persyararan performa (performance), keselamatan (safety), dan keamanan (security). Hal-hal yang termasuk kedalam persyaratan keamanan harus meliputi tiga faktor utama keamanan, yaitu kerahasiaan (confidentiality), integritas (integerity), dan ketersiadaan (availability).

3.1 Persyaratan Keamanan

Menurut AlAbdullah dkk.[3]⁠, untuk memenuhi persyaratan keamanan, maka internet banking harus memiliki fitur sebagai berikut.

1. Perlindungan ID akun dan password (PIN)

   Untuk melakukan akses internet banking, nasabah harus memasukan ID akun dan password. Tanpanya, nasabah tidak dapat melakukan akses internet banking. Untuk mendapatkan tingkat keamanan yang lebih baik, maka diperlukan karakter spesial atau simbol yang dimasukkan ke dalam password. Selain itu, sistem juga perlu mengingatkan nasabah untuk mengganti password secara berkala.

2. Timeout otomatis

   Untuk mengantisipasi kelalaian nasabah, yaitu tidak melakukan logout setelah selesai transaksi, maka sistem perlu memberikan fitur timeout otomatis. Misalnya, sistem akan otomatis logout dalam 5 menit jika tidak terjadi transkasi.

3. Tombol Sign-Off

   Ketika nasabah telah selesai melakukan transaksi, maka nasabah diharuskan menekan tombol sign-off untuk logout dari sistem. Lalu, sistem memberitahu bahwa nasabah telah berhasil keluar dari sistem sehingga tidak memungkinkan pihak lain untuk menyalahgunakan akun tersebut.

4. Percobaan Log-On yang Gagal

   Sistem akan menolak akses dan mengunci akun setelah beberapa percobaan log-on gagal dilakukan. Hal tersebut bertujuan untuk menghindari serangan brute-force yang dilakukan oleh pihak ketiga.

5. Enkripsi

   Untuk melindungi kerahasiaan data nasabah, perlu dilakukan enkripsi pada proses yang dilakukan oleh sistem. Hal tersebut untuk menghindari penyadapan yang dilakukan oleh pihak ketiga.

3.2 Fitur Keamanan Utama

Menurut Subsorn dan Limwiriyakul pada makalahnya[4]⁠, ada 6 kategori fitur keamanan utama yang perlu disediakan oleh bank untuk fasilitas internet banking.

1. Informasi privasi dan keamanan online umum pada nasabah internet banking. Pada bagian ini mencakup beberapa hal, yaitu: agregasi akun atau privasi dan kerahasiaan; jaminan kompensasi kehilangan; informasi keamanan internet/online; dan sistem mekanisme keamanan bank.

2. Bantuan IT, monitoring, dan support. Pada bagian ini mencakup ketersediaan pelayanan hotline/helpdesk; dan monitoring transaksi internet banking oleh bank.

3. Persyaratan sofware dan sistem dan informasi seting. Pada bagian ini mencakup beberapa hal, yaitu: kecocokan (compability) terbaik dengan internet browser yang populer; sistem perangkat pengguna internet banking dan persyaratan seting browser; dan software/tool keamanan yang gratis/berbayar tersedia pada nasabah internet banking.

4. Teknologi autentikasi situs bank. Pada bagian ini mencakup identifikasi teknologi autentikasi bank yang saat ini digunakan, seperti penggunaan enkripsi secure sockets layer (SSL) untuk mengenkripsi jalur antara web server bank dan nasabah internet banking, teknologi sertifikat digital, dan certificate authority (CA).

5. Teknologi autentikasi situs pada sisi pengguna/nasabah. Pada bagian ini mencakup beberapa hal, yaitu: autentikasi 2-faktor untuk login dan/atau verifikasi transaksi; persyaratan login; pembatasan kegagalan login; tipe masukan pengguna ketika login; pengacakan (scramble) pada keypad masukan on-screen; pembatasan/ persyaratan password; dan verifikasi transaksi.

6. Fitur keamanan aplikasi internet banking. Pada bagian ini meliputi beberapa hal, yaitu: fitur otomatis timeout untuk kondisi tidak aktif; pembatasan jumlah transfer perhari ke akun pihak ketiga atau transaksi internasional; informasi logging; dan manajemen sesi.

4. Konsekuensi Persyaratan Kerahasiaan (Confidentiality) pada Internet Banking

Setelah dilakukan pembahasan fitur untuk memenuhi persyaratan keamanan pada internet banking, pada bagian ini akan dilakukan pembahasan konsekuensi adanya persyaratan kerahasiaan untuk masing-masing penerapan fitur yang telah dijelaskan sebelumnya. Pembahasan tersebut meliputi dampak yang didapat pada besarnya biaya (cost) yang perlu dikeluarkan dan kenyamanan nasabah (user experience) dalam menggunakan fitur internet banking.

