APAKAH SOLUSI AMAN DAN MUDAH DALAM KEAMANAN SIBER SEBUAH HARAPAN PALSU?

Blog

Pavel Melnichenko

By Pavel Melnichenko, CTO

Seperti yang kami jelaskan di unggahan sebelumnya, titik terlemah dalam sistem digital perbankan adalah pengguna sedangkan sisi bank biasanya sangat terlindungi, bank tahu tentang hal itu. Seluruh tim teknis bank – termasuk divisi risiko – akan melakukan yang terbaik untuk melindungi klien bank dan untuk tujuan ini mereka menawarkan solusi yang sangat kuat. Namun, solusi keamanan reguler dan pengalaman pengguna yang positif tampaknya tidak kompatibel. Tetapi karena kita hidup di era digital, solusi yang rumit dapat menjadi alasan penurunan pelanggan. Selain itu, solusi keamanannya cukup mahal. Ini biasanya berarti bahwa departemen klien dari bank yang sama tidak akan pernah menerima solusi keamanan semacam itu. Oleh karena itu, sering kali departemen bisnis lebih suka menerima risiko daripada kehilangan klien dan membuang-buang uang.

Sebagian besar bank lebih suka membuat kompromi dan menggunakan yang lemah, dari sudut keamanan, tetapi solusi yang murah dan nyaman – seperti kode SMS, push code, OTP atau apa pun dari jenis ini. Namun, seperti yang disebutkan sebelumnya, ini adalah cara yang bisa diperdebatkan.

Prinsip Yang Harus Dimiliki Pengembang

Oleh karena itu, sebagai vendor dalam solusi keamanan siber, untuk memecahkan masalah ini dengan cara yang cerdas, kita harus mencari tahu beberapa poin utama:

  1. Pertama, solusi harus melindungi langkah-langkah paling sensitif dalam proses komunikasi bank-ke-pelanggan, yang mencakup konfirmasi tindakan.
  2. Kedua, solusi harus diamankan dengan desain, dengan proses konfirmasi dijamin dengan bukti.
  3. Ketiga, solusi harus sesederhana mungkin bagi pengguna akhir; dengan satu tombol “konfirmasi” adalah menjadi tindakan paling sulit yang harus dilakukan pengguna;
  4. Keempat, harus dipahami bahwa karyawan bank tidak diwajibkan untuk menjadi profesional dalam teknologi vendor. Kompleksitas teknologi harus ditutupi dengan “penutup” yang mudah digunakan untuk karyawan bank.
  5. Solusi harus memastikan bahwa itu mudah dipahami dan digunakan di pihak bank, karena sistem yang rumit akan menimbulkan “biaya tersembunyi”.
  6. Akhirnya, harus hemat biaya dibandingkan dengan “solusi lemah, tapi murah dan nyaman.

Sebagai perhatian, ini bukan daftar lengkap dari solusi ideal yang “harus dimiliki” tetapi di atas adalah poin utama yang telah kami analisa melalui pengalaman kami dengan solusi keamanan siber.

Teknologi Kami

Perangkat lunak PayConfirm oleh Airome Technologies diciptakan untuk memenuhi kriteria ini dan banyak lainnya dengan tujuan memberikan solusi keamanan yang sangat aman, benar-benar nyaman dan hemat biaya. PayConfirm berfungsi untuk mengesahkan semua jenis operasi, termasuk konfirmasi transaksi atau penandatanganan dokumen elektronik, langsung di perangkat ponsel Anda.

Tanda tangan digital digunakan sebagai sarana konfirmasi untuk semua jenis operasi – login, transfer uang, tanda perjanjian, aplikasi pinjaman dan banyak lagi.

