Confidentiality Requirements pada Internet Banking
Artikel ini merupakan tulisan ulang dari tugas kuliah EL5215 Keamanan Perangkat Lunak, yaitu membuat security requirement untuk layanan internet banking, khususnya aspek confidentiality. Pada tugas ini, mahasiswa diminta untuk membuat security requirement untuk sebuah layanan internet banking. Aspek yang diminta adalah confidentiality requirement saja. Tugas ini merupakan tugas pertama dengan batas waktu pengumpulan 7 Februari 2017.
A. Pendahuluan
Kerahasiaan (confidentiality) merupakan salah satu dari tiga faktor utama keamanan selain integritas (integrity) dan ketersediaan (availability). Kerahasiaan menyatakan bahwa data tidak dapat diakses oleh orang yang tidak berhak.[1] Biasanya serangan yang berkaitan dengan kerahasiaan adalah penyadapan jaringan, penerobosan akses pada sistem komputer, penanaman trojan horse atau keylogger untuk mendapatkan data rahasia pada komputer korban. Adapun cara lain yang tidak berkaitan dengan teknis, yaitu melakukan social engineering.
Internet banking atau online banking merupakan sistem pembayaran elektronik yang membiarkan nasabah bank atau institusi finansial lainnya untuk melakukan transaksi finansial.[2] Sistem internet banking biasanya terhubung dengan atau merupakan bagian utama dari sistem perbankan yang dioperasikan oleh bank. Untuk mengakses fasilitas online banking, nasabah dengan akses internet perlu mendaftarkan diri ke bank untuk mendapatkan fasilitas tersebut dan menentukan password dan kredensial (credential) lainnya untuk verifikasi nasabah. Kredensial untuk online banking biasanya tidak sama dengan untuk mobile banking.
Pada makalah ini akan dibahas kerahasiaan serta kaitannya dengan internet banking. Bagian-bagian yang akan dibahas meliputi urgensi kerahasiaan pada internet banking, persyaratan fungsional dan non-fungsional pada internet banking, serta persyaratan kerahasiaan (confidentiality requirement) pada internet banking.
B. Pembahasan
1. Urgensi Kerahasiaan (Confidentiality) pada Internet Banking
Berdasarkan yang telah dipaparkan secara singkat pada bagian Pendahuluan, kerahasiaan merupakan salah satu faktor keamanan yang penting untuk diperhatikan pada internet banking. Alasan perlunya memperhatikan kerahasiaan adalah untuk menghindari pencurian atau penyalahgunaan akun rekening internet banking. Beberapa cara pengamanan terhadap serangan kerahasiaan ketika akses menggunakan internet, misalnya penggunaan kriptografi, atau membatasi akses ke sistem dengan username dan password. Adapun pengamanan terhadap akses internet banking ketika tanpa menggunakan internet, misalnya ketika pendaftaran atau ada komplain/masalah, yaitu dengan membatasi akses ke sistem dengan kartu identitas (misal KTP) dan buku tabungan untuk memverifikasi pemilik akun terkait.
2. Persyaratan Fungsional pada Internet Banking
Sebelum membahas penerapan ketentuan atau persyaratan kerahasiaan pada internet banking, pada bagian ini akan dipaparkan terlebih dahulu persyaratan fungsional pada internet banking. Menurut AlAbdullah dkk.[3], terdapat 9 persyaratan fungsional (functional requirements) pada internet banking. Persyaratan-persyaratan tersebut adalah sebagai berikut.
a. Nasabah (Customer)
Nasabah yang valid pada internet banking memiliki persyaratan untuk melakukan akses internet banking. Persyaratan-persyaratan tersebut merupakan poin-poin berikut yang disertai dengan penjelasan pada masing-masing poin.
b. Login (Login)
Nasabah dapat menggunakan sistem, memasukan username dan password yang telah dibuat sebelumnya (pada pendaftaran akun internet banking) dan tersimpan di database. Masukan pada fungsi ini harus username dan password yang valid, dan keluarannya (jika valid) adalah nasabah dapat memasuki halaman yang dapat membuatnya dapat melakukan berbagai transaksi. Namun, jika username atau password salah, maka sistem akan memberikan pesan yang menyatakan bahwa username atau password salah dan meminta nasabah untuk login ulang.
c. Tampilan Akun (View Account)
Tampilan akun mengizinkan nasabah untuk melihat informasi saldo dari depositnya, kartu kredit, dll. Nasabah juga dapat melihat riwayat transaksi dengan periode hingga maksimal 90 hari atau 60 hari, bergantung kebijakan tiap bank.
