BAB I PENDAHULUAN
1.1.
Latar Belakang
E - Commerce telah membuka sebuah dunia baru baik bagi para konsumen maupun perusahaan yang menghendaki pendekatan-pendekatan manajemen baru. Jika didayagunakan secara cerdas, e-commerce sangat potensial untuk mendongkrak keuntungan perusahaan disebabkan kemampuan yang lebih baik dalam pemeliharaan pelanggan, penyajian barang dan jasa baru yang berbasis informasi dan operasional yang efisien. Namun ada beberapa hal yang harus diperhatikan dalam melaksanakan bisnis dengan E-commerce, salah satunya adalah masalah keamanan mengingat bisnis ini dilaksanakan didunia maya. Sedikitnya ada lima standar keamanan yang harus ada pada penyelenggaraan e-commerce demi kenyamanan berbisnis e-commerce yang dibutuhkan baik oleh konsumen maupun perusahaan. 1.2 Rumusan Masalah
Berdasarkan uraian latar belakang diatas, dapat dirumuskan bahwa : 1. Apa saja kebutuhan terhadap keamanan e-commerce ? 2. Apa saja isu-isu keamanan EC ? 3. Apa saja jenis-jenis ancaman keamanan EC ? 4. Bagaimana mengelola keamanan EC ?
1.3 Tujuan
Berdasarkan uarian diatas dapat disimpulkan bahwa tujuannya adalah : 1. Untuk mengetahui apa saja kebutuhan terhadap keamanan EC 2. Untuk mengetahui apa saja isu-isu yang terkait keamanan EC 3. Untuk mengetahui apa saja jenis-jenis keamanan EC 4. Untuk mengetahui bagaiamana mengelola keamanan EC
1
BAB II PEMBAHASAN
2.1
Kebutuhan terhadap keamanan EC
Pada tahun 1990-an, peran penting sistem keamanan pada E-Commerce telah berkembang dengan pesat yang menyebabkan pusat perhatian bisnis makin lama makin terfokus pada sistem keamanan informasi dan segala kaitan yang dengan
pentingnya
pengakuan
sah
terhadap
sesuatu(legal
significan). Faktor-faktor yang mendukung terjadinya perubahan-perubahan tersebut adalah: 1. Kemajuan infrastruktur sistem komunikasi Fasilitas komunikasi yang mendukung E-Commerce telah berubah secara dramatis. Hubungan antar poin yang semakin terbuka, tidak ada yang mengatur, semakin tidak terjaga, dan jaringan yang bersifat bebas. Dalam hal ini kemajuan internetlah yang membawa perubahan tersebut. 2. Meledaknya sistem perdagangan global Kalangan bisnis kini mulai menginginkan sistem perdagangan global yang cepat, yang didukung oleh komunitas digital dengan tingkat kepercayaan yang tinggi. Karena rekan bisnis bisa saja berada jauh disana (di negara lain), sehinnga bisa saja menjadikan hal ini sebagai pendorong timbulnya perselisihan atau ketidak cocokan antar rekan bisnis ke kawasan hukum negara lain. Dengan memanfaatkan sistem keamanan yang baik, diharapkan bisa memberikan dan mengamankan tanda bukti penngesahan transaksi yang terjadi. jika sistem keamanan tersebut diyakini memilki keandalan yang sangat bagus, segala hal yang bisa menyababkan timbulnya perselisihan bisa dihindari dan di kurangi. Hal ini penting sekali khususnya jika kita menyadari bahwa dunia elektronik ini mungkin tidak memiliki batas-batas hukum yang jelas, khususnya lagi jika informasi dikirim melalui sebuah wilayah yang tidak memiliki kontrol yuridiksi yang kuat. Untuk itu, dengan penggunaan sistem keamanan yang tepat dan handal
2
akan dapat membantu para pelaku bisnis dalam rangka menghindari segala kemungkinan perselisihan maupun rintangan yang terjadi. 3. Sistem perdagangan real time Sistem perdagangan real time yang dilakukan dengan rekan bisnis yang letaknya sangat jauh dari kita merupakan solusi efektif dan tuntutan perkembangan bisnis saat ini. Tetapi siistem real time ini memiliki efek negatif yaitu dapat mengurangi kesempatan bagi para pelaku bisnis untuk saling menanyakan segala sesuatu yang ditransaksikan (kelemahan dan kelebihan) dan adpat menguarangi faktor keamanan yang melekat pada sistem perdagaangan tradisional. Sebenarnya yang dimaksud faktor rasa aman dalam sistem perdagangan tradisional adalah kedua pihak yang saling bersangkutan dapat saling bertemu dan memeriksa secara langsung segala sesuatu yang berkaitan dengan kegiatan transaksi. 4. Meningkatakan rasa pengertian/penghargaan terhadap segala resiko yang mungin terjadi E-Commerce tentunya memiliki resiko-resiko yang tidak bisa dianggap remeh begitu saja. Karena resiko-resiko yang terjadi bisa saja membuat semua yang dilakukan dan dimilki akan hancur begitu saja. Untuk itu dengan adanya sistem keamanan pada eCommerce, akan dapat memberika rasa aman dan percaya diri terhadap penggunaan sistem eCommerce tersebut. 5. Tersedianya teknologi sistem keamanan (security) Sistem keamanan informasi menjadi bagian yang sangat penting seiring dengan berkembangnya fungsi keamanan pada komunitas utama sektor komersial dan berbagai aplikasi lain yang dianggap semakin penting. Perkembangan teknologi sistem keamanan ini meningkat dengan pesat dan nisa di terapkan pada berbagai platform teknologi eCommerce yang berbeda-beda, khususnya untuk melengkapi sistem sucure digital payment. Intinya, sistem keamanan tersebut menjadi bagian yang sangat penting dari transaksi-transaksi yang terjadi. 6. Sistem keamanan sebagai aset yang berharga Sistem keamanan dapat memberikan keuntungan yang sangat kompetitif pada bisnis dan dapat menciptakan suatu penghalang yang kuat jika ingin
3
memasukinya. Seperti komputer yang berkembang pesat pada tahun 70-an, komunikasi data pada tahun 80-an, da kini sistem keamanan informasi menjadi bagian yang sangat penting dari perkembangan zaman. Sistem keamanan bisa memperkuat/melindungi aliran infirmasi, design produk, struktur finansial, dan organisasi bisnis.mIntinya, sistem keamanan informasi adalah power. 7. Politik sistem keamanan informasi telah menjadi bagian dari pokok permasalahan penting sistem politik yang perlu dibahas. Karena mereka menganggap bahwa hal itu juga melibatkan sistem keamanan nasional dan pelaksanaan undang-unndang. Hal-hal ini bisa kita lihat di negara Amerika, dimana rasa aman dalam bentuk apapun harus dilindungi sehingga sistem ini menjadi bagian dari hukum/ undanguundang yang berrlaku. Tetapi, sering kali kepentingan keduanya (bisnis dan politik) tidak sejalan. Untuk itulah mengapa sistem keamanan informasi ini menjadi begian dari pembahasan sistem konstitusi di negara-negara tertentu. 8. Pengakuan terhadap pernyataan sah Seiring dengan berkembangnya zaman, sistem keamanan informasi semakin dihargai. Terutama usaha untuk membuktikan sesuatu itu sah atau tidak. Hal itu penting sekali kerena kita mengadakan transaksi mungkin dengan orangorang yang tidak kita kenal, dan untuk itu perlu sekali adanya pembuktian keabsahan mengenai segala sesuatu yang berkaitan dengan transaksi yang berlangsung, baik itu keabsahan identitas penjual, pembeli, dan sebagainya. Faktor-faktor itulah yang mendukung arus perkembangan E-Commerce dimana segi keamanan (security) menjadi bagian yang terpenting. Teknologi sistem keamanan informasi menghasilkan suatu model yang diperlukan untuk membuat E-Commerce yang global bisa terwujud. Peran dan tanggung jawab pelaku E-Commerce dilibatkan, efek-efek informasi disebarkan, dan dunia komputer berbasis komersial mengalami transaksi untuk memenuhi keinginan yang semakin pesat akan E-Commerce yang aman.
2.2
Isu-isu keamanan EC
4
Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity, dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA. Namun dalam makalah ini diusulkan aspek lain yaitu aspek non-repudiation yang dipelukan untuk transaksi elektronik. Penjabaran dari masing-masing aspek tersebut akan dibahas secara singkat pada bagian ini. 1. Confidentiality Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan. Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik lalai
dalam
menerapkan
pengamanan.
