Cyber OJK.pdf

Mendorong Pertumbuhan Ekonomi Indonesia Melalui Sistem Cyber Security Nasional yang

Komprehensif dan Holistik

Departemen Penelitian dan Pengaturan Perbankan

Jakarta, 3 Juni 2015

2

Outline Presentasi

2

A LATAR BELAKANG

B CYBERCRIME DI PERBANKAN

C

MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI

D ELECTRONIC BANKING

A. LATAR BELAKANG

3

Douglas Thomas & Brian D. Loader (Cyber Crime: 2000; 3)

Cyber crime can be regarded as computer-mediated activities which are

either illegal or considered illicit by certain parties and which can be

conducted through global electronic networks.

US Department of Justice:

Computer crimes : any violations of criminal law that involve a knowledge of

computer technology for their perpetration, investigation and prosecutions.

Pengertian Cybercrime

Disisi lain: inovasi TI membuat:

potensi risiko yang dihadapi bank bertambah khususnya risiko operasional, hukum dan reputasi.

perkembangan layanan seperti Internet, E-commerce dan E-Banking membuka peluang besar untuk cybercrime di Indonesia.

Dampak Perkembangan Teknologi Informasi (TI) di Perbankan Indonesia

Peranan Teknologi Informasi (TI) di Perbankan Indonesia

TI meningkatkan kompetensi bank karena :

efisiensi kegiatan operasional

memperluas kemungkinan produk atau kegiatan baru

meningkatkan mutu pelayanan

4

Nature of Cybercrime

Internet, E-commerce and E-Banking has created an

environment that is ripe for E-Crime

Anonymous

Not face to face contact

Under the misapprehension that will avoid detection

A Global village

Many computer related crimes are either undetected or unreported (dark figure)

Fast

Low risk

A. LATAR BELAKANG

A. LATAR BELAKANG

35.0%

20.0% 17.0%

11.0%

5.2% 2.6% 2.1% 1.9% 1.7% 1.2% 1.1%

33.0%

38.0%

11.0%

6.9%

2.5% 1.7% 1.4% 2.0% 1.0% 0.9%

China Indonesia Lainnya USA Taiwan Rusia Brazil India Rumania Korea Selatan

Venezuela

Q3 2013

Q2 2013

Sumber: State of The Internet 3rd Quarter 2013 report, Akamai

36.6 Juta Insiden serangan cyber di Indonesia dalam waktu 3 Tahun terakhir. -Kemenkominfo-

Negara Asal Serangan Cyber

Indonesia, Top Sumber Cyber Crime Attack

5

A. LATAR BELAKANG

11.47%

12.66%

13.67%

15.66%

15.88%

17.44%

19.81%

20.78%

21.26%

23.54%

Hongkong

Taiwan

UAE

Mexico

India

Malaysia

Philippines

Thailand

China

Indonesia

4.28%

4.27%

4.26%

4.21%

3.82%

3.81%

3.51%

2.63%

2.59%

1.81%

Netherlands

Austria

Canada

Slovenia

U.S.

Switzerland

UK

Japan

Sweden

Norway

10 Riskiest Countries 10 Safest Countries

*Threat exposure rate (TER): diukur dari persentase PC yang terkena serangan malware, baik berhasil,

maupun gagal, dalam periode 3 bulan

TER* TER*

Sumber: Security threat report 2013, SophosLabs

Indonesia Dianggap Sebagai Negara Paling Beresiko

Mengalami Serangan IT Security

6

7

B. CYBERCRIME DI PERBANKAN

Contoh kasus

8


Contoh kasus Phising

Phising adalah tindakan memperoleh informasi pribadi seperti User

ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak

sah.

Misalnya melalui pemberitahuan di bawah untuk membawa

nasabah ke link palsu.

9


Contoh kasus Typo Site (Situs Samaran/Palsu)

Typo Site (kasus www.klikbca.com)

Steven Haryanto :Apakah seseorang harus menciptakan teknologi canggih (firewall, SSL 128 bit, UserId/PIN) atau menyewa hacker/cracker untuk menjebol pengamanan bank untuk mengakses rekening nasabah? Jawabnya TIDAK.

Yang anda butuhkan hanyalah USD 8, yaitu untuk hosting:

http://www.wwwklikbca.com; http://www.kilkbca.com; http://www.clickbca.com http://www.klickbca.com; http://www.klikbacc.com

10


Contoh kasus ATM Fraud

C. MANAJEMEN RISIKO DALAM

PENGGUNAAN TEKNOLOGI INFORMASI

11

TI memang meningkatkan kualitas dan efisiensi bank dalam memberikan pelayanan bank kepada nasabah, namun risiko yang dihadapi bank terkait TI meningkat khususnya risiko operasional, hukum dan reputasi.

Perlu mengendalikan risiko agar manfaat penggunaan TI dapat memaksimal mendukung pencapaian bisnis strategi.

Adanya

ketentuan TI

UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008

PBI MRTI

SE MRTI

12




Pasal 2 Undang-Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum

sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum

Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di

wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan

kepentingan Indonesia. (Azas Extra Teritorial Jurisdiction)

Pasal 3 Pemanfaatan Teknologi Informasi dan Transaksi Elektronik, dilaksanakan berdasarkan asas:

kepastian hukum manfaat Kehati-hatian Iktikad baik Netral Teknologi / kebebasan memilih teknologi

Netral Media

INTERNET

13

Pasal 5 ayat (1) dan ayat (2)

IE/DE dan/atau hasil cetaknya merupakan :

alat bukti hukum yang sah;

perluasan alat bukti yang sah sesuai hukum acara di Indonesia.

Pasal 44

Alat Bukti penyidikan, penuntutan & pemeriksaan di sidang Pengadilan:

Alat bukti yang sah menurut ketentuan perundangan;

Alat bukti lain berupa IE &/ DE.


IE: salah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas

pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange

(EDI), surat elektronik (elektronik mail), dll.

DE: setiap Informasi Elektronik yang dibuat, diteruskan, dikirim, diterima atau

disimpan dalam bentuk analog, digital, elektromagnetik, optikal atau sejenisnya,

yang dapat dilihat, ditampilkan, dan/atau didengar melalui komputer atau sistem

elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta,

rancangan, foto atau sejenisnya.

Informasi

Elektronik

Dibuat, diteruskan,

Dikirim, diterima,

disimpan

Dokumen

Elektronik



14

Pasal 9 :

Pelaku usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan.

Pasal 10:

Setiap pelaku usaha yang menyelenggarakan Transaksi Elektronik dapat disertifikasi oleh Lembaga Sertifikasi Keandalan (Trust Mark).




15



1. Risiko Operasional

Risiko Operasional timbul di setiap produk dan layanan yang disediakan Bank

2. Risiko Kepatuhan

Risiko Kepatuhan timbul apabila Bank tidak memiliki sistem yang memadai untuk

memastikan kepatuhan Bank terhadap ketentuan yang mengatur perbankan seperti

misalnya kerahasiaan data nasabah, kebenaran data dari laporan yang disampaikan seperti

misalnya LBU

3. Risiko Hukum

Bank menghadapi risiko hukum yang dapat bersumber dari adanya tuntutan hukum,

kelemahan perikatan atau kontrak, dan ketidakmampuan Bank melengkapi data untuk

mendukung kepatuhan terhadap peraturan perundang-undangan.

4. Risiko Reputasi

Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem melayani

nasabah sesuai janji yang diberikan Bank

5. Risiko Strategis

Ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan ketidakcocokan

Blue Print IT dengan corporate plan (rencana strategis bisnis) dapat menimbulkan risiko

strategis.

Jenis risiko terkait Teknologi Informasi

16



Ruang Lingkup Manajemen Risiko Teknologi Informasi

Ruang lingkup penerapan manajemen risiko paling kurang mencakup:

Pengawasan aktif dewan Komisaris dan Direksi;

Kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi;

Kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi; dan

Sistem pengendalian intern atas penggunaaan Teknologi Informasi.

Penerapan manajemen risiko tersebut diatas wajib disesuaikan dengan

tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank.

17

Pengawasan Aktif Dewan

Komisaris dan Direksi

Sistem Pengendalian

Intern atas Penggunaan

TI

Manajemen Pengembangan dan

Pengadaan Operasional TI

Jaringan

Komunikasi

Pengamanan

Informasi

Business Continuity

Plan

End User

Computing Electronic Banking

Penggunaan

Penyedia Jasa TI

ASPEK

Kecukupan Kebijakan dan

Prosedur Penggunaan TI

Kecukupan Proses Manajemen

Risiko atas Penggunaan TI

Penerapan Manajemen Risiko TI

P E L A P O R A N

Bab 3

Bab 4 Bab 5

Bab 6

Bab 2

Ruang Lingkup Manajemen Risiko

Lain-lain,Sanksi, Ketentuan Peralihan, Ketentuan Penutup Bab 7-10

Ketentuan Umum Bab 1



18



19

Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut

Electronic Banking adalah layanan yang memungkinkan nasabah Bank untuk

memperoleh informasi, melakukan komunikasi, dan melakukan transaksi

perbankan melalui media elektronik antara lain ATM, phone banking, electronic

fund transfer, internet banking, mobile phone. (PBI No. 9/15/PBI/2007)

Electronic Banking

Dengan Electronic Banking, transaksi perbankan dapat dilakukan

dimanapun, dan kapanpun dengan mudah dan praktis antara lain melalui

internet, handphone, dan telepon. Contohnya adalah transfer antar

rekening maupun antar bank, pembayaran tagihan, pembelian pulsa isi

ulang, ataupun pengecekan mutasi dan saldo rekening.