d. Transfer Dana (Transfer Funds)
Nasabah harus login ke sistem bank untuk dapat melakukan transaksi transfer dana. Transaksi dana dapat membuat nasabah melakukan transaksi dana antar nasabah, baik nasabah pada bank yang sama maupun berbeda. Proses transfer dapat dilakukan segera atau terjadwal berdasarkan keinginan nasabah, misal pada waktu atau tanggal tertentu.
e. Pembayaran Tagihan (Pay Bills)
Nasabah harus login ke sistem bank untuk dapat melakukan pembayaran tagihan melalui internet banking. Pembayaran tagihan dapat meliputi asuransi, telekomunikasi, TV kabel, listrik, dan pelayanan lainnya tergantung kebijakan bank. Nasabah dapat melakukan pembayaran tagihan dengan melakukan pendebitan saldo pada akunnya.
f. Fasilitas Cek (Cheque Services)
Nasabah harus login ke sistem bank, lalu dapat memeriksa status cek, apakah sudah dibayar, belum dibayar, diberhentikan, atau dikembalikan. Hal tersebut juga dapat memungkinkan nasabah untuk memberhentikan pembayaran cek dan meminta buku cek online.
g. Utilitas (Utility)
Nasabah harus login ke sistem bank, kemudian sistem dapat mengizinkan nasabah untuk mengganti password dan informasi kontak lainnya. Dengan fitur ini, nasabah dapat juga mengganti informasi pribadi pada profil online di sistem internet banking. Lalu, nasabah juga dapat membatalkan fasilitas ATM, dan sejenisnya.
h. Logout (Logout)
Nasabah harus login ke sistem bank, lalu fungsi ini (yaitu logout) dapat digunakan ketika pengguna telah menyelesaikan aktivitasnya dengan internet banking dan ingin keluar dari sistem agar tidak ada pihak yang menyalahgunakan akunnya. Kemudian, sistem akan memberitahu jika nasabah telah berhasil keluar dari sistem.
i. Administrator (Administrator)
Administrator adalah orang yang dapat melakukan perubahan pada sistem internet banking, misalnnya menambahkan atau menghapus nasabah, memeriksa transaksi, dll.. Administrator juga harus merupakan pengguna yang valid. Oleh karena itu, administrator harus memiliki username dan password.
3. Persyaratan Keamanan pada Internet Banking
Selain persyaratan fungsional, ada juga persyaratan non-fungsional (non-functional requirements) pada internet banking. Menurut AlAbdullah dkk.[3], persyaratan non-fungsional pada internet banking, yaitu persyararan performa (performance), keselamatan (safety), dan keamanan (security). Hal-hal yang termasuk kedalam persyaratan keamanan harus meliputi tiga faktor utama keamanan, yaitu kerahasiaan (confidentiality), integritas (integerity), dan ketersiadaan (availability).
3.1 Persyaratan Keamanan
Menurut AlAbdullah dkk.[3], untuk memenuhi persyaratan keamanan, maka internet banking harus memiliki fitur sebagai berikut.
Perlindungan ID akun dan password (PIN)
Untuk melakukan akses internet banking, nasabah harus memasukan ID akun dan password. Tanpanya, nasabah tidak dapat melakukan akses internet banking. Untuk mendapatkan tingkat keamanan yang lebih baik, maka diperlukan karakter spesial atau simbol yang dimasukkan ke dalam password. Selain itu, sistem juga perlu mengingatkan nasabah untuk mengganti password secara berkala.
Timeout otomatis
Untuk mengantisipasi kelalaian nasabah, yaitu tidak melakukan logout setelah selesai transaksi, maka sistem perlu memberikan fitur timeout otomatis. Misalnya, sistem akan otomatis logout dalam 5 menit jika tidak terjadi transkasi.
Tombol Sign-Off
Ketika nasabah telah selesai melakukan transaksi, maka nasabah diharuskan menekan tombol sign-off untuk logout dari sistem. Lalu, sistem memberitahu bahwa nasabah telah berhasil keluar dari sistem sehingga tidak memungkinkan pihak lain untuk menyalahgunakan akun tersebut.
Percobaan Log-On yang Gagal
Sistem akan menolak akses dan mengunci akun setelah beberapa percobaan log-on gagal dilakukan. Hal tersebut bertujuan untuk menghindari serangan brute-force yang dilakukan oleh pihak ketiga.
