Salah satu yang perlu dijadikan perhatian adalah masalah keamanan situs E-Commerce tersebut. Keamanan menjadi sangat penting, dikarenakan situs E-Commerce sering dijadikan sasaran kejahatan internet. Apabila dipersempit kembali permasalahannya, maka yang menjadi inti adalah adanya pencurian data (konsumen) pribadi seperti alamat dan nomor kartu kredit yang nantinya dipergunakan untuk melakukan kejahatan internet seperti “Carding”.
Tampaknya, aspek keamanan situs E-Commerce ini belum tersentuh oleh peraturan. Kita bisa dengan bebas membangun sebuah situs internet kapan saja, dan dimana saja. Hal ini cukup membahayakan bagi konsumen yang ingin melakukan transaksi E-Commerce secara online. Tidak ada standarisasi situs E-Commerce mungkin tidak akan begitu memberikan pengaruh yang signifikan, terutama bagi situs-situs “toko online” yang terkenal atau “pemain lama”. Permasalahannya adalah situs E-Commerce baru. Di sisi pemilik situs, mereka akan kesulitan mendapatkan pelanggan karena mereka belum punya “nama”.
Kejahatan dalam dunia internet biasanya disebut dengan cybercrime. Cybercrime ini sangat merugikan para konsumen dan pihak pedagang yang sedang melakukan transaksi maupun kgiatan di dalam internet.
Tampaknya, aspek keamanan situs E-Commerce ini belum tersentuh oleh peraturan. Kita bisa dengan bebas membangun sebuah situs internet kapan saja, dan dimana saja. Hal ini cukup membahayakan bagi konsumen yang ingin melakukan transaksi E-Commerce secara online. Tidak ada standarisasi situs E-Commerce mungkin tidak akan begitu memberikan pengaruh yang signifikan, terutama bagi situs-situs “toko online” yang terkenal atau “pemain lama”. Permasalahannya adalah situs E-Commerce baru. Di sisi pemilik situs, mereka akan kesulitan mendapatkan pelanggan karena mereka belum punya “nama”.
Kejahatan dalam dunia internet biasanya disebut dengan cybercrime. Cybercrime ini sangat merugikan para konsumen dan pihak pedagang yang sedang melakukan transaksi maupun kgiatan di dalam internet.
Cybercrime
1.Pencurian kartu kredit
2.Hacking dan Cracking beberapa situs
3.Penyadapan transmisi data dgn cara menyiapkan perintah yang tidak dikehendaki ke dalam program computer
Dalam cybercrime dimungkinkan adanya :
o Delik Formil
masuk ke komputer orang lain tanpa ijin
oDelik materiil
menimbulkan kerugian bagi orang lain
Kasus-kasus Cybercrime
lPenipuan lelang online
lPenipuan saham online
lPenipuan pemasaran berjenjang online
lPenipuan kartu kredit
Konsep dasar yang berkaitan dengan kemanan e-commerce:
·Security Policy
Satu set aturan yang diterapkan pada semua kegiatan pengaman pada sistem komunikasi dan komputer yang dimiliki oleh organisasi yang bersangkutan.
· Authorizatio
Bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.
· Accountability
Bagian yg mendasari security policy. Dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. Bahwa ia benar-benar bisa melakukan segala aktivitasnya.
· A Threat
Kemungkinan munculnya seseorang, sesuatu atau kejadian yg bisa membahayakan aset-aset yg berharga khsusnya yg berhubungan dengan tujuan keamanan.
· An Attack
Realisasi dari ancaman. Ada dua macam attack :
a. Passive Attack adalah monitoring terhadap segala kegiatan atau jalannya pengiriman informasi rahasia o/org yg tidak berhak
b.Active Attack adalah perusakan informasi dgn sengaja dan langsung mengena pada sasaran
· Safeguards
Kontrol secara fisik, mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang
· Vulnerabilities
Bagian dari sistem yg mudah rusak atau diserang krn adan sela-sela keamanan yg bisa ditembus.
· Risk
Perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.
· Risk Analysis
Proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.
· Accountability
Bagian yg mendasari security policy. Dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. Bahwa ia benar-benar bisa melakukan segala aktivitasnya.
· A Threat
Kemungkinan munculnya seseorang, sesuatu atau kejadian yg bisa membahayakan aset-aset yg berharga khsusnya yg berhubungan dengan tujuan keamanan.
