Dengan semakin masifnya penggunaan QRIS (Quick Response Code Indonesian Standard) di seluruh Indonesia, berbagai kemudahan transaksi digital kini dapat dinikmati oleh masyarakat luas. Namun, bersamaan dengan pertumbuhan pesat ini, muncul pula berbagai risiko keamanan siber yang kompleks dan mengancam kepercayaan publik terhadap sistem pembayaran digital nasional.

Hanief Bastian, Regional Technical Head ManageEngine Indonesia,mengatakan maraknya penipuan berbasis QR code, atau yang dikenal sebagai quishing, menjadi salah satu tantangan utama saat ini. “Penjahat siber semakin sering mengganti kode QRIS asli dengan kode palsu dalam materi pemasaran, situs web, bahkan stiker fisik, untuk mencuri informasi atau dana pengguna,” jelas Hanief pada keterangannya di Jakarta, Senin (28/7/2025).

Salah satu penyebab utama tingginya potensi penipuan berbasis QR adalah kurangnya edukasi pengguna. Hanief menjelaskan bahwa banyak masyarakat belum memahami bagaimana membedakan antara QR code yang sah dan yang palsu. “Tanpa pemahaman yang cukup, pengguna menjadi titik lemah utama yang dimanfaatkan oleh pelaku kejahatan digital,” ujarnya.

Untuk itu, menurut Hanief, mitigasi risiko harus dilakukan secara menyeluruh, mencakup edukasi publik, pemantauan real-time, serta kepatuhan terhadap regulasi dari Bank Indonesia dan Undang-Undang Perlindungan Data Pribadi (UU PDP).

Dalam menghadapi ancaman keamanan QRIS, pendekatan teknologi berperan penting. Hanief mengungkapkan bahwa solusi observabilitas seperti ManageEngine Log360 mampu memberikan pemantauan menyeluruh terhadap aktivitas pengguna, server, firewall, hingga endpoint. “Dengan teknologi SIEM dan UEBA, anomali seperti transaksi mencurigakan, perubahan konfigurasi mendadak, atau eskalasi hak akses dapat langsung dideteksi,” jelasnya.

Sementara itu, solusi Identity360 dan Access Manager Plus dari ManageEngine mendukung strategi Zero Trust, yakni prinsip bahwa tidak ada pengguna, perangkat, maupun aplikasi yang secara otomatis dipercaya. “Dengan MFA dan Role-Based Access Control (RBAC), setiap akses dibatasi sesuai peran pengguna, sehingga jika satu akun diretas, kerusakan tidak menyebar ke seluruh sistem,” tambah Hanief.

Pada era pertumbuhan ekonomi digital Indonesia, muncul pula tantangan teknis yang cukup kompleks dalam sistem keamanan QRIS. Hanief menyebutkan beberapa di antaranya minimnya visibilitas sistem , khususnya dalam arsitektur hybrid seperti mobile banking, e-wallet, dan platform kasir digital. Kemudian, ancaman rekayasa sosial (social engineering) seperti quishing yang sulit dideteksi dengan pendekatan keamanan tradisional.

Kontrol akses yang lemah , terutama ketika melibatkan banyak pihak dan minimnya log audit forensik yang terintegrasi , yang menyulitkan investigasi jika terjadi insiden. “Institusi yang tidak memiliki sistem pelacakan log terpusat seringkali mengalami keterlambatan dalam menemukan penyebab insiden dan meresponsnya,” kata Hanief.

Log360 memainkan peran penting dalam otomatisasi pelaporan, pelacakan audit, dan memenuhi regulasi seperti PCI DSS dan syarat keamanan Bank Indonesia. Hanief juga menyoroti bahwa strategi Zero Trust sangat relevan untuk ekosistem pembayaran digital seperti QRIS. Strategi ini menekankan verifikasi berlapis, pemantauan aktivitas real-time, serta segmentasi jaringan. Misalnya, QRIS backend, gateway pembayaran, dan sistem merchant dipisahkan dalam kebijakan keamanan yang berbeda agar serangan di satu titik tidak menyebar.

“Bahkan sebelum pengguna menginstal aplikasi QRIS atau melakukan transaksi scan/pay, sistem harus mengecek apakah perangkat aman, apakah telah di-root atau jailbreak,” jelas Hanief. Dengan begitu, perangkat yang berisiko tinggi bisa diblokir atau diminta melakukan autentikasi tambahan.

Dengan meningkatnya transaksi non-tunai dan perluasan QRIS di berbagai sektor, kebutuhan akan sistem keamanan yang andal dan patuh regulasi menjadi tidak terhindarkan. Menurut Hanief, adopsi teknologi observability dan strategi Zero Trust bukan hanya solusi teknis, tetapi juga langkah penting untuk menjaga reputasi dan kepercayaan publik terhadap pembayaran digital di Indonesia.

“Keamanan bukan sekadar fitur, tapi pondasi. Organisasi yang membangun sistem QRIS dengan prinsip visibilitas penuh, kontrol akses ketat, dan audit yang transparan akan jauh lebih siap menghadapi risiko sekaligus lebih dipercaya oleh konsumen,” tutup Hanief. (*)

Dilarang keras mengambil konten (tulisan, foto, infografis, video, dan sebagainya) yang dimuat di situs web ini, melakukan crawling atau pengindeksan otomatis untuk platform AI (artificial intelligence) dan platform digital lainnya, tanpa izin tertulis dari direksi yang berwenang di situs web ini.