Keamanan Transaksi dalam Kegiatan E-commerce

Internet adalah hal yang sudah tidak asing lagi bagi banyak orang. Jutaan orang di seluruh dunia setiap harinya menggunakan internet. Banyak kemudahan yang diberikan internet dalam berkomunikasi di zaman ini. Hal ini membuat banyak orang memanfaatkan kemudahan didalamnya untuk mengambil keuntungan.

Bisnis online akhir-akhir ini banyak dilakukan orang sebagai salah satu bidang mata pencaharian. Di dalam e-commerce atau bisnis online ada banyak pertukaran informasi dan komunikasi di jaringan internet yang merupakan jaringan komunikasi publik terbesar abad ini. Transaksi data merupakan hal yang umum terjadi di dalamnya. Keamanan terhadap transaksi data itulah yang menjadi hal terpenting di dalam e-commerce. Keamanan dalam berbisnis online adalah syarat yang sangat penting bagi kenyamanan penggunanya.

Pengamanan yang minim akan sangat merugikan baik pihak pertama maupun pihak kedua dalam proses perniagaan di internet. Banyak kasus yang bisa diambil sebagai contoh untuk menunjukkan bahwa aspek keamanan merupakan hal vital dalam proses jual-beli di internet. Seperti Kasus Clearing BRI Yogyakarta (25 Juni 1984), ini merupakan kasus kejahatan melalui komputer yang pertama di Indonesia yang dibawa ke Mahkamah Agung. Selain itu juga ada kasus pembobolan situs KPU, kasus Klik BCA, sampai dengan Redirecting DNS situs resmi presiden Susilo Bambang Yudhoyono.

Belajar dari pengalaman yang pernah terjadi, keamanan berinternet kemudian menjadi sorotan penting bagi para penyedia layanannya. Segala hal yang berkaitan dengan keamanan dalam berbisnis via internet inilah yang akan banyak dibahas dalam kesempatan kali ini.

E-commerce

           Sebelum membahas detil topik keamanan dalam melakukan e-commerce, pada bagian ini akan dijelaskan pengantar seputar e-commerce. E-commerce adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik khususnya internet. Dalam e-commerce  transfer dana juga dilakukan secara elektronik, demikian juga pertukaran datadilakukan melalui jaringan elektronik, sistem manajemen inventori otomatis, dan sistem pengumpulan data otomatis.

Industri teknologi informasi melihat kegiatan e-commerce ini sebagai aplikasi dan penerapan dari e-business yang berkaitan dengan transaksi komersial, seperti: transfer dana secara elektronik, SCM (supply chain management), e-pemasaran (e-marketing), atau pemasaran online (online marketing), pemrosesan transaksi online (online transaction processing), pertukaran data elektronik (electronic data interchange /EDI), dll. E-commerce merupakan bagian dari e-business, di mana cakupan e-bussiness lebih luas, tidak hanya sekedar perniagaan melalui internet tetapi mencakup juga pengkolaborasian mitra bisnis, pelayanan nasabah, lowongan pekerjaan, dll melalui jaringan komputer yang ada.

Dalam pembahasan mengenai keamanan dalam ber-e-commerce ada istilah digital signature dan sertifikat digital. Penjelasan lebih lanjut dan keterkaitannya akan dijelaskan pada bagian berikutnya.

Digital Signature

Banyak orang yang apabila baru pertama kali mendengar kata digital signature kemudian membayangkan tentang tanda tangan manusia yang di-digital-kan. Digital signature yang dimaksud dalam pembahasan tentang keamanan internet ini bukanlah seperti itu. Digital signature merupakan sebuah kode digital yang dapat ditempelkan pada pesan yang dikirim secara elektronis. Tanda atau kode inilah yang menjadi identitas dari pengirim pesan.

Digital signature adalah suatu sistem pengamanan yang menggunakan public key cryptography system. Digital signature bukanlah proses meng-scan tanda tangan manusia yang sudah ada kemudian menempelkannya pada dokumen baru. Digital signature yang dimaksud disini adalah proses memberikan ciri khas pada pesan atau dokumen yang akan dikirim via internet. Seperti halnya tanda tangan tertulis, tujuan tanda tangan digital adalah untuk menjamin bahwa yang mengirimkan pesan itu memang benar-benar orang yang seharusnya.