D. ELECTRONIC BANKING

B. Perkembangan Electronic Banking

20

Media Elektronik Jenis Transaksi

Internet Banking transaksi perbankan (finansial dan non-finansial) melalui komputer yang terhubung dengan jaringan

internet bank.

Transfer dana Informasi saldo, mutasi rekening, informasi nilai tukar Pembayaran tagihan (misal: kartu kredit, telepon, handphone,

listrik)

Pembelian (misal: pulsa isi ulang, tiket pesawat, saham)

Mobile Banking layanan perbankan yang dapat diakses langsung melalui telepon selular/handphone GSM (Global for

Mobile Communication) dengan menggunakan SMS (Short

Message Service).

Transfer dana Informasi saldo, mutasi rekening, Informasi nilai tukar Pembayaran (kartu kredit, PLN, telepon, handphone, listrik,

asuransi)

Pembelian (pulsa isi ulang, saham)

Phone Banking layanan yang diberikan untuk kemudahan dalam mendapatkan informasi perbankan dan untuk

melakukan transaksi finansial non-cash melalui telepon.

Transfer dana Informasi saldo, mutasi rekening Pembayaran (kartu kredit, PLN, telepon, handphone, listrik,

asuransi)

Pembelian (pulsa isi ulang)

SMS Banking layanan informasi perbankan yang dapat diakses langsung melalui telepon selular/handphone dengan

menggunakan media SMS (short message service).

Transfer dana Informasi saldo, mutasi rekening Pembayaran (kartu kredit) Pembelian (pulsa isi ulang)

BI-RTGS (Bank Indonesia Real Time Gross Settlement) sistem transfer dana elektronik yang penyelesaian setiap

transaksinya dilakukan dalam waktu seketika, dengan

peserta terdiri dari seluruh bank dan lembaga selain bank.

Transaksi pembayaran khususnya yang termasuk High Value Payment

System (HVPS) atau transaksi bernilai besar yaitu transaksi Rp.100

juta ke atas dan bersifat segera (urgent).

Uang Elektronik (E-Money) adalah alat pembayaran yang nilai uangnya disimpan secara elektronik pada suatu media.

Transaksi pembayaran dan/atau transfer dana.

A. Electronic Banking D. ELECTRONIC BANKING


21

Internet Banking : Periode Desember 2013 s.d Juli 2014, Jumlah nasabah

transaksional meningkat sebesar 27,28%.

SMS/Mobile Banking : Periode Desember 2013 s.d Juli 2014, Jumlah nasabah

transaksional meningkat sebesar 12,47%.

ELECTRONIC BANKING Jumlah Nasabah

(Des 2013)

Jumlah Nasabah

(Juli 2014)

INTERNET BANKING (IB)

BANK YANG IB TRANSAKSIONAL 4,505,793 5,734,954

BANK YANG IB INFORMASIONAL 4,409,001 5,317,684

SMS/MOBILE BANKING (SMS/MB)

BANK YANG SMS/MB TRANSAKSIONAL 22,214,598 24,985,830

BANK YANG SMS/MB INFORMASIONAL 10,297,823 13,956,534

Bank Indonesia - LKPBU



22

ELECTRONIC BANKING Jumlah Frekuensi

(Des 2013)

Jumlah Frekuensi

(Juli 2014)


BANK YANG IB TRANSAKSIONAL 112.521.272 131.627.016

BANK YANG IB INFORMASIONAL 37.629.752 50.518.568


BANK YANG SMS/MB TRANSAKSIONAL 81.614.488 109.933.424

BANK YANG SMS/MB INFORMASIONAL 16.576.607 19.912.412

ELECTRONIC BANKING Nilai Transaksi

(Des 2013) (juta YTD)

Nilai Transaksi

(Juli 2014) (juta YTD)


