Jumat, 11 Maret 2016

Apakah Setiap Bank Wajib Dilakukan Penetration Testing ?

Sudah lama tidak bersuara disini dan kebanyakan bertapa di Goa tanpa akses inet (bercanda). Jika tidak salah dulu pernah posting tentang apa saja persyaratan ketika bank ingin menerbitkan layanan electronic banking. Tadi baru dapat pertanyaan dari teman saya, apakah setiap bank wajib dilakukan penetration testing (pentest) setahun sekali?

Ane coba menjawab walau sudah pensiun dari dunia perbankan yah. Sebelumnya ingin menjelaskan terlebih dahulu tentang Electronic Banking (E-Banking) yang langsung dikutip dari SEBI 9/30/DPNP Bab 8 sebagai berikut:

  • E-Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik seperti Automatic Teller Machine (ATM), phone banking, electronic fund transfer (EFT), Electronic Data Capture (EDC)/Point Of Sales (POS), internet banking dan mobile banking.
Jadi sangat jelas jika ada Bank yang sudah mempunyai ATM maka dipastikan mereka sudah mempunyai layanan E-Banking. Kemudian apakah SMS Banking termasuk kategori E-Banking juga kah? Jawabannya iya gan, karena SMS Banking adalah sebuah sarana untuk melakukan transaksi perbankan juga dengan medianya handphone.

Oke sampai disitu pembahasan terkait pengertian E-Banking. Sekarang saatnya membahas Penetration Testing dan nampaknya tidak perlu lagi dijelaskan apa itu pentest. Coba anda lihat di sub bab 8.4.2.1 poin:

1)  Bank harus menerapkan metode dan teknik yang tepat untuk mengurangi ancaman eksternal seperti serangan virus, malicious transaction yang meliputi: 
  • perangkat lunak – penyediaan virus scanning dan anti virus untuk seluruh  entry point dan masing-masing sistem komputer (desktop);

  • perangkat lunak untuk mendeteksi adanya penyusupan (intrusion detection system);

  • pengujian penetrasi (penetration testing) terhadap jaringan internal dan eksternal secara berkala sekurang-kurangnya 1 tahun sekali. 

Nah di Poin ketiga tersebut sangat jelas bahwa harus dilakukan pentest minimal setahun sekali agar dapat mengetahui kerentanan yang ada pada seluruh sistem yang terkait E-Banking. Jadi jika ada perbankan yang tidak melakukan kegiatan tersebut, maka apabila ada Auditor Eksternal yang mempunyai finding bahwa Bank tidak melakukan kegiatan pentest, dianggap benar hasil temuan tersebut yang berbasiskan poin di lampiran SEBI 9/30/DPNP.

Sekian tulisan singkat ini, semoga mudah dipahami oleh kita semua.

Sumber:

0 komentar: