SI & PI, M Hasim Rafsanjani, Prof.Dr.Ir.Hapzi Ali,MM,CMA,MPM,Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The Five Trust Service untu keandalan system, Universitas Mercu Buana, 2019
Konsep
dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian
Prinsip-prinsip The Five Trust Service untuk keandalan system
Dosen Pengampu :
Prof.
Dr. Ir. Hapzi Ali, CMA, MM, MPM
Disusun oleh :
M Hasim Rafsanjani
55518120039
PROGRAM MAGISTER AKUNTANSI
UNIVERITAS MERCU BUANA
JAKARTA
2019
1. Konsep
dasar keamanan informasi dan pemahaman serangan
Keamanan informasi dimaksudkan untuk mencapai
kerahasiaan, ketersediaan, dan itegritas di dalam sumber daya informasi
perusahaan.Manajemen keamanan informasi terdiri dari :
1. Perlindungan sehari-hari
disebut Manajemen Keamanan Informasi (Information security management/ISM)
2. Persiapan untuk
mengahdapi operasi setelah bencana disebut Manajemen Kesinambungan Bisnis
(business continuity management/BCM)
Keamanan Informasi menggambarkan usaha untuk
melindungi komputer dan non-peralatan komputer, fasilitas, data, dan informasi
dari penyalahgunaan oleh orang yang tidak bertanggung jawab. Definsi ini
meliputi pengutip, fax mesin, dan semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan Informasi yaitu keamanan informasi di maksudkan untuk mencapai
tiga sasaran utama, yaitu:
1. Kerahasiaan:
melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang
tidak berhak.
2. Ketersediaan:
meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang
yang berhak menggunakannya.
3. Integritas: sistem
informasi perlu menyediakan representasi yang akurat dari sistem fisik yang
direpresentasikan.
Ancaman keamanan informasi adalah seseorang,
organisasi, mekanisme atau peristiwa yang dapat berpotensi menimbulkan
kejahatan pada sumber daya informasi perusahaan. Ancaman dapat berupa internal
atau external, disengaja atau tidak disengaja.
Memahami serangan yang ditargetkan merupakan keamanan
infromasi seperti virus, worm, bencana alam, kegagalan perngkat keras dan
kesalahan manusia yang seringnya merupakan kejadian acak (tidak ditargetkan),
organisasi juga sering sekali menjadi sasaran dari serangan yang disengaja.
Langkah-langkah dasar yang dilakukan para penjahat untuk meneyerang sistem
informasi suatu perusahaan antara lain:
a. Melakukan
pengintaian (conduct reiconnaissance)
Penyerang mempelajari sebanyak mungkin tentang target
serta mengindetifikasi kerentanan potensial.
b. Mengupayakan rekayasa
sosial (attemp social enginerring)
Penyerang menggunakan tipuan untuk mendapatkan akses
tanpa izin terhadap sumber daya informasi.
c. Memindai dan
memetakan target (scan and map the target)
Penyerang melakukan lebih banyak pengintaian
terperinci untuk mengindetifkasi titik-titik potensial entri jarak jauh.
Penyerang menggunakan alat otomatis untuk mengindetifkasi computer yang
dapat di kendalikan jarak jauh serta berbagai jenis perangkat lunak yang mereka
jalankan.
d. Penelitian (research)
Penyerang melakukan penelitian untuk menemukan
kerentanan yang terdeteksi pada program-program serta mempelajari bagaimana
memanfaatkan kerentan tersebut.
e. Mengesekusi
serangan (excute the attack)
Penyerang memanfaatkan kerentanan untuk mendapatkan
akses tanpa izin terhadap sistem informasi target.
f. Menutupi jejak (cover
tracks)
Penyerang berupaya untuk menutupi jejak mereka dan
menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses
jika serangan awal mereka telah diketahui.
2.
Tipe-tipe pengendailan
Langkah proses Pengendalian dengan
proses memantau kegiatan untuk menjamin kegiatan tersebut dilaksanakan seperti
rencana dan mengoreksi setiap penyimapangan yang berati. Proses ini untuk
memastikan bahwa aktivitas sebenarnya sesuai dengan aktivitas yang
direncanakan. Proses pengaturan aktivitas organisasi secara sistematis agar
konsisten dengan ekspetasi yang terdapat dalam rencana, target dan standar
kerja. Tujuan pengendalian yaitu untuk menjamin kegiatan-kegiatan diselesaikan
dengan cara-cara yang membawa pada tercapainya sasaran organisasi. Proses
pengendalian meliputi tiga tahap:
1. Mengukur kinerja yang
sebenarnya.