Enkripsi
Untuk melindungi kerahasiaan data nasabah, perlu dilakukan enkripsi pada proses yang dilakukan oleh sistem. Hal tersebut untuk menghindari penyadapan yang dilakukan oleh pihak ketiga.
3.2 Fitur Keamanan Utama
Menurut Subsorn dan Limwiriyakul pada makalahnya[4], ada 6 kategori fitur keamanan utama yang perlu disediakan oleh bank untuk fasilitas internet banking.
Informasi privasi dan keamanan online umum pada nasabah internet banking. Pada bagian ini mencakup beberapa hal, yaitu: agregasi akun atau privasi dan kerahasiaan; jaminan kompensasi kehilangan; informasi keamanan internet/online; dan sistem mekanisme keamanan bank.
Bantuan IT, monitoring, dan support. Pada bagian ini mencakup ketersediaan pelayanan hotline/helpdesk; dan monitoring transaksi internet banking oleh bank.
Persyaratan sofware dan sistem dan informasi seting. Pada bagian ini mencakup beberapa hal, yaitu: kecocokan (compability) terbaik dengan internet browser yang populer; sistem perangkat pengguna internet banking dan persyaratan seting browser; dan software/tool keamanan yang gratis/berbayar tersedia pada nasabah internet banking.
Teknologi autentikasi situs bank. Pada bagian ini mencakup identifikasi teknologi autentikasi bank yang saat ini digunakan, seperti penggunaan enkripsi secure sockets layer (SSL) untuk mengenkripsi jalur antara web server bank dan nasabah internet banking, teknologi sertifikat digital, dan certificate authority (CA).
Teknologi autentikasi situs pada sisi pengguna/nasabah. Pada bagian ini mencakup beberapa hal, yaitu: autentikasi 2-faktor untuk login dan/atau verifikasi transaksi; persyaratan login; pembatasan kegagalan login; tipe masukan pengguna ketika login; pengacakan (scramble) pada keypad masukan on-screen; pembatasan/ persyaratan password; dan verifikasi transaksi.
Fitur keamanan aplikasi internet banking. Pada bagian ini meliputi beberapa hal, yaitu: fitur otomatis timeout untuk kondisi tidak aktif; pembatasan jumlah transfer perhari ke akun pihak ketiga atau transaksi internasional; informasi logging; dan manajemen sesi.
4. Konsekuensi Persyaratan Kerahasiaan (Confidentiality) pada Internet Banking
Setelah dilakukan pembahasan fitur untuk memenuhi persyaratan keamanan pada internet banking, pada bagian ini akan dilakukan pembahasan konsekuensi adanya persyaratan kerahasiaan untuk masing-masing penerapan fitur yang telah dijelaskan sebelumnya. Pembahasan tersebut meliputi dampak yang didapat pada besarnya biaya (cost) yang perlu dikeluarkan dan kenyamanan nasabah (user experience) dalam menggunakan fitur internet banking.
Table 1. Penilaian confidentiality requirements pada internet banking
Kategori Fitur Keamanan | Biaya | Kenyamanan Pengguna | |
1. Informasi privasi dan keamanan online umum pada nasabah internet banking | |||
1.1 | Agregasi akun atau privasi dan kerahasiaan | ||
1.1.1 | Memenuhi prinsip-prinsip privasi nasional dan hukum privasi. | Rendah | Nyaman |
1.2 | Jaminan kompensasi kehilangan | ||
1.2.1 | 100% | Tinggi | Nyaman |
1.3 | Informasi tentang keamanan internet/online | ||
1.3.1 | Ancaman: email hoax, scam, phising, spyware, virus, dan trojan | Rendah | Cukup nyaman |
1.3.2 | Keylogger | Tinggi | Cukup nyaman |
1.3.3 | Panduan umum tentang keamanan online | Rendah | Cukup nyaman |
1.3.4 | Peringatan terkait isu keamanan terbaru | Sedang | Cukup nyaman |
1.3.5 | Menyediakan tips | Sedang | Cukup nyaman |
1.4 | Sistem mekanisme keamanan bank | ||
1.4.1 | Perlindungan antivirus | Tinggi | Nyaman |
1.4.2 | Firewall | Sedang | Nyaman |
1.4.3 | Sistem IDS/peringatan | Tinggi | Nyaman |
2. Teknologi autentikasi situs bank | |||