Sebelum membahas lebih lanjut mengenai digital signature, akan dibahas terlebih dahulu mengenai sistem kriptografi. Kriptografi berasal dari bahasa Yunani yang terdiri dari kata kryptos yang berarti tersembunyi dan grafo yang berarti tulis. Secara umum kriptografi adalah seni dan ilmu untuk menjaga kerahasiaan berita. Sandi adalah kata yang identik dan populer yang banyak dikenal oleh banyak orang yang terkait erat dengan kriptografi. Sandi di zaman sekarang banyak digunakan dalam banyak bidang untuk melakukan pengamanan.

Kriptografi sebenarnya sudah banyak digunakan sejak ratusan tahun yang lalu. Dahulu teknik ini juga digunakan untuk mengamankan informasi yang akan dikirim kepada orang lain. Namun penggunaannya masih secara tradisional, misalnya morse.

Pada kriptografi ada beberapa istilah yang sering dipakai yaitu, enkripsi, dekripsi, ciphertext (hasil sandi), message (objek yang akan disandi), kunci, algoritma penyandian, dan bit. Di Indonesia hal-hal seputar kriptografi banyak dipelajari di Lembaga Sandi Negara.

Enkripsi adalah proses untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Dekripsi adalah proses untuk membuka data tersebut. Kunci adalah alat yang digunakan untuk mengenkripsi ataupun mendekripsi data. Seangkan bit adalah ukuran panjang kunci yang digunakan. Biasanya kunci yang digunakan ukuran besar, misal 128 bit, agar sulit untuk dipecahkan.

Terdapat dua macam cara dalam melakukan enkripsi yaitu dengan menggunakan kriptografi simetris (lebih dikenal sebagai secret key crypthography) dan kriptografi asimetris (lebih dikenal sebagai public key crypthography). Digital signature sendiri menggunakan kriptografi asimetris untuk mengenkripsi (encrypt) objek yang akan dikirim.

Secret key crypthografi atau kriptografi simetris, menggunakan kunci yang sama dalam melakukan enkripsi dan dekripsi terhadap suatu pesan. Sedangkan pada public key crypthography, atau dikenal juga sebagai kriptografi simetris, digunakan dua kunci: satu kunci digunakan untuk melakukan enkripsi dan kunci yang lain digunakan untuk melakukan dekripsi terhadap pesan tersebut. Kedua kunci tersebut mempunyai hubungan secara matematis sehingga suatu pesan yang dienkripsi dengan suatu kunci hanya dapat didekripsi dengan kunci pasangannya. Untuk membuat kunci itu digunakan salah satu algoritma yang terbaik yang dikenal selama ini yaitu RSA (dinamakan sesuai dengan nama penciptanya Rivest, Shamir, Adleman).

Untuk menjelaskan proses penggunaan digital signature khususnya dalam keterkaitannya dengan e-commerce, maka berikutnya akan dijelaskan dengan contoh atau ilustrasi. Dimisalkan ada seorang pengguna (user) bernama Kiki yang mempunyai dua buah kunci, yaitu sebuah kunci privat (privat key) dan juga sebuah kunci publik (public key).

 

 

Kemudian Kiki dapat menyebarluaskan kunci publik miliknya. Tetapi kunci privatnya disimpan untuk dirinya sendiri. Dimana kunci itu digunakan untuk mengenkripsi data.

 

Misalkan Taufiqur ingin mengirimkan pesan berkaitan dengan informasi penyerahan dana untuk pembelian sebuah mobil. Oleh karena itu, Kiki wajib memberikan kunci publiknya kepada Taufiqur agar dia bisa mengenkripsi pesan penting yang akan dikirimkan. Dan kemudian kiki dapat mendekripsi pesannya dengan menggunakan kunci privatnya.

Kemudian untuk menandai pesan yang akan dikirim oleh Taufiqur tersebut, Taufiqur bisa menambahkan digital signature. Untuk menambahkan digital signature tersebut dia juga harus memiliki kunci publik dan kunci privat milik Taufik. Cara membuat digital signature:

Setelah digital signature tersebut tercipta kemudian Taufiqur bisa memasukkannya ke dalam pesan yang akan dikirim kepada Kiki untuk menandai bahwa pesan itu berasal darinya. Setelah itu, kemudian keseluruhan pesan dihash dan dienkripsi dengan kunci publik milik kiki lalu bisa dikirim melalui internet.

 

Setelah pesan diterima oleh Kiki, Kiki bisa membuka pesan itu dengan menggunakan kunci privat miliknya dan menghash ulang pesan itu dengan software yang sama dengan waktu Taufiqur menghash pesan tersebut. Dan apabila Kiki ingin memastikan bahwa pengirim pesan adalah Taufiqur maka dia dapat membuka signaturenya dengan kunci publik milik Taufiqur.

