Dewasa ini infrastruktur Information
Technology (IT) semakin banyak
digunakan oleh perusahaan-perusahaan baik kecil, menengah maupun besar.
Manfaat dan keuntungan menggunakan IT sebagai backbone dalam menjalankan bisnis semakin terasa keampuhannya,
terutama dalam menghadapi turbulensi persaingan bisnis yang semakin dinamis. Kini IT backbone telah menjadi
salah satu senjata
kekuatan bersaing, tanpa dukungan
infrastruktur IT yang memadai sulit bagi suatu unit usaha berkembang dan bertumbuh secara meyakinkan, baik itu di sektor keuangan maupun sektor non keuangan.
Pada sektor keuangan, khususnya industri perbankan, persaingan berada pada
red ocean market, dimana
terdapat 122 bank komersil dengan
12,500 kantor tersebar di Indonesia (SPI-BI
Mei 2009). Industri perbankan merupakan industri yang padat dengan muatan IT, dimana bank beroperasi menyediakan layanan non stop
24 jam sehari dan 7 hari seminggu,
sepanjang tahun. Semua operasional perbankan tidak bisa terlepas
dari peran IT sebagai penyokong kegiatan operasional sehari-hari dari sebuah
Bank. Contoh paling sederhana adalah penggunaan mesin ATM, dimana mesin ini mempermudah nasabah dalam melakukan transaksi
seperti pengambilan uang tunai,
pengecekan saldo, pengiriman uang, pembayaran rekening
listrik, kartu kredit,
pembelian pulsa, dan lain-lain
tanpa perlu mengantri di depan
teller.
Mengingat begitu besarnya peran IT dalam
perbankan, tidaklah berlebihan bila kebutuhan akan manajemen IT yang handal, khususnya
dalam menjaga kualitas dan ketersedian layanan IT pada Bank menjadi sangat signifikan. IT sebagai
sentral pengelolaan proses bisnis
memerlukan
suatu wadah interaksi
yang cepat, efisien, dan dapat diandalkan oleh unit-unit lain dalam
lingkup bank. Demikian juga dengan unit bisnis lain diluar
perbankan, pemanfaatan IT seyogianya dapat dimaksimumkan manfaatnya sehingga proses bisnis dapat menjadi lebih cepat, tepat waktu (reliable),
nyaman dan efisien.
Pada umumnya
didalam suatu perusahaan memiliki unit atau
divisi dalam menangani
infrastruktur IT. Adakalanya
ketersediaan infrastruktur IT belum dapat dimaksimalkan, bahkan
kesesuaian infrastruktur dengan kepentingan bisnis
belum selaras yang dapat berakibat pada tingkat efisien dan efektivitas sistem IT tidak optimal. Untuk menghindari
ketidak sesuaian antara proses bisnis
dengan ketersediaan infrastruktur IT, dibutuhkan suatu sarana yang dapat dihandalkan keakuratan penggunaanya. Salah
satu sarana yang dapat digunakan
adalah Information Technology
Infrastructure Library (IT-IL),
sarana ini dapat
digunakan sebagai best practice dalam
menyelaraskan proses
IT Operation dengan kepentingan bisnis bank. Berkaitan dengan paparan sebelumnya, maka
adalah suatu hal yang menantang untuk mengukur dan menganalisis faktor-faktor apa saja yang membuat sarana IT-IL dapat meningkatkan
kualitas layanan IT.