2.1 | Teknologi sertifikat digital dan penerapan enkripsi | ||
2.1.1 | Enkripsi SSL | Rendah | Nyaman |
2.1.2 | Perpanjangan validasi sertifikat SSL | Sedang | Nyaman |
2.1.3 | Penandatanganan CA | Sedang | Nyaman |
3. Teknologi autentikasi situs pengguna | |||
3.1 | Autentikasi 2-faktor untuk login dan/atau verifikasi transaksi | ||
3.1.1 | Perangkat token | Tinggi | Kurang nyaman |
3.1.2 | SMS | Sedang | Cukup nyaman |
3.2 | Persyaratan login | ||
3.2.1 | Nomor kartu bank atau ID nasabah atau alamat email | Rendah | Cukup nyaman |
3.2.2 | Password | Rendah | Cukup nyaman |
3.2.3 | Lainnya, misalnya kode personal atau nomor rahasia | Tinggi | Kurang nyaman |
3.2.4 | Autentikasi 2-faktor | Tinggi | Kurang nyaman |
3.3 | Pembatasan kegagalan login | ||
3.3.1 | Maksimum percobaan dibatasi hanya 3 kali | Rendah | Cukup nyaman |
3.3.2 | Maksimum percobaan dibatasi, namun tidak diketahui batasnya | Rendah | Nyaman |
3.4 | Tipe masukan pengguna ketika login | ||
3.4.1 | Keyboard | Rendah | Cukup nyaman |
3.4.2 | Keypad | Sedang | Nyaman |
3.5 | Pengacakan (scramble) pada keypad masukan on-screen | ||
3.5.1 | ID nasabah | Tinggi | Kurang nyaman |
3.5.2 | Password | Tinggi | Kurang nyaman |
3.6 | Pembatasan/ persyaratan password | ||
3.6.1 | Memberlakukan parameter password yang baik | Sedang | Kurang nyaman |
3.6.2 | Pembatasan panjang password (dalam karakter) | Rendah | Kurang nyaman |
3.6.3 | Kombinasi angka dan huruf | Sedang | Kurang nyaman |
3.6.4 | Kombinasi huruf kapital dan kecil | Sedang | Kurang nyaman |
3.6.5 | Karakter khusus | Tinggi | Kurang nyaman |
3.6.6 | Password berbeda dibandingkan dengan password sebelumnya | Tinggi | Kurang nyaman |
3.6.7 | Otomatis mengecek kekuatan password ketika membuat atau mengubah | Tinggi | Cukup nyaman |
3.7 | Verifikasi transaksi | ||
3.7.1 | Semua transaksi membutuhkan token/SMS | Tinggi | Kurang nyaman |
3.7.2 | Beberapa transaksi memerlukan token/SMS | Sedang | Cukup nyaman |
4. Fitur keamanan aplikasi internet banking lainnya | |||
4.1 | Fitur otomatis timeout ketika tidak aktif | ||
4.1.1 | Maksimum dibatasi 3-10 menit | Sedang | Kurang nyaman |
4.1.2 | Maksimum dibatasi 10-15 menit | Sedang | Cukup nyaman |
4.2 | Informasi logging | ||
4.2.1 | Terakhir login | Sedang | Nyaman |
4.2.2 | Log aktivitas | Sedang | Cukup nyaman |
4.3 | Manajemen sesi | ||
4.3.1 | Sesi token | Tinggi | Cukup nyaman |
4.3.2 | Halaman token | Tinggi | Kurang nyaman |
4.3.3 | Menghapus sesi invformasi cookie setelah logoff atau menutup browser | Tinggi | Kurang nyaman |
C. Kesimpulan
Berdasarkan penjelasan pada bagian Pembahasan tentang urgensi kerahasiaan pada internet banking, persyaratan fungsional/non-fungisonal pada internet banking, dan confidentiality requirement pada internet banking, didapat beberapa kesimpulan sebagai berikut.
Kerahasiaan merupakan salah satu dari tiga faktor utama keamanan yang perlu diperhatikan pada internet banking.
Terdapat persyaratan fungsional maupun non-fungsional pada internet banking.
Persyaratan keamanan merupakan salah satu dari persyaratan non-fungsional pada internet banking, di mana persyaratan tersebut terdiri atas performa, keselamatan, dan keamanan.
Terdapat beberapa fitur pada internet banking yang diperlukan untuk memenuhi persyaratan keamanan pada internet banking.
Confidentiality requirement merupakan salah satu faktor dari persyaratan keamanan di internet banking. Terdapat beberapa konsekuensi yang didapat dalam memenuhi confidentiality requirement, yaitu biaya yang dibutuhkan untuk menerapkan suatu fitur dan kenyamanan nasabah/penggunan internet banking.