TREN PERKEMBANGAN TEKNOLOGI PERBANKAN Me (1)

(1)

Free Powerpoint Templates Free Powerpoint Templates

TREN PERKEMBANGAN TEKNOLOGI PERBANKAN

Mengembangkan Strategi Manajemen Resiko yang Efektif

(2)

(3)

Free Powerpoint Templates

Halaman 3

Prof. Dr. Ir.

Richardus Eko Indrajit

MSc MBA MPhil MA MSi

ACPM SCPM ICWM CWMA CEH CNSA CHFI ENSA EDRP ECSA LPT ECIH

39 Buku

,

512 Artikel

,

2471

Presentasi

236 Perusahaan,

39 Institusi Pemerintah

(4)

(5)

(6)

Revolusi Teknologi Informasi

(7)

From “

close

”

to “

open

” environment:

1 Society

1 Communica�on

1 Market

1 Mind

1 Behavior

1 Value

Dampak Perkembangan Teknologi

(8)

Tren Pertumbuhan Teknologi

(9)

Ragam Teknologi Berbasis Digital

Perkembangan teknologi yang sedemikian pesat telah mentransformasikan industri perbankan di era moderen ini

Phone Banking

Mobile Banking

Online Banking

Internet Banking

(10)

Tahun!2007! Tahun!2008! Tahun!2009! Tahun!2010! Tahun!2011!

Jumlah Transaksi Uang Elektronik

!"!!!!

Januar i!

Tahun 2011

(11)

Jumlah Kartu Kredit dan Debit

Demikian pula jumlah pemilik kartu ATM+Debit pun

memperlihatkan pertumbuhan yang tajam dari tahun ke tahun

0!

2007! Tahun!2008! Tahun!2009! Tahun!2010! Tahun!2011!

Kartu!Kredit! Kartu!ATM!

(12)

Jumlah Uang Elektronik Beredar

Demikian pula adanya dengan jumlah uang elektronik yang beredar di Indonesia jumlahnya meningkat dari tahun ke tahun

!"!!!!

10"20 10!

11"20 10!

12"20 10!

01"20 11!

02"20 11!

03'20 11!

04"20 11!

05"20 11!

06"20 11!

07"20 11!

08"20 11!

09"20 11!

10"20 11!

11"20 11!

(13)

Dua Sisi Mata Uang Teknologi

Teknologi memberikan manfaat yang sangat besar bagi bisnis, namun di lain pihak menyimpan resiko yang harus diperhatikan

CHEAPER (COST) BETTER (PRODUCTS) FASTER (SERVICES)

MORE PROFIT MORE AGILE

MORE COMPETITIVE CREDIT RISK

MARKET RISK OPERATIONAL RISK LIQUIDITY RISK LEGAL RISK REPUTATIONAL RISK

BANK TECHNOLOGY

(14)

Paradigma Risiko Keamanan

Serangan adalah perilaku mengimplementasikan ancaman dengan cara mengeksploitasi kelemahan/kerawanan sistem yang ada

VULNERABILITIES

EXPLOITATION

ATTACK

THREATS

(15)

Kajian Risiko Keamanan Teknologi

Bank perlu melakukan mitigasi terhadap risiko teknologi yang kemungkinan terjadinya tinggi dan berakibat fatal jika terjadi

(16)

Prinsip Ketangguhan Sistem

Dalam industri perbankan, manusia yang dimaksud terutama nasabah serta manajemen dan karyawan internal

1. 

Sistem teknologi ibaratnya sebuah

RANTAI

, dimana

kekuatannya sangat ditentukan oleh sambungan terlemah.

Dan “

the weakest link

” ini adanya pada

MANUSIA

.

2. 

Oleh karena itulah maka eksploitasi dilakukan terlebih dahulu

BUKAN

pada teknologi, tetapi pada unsur

MANUSIA

-nya

(teknik

SOCIAL

ENGINEERING

).

3. 

Ke-

TIDAKTAHU

-an, dan ke-

TIDAKPERDULI

-an manusia

menjadi target empuk para kriminal.

4. 

Kunci ketahanan ada pada tingkat

PENGETAHUAN

dan

(17)

Jenis dan Tipe Serangan

(18)

Contoh Serangan #1: PHISHING

PHISING adalah teknik menipu dengan cara menyamar seolah-olah merepresentasikan institusi atau lembaga yang sah

Permintaan PASSWORD via email karena sistem TI mau di-upgrade 1

2 Pemberitahuan KEMENANGAN

melalui SMS dengan syarat transfer keuangan

3 Pembuatan SITUASI

(19)

Contoh Serangan #2: MALWARE

MALWARE adalah program yang sengaja dikembangkan dan disusupkan ke dalam sistem untuk melakukan tindakan jahat

Permohonan untuk meng-KLIK link tertentu sebagai bagian dari pelayanan perbankan 4

Pengiriman email berstatus penting dengan ATTACHMENT yang menggoda untuk segera dibuka

5

6 Penukaran files PENTING

(20)

Contoh Serangan #3: DoS/DDoS

DoS/DDoS adalay cara menyerang sistem komputer dengan mengirimkan paket transmisi dengan volume dan frekuensi tinggi

Pengiriman masif PAKET email dengan attachment berukuran besar ke sistem publik bank 7