IT-IL sendiri memiliki beberapa
proses diantaranya adalah The
Business Perspective, ICT Infrastructure Management,
Planning to Implement Service Management, Application Management, Security Management, Service
Management. Khusus untuk IT Service
Management (ITSM) adalah sebagai kerangka kerja (framework)
untuk mengelola infrastruktur TI di suatu perusahaan, dan mengatur layanan terbaik bagi penggunaan
layanan TI. Dengan kata lain, konsep ITSM muncul sejalan
dengan makin meningkatnya ketergantungan dan kebutuhan perusahaan pada IT untuk
mencapai tujuan strategis. Di dalam ITSM
itu sendiri, salah satunya terdapat
fungsi Service Desk dan proses Problem
Management yang dapat menjadi landasan pengintegrasian manajemen IT dan
mendukung layanan perusahaan secara umum dan
layanan IT secara khusus.IT Service Desk sebagai antarmuka antara user dengan
IT merupakan solusi terbaik dalam efisiensi
manajemen IT. IT Service
Desk yang menjadi Single Point of Contact (SPOC) dalam
manajemen IT
diharapkan mampu menjawab
desakan dunia bisnis yang ketat dan membutuhkan infrastruktur IT yang baik, serta menjadi lapisan terdepan dalam
memberikan layanan IT pada user.Dengan menjalankan fungsi SPOC, IT Service Desk dapat menjadikan segala permasalahan IT selalu termonitor dan terkontrol. Untuk dapat menangani setiap permasalahan dari user, penting bagi IT Service Desk untuk berkoordinasi dengan Problem Management. Dengan adanya kerja sama yang baik diantara
keduanya, diharapkan sistem
yang terintegrasi, dan administrasi
yang baik akan menjadi
landasan yang kuat bagi pembangunan
IT di masa yang akan datang.alam riset ini pembahasan
terbatas pada dampak penerapan IT Service Desk tehadap kinerja IT
dilihat dari perspektif user, dalam hal ini dilakukan di Bank CIMB Niaga
B. Cyber Crime
Masalah cyber crime
dalam dunia perbankan kini kembali menjadi pusat perhatian. Kejahatan dunia
maya (Inggris : cyber crime) adalah istilah yang
mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer
menjadi alat, sasaran atau tempat terjadinya kejahatan. Termasuk ke dalam
kejahatan dunia maya antara lain adalah penipuan lelang secara online,
pemalsuan cek, penipuan kartu kredit/carding, confidence fraud, penipuan
identitas, pornografi anak, dan lain-lain. Sebab muncul pola-pola baru
dari cyber crime perbankan yang bermotif ekonomi. Jika dulu
pelakunya mengincar barang-barang mahal dan langka, kini berupa uang. Meski
sudah banyak pelakucyber crime perbankan yang ditangkap dan
dijatuhi hukuman penjara, nyatanya praktik kejahatan itu masih marak dengan
cara yang beraneka. Kejahatan duniamaya sudah meresahkan masyarakat, termasuk
dunia perbankan. Kejahatan dunia maya di Indonesia sudah sangat terkenal. Terus
berkembangnya teknologi informasi (TI) juga membuat praktik cyber crime,
terutama carding, kian canggih.
Carding adalah bentuk
cyber crime yang paling kerap terjadi. Maka, tak heran jikadalam kasuscredit
card fraud, Indonesia pernah dinobatkan sebagai negara kedua tertinggi
didunia setelah Ukraina. Saat ini terjadi pergeseran pola carding. Kalau
dulu mereka lebihmengincar barang-barang yang mahal dan langka, kini uang yang
dicari. Misalnya, kini marak carding untuk perdagangan saham
secara online. Pelaku carding dari Indonesia
berfungsi sebagai pihak yang membobol kartu kredit, dan hasilnya digunakan oleh
mitranya di luar negeri untuk membeli saham secara online. Keuntungan
transaksi itu kemudian di transfer ke sebuah rekening penampungan, yang
kemudian dibagi lagi ke rekening anggota sindikat.
Setelah isu carding mereda,
kini muncul bentuk kejahatan baru, yakni pembobolan uang nasabah melalui ATM
atau cracking sistem mesin ATM untuk membobol dananya.
Kepercayaan terhadap perbankan tidak hanya terkait dengan keamanan simpanan
nasabah dibank tersebut, tetapi juga terhadap keamanan sistem dan prosedur,
pemanfaatan teknologiserta sumber daya manusia dalam memberikan pelayanan
kepada nasabah. Salah satu aspek risiko yang hingga kini belum banyak
diantisipasi adalah kegagalan transaksi perbankan melalui teknologi
informasi (technology fraud) yang dalam risiko perbankan masuk
kategori sebagai risiko operasional.
Awas, Penipuan via Chatroom !!!
Suatu ketika, saya
ditanya oleh seorang rekan saya di Asian Wall Street Journal, “apakah
benar kini tingkat aktifitas carding di Indonesia sudah menurun?”.
Carding adalah aktifitas pembelian barang di Internet menggunakan kartu
kredit bajakan. Dia bertanya lantaran informasi dan data yang dia terima memang
seperti itu. Saya sempat ragu menjawabnya, sebab untuk tahun lalu, Indonesia
berada pada posisi ke-2 teratas sebagai negara asal carder (pelaku carding)
terbanyak di dunia, setelah Ukraina. Posisi tersebut merupakan hasil riset
dari Clear Commerce Inc, sebuah perusahaan teknologi informasi
(TI) yang berbasis di Texas, AS.
Sejurus kemudian
saya mulai mengingat-ingat modus operandi para carder dan
aktifitas dichatroom pada umumnya. Lalu saya jawab ke rekan saya
tersebut, “kalau berdasarkan data statistik memang ada penurunan
aktifitas carding, tetapi tren tersebut lantaran adanya pergeseran modus
operandi,”. Saat itu, saya sendiri tidak terlalu yakin, ke arah
mana pergeseran tersebut. Saya hanya yakin bahwa aktifitas tindak kriminal
di chatroom itu seolah-olah menganut hukum kekekalan energi,
yaitu tidak akan hilang tetapi hanya berubah wujud.
Sampai kemudian saya bersama
dengan tim ICT Watch yang lain melakukan observasi lapangan ke
beberapa chatroom carder serta menganalisa arsip e-mail dan
log chatroom yang telah lama. Hasil observasi yang dilakukan
sepanjang Maret 2003 tersebut menunjukkan kenyataan bahwa memang ada pergeseran
modus operandi yang cukup signifikan dalam aktifitas ilegal di chatroom,
khususnya dalam komunitas carder.
Observasi Lapangan
Pada awalnya, chatroom memang
sekedar sebuah media bagi para carder untuk bertukar data
kartu kredit bajakan dan berjual-beli barang hasil carding. Tetapi,
setelah banyak merchant diInternet yang enggan mengirimkan paket
mereka ke Indonesia, maka banyak carder yang mulai kesulitan melakukan carding.
Karena “kepepet” dan terbiasa mendapatkan uang secara mudah,
kemudian mereka menggeser modus operandi mereka di chatroom yaitu dengan
melakukan satu jenis penipuan yang belum banyak terungkap kasusnya di
Indonesia. Mereka “seolah-olah” ingin menjual atau melepas
barang-barang elektronik, semisal telepon selular (ponsel) ataupun notebook,
yang didapatnya dari hasil melakukan carding.
Para carder atau
penjual tersebut akan menawarkan dagangannya melalui chatroom dengan
keunggulan tertentu semisal “the package not even opened” (barang
baru dan dus belum pernah dibuka) serta “cool prizes” (harga
sangat murah dan bisa ditawar). Contohnya, sebuah notebook merek Sony
VAIO yang harga aslinya mencapai Rp 15 juta, ditawarkan hanya senilai
Rp 4 juta hingga Rp 5 juta saja. Kemudian ponsel Nokia seri
terbaru yang harga aslinya masih Rp 6 juta, ditawarkan senilai Rp 1 juta hingga
Rp 2 juta saja.
Aksi promosi para penjual
tersebut tidak pernah dilakukan di chatroom umum. Para
penjual, termasuk para penipu, melakukan aksinya di chatroom khusus
para carder. Ada banyak sekalichatroom carder, dengan
puluhan hingga ratusan pengunjung perharinya. Di dalam chatroom tersebut,
akan sangat mudah kita dapatkan beratus nomor kartu kredit bajakan, lengkap
dengan data pemilik serta fasilitas pengecekan 3 (tiga) digit rahasia CVV2 yang
hanya terdapat di bagian belakang kartu kredit dan tidak timbul (embossed).