Proses keamanan PayConfirm didasarkan pada skema kriptografi asimetris. Poin paling menarik tentang mereka adalah distribusi kunci dan skema perlindungan kunci pribadi. Dalam PayConfirm, kunci pribadi pengguna dihasilkan, disimpan, digunakan, dan “mati” di perangkat ponsel pengguna. Biasanya, sistem berdasarkan kriptografi asimetris menggunakan Public Key Infrastucture (PKI) atau infrastruktur kunci publik untuk mendistribusikan kunci publik dalam sistem. Para ahli di PKI tahu tentang kompleksitas PKI dan sertifikat digital dalam layanan. Namun, kita harus ingat tentang perlunya menyederhanakan proses transaksi staf dan pengguna bank. Itulah sebabnya di Airome Technologies telah menemukan skema distribusi kunci yang dipatenkan untuk menghindari PKI mendistribusikan materi kunci dalam sistem.

Cara kerjanya adalah topik untuk pos yang dipisahkan, tetapi PayConfirm selalu dapat menjawab: kapan dan data pasti apa yang dikonfirmasi, siapa yang melakukannya, perangkat mana dan kunci apa yang digunakan, apa yang merupakan hasil dari proses konfirmasi, dan yang paling penting adalah sistem dapat membuktikan bahwa pengguna akhir melakukan transaksi itu.

Dengan kunci pribadi pengguna disimpan di perangkat ponsel, kami berinvestasi dalam penelitian mengenai perlindungan kunci pribadi selama proses penyimpanan. Ini dilakukan dengan menyimpan set kunci dalam keadaan terenkripsi. Dienkripsi dalam dua cara secara konsisten:

  • Pertama dengan kunci enkripsi kunci (KEK) berdasarkan kata sandi pengguna;
  • Kedua adalah dengan KEK berbasis perangkat keras yang tidak dapat diekstraksi, dihasilkan dengan chip perangkat keras khusus pada perangkat smartphone.

PayConfirm dirancang untuk menyembunyikan semua jargon dan kata-kata menakutkan seperti “distribusi kunci, kunci enkripsi kunci, chip perangkat keras, kriptografi asimetris, bukti keamanan” untuk menyederhanakan proses transaksi bank dan kliennya.

Dengan itu, solusinya terdiri dari dua bagian; sisi server (dipasang di infrastruktur bank) dan sisi klien (SDK untuk membangun aplikasi ponsel bank atau aplikasi ponsel yang berdiri sendiri). Semua sistem dan proses yang rumit disembunyikan dari karyawan bank dan pengembang sistem perbankan jarak jauh dan otomatis di belakang serangkaian API melalui server PayConfirm. Ini berarti, ketika server PayConfirm menerima transaksi untuk mengonfirmasi, hal itu akan secara bersamaan berkomunikasi dengan perangkat smartphone, menunjukkan transaksi kepada pengguna, memverifikasi rincian transaksi, mengekstrak kunci dari penyimpanan yang diamankan, menghitung dan memverifikasi tanda tangan – semua dalam keamanan – sambil mengembalikan tanda tangan dengan hasil verifikasi.

Kami bangga bahwa catatan waktu dalam mengintegrasikan konsep pembuktian untuk PayConfirm dilakukan dalam waktu 4 jam (dari menyediakan spesifikasi API hingga demonstrasi untuk manajer puncak bank).

Ini adalah fungsi utama dan prinsip-prinsip desain di balik PayConfirm. Sebagaimana disebutkan, server PayConfirm dan library mobile PayConfirm dihubungkan satu sama lain oleh saluran komunikasi yang aman. Ini berarti bahwa selama proses penandatanganan, solusi PayConfirm dapat melakukan banyak hal menarik, seperti analisis perangkat menggunakan penilaian risiko transaksi, memisahkan transaksi dengan semantik (login, transfer uang berisiko rendah, transfer uang berisiko, perjanjian uang dan lain-lain). Dengan memperoleh hasil berdasarkan metrik ini, kami dapat membangun model pengguna interaksi adaptif (otentikasi adaptif perilaku).

Selain itu, fungsi-fungsi ini tersedia melalui ketukan permintaan ke server PayConfirm, “Konfirmasi”.