8 Pelaksanaan transaksi FIKTIF

ke server bank sehingga sibuk melayani trafik yang sangat tinggi dan membebani

9 Permintaan

layanan CALL CENTER

(21)

Contoh Serangan #4: SALAMI

SALAMI adalah teknik melakukan transaksi kecil-kecilan dengan frekuensi yang masif sehingga memberikan jumlah kolektif besar

Pengambilan uang dalam jumlah kecil pada jutaan rekening nasabah

10

11 Pemotongan bunga

bank atau gaji karyawan sedemikian kecil sehingga tidak terlihat dan diperdulikan

12 Penawaran jasa

(22)

Contoh Serangan #5: SocEng

SOCIAL ENGINEERING adalah suatu pendekatan interaksi sosial untuk mendapatkan data atau informasi yang diharapkan

13 Penawaran bantuan

Pelayanan oleh

SATPAM gadungan

14 Pelayanan JASA

perbaikan piranti elektronik yang sedang rusak

15

(23)

Contoh Serangan #5: Anti-POLICY

Anti-POLICY adalah keadaan dimana tidak dipaksakannya SOP keamanan tertentu karena akan mengorbankan kenyamanan

16

17

18

Pembiaran memiliki dan memelihara

password yang sama dan tidak diganti-ganti

Penghapusan data/informasi pada karyawan yang pindah jabatan

(24)

Contoh Serangan #6: SNIFFING

SNIFFING adalah teknik yang dipergunakan untuk mengendus data/informasi teknologi yang dioperasikan seseorang

19

20

Pengendusan MAC Adress melalui jaringan Wi-Fi terbuka

Pengambilan data melalui

tombol EDC yang dipersiapkan

Penyadapan via jaringan telekomunikasi

(25)

Contoh Serangan Lain-Lain

Pada dasarnya jenis serangan atau kejahatan dapat tumbuh dengan sendirinya berdasarkan situasi dan kondisi setempat

22

23

Penyerahan kartu kredit kepada pelayan restoran

Pemberian data pada situs yang tidak aman

24

(26)

Inventori Jenis dan Tipe Serangan

High

Low

1980 1985 1990 1995 2005 Intruder

Knowledge

Attack

Sophistication

Cross site scripting

password guessing

self-replicating code password cracking

exploiting known vulnerabilities disabling audits

back doors

hijacking sessions sweepers

sniffers packet spoofing

GUI automated probes/scans denial of service

www attacks

Tools

“

“stealth”” / advanced

scanning techniques

burglaries

network mgmt. diagnostics

distributed attack tools

Staged Auto

Coordinated

(27)

Tren Kejahatan Perbankan

(28)

Kasus Kejahatan Perbankan

(29)

Contoh Mafia Kejahatan Perbankan

(30)

Tiga Wilayah Kerawanan

Setiap hari terjadi kurang lebih 1.5 juta serangan ke internet Indonesia, dari dalam maupun luar negeri

DHCP & ARP Poisoning,

Rouge WiFi,

WiFi Hijacking

ARP, Routing

& DNS Poisoning, Connection

Hijacking Social

Engineering (Phishing, dll)

Malware, MITB & Host Poisoning, DNS Changer

“HOSTILE” ZONE

USER “HOSTILE” ZONE BANK ZONE

(31)

Monitoring Trafik Internet

(32)

Manajemen Risiko Teknologi

(33)

Audit Manajemen Keamanan Informasi

Audit Manajemen Keamanan Informasi memastikan telah

(34)

Audit Manajemen Keamanan Informasi

Namun demikian perlu diperhatikan prinsip yang mengatakan bahwa “biaya brangkas tidak boleh lebih mahal dari nilai isinya”

PILIHAN STRATEGI

ACCEPT

AVOID

TRANSFER

(35)

Tiga Fokus Keamanan

Selain meningkatkan kewaspadaan dan keperdulian SDM, pusatkan pengamanan pada tiga hal/entitas utama

Protecting Information

(36)

Contoh Cheklist Minimum Keamanan

(37)

UU Informasi dan Transaksi Elektronik

Indonesia telah memiliki Undang-Undang terkait dengan Informasi dan Transaksi Elektronik untuk mendukung bisnis di internet

Range of penalty:

1  Rp 600 million - Rp 12 billion (equal to US$ 60,000 to US$ 1,2 million)

1  6 to 12 years in prison (jail)

starting from

25 March 2008

(38)

SDM Keamanan Informasi

Best Practice merekomendasikan dilakukannya pelatihan mengenai kemanan informasi di seluruh jenjang manajemen

SSCP

A+ Network +

SSCP

GSEC Security + SCNP

CISSP(or Associate)

CISA

GSE GCIH

SCNA

CAP

GISF GSLC Security +

IAT Level I IAT Level II IAT Level III

IAM Level I

CAP

CISM

GSLC

CISM

GSLC

CISSP(or Associate) CISSP – ISSAP

CISSP – ISSEP

IAM Level II IAM Level III

IASAE I IASAE II IASAE III

GCIA

(39)

Pengembangan BANK-CERT

(40)

Why does a car have BRAKES ???

The car have BRAKES so that it can go FAST … !!!

Why should we have regulation? Why should we establish institution? Why should we collaborate with others? Why should we agree upon mechanism? Why should we develop procedures? Why should we have standard? Why should we protect our safety? Why should we manage risks? Why should we form response team?