Secure Financial Service di Korea


Akhir juni lalu saya ikut seminar CYSE 2014, ada presentasi yang menarik tentang Secure Financial Service di Korea. Presentasi ini disampaikan oleh HyungJin Lim PhD dari Financial Security Agency (semacam OJK). Di Korea penggunaan internet sangat tinggi menurut statistik sekitar 98,% penduduknya menggunakan internet (48 juta pelanggan). Sementara pengguna mobilephone 110% dari total populasi (54 juta). 53% dari total penduduknya memiliki digital certificate (26 Juta). Menurut data bulan Maret 2014 97,7 juta user menggunakan internet banking, angka ini jauh melebihi jumlah penduduk, karena terdapat user yang menggunakan banking pada lebih dari 1 bank. 63,7 Juta transaksi ebanking terjadi setiap hari dengan nilai transaksi 36 milliar won.  Perbandingan transaksi online dengan offline, transaksi online 88,7% sementara transaksi offline 11,3%. Sementara untuk mobile banking 27,6 juta transaksi dilakukan setiap harinya dengan nilai transaksi 1,6 milliar Won.

Platform yang digunakan untuk e-banking bermacam-macam, pada awalnya menggunakan aplikasi berbasis web maupun app mobile. Selanjutnya berkembang dengan digunakannya mobile wallet dan mobile payment menggunakan barcode, qr code dan NFC. Sejak diluncurkan tahun 1999 telah banyak pula terjadi insiden keamanan, seperti penjebolan ID dan password, phishing, malware, Ddos attack dll. Beberapa teknologi pengamanan yang digunakan diantaranya aplikasi anti keylogger, aplikasi digital sertifikat (PKI), One time password, out-of-band, Grid-Card, Web encryption, serta aplikasi anti malware.

Beberapa insiden yang diceritakan adalah adanya hacking terhadap pegawai bank pada bulan maret 2013, dimana komputer tersebut digunakan untuk menyebarkan malware, malware ini menginfeksi server, ATM dan komputer pengguna lainnya. Malware kemudian berkomunikasi dengan sebuah C&C server untuk mengumpulkan informasi seperti ID dan password ebanking. Pada januari 2014 terjadi pencurian informasi kartu kredit oleh karyawan outsorcing, diperkirakan 104 juta data transaksi pelanggan berhasil dicuri. Pada Februari 2013 ditemukan adanya sebuah server FTP yang mengumpulkan 700 digital certificate dari pelanggan. Informasi ini didapatkan melalui malware yang disebarkan ke komputer pelanggan melalui internet bulletin board, video, webhard, dll. Ada juga ditemukan memory hacking menggunakan malware yang disebar ke komputer pelanggan. Malware mengumpulkan informasi credit card, insiden ini ditemukan pada bulan juni 2013. Kemudian ditemukan juga adanya insiden hacker yang memanfaatkan celah keamanan pada POS terminal pada restoran, pom bensin yang terhubung dengan sistem ebanking. Hacker menginfeksi server POS dengan malware kemudian mencuri data informasi kartu yang melakukan transaksi di restoran. Setelah itu melakukan cloning kartu.

fsa

FSA didirikan tahun 2006 untuk menangani permasalahan keamanan tersebut. Untuk mengamankan transaksi perbankan di Korea, FSA menyediakan berbagai layanan. Diantaranya membantu institusi perbankan untuk mengamankan transaksi ebanking, menguji sistem keamanan, melakukan edukasi, menyediakan OTP authentication center dan melakukan riset. FSA menerapkan standard ISO 9001 dan ISO 17025. Vurnerability analysis yang dilakukan adalah terhadap layanan web, WLAN, Client PC, dan mobile divece.  FSA juga rutin mengadakan training simulasi insiden setiap minggu bekerjasama dengan KFCert. Untuk Edukasi didirikan Financial Information Security Academy http://edu.fsa.or.kr .

FSA juga menyediakan layanan authentikasi OTP yang telah terintegrasi dengan 69 institusi keuangan. Sampai tahun 2014 FSA telah melayani 74 juta transaksi yang menggunakan OTP dengan jumlah user 10 juta. Terlihat dari presentasi pemerintah korea sangat serius mengamankan transaksi banking. Semoga banyak hal yang dapat kita pelajari dari presentasi ini.


Silahkan tuliskan tanggapan, kritik maupun saran