Tentu saja dengan
keunggulan yang ditawarkan oleh penjual tersebut, para pengunjung chatroomakan
mudah tergiur. Kemudian pengunjung yang tertarik, atau tepatnya calon pembeli,
akan melakukan private message ke nickname penjual
tersebut untuk melakukan negosiasi harga. Jika telah tercapai kesepakatan, maka
si penjual tersebut akan meminta kepada si calon pembeli/korban untuk
mengirimkan sejumlah uang sebagai tanda jadi atau sebagai uang muka atau
sebagai ongkos kirim. Besarnya relatif, dari sekitar Rp 500 ribu (US$
50) hingga Rp 1 juta (US$ 100).
Jika calon pembeli
sepakat, maka penjual akan bertukar alamat e-mail dan MSN
Messanger atauYahoo Messanger dengan calon pembeli, guna
kontak lebih lanjut dan untuk bertukar alamat domisili masing-masing. Gunanya
alamat domisili tersebut adalah untuk alamat pengiriman uang dan alamat
pengiriman barang. Selanjutnya, penjual akan meminta kepada calon pembeli untuk
segera menghubungi dirinya melalui e-mail apabila uangnya
telah dikirimkan, dengan tujuan agar dirinya bisa segera mengirimkan barang
yang dipesan.
Celakanya, setelah
uang tersebut dikirimkan, barang yang dinanti tak kunjung datang. Maka si calon
pembeli tersebut pun menjadi korban penipuan si penjual tersebut.
Jika penipuan telah
terjadi, posisi korban sangatlah sulit. Korban tidak dapat atau enggan
melaporkan kasus penipuan tersebut kepada aparat penegak hukum karena transaksi
yang dilakukannya adalah transaksi atas barang yang ilegal, sehingga tidak
dapat dilindungi oleh hukum. Selain itu korban akan kesulitan mengidentifikasi
penipunya, karena transaksi yang dilakukannya melalui Internet dan
tanpa bukti otentik hitam di atas putih. Faktor lainnya adalah belum banyaknya
pihak aparat penegak hukum yang mengetahui seluk-beluk Internet, termasuk
modus operandi penipuan melalui chatroom tersebut.
Untuk lebih
meyakinkan dan membuktikan analisa di atas, dalam satu kesempatan, tepatnya
pada minggu ke-4 Maret 2003, tim ICT Watch sepakat
untuk benar-benar melakukan negosiasi dan transaksi dengan salah seorang
penjual di chatroom #thacc pada
server DALnet. Penjual yang menggunakan nickname “tuyulcarder”
tersebut menawarkan sebuah notebook Sony dan sebuah ponselNokia.
Melalui private message penjual tersebut mengaku dirinya saat
itu sedang berada di kota Salatiga. Padahal berdasarkan analisa tim ICT
Watch pada log chatroom, penjual tersebut sebenarnya
menggunakan akses Internet di warnet Intersat di
bilangan jalan Adisucipto - Jogja.
Meskipun
demikian, tim ICT Watch terus melakukan negosiasi
melalui chatting dan dilanjutkan dengan menghubungi ponselnya.
Kemudian penjual tersebut menyatakan bahwa dirinya sendiri yang akan
mengantarkan barang pesanan tersebut ke Jakarta pada keesokan harinya. Kemudian
dia meminta untuk ditransfer sejumlah dana ke rekeningny di Bank BCA sebagai
uang muka. Maka tim ICT Watch melakukan transfer sejumlah dana
melalui fasilitas KlikBCA ke rekeningnya di Bank BCA dengan 3
digit awal nomor rekening tersebut adalah “456”, dengan
inisial pemilik rekening tersebut adalah “BMEH”.
Akhirnya
perkiraan tim ICT Watch terbukti, lantaran setelah dana
tersebut ditransfer, barang pesanan tak kunjung diantarkan walaupun telah
ditunggu hingga beberapa hari kemudian. Ponsel milik penjual tersebut pun
menjadi tidak dapat dihubungi sama sekali.
