Post on 06-Nov-2015
Mendorong Pertumbuhan Ekonomi Indonesia Melalui Sistem Cyber Security Nasional yang
Komprehensif dan Holistik
Departemen Penelitian dan Pengaturan Perbankan
Jakarta, 3 Juni 2015
2
Outline Presentasi
2
A LATAR BELAKANG
B CYBERCRIME DI PERBANKAN
C
MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI
D ELECTRONIC BANKING
A. LATAR BELAKANG
3
Douglas Thomas & Brian D. Loader (Cyber Crime: 2000; 3)
Cyber crime can be regarded as computer-mediated activities which are
either illegal or considered illicit by certain parties and which can be
conducted through global electronic networks.
US Department of Justice:
Computer crimes : any violations of criminal law that involve a knowledge of
computer technology for their perpetration, investigation and prosecutions.
Pengertian Cybercrime
Disisi lain: inovasi TI membuat:
potensi risiko yang dihadapi bank bertambah khususnya risiko operasional, hukum dan reputasi.
perkembangan layanan seperti Internet, E-commerce dan E-Banking membuka peluang besar untuk cybercrime di Indonesia.
Dampak Perkembangan Teknologi Informasi (TI) di Perbankan Indonesia
Peranan Teknologi Informasi (TI) di Perbankan Indonesia
TI meningkatkan kompetensi bank karena :
efisiensi kegiatan operasional
memperluas kemungkinan produk atau kegiatan baru
meningkatkan mutu pelayanan
4
Nature of Cybercrime
Internet, E-commerce and E-Banking has created an
environment that is ripe for E-Crime
Anonymous
Not face to face contact
Under the misapprehension that will avoid detection
A Global village
Many computer related crimes are either undetected or unreported (dark figure)
Fast
Low risk
A. LATAR BELAKANG
A. LATAR BELAKANG
35.0%
20.0% 17.0%
11.0%
5.2% 2.6% 2.1% 1.9% 1.7% 1.2% 1.1%
33.0%
38.0%
11.0%
6.9%
2.5% 1.7% 1.4% 2.0% 1.0% 0.9%
China Indonesia Lainnya USA Taiwan Rusia Brazil India Rumania Korea Selatan
Venezuela
Q3 2013
Q2 2013
Sumber: State of The Internet 3rd Quarter 2013 report, Akamai
36.6 Juta Insiden serangan cyber di Indonesia dalam waktu 3 Tahun terakhir. -Kemenkominfo-
Negara Asal Serangan Cyber
Indonesia, Top Sumber Cyber Crime Attack
5
A. LATAR BELAKANG
11.47%
12.66%
13.67%
15.66%
15.88%
17.44%
19.81%
20.78%
21.26%
23.54%
Hongkong
Taiwan
UAE
Mexico
India
Malaysia
Philippines
Thailand
China
Indonesia
4.28%
4.27%
4.26%
4.21%
3.82%
3.81%
3.51%
2.63%
2.59%
1.81%
Netherlands
Austria
Canada
Slovenia
U.S.
Switzerland
UK
Japan
Sweden
Norway
10 Riskiest Countries 10 Safest Countries
*Threat exposure rate (TER): diukur dari persentase PC yang terkena serangan malware, baik berhasil,
maupun gagal, dalam periode 3 bulan
TER* TER*
Sumber: Security threat report 2013, SophosLabs
Indonesia Dianggap Sebagai Negara Paling Beresiko
Mengalami Serangan IT Security
6
7
B. CYBERCRIME DI PERBANKAN
Contoh kasus
8
B. CYBERCRIME DI PERBANKAN
Contoh kasus Phising
Phising adalah tindakan memperoleh informasi pribadi seperti User
ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak
sah.
Misalnya melalui pemberitahuan di bawah untuk membawa
nasabah ke link palsu.
9
B. CYBERCRIME DI PERBANKAN
Contoh kasus Typo Site (Situs Samaran/Palsu)
Typo Site (kasus www.klikbca.com)
Steven Haryanto :Apakah seseorang harus menciptakan teknologi canggih (firewall, SSL 128 bit, UserId/PIN) atau menyewa hacker/cracker untuk menjebol pengamanan bank untuk mengakses rekening nasabah? Jawabnya TIDAK.
Yang anda butuhkan hanyalah USD 8, yaitu untuk hosting:
http://www.wwwklikbca.com; http://www.kilkbca.com; http://www.clickbca.com http://www.klickbca.com; http://www.klikbacc.com
10
B. CYBERCRIME DI PERBANKAN
Contoh kasus ATM Fraud
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
11
TI memang meningkatkan kualitas dan efisiensi bank dalam memberikan pelayanan bank kepada nasabah, namun risiko yang dihadapi bank terkait TI meningkat khususnya risiko operasional, hukum dan reputasi.