2. Membandingkan kinerja
sebenernya dengan standar
3. Mengambil tindakan
manajerial untuk membetulkan penyimapangan atau standar yang tidak memadai.
Langkah proses pengendalian internal dengan penetapan
standar satuan pengukuran yang dapat digunakan sebagai patokan untuk penilaian
hasil-hasil. Tiga bentuk standar umum:
1. Standar phisik:
kuantitas barang atau jasa, jumlah pelanggan
2. Standar moneter:
ditujukkan rupiah dan mencangkup biaya tenaga kerja, biaya penjualan, laba
pendapatan.
3. Standar waktu:
kecepatan produksi atau batas waktu suatu pekerjaaan.
3.
Prinsip-prinsip The Five Trust
Trust Services Framework mengatur
pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan
terhadap kendala sistem:
1. Keamanan (security)
adalah akses (baik fisik mapupun logis) terhadap sistem dan data didalamnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality)
adalah informasi keorganisasian yang sensitif terlindungi dari pengungkapan
yang tanpa izin.
3. Privas (privacy) adalah
informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya
dikumpulkan, digunakan, diungkapkan dan di kelola sesuai dengan kepatuhan
terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi
dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan
(processing integrity) adalah data proses secara akurat, lengkap, tepat
waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability)
adalah sistem dan informasinya yang tersedia untuk memenuhi kewajaiban
operasional dan kontraktual.
MOBILE PAYMENT DALAM
SISTEM PEMBAYARAN DI INDONESIA (Bank Indonesia)
Pada umumnya, m-payment dapat
didefinisikan sebagai perangkat yang memungkinkan pengguna untuk melakukan pembayaran
dengan menggunakan perangkat mobile termasuk handset nirkabel, personal
digital assistant (PDA), perangkat frekuensi radio (RF), dan perangkat
berbasis komunikasi (Dewan dan Chen, 2005). M-payment dapat digunakan
untuk berbagai transaksi pembayaran termasuk transportasi, hotel, restoran, dan
bioskop. Salah satu kendala terkait dengan m-payment di pasar saat ini
adalah terbatasnya penjelasan dan definisi yang ada di dunia industri.
Sejauh ini, perbedaan definisi antara m-payment, m-banking, dan fungsi
pembayaran lainnya yang dapat dilakukan melalui telepon seluler masih dirasa
membingungkan. Terdapat beberapa jenis transaksi yang dapat dilakukan melalui
penggunaan ponsel sebagai berikut.
· Mobile
Order, yaitu transaksi dengan menggunakan ponsel untuk melakukan pemesanan,
tetapi tidak untuk melakukan pembayaran.
· Mobile
Payment, yaitu suatu pembayaran (transfer dana sebagai imbalan atas
barang atau jasa) dengan menggunakan ponsel untuk
melaksanakan dan mengonfirmasi pembayaran, serta dapat dilakukan di berbagai
lokasi.
· Mobile
Delivery, yaitu transaksi dengan menggunakan ponsel hanya untuk
menerima pengiriman barang atau jasa, misalnya tiket acara,
tetapi tidak untuk melakukan pembayaran.
· Mobile
Authentication, yaitu penggunaan ponsel untuk autentikasi pengguna,
baik sebagai bagian dari transaksi pembayaran maupun
untuk memberikan akses ke beberapa informasi atau fungsi.
·
Mobile Banking, yaitu akses ke fungsi perbankan (query +
transaksi) melalui ponsel, termasuk penyediaan sebagian atau seluruh
fungsi perbankan yang telah disediakan oleh bank melalui internet dalam
bentuk online banking.
Perkembangan Teknologi dan
Implikasi terhadap Risiko
Operasi dan keberhasilan m-payment
terkait erat dengan teknologi. Dalam konteks ini sangat penting untuk
memahami sifat dan batas-batas dari teknologi ini. Tiga teknologi inti yang
digunakan dalam pengembangan pembayaran melalui ponsel meliputi internet, SMS,
dan NFC (near field communication).