Demikian mereka bisa yakin bahwa pesan aman karena hanya mereka berdua saja yang memiliki kunci masing-masing. Teknik ini akan sulit untuk digagalkan karena selama perjalanan, seorang cracker akan sulit membuka kunci yang merupakan formasi sandi yang panjang dan rumit

.

Digital Certificate

Setelah mengerti mengenai digital signature pada bagian berikut ini akan dijelaskan mengenai digital certificate. Sama pentingnya dengan digital signature, digital certificate juga biasa digunakan dalam sistem pengamanan dalam ber-e-commerce.

Digital Certificate atau sertifikat digital adalah file yang terproteksi oleh password yang berisi berbagai macam informasi/identitas mengenai file tersebut, yang terdiri dari nama,  alamat email pemegang sertifikat, kunci enkripsi yang dapat digunakan untuk memverifikasi tanda tangan digital pemegang, nama perusahaan yang mengeluarkan sertifikat, dan periode validitas sertifikat.

Digital sertifikat adalah sebuah identitas yang dimiliki oleh suatu individu dalam internet sehingga tidak memungkinkan terjadinya duplikasi identitas. Satu individu hanya mungkin memiliki sebuah personal certification.  Ketika melakukan transaksi dalam E-commerce, maka Personal Certification inilah yang akan menjadi dasar kepercayaan suatu individu bahwa pihak yang akan melakukan transaksi  benar-benar pihak yang ada/real dan bertanggung jawab terhadap transaksi yang akan dilakukan. Untuk itu, Personal Certification inilah yang akan menjadi dasar kepercayaan suatu individu terhadap pihak yang akan melakukan transaksi. Adapun untuk organisasi dapat dianggap sebagai asosiasi beberapa individu dengan seorang individu yang menjadi pimpinan sekaligus penanggung jawab setiap transaksi yang dilakukan organisasi tersebut.

Teknologi digital certificate didasarkan pada teori kriptografi kunci publik. Dalam sistem kriptografi kunci publik, setiap pemohon memiliki dua kunci yang saling melengkapi yaitu sebuah kunci privat dan kunci publik dimana berfungsi hanya ketika mereka ditempatkan bersama-sama. Sertifikat digital ini bisa juga disebut dengan sebuah  kartu elektronik atau berupa surat kepercayaan  ketika melakukan bisnis atau transaksi melalui internet.  Surat kepercayaan ini dikeluarkan  oleh otoritas sertifikasi (CA). Surat kepercayaan yang dikeluarkan oleh CA ini berisi nama, nomor seri, tanggal kadaluarsa, salinan kunci publik pemegang sertifikat (digunakan untuk mengenkripsi pesan dan tanda tangan digital), dan tanda tangan digital yang disahkan oleh CA sehingga penerima dapat memverifikasi file bahwa file tersebut nyata dan asli.

Otoritas sertifikat (certification authority) ini memiliki beberapa tanggung jawab dalam memverifikasi data, diantaranya:

• Pemberian sertifikat kepada pengaju(pemohon) yang telah memenuhi kriteria.
• Mengelola sertifikat (misalnya, pendaftaran, memperbarui, dan mencabut mereka).
• Menyimpan kunci publik dan kunci private  dengan cara yang sangat aman.
• Memverifikasi bukti yang diajukan oleh pemohon.
• Menyediakan sarana dan prasarana untuk pendaftaran.
• Bertanggung jawab atas kesalahan-kesalahan yang terjadi saat verifikasi  data.
• Mensahkan tanda tangan digital.

Digital sertifikat ini juga mempunyai batas waktu pemakaian. Digital sertifikat ini akan berakhir satu tahun setelah diterbitkan. Namun, ada software yang dapat berfungsi untuk memperlama masa pakainya lebih dari satu tahun. Untuk menghindari berhentinya software yang digunakan, agar digital sertifikat tidak berakhir setiap waktu, perusahaan telah menyediakan layanan pencapan. Ketika Anda menandatangani kode, kode hash yang akan dikirimkan ke sertifikasi otoritas (CA akan dicap. Setelah software Anda telah dicap, maka Anda tidak perlu khawatir lagi tentang digital sertfikat anda berakhir.

Aspek Keamanan E-commerce

Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity, dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA. Namun dalam makalah ini diusulkan aspek lain yaitu aspek non-repudiation yang dipelukan untuk transaksi elektronik. Penjabaran dari masing-masing aspek tersebut akan dibahas secara singkat pada bagian ini¹.