Perlu mengendalikan risiko agar manfaat penggunaan TI dapat memaksimal mendukung pencapaian bisnis strategi.
Adanya
ketentuan TI
UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008
PBI MRTI
SE MRTI
12
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008
Pasal 2 Undang-Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum
sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum
Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di
wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan
kepentingan Indonesia. (Azas Extra Teritorial Jurisdiction)
Pasal 3 Pemanfaatan Teknologi Informasi dan Transaksi Elektronik, dilaksanakan berdasarkan asas:
kepastian hukum manfaat Kehati-hatian Iktikad baik Netral Teknologi / kebebasan memilih teknologi
Netral Media
INTERNET
13
Pasal 5 ayat (1) dan ayat (2)
IE/DE dan/atau hasil cetaknya merupakan :
alat bukti hukum yang sah;
perluasan alat bukti yang sah sesuai hukum acara di Indonesia.
Pasal 44
Alat Bukti penyidikan, penuntutan & pemeriksaan di sidang Pengadilan:
Alat bukti yang sah menurut ketentuan perundangan;
Alat bukti lain berupa IE &/ DE.
UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008
IE: salah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas
pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange
(EDI), surat elektronik (elektronik mail), dll.
DE: setiap Informasi Elektronik yang dibuat, diteruskan, dikirim, diterima atau
disimpan dalam bentuk analog, digital, elektromagnetik, optikal atau sejenisnya,
yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem
elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta,
rancangan, foto atau sejenisnya.
Informasi
Elektronik
Dibuat, diteruskan,
Dikirim, diterima,
disimpan
Dokumen
Elektronik
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
14
Pasal 9 :
Pelaku usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan.
Pasal 10:
Setiap pelaku usaha yang menyelenggarakan Transaksi Elektronik dapat disertifikasi oleh Lembaga Sertifikasi Keandalan (Trust Mark).
UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
15
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
1. Risiko Operasional
Risiko Operasional timbul di setiap produk dan layanan yang disediakan Bank
2. Risiko Kepatuhan
Risiko Kepatuhan timbul apabila Bank tidak memiliki sistem yang memadai untuk
memastikan kepatuhan Bank terhadap ketentuan yang mengatur perbankan seperti
misalnya kerahasiaan data nasabah, kebenaran data dari laporan yang disampaikan seperti
misalnya LBU
3. Risiko Hukum
Bank menghadapi risiko hukum yang dapat bersumber dari adanya tuntutan hukum,
kelemahan perikatan atau kontrak, dan ketidakmampuan Bank melengkapi data untuk
mendukung kepatuhan terhadap peraturan perundang-undangan.
4. Risiko Reputasi
Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem melayani
nasabah sesuai janji yang diberikan Bank
5. Risiko Strategis
Ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan ketidakcocokan
Blue Print IT dengan corporate plan (rencana strategis bisnis) dapat menimbulkan risiko
strategis.
Jenis risiko terkait Teknologi Informasi
16
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
Ruang Lingkup Manajemen Risiko Teknologi Informasi
Ruang lingkup penerapan manajemen risiko paling kurang mencakup:
Pengawasan aktif dewan Komisaris dan Direksi;
Kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi;
Kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi; dan
Sistem pengendalian intern atas penggunaaan Teknologi Informasi.
Penerapan manajemen risiko tersebut diatas wajib disesuaikan dengan
tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank.
17
Pengawasan Aktif Dewan
Komisaris dan Direksi
Sistem Pengendalian
Intern atas Penggunaan
TI
Manajemen Pengembangan dan
Pengadaan Operasional TI
Jaringan
Komunikasi
Pengamanan
Informasi
Business Continuity
Plan
End User
Computing Electronic Banking
Penggunaan
Penyedia Jasa TI
ASPEK
Kecukupan Kebijakan dan
Prosedur Penggunaan TI
Kecukupan Proses Manajemen
Risiko atas Penggunaan TI
Penerapan Manajemen Risiko TI
P E L A P O R A N
Bab 3
Bab 4 Bab 5
Bab 6
Bab 2
Ruang Lingkup Manajemen Risiko
Lain-lain,Sanksi, Ketentuan Peralihan, Ketentuan Penutup Bab 7-10
Ketentuan Umum Bab 1
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
18
C. MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI
19
Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut
Electronic Banking adalah layanan yang memungkinkan nasabah Bank untuk
memperoleh informasi, melakukan komunikasi, dan melakukan transaksi
perbankan melalui media elektronik antara lain ATM, phone banking, electronic
fund transfer, internet banking, mobile phone. (PBI No. 9/15/PBI/2007)
Electronic Banking
Dengan Electronic Banking, transaksi perbankan dapat dilakukan
dimanapun, dan kapanpun dengan mudah dan praktis antara lain melalui
internet, handphone, dan telepon. Contohnya adalah transfer antar
rekening maupun antar bank, pembayaran tagihan, pembelian pulsa isi
ulang, ataupun pengecekan mutasi dan saldo rekening.
