Mutual Authentication, perlukah?

Institusi keuangan, dalam hal ini adalah Bank, merupakan lembaga yang krusial dalam hal keamanan teknologi informasi. Di tempat inilah uang saya -uang Anda juga ‘disimpan’. Di tempat ini juga nasabah melakukan transaksi baik secara manual maupun secara elektronik.

Namun sebagai nasabah, apakah Anda mengenal baik risiko yang dihadapi ketika melakukan transaksi melalui elektronik banking (e-banking)? Dalam hal ini adalah internet banking.

Suatu bank memiliki portal internet banking sebagai media transaksi bagi pengguna. Melalui portal inilah nasabah dapat melakukan transaksi (melihat balance, melakukan transfer, pembayaran, dsb). Pihak bank (mungkin) menyadari bahwa portal ini sebenarnya sangat rentan terhadap serangan sehingga mereka menyediakan perangkat keamanan tambahan bagi nasabah. Perangkat ini akan membuat transaksi nasabah (seolah) menjadi lebih aman. Perangkat tambahan tersebut berupa token yang pada umumnya telah lazim digunakan oleh nasabah. Token merupakan faktor otentikasi yang dimiliki (something you have) oleh nasabah selain password (something you know). Dua faktor ini harus dimiliki oleh penyerang untuk meng-compromise akun nasabah.

Selain itu, pada portal internet banking sendiri telah tertanam sebuah ID, saya menyebutnya server certificate (Anda dapat melihat protokol https). Sertifikat ini biasanya ditanam pada portal yang berkaitan dengan transaksi keuangan. Komponen ini akan membuat pengunjung (merasa) aman dalam memberikan informasi pribadi mereka seperti kartu kredit dan informasi rekening bank tanpa khawatir tentang pencurian atau gangguan lainnya. Sertifikat ini juga bertanggung jawab untuk memvalidasi identitas pemilik web sehingga pengunjung dapat merasa mereka berhadapan dengan sumber yang sah saat membuat atau memasukkan password, rincian rekening bank, atau nomor kartu kredit ke dalam situs web.

Untuk setiap bisnis atau situs web yang akan membutuhkan informasi tersebut, sertifikat server merupakan bagian penting. Memiliki sertifikat server dapat memberi keuntungan bagi pemilik bisnis karena selain faktor keamanan, juga dapat meyakinkan pengguna dalam melakukan transaksi.

Hampir semua institusi yang berkaitan dengan transaksi keuangan memiliki portal dengan sertifikat di dalamnya. Namun demikian, ternyata institusi tersebut belum mampu mengadakan personal certificate terhadap penggunanya. Istilahnya memang agak kasar: “anda menitipkan uang kepada saya, tetapi risiko kehilangan ada pada Anda”.

Ini seperti analogi ketika saya melakukan transaksi di suatu bank. Teller yang berpakaian rapi beserta name tag di bajunya (diibaratkan sebagai portal yang memiliki server certificate) akan menolak transaksi jika saya menggunakan pakaian yang mencurigakan seperti penutup muka, jaket, topi, kacamata hitam (diibaratkan pengguna yang tidak memiliki personal certificate). Kenapa tertolak? Ya karena pakaian saya mencurigakan serta saya tidak memiliki identitas sehingga transaksi ditolak.

Sebaliknya, jika Anda melakukan transaksi, lalu wujud Teller tersebut tidak terlihat, atau aneh, mungkin itu menggunakan kacamata hitam, helm, penutup muka, bahkan Anda pun tidak bisa melihat meja Teller nya, karena di depan Anda ada jeruji besi yang menghalangi, apakah Anda akan melanjutkan transaksi?

Sayangnya cerita ideal di atas hanyalah khayalan.
Kondisi e-banking saat ini berkebalikan dengan cerita tersebut. Pihak bank memang gencar meningkatkan keamanan di sistem mereka, bahkan mengadakan teknologi pengamanan yang canggih dilengkapi dengan jargon yang mengerikan bagi orang awam: firewall, intrusion prevention system, honeypot dan lain sebagainya.

Namun di sisi lain, pengguna tidak dibekali dengan personal certificate yang menegaskan bahwa benar orang tersebut yang melakukan transaksi. Sehingga saat ini banyak terjadi transaksi yang ilegal namun legal. Yaitu transaksi dilakukan oleh orang lain, tetapi proses transaksi ini dianggap legal oleh sistem.

Ketika terjadi kasus pembobolan rekening, nasabah akan marah-marah dan meminta ganti rugi kepada pihak bank. Sayangnya, se-marah apapun nasabah, sepertinya pihak bank akan sulit mengganti uang nasabah yang ‘hilang’. Karena dalam proses transaksi, sistem akan menganggap legal ketika akun nasabah digunakan. Lagipula, ketika Anda baru membuka buku rekening, Anda akan disodorkan dengan banyak kertas dan tulisan kecil, serta Anda langsung diminta untuk menandatanginya. Lalu, apakah Anda pernah membaca tulisan yang ada di kertas itu? Saya tidak yakin Anda membacanya dengan seksama. Memang tidak semua Bank, tetapi ada yang menyatakan bahwa, nasabah menerima seluruh risiko transaksi e-banking dan tidak akan menuntut pihak bank jika terjadi kesalahan.

Memang tidak ada regulasi yang mengharuskan bank untuk mengurusi personal certificate. Tetapi, urgensi adanya personal certificate juga sama penting dengan server certificate. Hal ini dikarenakan personal certificate memungkinkan pengelola bisnis, terutama sistem e-banking, untuk dapat memvalidasi identitas pengunjung aplikasi internet banking dan bahkan membatasi akses mereka kepada bagian-bagian tertentu dari aplikasi.

Dalam implementasi dunia nyata, hal ini sangat sulit dilakukan mengingat banyak kendala. Istilahnya sih, not comply, but need to have.

Entah entitas seperti apa nanti yang dapat mengatur serta mengimplementasikannya, yang jelas penggunaan personal certificate sangat berpihak terhadap keamanan data pengguna 🙂

Posted in Publications.