· An Attack
Realisasi dari ancaman. Ada dua macam attack :
a. Passive Attack adalah monitoring terhadap segala kegiatan atau jalannya pengiriman informasi rahasia o/org yg tidak berhak
b.Active Attack adalah perusakan informasi dgn sengaja dan langsung mengena pada sasaran
· Safeguards
Kontrol secara fisik, mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang
· Vulnerabilities
Bagian dari sistem yg mudah rusak atau diserang krn adan sela-sela keamanan yg bisa ditembus.
· Risk
Perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.
· Risk Analysis
Proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.
Di sisi konsumen, bahaya situs palsu akan selalu membayangi mereka. Mereka tidak memiliki “tanda” bahwa situs terkait benar-benar “berbisnis” atau hanya penipuan, termasuk pencurian data, kartu kredit terutamanya. Di Indonesia sekarang ini telah muncul Rancangan Undang-undang tentang Informasi dan Transaksi Elektronik (RUU ITE) sepertinya merupakan terobosan besar bagi dunia hukum di Indonesia. Selama ini, permasalahan-permasalahan dalam dunia teknologi informasi masih kurang mendapatkan perhatian dari pemerintah sendiri. Bila selama ini kita selalu mendasarkan kepada hukum yang telah ada, maka dengan adanya RUU ITE ini diharapkan adanya pengaturan yang lebih khusus dan spesifik lagi. Pengaturan secara khusus dan lebih spesifik adalah perlu. Hukum yang tersedia sekarang ini mulai kurang bisa mengakomodasi perkembangan yang ada, tertama sekali perkembangan teknologi yang berkembang dengan sangat dinamis dengan frekuensi yang cepat. RUU ITE sebaiknya juga mengatur situs E-Commerce ini, bukan hanya RUU ITE, tetapi juga diperlukan suatu perangkat hukum yang bersifat universal dan trans nasional.
Keamanan e-commerce dapat juga dilakukan dengan menggunakan Scripts atau Aplikasi E-Commerce yaitu suatu site merupakan rangkaian kode-kode tertentu yang nantinya akan diterjemahkan oleh browser untuk ditampilkan. Kode-kode ini dinamakan sebagai Scripts. Scripts banyak macamnya, tergantung bahasa pemograman yang digunakan. Contohnya HTML, PHP, ASP, CGI, Perl, Java, dan lain-lain. Bahasa pemograman ini tidak begitu menjadi permasalahan, ini tergantung kemampuan, selera dan kebutuhan programer itu sendiri. Tidak ada yang perlu diatur disini.
Yang perlu diperhatikan adalah kualitas dari code-code scripts/aplikasi tersebut. Begitu banyak developer scripts aplikasi situs E-Commerce, mulai dari yang gratisan sampai yang komersil. Ini juga tidak perlu diatur. Gratisan bukan berarti kualitasnya rendah. Harga suatu scripts tidak bisa dijadikan patokan standar. Yang perlu diperhatikan adalah kualitas dari si developer itu sendiri. Memang, akan sangat sulit sekali menerapkan standar suatu aplikasi. Hal ini bukan berarti juga tidak ada sesuatu yang bisa dijadikan ukuran. Kita bisa mengukur dari segi pendidikan si developer tersebut, mungkin juga perlu diadakan semacam sertifikasi spesialisasi scripts/aplikasi E-Commerce. Memang, hal ini juga tidak bisa dijadikan jaminan. Suatu scripts/aplikasi yang baik, tidak harus dibuat oleh seseorang yang memiliki latar belakang pendidikan yang tinggi, bisa juga para developer yang otodidak mampu menciptakan suatu scripts/aplikasi E-Commerce yang baik. Tujuan dari standarisasi Scripts/aplikasi ini adalah untuk menghindari adanya developer-developer “liar” yang keberadaannya entah memang dia sendiri memang bertujuan menciptakan suatu Scripts/aplikasi E-Commerce, atau ada tujuan lainnya.
Dengan adanya kode jahat tersebut, sebagai contoh backdoor, maka keamanan situs tersebut patut dipertanyakan. Seorang developer Scripts, bisa dengan mudah memasukan kode-kode “jahat” dalam aplikasi yang dibuatnya, lalu menjualnya kepada orang lain. Ketika ada pembeli menggunakan aplikasi tersebut yang secara tidak sadar bahwa Scripts/aplikasi tersebut terdapat kode “jahat”, maka si developer tersebut bisa dengan mudah mengetahui dimana Scripts/aplikasi tersebut di-install lalu mencoba mengakses data-data yang ada di situs tersebut melalui kode “jahat” yang dibuatnya dengan metode yang terkenal dengan nama “callback” (untuk mengetahui posisi Scripts/aplikasi tersebut diinstall).