D. ELECTRONIC BANKING
B. Perkembangan Electronic Banking
20
Media Elektronik Jenis Transaksi
Internet Banking transaksi perbankan (finansial dan non-finansial) melalui komputer yang terhubung dengan jaringan
internet bank.
Transfer dana Informasi saldo, mutasi rekening, informasi nilai tukar Pembayaran tagihan (misal: kartu kredit, telepon, handphone,
listrik)
Pembelian (misal: pulsa isi ulang, tiket pesawat, saham)
Mobile Banking layanan perbankan yang dapat diakses langsung melalui telepon selular/handphone GSM (Global for
Mobile Communication) dengan menggunakan SMS (Short
Message Service).
Transfer dana Informasi saldo, mutasi rekening, Informasi nilai tukar Pembayaran (kartu kredit, PLN, telepon, handphone, listrik,
asuransi)
Pembelian (pulsa isi ulang, saham)
Phone Banking layanan yang diberikan untuk kemudahan dalam mendapatkan informasi perbankan dan untuk
melakukan transaksi finansial non-cash melalui telepon.
Transfer dana Informasi saldo, mutasi rekening Pembayaran (kartu kredit, PLN, telepon, handphone, listrik,
asuransi)
Pembelian (pulsa isi ulang)
SMS Banking layanan informasi perbankan yang dapat diakses langsung melalui telepon selular/handphone dengan
menggunakan media SMS (short message service).
Transfer dana Informasi saldo, mutasi rekening Pembayaran (kartu kredit) Pembelian (pulsa isi ulang)
BI-RTGS (Bank Indonesia Real Time Gross Settlement) sistem transfer dana elektronik yang penyelesaian setiap
transaksinya dilakukan dalam waktu seketika, dengan
peserta terdiri dari seluruh bank dan lembaga selain bank.
Transaksi pembayaran khususnya yang termasuk High Value Payment
System (HVPS) atau transaksi bernilai besar yaitu transaksi Rp.100
juta ke atas dan bersifat segera (urgent).
Uang Elektronik (E-Money) adalah alat pembayaran yang nilai uangnya disimpan secara elektronik pada suatu media.
Transaksi pembayaran dan/atau transfer dana.
A. Electronic Banking D. ELECTRONIC BANKING
B. Perkembangan Electronic Banking
21
Internet Banking : Periode Desember 2013 s.d Juli 2014, Jumlah nasabah
transaksional meningkat sebesar 27,28%.
SMS/Mobile Banking : Periode Desember 2013 s.d Juli 2014, Jumlah nasabah
transaksional meningkat sebesar 12,47%.
ELECTRONIC BANKING Jumlah Nasabah
(Des 2013)
Jumlah Nasabah
(Juli 2014)
INTERNET BANKING (IB)
BANK YANG IB TRANSAKSIONAL 4,505,793 5,734,954
BANK YANG IB INFORMASIONAL 4,409,001 5,317,684
SMS/MOBILE BANKING (SMS/MB)
BANK YANG SMS/MB TRANSAKSIONAL 22,214,598 24,985,830
BANK YANG SMS/MB INFORMASIONAL 10,297,823 13,956,534
Bank Indonesia - LKPBU
D. ELECTRONIC BANKING
B. Perkembangan Electronic Banking
22
ELECTRONIC BANKING Jumlah Frekuensi
(Des 2013)
Jumlah Frekuensi
(Juli 2014)
INTERNET BANKING (IB)
BANK YANG IB TRANSAKSIONAL 112.521.272 131.627.016
BANK YANG IB INFORMASIONAL 37.629.752 50.518.568
SMS/MOBILE BANKING (SMS/MB)
BANK YANG SMS/MB TRANSAKSIONAL 81.614.488 109.933.424
BANK YANG SMS/MB INFORMASIONAL 16.576.607 19.912.412
ELECTRONIC BANKING Nilai Transaksi
(Des 2013) (juta YTD)
Nilai Transaksi
(Juli 2014) (juta YTD)
INTERNET BANKING (IB)
BANK YANG IB TRANSAKSIONAL 1.236.937.427 868.664.249
SMS/MOBILE BANKING (SMS/MB)
BANK YANG SMS/MB TRANSAKSIONAL 48.075.682 55.941.785
Bank Indonesia - LKPBU
D. ELECTRONIC BANKING
B. Perkembangan Electronic Banking
23
Jumlah Bank penerbit Kartu ATM 51
Jumlah Bank penerbit Kartu Debet 58
Jumlah Bank penerbit Kartu Kredit 23
Transaksi Kartu Debet/ATM
Posisi Desember 2013 Juli 2014
Total Volume 373,112,207 369,783,149
Nominal 358,384,849 410,167,495
Transaksi Kartu Kredit
Posisi Desember 2013 Juli 2014
Total Volume 21,806,463 21,569,452
Nominal 21,241,005 21,653,076
Volume dalam satuan transaksi
Nominal dalam jutaan rupiah
Bank Indonesia www.bi.go.id
D. ELECTRONIC BANKING
D. Kepuasan Pelanggan
24
No Jenis Permasalahan Total 1 Kartu Kredit/ATM 194 2 SMS Banking/Internet Banking 2 Total 196
Data pengaduan yang disampaikan ke Layanan Konsumen OJK (Layanan 1500-655) terkait penggunaan e-banking periode Januari 2013 s.d. 10 Oktober 2014 :
D. ELECTRONIC BANKING
25
D. ELECTRONIC BANKING
Bagi Bank yang menyelenggarakan e-banking wajib:
Memenuhi ketentuan Bank Indonesia yang berlaku;
Memberikan edukasi kepada nasabah mengenai produk e-banking dan pengamanannya secara berkesinambungan;
Memuat setiap rencana penerbitan produk e-banking baru dalam Rencana Bisnis Bank;
Melaporkan kepada BI setiap rencana penerbitan produk e-banking yang bersifat transaksional paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan;
Produk e-banking yang dilaporkan adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di bank dan/atau menambah eksposur risiko pada bank.
Pelaporan rencana penerbitan produk e-banking yang bersifat transaksional tidak perlu dilakukan pada produk e-banking yang persyaratannya sudah diatur secara khusus dalam ketentuan BI.
26
D. ELECTRONIC BANKING
Manajemen risiko aktivitas dan produk e-banking
Penilaian risiko terkait e-banking (risiko umum dan spesifik)
Bank harus melakukan identifikasi atas jenis-jenis risiko yang dapat ditimbulkan oleh
aktivitas e-banking baik dari produk itu sendiri maupun dari penggunaan Teknologi
Informasi sebagai akibat digunakannya electronic delivery channel.
Bank mengukur setiap kerugian yang terjadi (loss event) pada setiap jenis produk. Untuk
dapat memantau besar dan kecenderungan risiko dari setiap jenis produk maka Bank
harus membuat database yang berisi data historis dari kerugian setiap jenis produk.
Contoh risiko umum a.l. Transaction/Operational Risk yaitu risiko yang timbul atau
berasal dari fraud, kesalahan dalam proses, gangguan sistem atau kegiatan tidak terduga
yang menyebabkan ketidakmampuan Bank untuk menyediakan produk atau layanan serta
menimbulkan kerugian bagi Bank maupun nasabah
27
D. ELECTRONIC BANKING
Uji authentication identitas dan kewenangan (authorisation) nasabah
Prosedur untuk menjamin Non-repudiation sehingga transaksi dapat dipertanggungjawabkan
Dual control dan segregation of duties terkait penggunaan sistem, database dan aplikasi e-banking
Metode dan prosedur untuk melindungi integritas data, catatan dan informasi terkait transaksi e-banking
Pengendalian terhadap otorisasi dan hak akses
Mekanisme penelusuran (audit trail)
Business continuity plan termasuk contingency plan
Melindungi kerahasiaan informasi e-banking
Incident Response plans
28
D. ELECTRONIC BANKING
Prinsip pengendalian pengamanan atas aktivitas e-banking tertentu
Kenyamanan dan kemudahan nasabah menggunakan fasilitas termasuk efektivitas tampilan menu : ATM & IB
Menetapkan persyaratan (misalnya registrasi rekening pihak ketiga) atau pembatasan transaksi : ATM & IB & MB
Pengendalian sarana fisik (peralatan dan ruangan), pemantauan secara rutin : ATM
(1) Pengamanan aspek transmisi data antara terminal Electronic Fund Transfer (EFT) dengan Host Computer;
(2) Peningkatan pengamanan fisik disekitar lokasi POS / EDC terminal dan terhadap Terminal
29
D. ELECTRONIC BANKING
Prinsip pengendalian pengamanan atas aktivitas e-banking tertentu
Memastikan keamanan transaksi
m-banking
1) Menggunakan suatu SIM Toolkit dengan fitur enkripsi end-to end dari hand-phone hingga server m-banking
2) Melakukan mutual authentication yaitu pihak Bank dan nasabah dapat
melakukan proses otentifikasi dengan digital certificate , Personal Authentication Message.
Memastikan keamanan transaksi
phone banking
1) Layanan ini tidak digunakan untuk transaksi dengan nilai/risiko yang tinggi
2) Semua percakapan direkam termasuk no. telpon nasabah, detil transaksi , dll.
3) Menggunakan metode otentifikasi yang handal dan aman seperti PIN dan
password terutama untuk transaksi finansial
2
Terimakasih
30