·         Confidentiality

Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan.

Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang tidak berhak.

Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal.

Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan.

·         Integrity

Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement. Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan menggunakan messange authentication code, hash function, digital signature.

·         Availability

Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.

Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan).

·         Non-repudiation

Non-repudiation merupakan aspek yang sangat penting dalam transaksi elektronik. Aspek ini seringkali dilupakan. Aspek non-repudiation menjamin bahwa pelaku transaksi tidak dapat mengelak atau menyangkal telah melakukan transaksi.

Dalam sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan dengan menggunakan tanda tangan. Dalam transaksi elektronik, aspek non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan audit trail (log), dan pembuatan sistem dapat diperiksa dengan mudah (auditable). Implementasi mengenai hal ini sudah tersedia, hanya perlu diaktifkan dan diakui saja. Dalam rancangan Cyberlaw Indonesia – yang dikenal dengan nama RUU Informasi dan Transaksi Elektronik – tanda tangan digital diakui sama sahnya dengan tanda tangan konvensional.

Standar Pengamanan

Dalam upaya untuk memenuhi aspek-aspek tersebut di atas, sistem perlu dirancang dan diimplementasikan sesuai dengan standar yang berlaku. Ada beberapa standar yang dapat diikuti, mulai dari standar yang sifatnya formal (seperti ISO 17799) sampai ke standar yang sifatnya lebih praktis dan operasional (yang sering disebut best practice).

·         Evaluasi Secara Berkala

Untuk membuktikan aspek-aspek tersebut sistem informasi perlu diuji secara berkala. Pengujian atau evaluasi ini sering disebut dengan istilah audit, akan tetapi bukan audit keuangan. Untuk menghindari kerancuan ini biasanya sering digunakan istilah assesement.

Evaluasi secara berkala bisa dilakukan dalam level yang berbeda, yaitu dari level management (non-teknis) dan level teknis. Masing-masing level ini dapat dilakukan dengan menggunakan metodologi yang sudah baku. Evaluasi untuk lebel non-teknis biasanya dilakukan dengan menggunakan metoda evaluasi dokumen. Metoda ini yang banyak dilakukan oleh auditor Indonesia. Namun, metoda ini belum cukup. Dia harus dilengkapi dengan evaluasi yang levelnya teknis sebab seringkali kecukupan dokumen belum dapat memberikan perlindungan. Sebagai contoh, seringkali auditor hanya mencatat bahwa sistem memiliki firewall sebagai pelindung jaringan. Akan tetapi jarang yang melakukan evaluasi teknis sampai menguji konfigurasi dan kemampuan firewall tersebut.

Untuk level teknis, ada metodologi dalam bentuk checklist seperti yang telah kami kembangkan di INDOCISC dengan menggunakan basis Open-Source Security Testing Methodology (OSSTM). Sayangnya di Indonesia tidak banyak yang dapat melakukan evaluasi secara teknis ini sehingga cukup puas dengan evaluasi tingkat high-level saja. Sekali lagi, evaluasi secara teknis harus dilakukan untuk membuat evaluasi menyeluruh.

Masalah Pengamanan Sistem

Salah satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan komitmen dari pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini.

Ketidak-adaan komitmen dari puncak pimpinan berdampak kepada investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya. Sebagai contoh, untuk mengamankan hotel, setiap pintu kamar perlu dilengkapi dengan kunci. Adalah tidak mungkin menganggap bahwa setiap tamu taat kepada aturan bahwa mereka hanya boleh mengakses kamar mereka sendiri. Pemasangan kunci pintu membutuhkan biaya yang tidak sedikit, terlebih lagi jika menggunakan kunci yang canggih. Pengamanan data elektronik juga membutuhkan investmen. Dia tidak dapat timbul demikian saja. Tanpa investasi akan sia-sia upaya pengamanan data. Sayangnya hal ini sering diabaikan karena tidak adanya komitmen dari pimpinan puncak.

Jika komitmen dari pucuk pimpinan sudah ada, masih ada banyak lagi masalah pengamanan sistem informasi. Masalah tersebut adalah (1) kesalahan desain, (2) kesalahan implementasi, (3) kesalahan konfigurasi, dan (4) kesalahan operasional.