BANK YANG IB TRANSAKSIONAL 1.236.937.427 868.664.249


BANK YANG SMS/MB TRANSAKSIONAL 48.075.682 55.941.785

Bank Indonesia - LKPBU



23

Jumlah Bank penerbit Kartu ATM 51

Jumlah Bank penerbit Kartu Debet 58

Jumlah Bank penerbit Kartu Kredit 23

Transaksi Kartu Debet/ATM

Posisi Desember 2013 Juli 2014

Total Volume 373,112,207 369,783,149

Nominal 358,384,849 410,167,495

Transaksi Kartu Kredit

Posisi Desember 2013 Juli 2014

Total Volume 21,806,463 21,569,452

Nominal 21,241,005 21,653,076

Volume dalam satuan transaksi

Nominal dalam jutaan rupiah

Bank Indonesia www.bi.go.id


D. Kepuasan Pelanggan

24

No Jenis Permasalahan Total 1 Kartu Kredit/ATM 194 2 SMS Banking/Internet Banking 2 Total 196

Data pengaduan yang disampaikan ke Layanan Konsumen OJK (Layanan 1500-655) terkait penggunaan e-banking periode Januari 2013 s.d. 10 Oktober 2014 :


25


Bagi Bank yang menyelenggarakan e-banking wajib:

Memenuhi ketentuan Bank Indonesia yang berlaku;

Memberikan edukasi kepada nasabah mengenai produk e-banking dan pengamanannya secara berkesinambungan;

Memuat setiap rencana penerbitan produk e-banking baru dalam Rencana Bisnis Bank;

Melaporkan kepada BI setiap rencana penerbitan produk e-banking yang bersifat transaksional paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan;

Produk e-banking yang dilaporkan adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di bank dan/atau menambah eksposur risiko pada bank.

Pelaporan rencana penerbitan produk e-banking yang bersifat transaksional tidak perlu dilakukan pada produk e-banking yang persyaratannya sudah diatur secara khusus dalam ketentuan BI.

26


Manajemen risiko aktivitas dan produk e-banking

Penilaian risiko terkait e-banking (risiko umum dan spesifik)

Bank harus melakukan identifikasi atas jenis-jenis risiko yang dapat ditimbulkan oleh

aktivitas e-banking baik dari produk itu sendiri maupun dari penggunaan Teknologi

Informasi sebagai akibat digunakannya electronic delivery channel.

Bank mengukur setiap kerugian yang terjadi (loss event) pada setiap jenis produk. Untuk

dapat memantau besar dan kecenderungan risiko dari setiap jenis produk maka Bank

harus membuat database yang berisi data historis dari kerugian setiap jenis produk.

Contoh risiko umum a.l. Transaction/Operational Risk yaitu risiko yang timbul atau

berasal dari fraud, kesalahan dalam proses, gangguan sistem atau kegiatan tidak terduga

yang menyebabkan ketidakmampuan Bank untuk menyediakan produk atau layanan serta

menimbulkan kerugian bagi Bank maupun nasabah

27


Uji authentication identitas dan kewenangan (authorisation) nasabah

Prosedur untuk menjamin Non-repudiation sehingga transaksi dapat dipertanggungjawabkan

Dual control dan segregation of duties terkait penggunaan sistem, database dan aplikasi e-banking

Metode dan prosedur untuk melindungi integritas data, catatan dan informasi terkait transaksi e-banking

Pengendalian terhadap otorisasi dan hak akses

Mekanisme penelusuran (audit trail)

Business continuity plan termasuk contingency plan

Melindungi kerahasiaan informasi e-banking

Incident Response plans

28


Prinsip pengendalian pengamanan atas aktivitas e-banking tertentu

Kenyamanan dan kemudahan nasabah menggunakan fasilitas termasuk efektivitas tampilan menu : ATM & IB

Menetapkan persyaratan (misalnya registrasi rekening pihak ketiga) atau pembatasan transaksi : ATM & IB & MB

Pengendalian sarana fisik (peralatan dan ruangan), pemantauan secara rutin : ATM

(1) Pengamanan aspek transmisi data antara terminal Electronic Fund Transfer (EFT) dengan Host Computer;

(2) Peningkatan pengamanan fisik disekitar lokasi POS / EDC terminal dan terhadap Terminal

29


Prinsip pengendalian pengamanan atas aktivitas e-banking tertentu

Memastikan keamanan transaksi

m-banking

1) Menggunakan suatu SIM Toolkit dengan fitur enkripsi end-to end dari hand-phone hingga server m-banking

2) Melakukan mutual authentication yaitu pihak Bank dan nasabah dapat

melakukan proses otentifikasi dengan digital certificate , Personal Authentication Message.

Memastikan keamanan transaksi

phone banking

1) Layanan ini tidak digunakan untuk transaksi dengan nilai/risiko yang tinggi

2) Semua percakapan direkam termasuk no. telpon nasabah, detil transaksi , dll.

3) Menggunakan metode otentifikasi yang handal dan aman seperti PIN dan

password terutama untuk transaksi finansial

2

Terimakasih

30

Cyber OJK.pdf

Documents

Transcript of Cyber OJK.pdf