Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu.
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di
enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi
pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian
harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank yang kini sedang disidik polisi adalah Bank Chugoku yang
berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank
Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu menggunakan
teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai dalam tindak
kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM
ini sebagai ulah komplotan pemalsu ATM yang besar sehingga pihaknya berencana
membentuk gugus tugas penyelidikan bersama dengan satuan polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan metode
yang pelaku gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun,
polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar
pemilik rekening yang dibobol itu adalah anggota satu program yang dijalankan
olah sebuah perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.
Analisa Kasus:
Dari rangkuman berita diatas, dapat
ditarik beberapa kesimpulan, antara lain :
- Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan lebih dari satu orang.
- Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
- Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan informasi-informasi yang seharusnya bersifat rahasia.
- Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi oleh PIN.Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan.
Hal ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui
dan hampir bisa dapat dipastikan belum pernah digunakan sebelumnya. Dari rangkuman berita diatas, disebutkan bahwa para
pemilik yang uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak
bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan
tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu
besar.
Dari segi sistem keamanan kartu ATM itu sendiri,
terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Saran:
· Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM.
Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari
skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak bersifat
PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan penerapan
tanda tangan digital misalnya.
· Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan
pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan kartu ATM
memberikan edukasi kepada para nasabahnya tentang tata cara penggunaan kartu
ATM dan bagaimana cara untuk menjaga keamanannya.
Referensi
http://iwanasmadi.blogspot.com/
Definisi Audit Teknologi Informasi
Definisi Audit
teknologi informasi adalah bentuk pengawasan dan pengendalian dari
infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah
ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elktronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saha data transaksi penjualan, pembelian,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Ruang Lingkup Audit Tekonlogi Informasi
Ruang lingkup mencakup audit terhadap sistem
informasi penjualan, yang diawli pada bagian marketing penerimaan order hingga
pembuatan laporan penjualan. Sedangkan pengendalian prosedur dan pelaksanaan
sistem informasi dibagi menjadi dua bagian yakni:
- Pengendalian Umum
(General Control) mencakup pengendalian manajemen keamanan dan
pengendalian manajemen operasi.
- Pengendalian Aplikasi
(Aplication Control) mencakup pengendalian boundary, pengendalian input
dan pengendalian output.
Alasan Diperlukannya Audit Teknologi Informasi :
1. Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.
2. Kesalahan dalam pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.
3. Kerugian yang disebabkan oleh kesalahan pemrosesan computer
Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.
4. Penggunaan komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.
1. Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.
2. Kesalahan dalam pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.
3. Kerugian yang disebabkan oleh kesalahan pemrosesan computer
Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.
4. Penggunaan komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.
- Hacker : Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan.
- Cracker : Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut
- Virus : Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.
Kejahatan komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan evaluasi bukti.
5. Kesalahan pada proses perhitungan
Sistem Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang dilakukan.
6. Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak computer
Investasi yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.
Tujuan Audit Teknologi Informasi
- Availability
ketersediaan informasi, apakah informasi pada perusahaan dapat menjamin
ketersediaan informasi dapat dengan mudah tersedia setiap saat.
- Confidentiality /
kerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem
informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan
memiliki otorisasi.
- Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu.
Akibat / Dampak
Teknologi Informasi Terhadap Proses Audit
Pengendalian
komputer dapat menggantikan pengendalian manual. Memiliki keuggulan dapat mampu
menangani transaksi bisnis yang kompleks dengan jumlah besar dengan efisien.
Komputer memproses informasi secara konsisten serta dapat menggurangi salah
saji dengan mengganti prosedur yang dilakukannya secara manual dengan
pengendalian yang terprogram dengan menerapkan fungsi saling mengawasi dan
mengontrol setiap transaksi yang diproses.
Referensi :