Perkembangan Teknologi Contactless
Teknologi contactless digunakan
secara umum dalam kehidupan sehari-hari. Misalnya, hampir seluruh kartu akses
kantor menggunakan teknologi contactless; pintu keamanan kantor ritel
yang akan berbunyi jika objek melewati mesin pemindai ketika tag keamanan
masih terpasang. Teknologi contactless ini dapat dibagi menjadi dua
kategori:
1. Vicinity (Daerah
Sekitar)
Teknologi ini menawarkan jarak
pindai maksimum 1 sampai 1,5 meter (3 sampai 5 kaki). Contohnya, di daerah
sekitar contactless yang memerlukan kontrol akses, pengguna tidak
diharuskan untuk mengambil perangkat akses dari dompet,
tas, ataupun media penyimpanan lainnya karena proses pindai dapat dilakukan
pada jarak yang jauh sekalipun tanpa harus bersentuhan langsung.
2. Proximity (Kedekatan)
Teknologi ini memiliki jarak
pindai jauh lebih kecil, biasanya hanya sekitar 7,5 cm (3 inci) untuk
kebanyakan kasus. Jarak pindai kecil pada teknologi
ini digunakan dalam aplikasi sehari-hari
seperti kartu akses kantor. Identifikasi dengan menggunakan frekuensi radio
atau RFID ini sangat umum digunakan pada teknologi contactless. RFID
digunakan secara luas di berbagai bidang, seperti produk pelacakan,
paspor, identifikasi hewan, dan perpustakaan. Namun, kelemahan pada RFID ada
pada standar komunikasi dari kode untuk pembaca.
Kelemahan ini telah diperbaiki
pada tahun 1990 oleh Philips dan Sony. Kedua perusahaan ini bersama-sama
mengembangkan standar untuk komunikasi dua arah contactless. Standar ini
disebut near field communication (NFC) yang diperkenalkan pada tahun
1990-an dan telah disertifikasi oleh organisasi ISO pada tahun 2003. Sejak saat
itu, NFC menjadi sebuah standar umum untuk komunikasi dua arah menggunakan
teknologi contactless.
Penggunaan Teknologi NFC
dalam M-Payment
Seiring dengan perkembangan
komunikasi dua arah contactless, terdapat teknologi terbaru mengenai
transfer data dengan cepat dan aman, yaitu melalui enkripsi. Hal terpenting
dalam perkembangan komunikasi dua arah adalah kecepatan transfer
data yang cepat dan aman agar dapat digunakan dalam pembayaran. Perkembangan
teknologi ini menyebabkan pertumbuhan yang besar dalam penggunaan teknologi contactless
yang digunakan untuk transaksi pembayaran. Namun, karena teknologi NFC
memerlukan komunikasi interaktif dua arah, diperlukan perangkat komunikasi yang
memungkinkan pengguna layanan dapat melakukan komunikasi dua arah, yang dalam
hal ini dapat diakomodasi oleh telepon seluler.
NFC sering dibandingkan dengan bluetooth.
Namun, NFC dinilai lebih unggul daripada bluetooth untuk digunakan dalam
layanan pembayaran karena menawarkan jaringan yang lebih cepat antarperangkat,
memiliki jarak yang lebih pendek, dan membuatnya lebih aman untuk digunakan di
tempat umum. Selain itu, NFC tetap dapat digunakan apabila baterai pada perangkat
komunikasi tersebut habis atau dimatikan, sementara bluetooth tidak
dapat digunakan dalam kondisi tersebut.
Masalah Keamanan NFC.
Beberapa permasalahan yang
ditemukan oleh pengguna pada m- payment yang berbasis NFC di antaranya
adalah sebagai berikut.
1. Gangguan terhadap
proses pembayaran:
Penyalahgunaan akses (reader
attack), yaitu dengan memodifikasi telepon seluler sehingga dapat
mengakses sistem atau jaringan NFC pada ponsel seseorang. Hal ini
menginformasikan bahwa pihak yang tidak berwenang dapat memiliki akses masuk ke
ponsel pada periode waktu tertentu. Karena jumlah aplikasi untuk ponsel NFC
masih sangat terbatas, metode penyalahgunaan ini belum secara luas
digunakan dalam tindak kejahatan.
2. Komunikasi NFC muncul dalam
dua model:
·
Model komunikasi pasif, yaitu perangkat inisiator (label) memungkinkan
operator lapangan dan perangkat target untuk menjawab (telepon) sesuai dengan
prosedur lapangan yang ada. Dalam model ini, perangkat target (ponsel) dapat
menarik listrik pada saat operasi, sedangkan label medan elektromagnetik
memungkinkan pembayaran NFC ketika sumber energi mesin pembaca habis.