Table 1. Penilaian confidentiality requirements pada internet banking

	Kategori Fitur Keamanan	Biaya	Kenyamanan Pengguna
1. Informasi privasi dan keamanan online umum pada nasabah internet banking
1.1	Agregasi akun atau privasi dan kerahasiaan
1.1.1	Memenuhi prinsip-prinsip privasi nasional dan hukum privasi.	Rendah	Nyaman
1.2	Jaminan kompensasi kehilangan
1.2.1	100%	Tinggi	Nyaman
1.3	Informasi tentang keamanan internet/online
1.3.1	Ancaman: email hoax, scam, phising, spyware, virus, dan trojan	Rendah	Cukup nyaman
1.3.2	Keylogger	Tinggi	Cukup nyaman
1.3.3	Panduan umum tentang keamanan online	Rendah	Cukup nyaman
1.3.4	Peringatan terkait isu keamanan terbaru	Sedang	Cukup nyaman
1.3.5	Menyediakan tips	Sedang	Cukup nyaman
1.4	Sistem mekanisme keamanan bank
1.4.1	Perlindungan antivirus	Tinggi	Nyaman
1.4.2	Firewall	Sedang	Nyaman
1.4.3	Sistem IDS/peringatan	Tinggi	Nyaman
2. Teknologi autentikasi situs bank
2.1	Teknologi sertifikat digital dan penerapan enkripsi
2.1.1	Enkripsi SSL	Rendah	Nyaman
2.1.2	Perpanjangan validasi sertifikat SSL	Sedang	Nyaman
2.1.3	Penandatanganan CA	Sedang	Nyaman
3. Teknologi autentikasi situs pengguna
3.1	Autentikasi 2-faktor untuk login dan/atau verifikasi transaksi
3.1.1	Perangkat token	Tinggi	Kurang nyaman
3.1.2	SMS	Sedang	Cukup nyaman
3.2	Persyaratan login
3.2.1	Nomor kartu bank atau ID nasabah atau alamat email	Rendah	Cukup nyaman
3.2.2	Password	Rendah	Cukup nyaman
3.2.3	Lainnya, misalnya kode personal atau nomor rahasia	Tinggi	Kurang nyaman
3.2.4	Autentikasi 2-faktor	Tinggi	Kurang nyaman
3.3	Pembatasan kegagalan login
3.3.1	Maksimum percobaan dibatasi hanya 3 kali	Rendah	Cukup nyaman
3.3.2	Maksimum percobaan dibatasi, namun tidak diketahui batasnya	Rendah	Nyaman
3.4	Tipe masukan pengguna ketika login
3.4.1	Keyboard	Rendah	Cukup nyaman
3.4.2	Keypad	Sedang	Nyaman
3.5	Pengacakan (scramble) pada keypad masukan on-screen
3.5.1	ID nasabah	Tinggi	Kurang nyaman
3.5.2	Password	Tinggi	Kurang nyaman
3.6	Pembatasan/ persyaratan password
3.6.1	Memberlakukan parameter password yang baik	Sedang	Kurang nyaman
3.6.2	Pembatasan panjang password (dalam karakter)	Rendah	Kurang nyaman
3.6.3	Kombinasi angka dan huruf	Sedang	Kurang nyaman
3.6.4	Kombinasi huruf kapital dan kecil	Sedang	Kurang nyaman
3.6.5	Karakter khusus	Tinggi	Kurang nyaman
3.6.6	Password berbeda dibandingkan dengan password sebelumnya	Tinggi	Kurang nyaman
3.6.7	Otomatis mengecek kekuatan password ketika membuat atau mengubah	Tinggi	Cukup nyaman
3.7	Verifikasi transaksi
3.7.1	Semua transaksi membutuhkan token/SMS	Tinggi	Kurang nyaman
3.7.2	Beberapa transaksi memerlukan token/SMS	Sedang	Cukup nyaman
4. Fitur keamanan aplikasi internet banking lainnya
4.1	Fitur otomatis timeout ketika tidak aktif
4.1.1	Maksimum dibatasi 3-10 menit	Sedang	Kurang nyaman
4.1.2	Maksimum dibatasi 10-15 menit	Sedang	Cukup nyaman
4.2	Informasi logging
4.2.1	Terakhir login	Sedang	Nyaman
4.2.2	Log aktivitas	Sedang	Cukup nyaman
4.3	Manajemen sesi
4.3.1	Sesi token	Tinggi	Cukup nyaman
4.3.2	Halaman token	Tinggi	Kurang nyaman
4.3.3	Menghapus sesi invformasi cookie setelah logoff atau menutup browser	Tinggi	Kurang nyaman

C. Kesimpulan

Berdasarkan penjelasan pada bagian Pembahasan tentang urgensi kerahasiaan pada internet banking, persyaratan fungsional/non-fungisonal pada internet banking, dan confidentiality requirement pada internet banking, didapat beberapa kesimpulan sebagai berikut.

1. Kerahasiaan merupakan salah satu dari tiga faktor utama keamanan yang perlu diperhatikan pada internet banking.

2. Terdapat persyaratan fungsional maupun non-fungsional pada internet banking.

3. Persyaratan keamanan merupakan salah satu dari persyaratan non-fungsional pada internet banking, di mana persyaratan tersebut terdiri atas performa, keselamatan, dan keamanan.

4. Terdapat beberapa fitur pada internet banking yang diperlukan untuk memenuhi persyaratan keamanan pada internet banking.

5. Confidentiality requirement merupakan salah satu faktor dari persyaratan keamanan di internet banking. Terdapat beberapa konsekuensi yang didapat dalam memenuhi confidentiality requirement, yaitu biaya yang dibutuhkan untuk menerapkan suatu fitur dan kenyamanan nasabah/penggunan internet banking.

Daftar Pustaka

[1] B. Rahardjo, Keamanan Perangkat Lunak. Bandung: PT Insan Infonesia, 2014.

[2] Wikipedia, “Online banking.” [Online]. Available: https://en.wikipedia.org/wiki/Online_banking. [Accessed: 04-Feb-2017].

[3] F. S. AlAbdullah, F. H. Alshammari, R. Alnaqeib, H. A. Jalab, A. A. Zaidan, and B. B. Zaidan, “Analytical Study on Internet Banking System,” vol. 2, no. 6, pp. 140–146, 2010.

[4] P. Subsorn and S. Limwiriyakul, “A Comparative Analysis of The Security of Internet Banking in Australia: A Customer Perspective,” in Proceedings of the 2nd International Cyber Resilience Conference, 2011, no. August.