Umumnya
pengamanan
ini
baru
diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal. Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan. 2.
Integrity Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement. Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan menggunakan messange authentication code, hash function, digital signature.
3. Availabilit Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat
5
diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya. Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan). 4. Non-repudiation Non-repudiation merupakan aspek yang sangat penting dalam transaksi elektronik. Aspek ini seringkali dilupakan. Aspek non-repudiation menjamin bahwa pelaku transaksi tidak dapat mengelak atau menyangkal telah melakukan transaksi. Dalam sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan
dengan
menggunakan
tanda
tangan.
Dalam
transaksi
elektronik, aspek non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan audit trail (log), dan pembuatan sistem dapat diperiksa dengan mudah (auditable). Implementasi mengenai hal ini sudah tersedia, hanya perlu diaktifkan dan diakui saja. Dalam rancangan Cyberlaw Indonesia – yang dikenal dengan nama RUU Informasi dan Transaksi Elektronik
– tanda tangan digital diakui sama sahnya dengan tanda tangan konvensional. 5. Standar Pengamanan Dalam upaya untuk memenuhi aspek-aspek tersebut di atas, sistem perlu dirancang dan diimplementasikan sesuai dengan standar yang berlaku. Ada beberapa standar yang dapat diikuti, mulai dari standar yang sifatnya formal (seperti ISO 17799) sampai ke standar yang sifatnya lebih praktis dan operasional (yang sering disebut best practice). 6. Evaluasi Secara Berkala Untuk membuktikan aspek-aspek tersebut sistem informasi perlu diuji secara berkala. Pengujian atau evaluasi ini sering disebut dengan istilah audit, akan tetapi bukan audit keuangan. Untuk menghindari kerancuan ini biasanya sering digunakan istilah assesement. Evaluasi secara berkala bisa dilakukan dalam
6
level yang berbeda, yaitu dari level management (non-teknis) dan level teknis. Masing-masing level ini dapat dilakukan dengan menggunakan metodologi yang sudah baku. Evaluasi untuk lebel non-teknis biasanya dilakukan dengan menggunakan metoda evaluasi dokumen. Untuk level teknis, ada metodologi dalam bentuk checklist seperti yang telah kami kembangkan di INDOCISC2 dengan
menggunakan
basis
Open-Source
Security
Testing
Methodology
(OSSTM)3. Sayangnya di Indonesia tidak banyak yang dapat melakukan evaluasi secara teknis ini sehingga cukup puas dengan evaluasi tingkat high-level saja. Sekali lagi, evaluasi secara teknis harus dilakukan untuk membuat evaluasi menyeluruh.
2.3 Jenis-jenis ancamana keamanan EC
1. Ancaman kerahasiaan Pada e-commerce yaitu ancaman terhadap informasi sensitif atau pribadi, misalnya pencurian data menggunakan Program Sniffer. Program ini merekam informasi lewat komputer atau router, membaca pesan e-mail dan lalu lintas pesan klien-server web yang tidak terenkripsi. Selain itu juga ada istilah Backdoors: celah elektronik. Baik itu celah yang sengaja atau tidak sengaja dibuka, konten yang terancam kerahasiaannya. Contohnya program backdoor keranjang belanja Cart32. 2. Ancaman integritas a. Dikenal sebagai penyadapan aktif, yaitu aliran informasi pesan diubah oleh pihak yang tidak sah. Contoh pelanggaran integritas adalah Cybervandalism yang merusak halaman situs web. b. Menyamar (spoofing), yaitu berpura-pura menjadi orang lain. Situs web palsu merepresentasikan dirinya sebagai yang asli. c. Server nama domain (DNSs). Komputer internet mempertahankan direktori yang menghubungkan nama domain ke alamat IP. Pelaku menggunakan celah keamanan perangkat lunak dengan mengganti alamat situs Web mereka di tempat yang sebenarnya dan parodi pengunjung situs web.
7
d. Phishing expeditions, yaitu menangkap informasi rahasia pelanggan, korbannya orang biasa, seperti perbankan online, dan pengguna sistem pembayaran 3. Ancaman kebutuhan Dikenal
sebagai
ancaman
keterlambatan,
penolakan,
denial-of-
service(DoS). Mengganggu pengolahan komputer biasa. Menolak seluruh pemrosesan.
