Beberapa aspek keamanan dalam transaksi elektronik yang perlu di ketahui

Posted: Oktober 28, 2013 in Kriptografi, tips&trick
Tag:, , ,

cara kerja transaksi elektronik

Transaksi elektronik saat ini sudah menjadi kegiatan rutinitas hal ini disebabkan karena penyebaran teknologi yang semakin mudah dijangkau. selain itu juga di dukung dengan dengan penyebaran infrastruktur teknologi yang mulai menyasar pasar UKM.

Namun demikian kemudahan transaksi elektronik juga harus di imbangi dengan pengetahuan user atau pengguna tentang pemahanan terhadap privacy dan kemanan. sehingga jika terjadi penggunaan data privacy oleh pihak lain user bisa lebih memahami hal tersebut.

Secara umum aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity, dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA. Namun ada hal lain yang perlu juga di jadikan rujukan yaitu  yaitu aspek non-repudiation yang diperlukan untuk transaksi elektronik. Penjabaran dari masing-masing aspek tersebut adalah sebagai berikut,

Confidentiality

Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan.

Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang tidak berhak.

Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal.

Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan.

Integrity

Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement.

Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan menggunakan messange authentication code, hash function, digital signature.

Availability

Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.

Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari bencana alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan).

Non-repudiation

Non-repudiation merupakan aspek yang sangat penting dalam transaksi elektronik. Aspek ini seringkali dilupakan. Aspek non-repudiation menjamin bahwa pelaku transaksi tidak dapat mengelak atau menyangkal telah melakukan transaksi.

Dalam sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan dengan menggunakan tanda tangan. Dalam transaksi elektronik, aspek non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan audit trail (log), dan pembuatan sistem dapat diperiksa dengan mudah (auditable). Implementasi mengenai hal ini sudah tersedia, hanya perlu diaktifkan dan diakui saja. Dalam rancangan Cyberlaw Indonesia – yang dikenal dengan nama RUU Informasi dan Transaksi Elektronik – tanda tangan digital diakui sama sahnya dengan tanda tangan konvensional.

dari beberapa hal yang telah di jelaskan diatas tentunya perlu ada upaya pemecahan masalah yang setidaknya ada dua hal yang bisa kita laukan antara lain :

Standar Pengamanan

Dalam upaya untuk memenuhi aspek-aspek tersebut di atas, sistem perlu dirancang dan diimplementasikan sesuai dengan standar yang berlaku. Ada beberapa standar yang dapat diikuti, mulai dari standar yang sifatnya formal (seperti ISO 17799) sampai ke standar yang sifatnya lebih praktis dan operasional (yang sering disebut best practice).

Evaluasi Secara Berkala

Untuk membuktikan aspek-aspek tersebut sistem informasi perlu diuji secara berkala. Pengujian atau evaluasi ini sering disebut dengan istilah audit, akan tetapi bukan audit keuangan. Untuk menghindari kerancuan ini biasanya sering digunakan istilah assesement.

Evaluasi secara berkala bisa dilakukan dalam level yang berbeda, yaitu dari level management (non-teknis) dan level teknis. Masing-masing level ini dapat dilakukan dengan menggunakan metodologi yang sudah baku. Evaluasi untuk lebel non-teknis biasanya dilakukan dengan menggunakan metoda evaluasi dokumen. Metoda ini yang banyak dilakukan oleh auditor Indonesia. Namun, metoda ini belum cukup. Dia harus dilengkapi dengan evaluasi yang levelnya teknis sebab seringkali kecukupan dokumen belum dapat memberikan perlindungan. Sebagai contoh, seringkali auditor hanya mencatat bahwa sistem memiliki firewall sebagai pelindung jaringan. Akan tetapi jarang yang melakukan evaluasi teknis sampai menguji konfigurasi dan kemampuan firewall tersebut.

Untuk level teknis, ada metodologi dalam bentuk checklist seperti yang telah di kembangkan di INDOCISC  dengan menggunakan basis Open-Source Security Testing Methodology (OSSTM). Sayangnya di Indonesia tidak banyak yang dapat melakukan evaluasi secara teknis ini sehingga cukup puas dengan evaluasi tingkat high-level saja. Evaluasi secara teknis harus dilakukan untuk membuat evaluasi menyeluruh.

Daftar Pustaka

  1.  Budi Rahardjo, Andika Triwidada, dan Maman Sutarman, “Security Evaluation Checklist.” Proceedings of INA-CISC 2005: Indonesia Cryptology and Information Security Conference. March 30-31, 2005, pp. 135-138.
  2. Peter Herzog, “Open-Source Security Testing Methodology Manual,” version 2.1, 2003. Available at http://www.osstmm.org.

 

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s