·
Model komunikasi aktif, yaitu baik inisiator (label) maupun
target (ponsel) berinteraksi secara bergantian dan menghasilkan area
mereka sendiri. Keduanya, baik label maupun telepon, tetap membutuhkan power
supply.
Penggunaan Teknologi Short
Messaging Service (SMS) dalam M- Payment
SMS memiliki tiga karakteristik
penting dalam aplikasi pembayaran, yakni:
· Store
and Forward: pesan teks dikirim dari ponsel pengirim untuk operator.
Ketika telepon penerima yang dimaksud tersedia untuk pesan ini, pesan menjadi
diterima, lalu operator mengirimkan pesan ini melalui penerima. Sering kali,
ada maksimal waktu yang dibutuhkan operator memegang pesan untuk pengiriman
dalam kasus telepon penerima dimatikan, baterai datar, atau telepon tidak
memiliki jangkauan.
·
Kurangnya enkripsi: SMS dikirim sebagai teks saja.
·
Kurangnya bukti pengiriman: bukti pengiriman bukan merupakan bagian dari
SOP layanan SMS. Perlu disebutkan bahwa kebanyakan SMS dalam mobile payment memberikan
bukti pengiriman, meskipun ini menyebabkan meningkatnya biaya dan tidak
ekonomis jika ditransfer dalam jumlah kecil.
Kombinasi dari ketiga faktor
tersebut membuat SMS tidak cocok untuk digunakan dalam pembayaran yang
berbentuk aplikasi. SMS dapat digunakan dan digunakan secara luas, tetapi hanya
untuk mentransfer inisiasi pesan untuk proses pembayaran.
Masalah Keamanan SMS
Short Message Service adalah
layanan data yang paling populer ditawarkan oleh operator jaringan selular dan
paling banyak digunakan untuk m-payment. Perangkat ponsel dapat saling
bertukar data melalui pusat layanan pesan singkat (SMSC) dengan mengirimkan dan
menerima pesan SMS standar yang diidentifikasi oleh mobile subscriber
internasional identity (IMSI).
Untuk memenuhi sebuah sistem
pembayaran yang aman, ponsel harus memiliki karakteristik sebagai berikut.
· Kerahasiaan: rahasia
informasi harus diamankan dari pihak, proses, atau perangkat
yang tidak berwenang. Untuk SMS rahasia, informasi disimpan di agen terakhir.
· Autentikasi: menjamin
pihak untuk dapat mengakses ke transaksi yang tepercaya. Untuk layanan
informasi tagihan, SMS sangat rawan terhadap tindak kejahatan karena jika
perangkat mobile dicuri, pencuri dapat menyalahgunakan informasi tagihan
tersebut untuk kepentingannya, sampai rekening tersebut diblokir.
· Integritas: informasi
dan sistem belum disesuaikan atau terjadi kerusakan yang
disebabkan oleh pihak luar. Memodifikasi pesan SMS sangat mungkin dilakukan,
meskipun hal ini jarang dilakukan. Data yang tidak
dikirim secara enkripsi,membuat data mudah diketahui dan terjadinya manipulasi
data lebih mudah.
· Otorisasi: verifikasi
bahwa pengguna diperbolehkan untuk melakukan transaksi yang diminta.
Setelah penagihan SMS, selanjutnya diperlukan proses otorisasi dengan PIN yang
berbasis sistem pembayaran SMS.
· Ketersediaan: sistem
harus dapat diakses bagi pengguna yang memiliki wewenang kapan pun dan di
mana pun. Untuk sistem pembayaran berbasis SMS, aspek ini baik untuk dilengkapi
bahwa selama pengguna menerima konfirmasi di telepon selulernya, seseorang
dapat membayar melalui SMS. Untuk pembayaran P2P, perangkat mobile dari
penerima harus memenuhi dua kriteria yang disebutkan sebelumnya, ditambah
kriteria bahwa penerima harus memiliki perangkat selular yang
diaktifkan untuk menyelesaikan transaksi (prinsip store-and-forward).
Unstructured Suplementary
Service Data (USSD) sebagai Tegnologi yang Digunakan dalam M-Payment
USSD (unstructured
suplementary service data) merupakan layanan yang terkait dengan layanan
telepon real-time atau pesan instan. USSD merupakan standar untuk
transmisi informasi melalui saluran sinyal GSM. Saat ini, USSD
banyak digunakan sebagai metode untuk mengetahui query saldo dan
layanan informasi serupa lainnya di layanan prabayar (prepaid) GSM.