Lima Fakta Menarik :
Ada 5 (lima)
fakta menarik lainnya yang berhasil ditemukan tim ICT Watch saat
melakukan observasi langsung ke beberapa chatroom carder di
server DALnet, yaitu:
- Beberapa penjual akan meminta calon pembeli untuk melakukan transfer ke sebuah alamat tujuan di negara Rumania, Bulgaria bahkan India. Transfer tersebut selalu diminta melaluiWestern Union (WU). Para penjual akan mencoba meyakinkan calon pembeli/korban bahwa dirinya tidak akan dapat mengambil uang yang ditransfer melalui WU tanpa adanya Money Transfer Control Number (MTCN) yang dipegang oleh pengirim uang. Padahal, menurut informasi yang diperoleh ICT Watch, tidak semua negara mengharuskan para pengambil uang diWU harus menyebutkan MTCN.
- Selain itu, para penjual umumnya menggunakan bahasa Inggris. Walaupun demikian, dari hasil analisa log chatroom, terdapat sejumlah kejanggalan pada percakapan yang terjadi. Misalnya, ada kesan “copy-paste” terhadap jawaban dari penjual, penjual selalu terburu-buru ingin menyelesaikan negosiasi dan terkadang ada aksen-aksen bahasa Indonesia yang terselip ditengah percakapan.
- Yang menarik adalah keberadaan penjual yang menggunakan nickname asing, berbahasa Inggris serta menyebutkan alamat tujuan pengiriman uang ke Rumania, tetapi alamat Internet Protocol (IP) yang digunakannya adalah alamat IP milik Internet Service Provider (ISP)Centrin di Indonesia yaitu 202.146.226.xxx. Ada pula seorang penjual, yang lagi-lagi berbahasa Inggris, menyatakan dirinya berdomisili di Malaysia, tetapi beralamat IP milik kampus ITB - Bandung.
- Kemudian ada indikasi pula bahwa modus operandi penipuan melalui chatroom ini telah menggunakan konsep “agen” ataupun “sindikat”. Pasalnya, ditemukan fakta bahwa terdapat 2 (dua) atau lebih penjual yang berbeda, dibuktikan dengan IP yang berbeda serta secara terpisah melakukan negosiasi dengan ICT Watch dalam waktu yang bersamaan, menyebutkan sebuah alamat pentransferan dana di Rumania yang sama persis. Anehnya lagi, salah seorang dari mereka menggunakan IP Centrin.
- Fakta lain adalah kini ada semacam “keberanian” dari para penjual untuk bertransaksi, khususnya pada hal pentransferan dana yang sudah mulai banyak menggunakan bank dalam negeri semisal BCA, Lippo Bank ataupun Bank Mandiri. Meskipun demikian, para penjual tersebut tetap berusaha untuk mengaburkan identitas jati dirinya, dengan melakukan IP-spoofing dan/ atau menggunakan warung internet (warnet) saat melakukan aksinya.
Berdasarkan pada
temuan fakta di lapangan tersebut, maka memang benar bahwa aktifitascarding secara
kuantitatif mengalami penurunan. Penurunan tersebut tidak secara otomatis
menunjukkan keberhasilan dari pihak yang berwenang dalam mengatasi carding,
tetapi lebih disebabkan karena adanya pergeseran modus operandi kejahatan
melalui chatroom dan enggannya korban melapor ke aparat
penegak hukum.
*) Penulis
adalah Koordinator ICT Watch dan jurnalis TI independen. Dapat
dihubungi melalui e-mail donnybu@ictwatch.com. Tulisan ini
pernah dimuat oleh majalah Bisnis Komputer, Oktober 2003. Tulisan ini bebas
dikutip asal menyebutkan sumbernya.
Opini/ Solusi:
Untuk
mengantisipasi berbagai permasalahan yang terkait dengan keamanan sistem informasi,
maka perlu diimplementasikan suatu kebijakan dan prosedur pengamanan yang
mencakup :
- Identifikasi sumber-sumber dan aset-aset yang akan dilindungi.
- Analisa kemungkinan ancaman dan konsekuensinya.
- Perkirakan biaya atau kerugian-kerugian yang dapat ditimbulkan.
- Analisa potensi tindakan penangkal dan biayanya serta kerugian lainnya.
- Mekanisme pengamanan yang sesuai.
- Perlu adanya suatu ketentuan yang mengatur perbankan nasional yang memiliki pusat penyimpanan, pemrosesan data atau informasi dan transaksi perbankan yang letaknya diluar negeri.