Mentorerir
menjadikan
layanan
kecepatan tidak
pemrosesan
dapat
komputer
digunakan
atau
yang tidak
lambat, menarik.
Serangan DoS: menghapus seluruh informasi, menghapus informasi transmisi atau file. 4. Ancaman
Bagi
Keamanan
Fisik
Saluran
Komunikasi
Internet
Paket internet berbasis desain jaringan untuk menghindari shutdown dengan serangan pada link komunikasi tunggal, sehingga layanan internet pengguna individu dapat terganggu, misalnya kerusakan link internet pengguna. Pada perusahaan besar atau organisasi, mereka memiliki lebih dari satu link ke pusat utama internet. 5. Ancaman jaringan wireless: a. Wardriver: penyerang berkeliling di mobil. Menggunakan komputer yang dilengkapi wireless untuk mencari jaringan yang dapat diakses. b. Warchalking:
Menempatkan
tanda
kapur
pada
bangunan.
Mengidentifikasi jaringan wireless yang mudah masuk di dekatnya, situs web termasuk peta lokasi akses wireless. Solusi Enkripsi c. Enkripsi adalah koding informasi menggunakan program berbasis matematis atau kunci rahasia yang menghasilkan karakter yang tidak dipahami string. d. Kriptografi adalah ilmu yang mempelajari enkripsi. Ilmu untuk membuat pesan hanya dapat dibaca pengirim dan penerima. e. Steganografi adalah membuat teks tidak dapat terdeteksi dengan mata telanjang. Memastikan Integritas Transaksi dengan Fungsi Hash
8
Pelanggaran integritas, ciri-cirinya yaitu pesan diubah saat transit antara pengirim dan penerima, sulit dan mahal untuk mencegahnya, teknik keamanan untuk mendeteksi, kelemahannya adalah perubahan pesan tidak sah tidak terdeteksi. Menggunakan dua algoritma untuk mengeleminasi penipuan dan penyalahgunaan. Yang pertama dengan function dan yang kedua dengan penyingkatan pesan. Memastikan Integritas Transaksi dengan Tanda Tangan Digital Penyingkatan pesan yang dienkripsi. Tanda tangan digital memberikan: integritas, nonrepudiaton, dan otentikasi sehingga memberikan transaksi sebuah kerahasiaan. Kekuatan hukum tanda tangan digital sama seperti tanda tangan secara tradisional.
Ancaman Keamanan Pada Sistem E-Commerce 1.
Pencegatan data , pembacaan dan modifikasi data secara tidak sah.
2. Puncurian data terhadap orang yang tidak bertanggung jawab. 3. Kecurangan (fraud) yang dilakukan oleh orang-orang yang identitasnya tidak diketahui. 4. Akses yang tidak sah oleh seseorang terhadap data milik orang lain.
solusi Ancaman Keamanan Sistem E-Commerce 1. Enkripsi (penyandian data), Metode enkripsi atau yang lebih dikenal dengan kriptografi (cryptograph) adalah metode penyandian suatu pesan atau data yang terkirim melalui jaringan publik dengan menggunakan kunci-kunci (keys) tertentu. 2. Otentifikasi (Melakukan verifikasi terhadap identitas pengirim dan penerima) 3. Firewall ( Menyaring serta Melindungi lalu lintas data di jaringan atau server). Firewall akan bertindak sebagai pelindung atau pembatas terhadap orang-orang yang tidak berhak untuk mengakses jaringan kita. Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus untuk masingmasing komputer yang terhubung dalam jaringan tersebut. Apabila jaringan ini
9
tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali atau dilacak oleh pihak-pihak yang tidak diinginkan. Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh pihak-pihak yang tidak diinginkan.
2.4 Mengelola keamanan EC
Ada beberapa cara untuk mengelola keamanan pada E-Commerce : 1. Authentication (keabsahan pengirim) 2. Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan) 3.