Selain dari faktor adanya kode “jahat”, ada faktor lainnya. Faktor tersebut adalah kesalahan, kekhilafan, ketidaktahuan, maupun kesengajaan dari si developer tersebut dalam membangun suatu Scripts/aplikasi yang rentan akan “serangan”. Celah keamanan ini bisa mengakibatkan mulai dari terbukanya informasi yang seharusnya menjadi rahasia hingga penguasaan situs atau bahkan server situs itu sendiri. Kesalahan pemograman ini tidak bisa dihindari. Suatu Scripts/aplikasi yang dibuat tidak pernah akan sempurna sehingga tidak bisa memberikan jaminan 100% keamanan. yang harus diperhatikan adalah tingkat kerawanan terhadap “exploit” Scripts tersebut. Kesalahan dan kekhilafan pemograman tidak lepas dari kemampuan dan pengetahuan si developer itu sendiri terhadap bahasa pemograman yang digunakannya. Semakin rendah pengetahuannya, semakin rendah juga kemampuannya dalam membangun suatu Scripts/aplikasi yang rumit seperti E-Commerce. Untuk situs-situs selain E-Commerce mungkin masih bisa ditoleransi, akan tetapi untuk situs E-Commerce tidak. Hal ini dikarenakan dalam situs E-Commerce terdapat banyak data sensitif konsumen, salah satunya adalah data kartu kredit yang bisa disalahgunakan untuk aksi kejahatan internet.
Yang paling berbahaya adalah kesengajaan membuat kesalahan pemrograman. Bisa saja si developer sengaja membuat kesalahan code agar dia sendiri bisa memanfaatkan celah keamanan yang dibuatnya. Kelebihan dari cara ini adalah bahwa ketika kode-kode scripts itu diteliti untuk mencari kode “jahat”, maka tidak akan ditemukan kode “jahat” tersebut, sehingga tampaknya Scripts/aplikasi tersebut termasuk “bersih”. Jikalaupun kelemahan ini ditemukan, dia bisa menyangkalnya sebagai suatu kekhilafan, bukan kesengajaan.
Untuk mencegah adanya developer-developer “liar”, maka perlu dibuat semacam sertifikasi yang menyatakan bahwa developer tersebut memiliki kemampuan yang cukup memadai dan Scripts/aplikasi yang dibuatnya telah lulus uji oleh “badan sensor”. Dengan adanya “badan sensor” yang mengaudit kode-kode tersebut, akan meminimalisir resiko-resiko diatas. hal ini dikarenakan bahwa developer tidak akan memiliki “kebebasan” lagi dalam membuat kode-kode Scripts/aplikasi, terutama kode-kode “jahat”. Untuk memperkuat dasar “badan sensor” ini, diperlukan dasar hukum yang melandasinya, salah satunya Undang-undang.
Untuk lebih meyakinkan konsumen akan keamanan situs tersebut, bisa saja dikeuarkan semacam sertifikat dan atau logo yang menunjukan bahwa Scripts/aplikasi tersebut telah diaudit oleh “badan sensor” dan dinyatakan aman dari kode-kode “jahat”, terutama kode-kode jahat yang sudah dikenal. Proses pembentukan “badan sensor” ini pasti tidak mudah, selain harus memiliki “coder-coder” handal, juga masalah penjaminannya. Seperti telah disebut diatas, penulis yakin bahwa tidak ada satupun Scripts/aplikasi yang benar-benar sempurna 100% aman. Dengan berjalannya waktu, ditemukannya beberapa celah keamanan tertentu, bisa saja mempengaruhi Scripts/aplikasi tersebut. Oleh karena itu, perlu diadakannya audit secara berkala terhadap Scripts/aplikasi tersebut. Mengenai penjaminan, meskipun sebenarnya tidak bisa menjamin 100%, akan tetapi setidaknya mempertingi tingkat keamanan Scripts/aplikasi tersebut dan masyarakat mengetahuinya, dengan cara melihat logo.
Tidak ada komentar:
Posting Komentar