Strategi Antisipasi Risiko M-Payment
Transaksi m-payment dapat
menimbulkan risiko ketika beberapa pihak terlibat dalam melakukan pelayanan
pembayaran secara bersama- sama. Hal ini diperparah jika layanan yang
diserahkan kepada pihak ketiga ternyata berpotensi tidak diatur dengan
pengaturan dan pengawasan yang jelas. Hal itu menyebabkan lingkungan transaksi
multipartai secara kondusif dapat dieksploitasi oleh pihak tidak
berwenang dengan memanfaatkan kelemahan teknologi dan sosiologis jika mekanisme
perlindungan yang sesuai dengan pengawasan yang tepat tidak diterapkan pada
ekosistem m-payment.
Financial, payment, and
network service providers (FSPs, PSPs, NSPs) harus menerapkan pengamanan
yang memadai serta privasi dan keamanan program pemerintah. Ada risiko yang
muncul dari penyalahgunaan oleh pengguna resmi seperti pencucian uang dan
risiko penggunaan ilegal. Risiko terakhir mungkin memerlukan
dukungan dari undang-undang baru yang akan berkembang untuk memastikan
perlindungan telah berjalan secara memadai.
Faktor lain yang penting untuk
dipertimbangkan adalah klasifikasi data selama transmisi dan penyimpanan data.
Organisasi terkait harus mengidentifikasi data yang dianggap pribadi dan
sensitif serta harus memastikan pula bahwa mekanisme berfungsi pada tempatnya.
Juga dalam kasus data keuangan, sebuah aspek yang sangat penting (selain
dari enkripsi) adalah masalah integritas data sehingga organisasi terkait
harus mempertimbangkan hal ini.
Hal sama penting yang perlu
dipertimbangkan adalah sistem POS dalam kasus proximity payment.
Organisasi terkait harus memastikan bahwa pihak ketiga yang berinteraksi
memiliki keamanan proyek tata kelola yang kuat. Selain itu, perhatian tertentu
juga harus diberikan kepada trusted service manager (TSM),
entitas yang bertindak sebagai "personal" chip TSM
kompatibel pada vendor yang disediakan perangkat seluler. Dalam lingkungan platform
lintas kolaboratif, program pengendalian risiko organisasi harus memiliki
fokus yang kuat pada pengelolaan layanan pihak ketiga.
Akhirnya, perhatian tertentu
harus diberikan pada perangkat transaksi baik pelanggan selular dan pengguna.
Pengguna harus dididik untuk memahami risiko yang sesuai. Manufaktur perangkat
selular seharusnya tidak hanya bekerja sama dengan industri pembayaran untuk
pengembangan platform yang menjamin lingkungan yang aman untuk melakukan
transaksi mobile, tetapi juga untuk pengoperasian lintas antara model
telepon pintar (smartphone) yang berbeda oleh pengguna cenderung sering
diubah atau diperbaharui. Ketentuan batas layanan interoperable yang
aman adalah sangat penting untuk keberhasilan m-payment.
Peraturan Bank Indonesia
tentang M-Payment
Terkait dengan m-payment, di
Indonesia mengacu pada Peraturan Bank Indonesia tentang Uang Elektronik (E-Money)
No. 11/12/PBI/2009 tanggal 13 April 2009. Dalam peraturan tersebut
ditegaskan bahwa karena perkembangan alat pembayaran berupa uang elektronik
yang sebelumnya diatur sebagai kartu prabayar tidak hanya diterbitkan dalam
bentuk kartu, tetapi juga telah berkembang dalam bentuk lainnya; dan karena
perkembangan teknologi informasi dan komunikasi, alat pembayaran berupa
uang elektronik yang diterbitkan oleh bank dan lembaga selain bank saat ini
semakin berkembang. Oleh karena itu, dikeluarkanlah peraturan tentang e-money
tersebut.
Daftar Pustaka
Ali, Hapzi,
2019. Modul sistem Informasi & Pengendalian Internal Mercu Buana (18
April 2019 Jam 11.00)
Romney,
Marshall B., dan Paul John Steinbart, 2008, Accounting Information System .
Global Edition
Untoro,Komala
Dewi. 2013. Pemetaan Produk dan Risiko Pembayaran Bergerak (Mobile Payment)
Dalam Sistem Pembayaran di Indonesia. https://www.bi.go.id/Pemetaan
Produk dan Risiko Pembayaran Bergerak-revisi-final Juni-2-2013. (di akses 18
April 2019, Jam 18.00)
Komentar
Posting Komentar