Ø  Kesalahan desain terjadi pada tahap desain dimana keamanan seringkali diabaikan atau dipikirkan belakangan (after thought). Sebagai contoh ada sebuah sistem informasi yang menganggap bahwa sistem operasi akan aman dan juga jaringan akan aman sehingga tidak ada desain untuk pengamanan data, misalnya dengan menggunakan enkripsi. Kami menemukan beberapa sistem seperti ini. Akibatnya ketika sistem operasi dari komputer atau server yang bersangkutan berhasil dijebol, data dapat diakses oleh pihak yang tidak berwenang. Demikian pula ketika jaringan yang digunakan untuk pengiriman data berhasil diakses oleh pihak yang tidak berwenang, maka data akan kelihatan dengan mudah.

Ø  Kesalahan implementasi terjadi pada saat desain diimplementasikan menjadi sebuah aplikasi atau sistem. Sistem informasi diimplementasikan dengan menggunakan software. Sayangnya para pengembang software seringkali tidak memiliki pengetahuan mengenai keamanan sehingga aplikasi yang dikembangkan memiliki banyak lubang keamanan yang dapat dieksploitasi⁴.

Ø  Kesalahan konfigurasi terjadi pada tahap operasional. Sistem yang digunakan biasanya harus dikonfigurasi sesuai dengan kebijakan perusahaan. Sebagai contoh, pemilik sistem membuat kebijakan bahwa yang dapat melihat dokumen-dokumen tertentu adalah sebuah unit tertentu. Namun ternyata konfigurasi dari sistem memperkenankan siapa saja mengakses dokumen tersebut. Selain salah konfigurasi, ada juga permsalahan yang disebabkan karena ketidak-jelasan atau ketidak-adaan kebijakan (policy) dari pemilik sistem sehingga menyulitkan bagi pengelola untuk melakukan pembatasan.

Ø  Kesalahan penggunaan terjadi pada tahap operasional juga. Kadang-kadang karena sistem terlalu kompleks sementara sumber daya yang disediakan sangat terbatas maka dimungkinkan adanya kesalahan dalam penggunaan. Sebagai contoh, sistem yang seharusnya tidak digunakan untuk melakukan transaksi utama (misalnya sistem untuk pengembangan atau development) karena satu dan lain hal digunakan untuk production. Hal ini menyebabkan tidak adanya pengamanan yang sesungguhnya. Selain itu ketidak-tersediaan kebijakan juga menyebabkan sistem digunakan untuk keperluan lain. Sebagai contoh, sistem email di kantor digunakan untuk keperluan pribadi.

Kesalahan-kesalahan di atas dapat menimbulkan celah lubang keamanan. Celah ini belum tentu menimbulkan masalah, sebab bisa saja memang celah ada akan tetapi tidak terjadi eksploitasi. Namun celah ini merupakan sebuah resiko yang harus dikendalikan dalam sebuah manajemen keamanan.

Manajemen Keamanan Transaksi Elektronik

Jika melihat masalah-masalah keamanan seperti diutarakan di atas, mungkin kita akan merasa takut untuk menjalankan transaksi elektronik. Sebetulnya masalah keamanan di dunia maya (cyberspace) memiliki prinsip yang sama dengan masalah keamanan di dunia nyata. Masalah keamanan ini dapat kita minimisasi sehingga e-procurement dapat diterima seperti halnya procurement konvensional.

Prinsip dasar dari penanganan atau management keamanan transaksi elektronik adalah meminimalkan dua hal:

• meminimalkan potensi (probabilitas) terjadinya masalah yang ditimbulkan oleh keamanan;
• meminimalkan dampak yang terjadi jika masalah tersebut terjadi

Hal yang pertama terkait dengan masalah pencegahan atau preventif. Sementara itu hal yang kedua terkait dengan bagaimana menangani masalah jika terjadi.

Untuk meminimalkan potensi terjadinya masalah dapat dilakukan sebuah security audit dan peningkatan pengamanan. Sebagai contoh, untuk meminimalkan potensi masalah keamanan dari sisi jaringan, dipasang sebuah firewall. Lubang-lubang keamanan yang ditemukan dari proses audit kemudian ditutup.

Sementara untuk meminimalkan dampak dapat dilakukan kajian sebagai bagian dari business impact analysis dan kemudian mengimplementasikan langkah-langkah untuk meminimalkan dampak. Sebagai contoh, apa akibatnya jika server yang digunakan untuk transaksi e-procurement tidak dapat diakses (rusak, terputus)? Berapa biaya yang hilang dari ketidak-tersediaan layanan tersebut? Hal ini dapat dikonversikan ke dalam bentuk finansial. Untuk meminimalkan dampak misalnya dapat diimplementasikan sistem ganda (redundant) dan disaster recovery.