- Perlu dibentuk sebuah unit kerja khusus atau divisi Pengamanan – Pencegahan kejahatan perbankan di dalam struktur Bank/ Bank Indonesia yang fungsinya untuk melakukan penerapan kebijakan pengamanan sistem, melakukan penelitian untuk pencegahan terhadap ancaman/ kejahatan yang sudah ada maupun yang mungkin terjadi dan melakukan tindakan recovery serta pemantauan transaksi perbankan selama 24 jam.
- Bank Indonesia perlu melakukan audit terhadap sistem teknologi informasi dankomunikasi yang dilakukan oleh perbankan untuk setiap kurun waktu tertentu.
- Memperketat/ mengendalikan dengan cermat akses nasabah maupun pegawai ke jaringan sistem ICT perbankan, agar seluruh pegawai perbankan mengetahui bahwa mereka juga di pantau.
- Perlu adanya ketentuan (Peraturan atau UU) agar perbankan bertanggung jawab dengan mengganti uang nasabah yang hilang akibat kelemahan sistem pengamanan ICT perbankan.
- Perlu digunakan Perangkat Lunak Komputer Deteksi (software) untuk aktifitas rekening nasabah agar apabila terjadi kejanggalan transaksi dapat ditangani dengan cepat.
- Perlu sosialisasi aktif dari perbankan kepada masyarakat/ nasabah dan pegawai perbankan mengenai bentuk-bentuk kejahatan yang dapat terjadi dengan produk/ layanan yang disediakannya.
- Menambah persyaratan formulir identitas pada waktu pembukaan rekening baru untuk pemeriksaan pada database yang menghimpun daftar orang bermasalah dengan institusi keuangan.
- Pihak perbankan harus meningkatkan keamanan Internet Banking dengan melakukan beberapa hal seperti :
- Melakukan standarisasi dalam pembuatan aplikasi Internet Banking.
- Terdapat panduan apabila terjadi fraud dalam Internet Banking.
- Pemberian informasi yang jelas kepada user sedangkan pihak pemerintah dapat membebankan masalah keamanan Internet Banking kepada pihak bank sehingga apabila terjadi fraud dalam suatu nilai tertentu, user dapat mengajukan klaim.
- Khusus perihal beban pembuktian, perlu dipikirkan kemungkinan untuk menerapkan omkering van bewijslast atau pembuktian terbalik untuk kasus-kasus cyber crime yang sulit pembuktiannya. Tujuannya adalah untuk mengadili para carder (pemegang kartu) yang berbelanja dengan menggunakan kartu kredit orang lain secara melawan hukum.
- Selain pembaharuan terhadap hukum pidana materiil dan formil, juga dibutuhkan badan khusus untuk menanggulangi cyber crime yang terdiri atas penyidik khusus yang bertugas untuk melakukan investigasi bahkan sampai pada tahap penuntutan.
- Mengadakan pelatihan perihal cyber space kepada aparat penegak hukum yang mutlak dilakukan.
- Perlu dibuat suatu kerja sama untuk meningkatkan koordinasi dan tukar menukar informasi secara online dan ditunjuk contact person dengan mengikutsertakan berbagai pihak.
- Sebaiknya dibuat aturan hukum yang mewajibkan setiap penyelenggara Internet Banking agar dalam setiap transaksi dari “siapa pun” dan dari “mana pun” para pihak diharuskan mencantumkan dan diminta memberikan “digital signature atau tanda tangan elektronik”dalam transaksi online tersebut.
- POLRI dan Bank Indonesia harus melakukan beberapa hal penting yang meliputi :
- Mengembangkan wadah untuk melakukan hubungan informal untuk menumbuhkan hubungan formal.
- Pusat penyebaran ke semua partisipan.
- Pengkinian (update) data setiap bulan tentang perkembangan penanganan hukum.
- Program pertukaran pelatihan.
- Membuat format website antar pelaku usaha kartu kredit.
- Membuat pertemuan yang berkesinambungan antar penegak hukum.
- Melakukan tukar menukar strategi tertentu dalam mencegah/ mengantisipasi cyber crime di masa depan.
Sumber :