Confidentiality (kerahasiaan data)
4. data tidak dapat dibaca oleh pihak yang tidak berhak 5. Integrity (keaslian data) 6. data tidak dapat diubah secara tidak sah 7. Non-Repudiation (anti-penyangkalan) 8. tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim)
Adapun cara yang lain mengelola E-Commerce adalah : 1. Verifikasi Semua URL Memverifikasi URL sangat penting dalam memecahkan legitimasi setiap situs yang ditemukan melaui iklan dan hyperlink. Setiap link yang disajikan dalam email, komentar media sosial, atau iklan dapat membawa Anda ke situs web palsu. Untuk membuat keadaan menjadi lebih buruk, situs penipu sering hampir tidak bisa dibedakan dari situs yang sah. Terlepas dari bagaimana Anda datang ke sebuah website atau bagaimana website tersebut bersih, periksa URL dari website tersebut. Anda tidak perlu memahami semua bagian dari itu, tapi jika
10
nama domain root (bagian setelah "www.") Tidak sesuai dengan konten situs, kemungkinan Anda harus membeli di tempat lain.
2. Tanyakan Sebelum Membeli Salah
satu
cara
termudah
untuk
menghindari
penipuan
online
adalah pastikan Anda ertransaksi dengan situs yang sah. Selain memeriksa URL untuk validitas, proses dua langkah sederhana ini akan membantu memastikan situs itu asli. Pertama, periksa bahwa situs Anda memiliki "About us" atau "Contact us" " halaman valid dengan informasi kontak yang terdaftar. Kedua, pastikan perusahaan memiliki beberapa jenis akun media sosial. Jika Anda tidak yakin tentang transaksi, maka screenshot halaman konfirmasi dan informasi pasca-pembelian yang Anda terima pada layar. Screenshot memungkinkan Anda untuk menyimpan rincian yang Anda belum tahu dan belum Anda butuhkan. 3. Gunakan Metode Pembayaran yang Terpisah dari Rekening Bank Meskipun kartu kredit dan kartu debit dapat digunakan sebagai metode pembayaran plastik di dalam toko, penggunaan kartu kredit yang paling baik digunakan untuk metode pembayaran online. Ketika Anda membayar melalui kartu kredit, pembayaran secara teknis berasal dari perusahaan kartu kredit sebagai pinjaman, bukan pembayaran moneter dipotong langsung dari rekening bank Anda. Setiap kesalahan pemrosesan atau biaya kelebihan dapat dengan mudah tertangkap pada laporan kartu kredit Anda. Pembayaran kartu kredit virtual biasanya dibebankan ke kartu kredit atau kartu debit, bukan langsung ke rekening bank Anda, pada dasarnya menawarkan lapisan tambahan perlindungan. Ketika Anda membayar dengan kartu kredit virtual, informasi perbankan Anda tetap terpisah dari pembelian pribadi Anda, sehingga memastikan apakah nomor kartu dicuri, hacker tidak dapat mengakses account Anda atau kembali menggunakan kartu yang dicurangi.
11
BAB III PENUTUP
3.1
KESIMPULAN
sistem keamanan pada E-Commerce telah berkembang dengan pesat yang menyebabkan pusat perhatian bisnis makin lama makin terfokus pada sistem keamanan informasi dan segala kaitan yang dengan pentingnya pengakuan sah terhadap sesuatu(legal significan). Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity, dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA. Ssitem keamanan pada E-commerce juga memiliki berbagai ancaman, salah satunya adalah ancaman kerahasiaan. Akan tetapi ancaman-ancaman tersebut memiliki solusi untuk mengatasinya dan sistem keamanan pada Ecommerce bisa dikelola dan diatur.
3.2 SARAN
Walaupun sistem keamanan pada E-commerce sudah jauh berkembang, akan tetapi sistem keamanan pada E-commerce harus lebih ditingkatkan lagi, karena banyaknya isu-isu yang terkait ancaman terhadap keamanan E-commerce, solusi untuk mengatasi ancaman terhadap kemanan E-commerce harus lebih ditingkatkan lagi.
12
DAFTAR PUSTAKA
http://keamanan-ecommerce.blogspot.co.id
13
Pertanyaan
1. Apa konsep dasar dari sistem keamanan e-commerce 2. Jelaskan tujuan dari konsep dasar sistem keamanan e-commerce 3. Apa yang dilakukan untuk melindungi kemanan dan komputer terhadap serangan dari para hacker 4. Bagaimana cara mencegah terjadinya Ancaman integritas 5. Apakah ada cara untuk mengecek Integrity (keaslian data)
14
