Sigurnost računalnih sustava je jedna od mojih zona interesa kojoj posvećujem puno pažnje, a sam koncept računalne sigurnosti je iz dana u dan sve kompleksniji budući da gotovo da i nema segmenta života ili poslovanja koje nije zahvaćeno. S druge strane, “bad actors” (ili hakeri :), vitalno su zainteresirani kompromitirati računala i računalne sustave iz najrazličitijih pobuda koje mogu biti čisto samodokazivanje tehničkih znanja, preko ciljanog upada u sustave kako bi se došlo do pojedinih podataka ili kompromitacija istih u različite namjene. Proboj i kompromitacija poslovnih računalnih sustava pojedinačno je najveća prijetnja trgovačkim društvima svugdje u svijetu pa tako i kod nas. ACFE (čiji sam član i jedan od osnivača domaće podružnice) redovito radi istraživanja koja jasno ukazuju na opasnost kompromitacije računalnih sustava (nedavno smo dovršili i prvo regionalno istraživanje i podaci su u najmanju ruku zanimljivi, ovih dana ide i javna objava).
Tu negdje dolazimo i do problematike fiskalizacije koje uskoro postaje obvezna za sve poslovne subjekte u RH. U trenucima kada se provodilo eSavjetovanje o prijedlogu zakona o fiskalizaciji bio sam postavio nekoliko komentara koji se odnose na apsolutno nepostojanje bilo kakvih smislenih sigurnosnih standarda ili minimalne barijere za tvrtke koje se bave posredovanjem u isporuci eRačuna.
Ako pogledate primjerice druge industrije, poput telekoma, banaka, osiguravajućih i drugih financijskih društava, svi oni u zakonima koji reguliraju njihovu djelatnost imaju zadane elementarne kriterije računalne sigurnosti, kao i odgovarajuće agencije koje nadziru suglasnost i sigurnost tih sustava (HAKOM, HNB, HANFA). Informacijskim posrednicima nije nametnut nikakav pa čak niti minimalni standard i jedino što se provjerava je sukladnost razmjene elektroničkih računa i poruka koje su propisane zakonom. Zakonodavca nimalo ne zanima informacijska sigurnost informacijskih posrednika, te danas uz malo ChatGPT-a, kreativnog kodiranja i vi možete postati informacijski posrednik. Tijekom eSavjetovanja, a obzirom na obveze koje proizlaze iz NIS2, predlagao sam (a u biti molio), da se postave barem minimalni tehnički uvjeti u pogledu informatičke sigurnosti prema informacijskim posrednicima. Komentari su odbijeni, a usmeno preneseni stav je otprilike bio: “neka cvate tisuću cvjetova”.
Moje je mišljenje kako račune treba smatrati oblikom ugovora, u njemu se nalaze svi kritični podaci koji govore o poslovnom odnosu između dvije strane. Navedeno je što je, kada i kako isporučeno, po kojim cijenama i kojim uvjetima plaćanja. Ne znam kako vama, no po meni, svi elementi računa su vrhunska poslovna tajna svakog pravnog subjekta. Sve što treba znati o vašem poslovanju je moguće iscrpiti pregledom računa (od popisa klijenta, komparativnih prednosti, karakteristika robe i usluga, do cijena, rabata, volumena i slično). Vrlo uskoro, ti podaci će početi nesmetano kolati između vas, preko jednog ili više informacijskih posrednika da bi u konačnici stiglo u poslovni sustav vašeg klijenta. Svaka od tih točaka predstavlja računalni sustav koji je podložan sigurnosnoj kompromitaciji i posljedicama koje iz njih proizlaze.
Kako sam redovito zvan na intervenciju u situacijama kada dođe do kompromitacije računalnog sustava, te kako su greške uvijek iste i ponavljaju se, u više navrata sam pisao o tipičnim prijevarnim situacijama kao i o minimalnim mjerama koje možete poduzeti da bi sebe i svoje sustave učinili barem malo otpornijima.
Kada krene fiskalizacija 2.0, svoje račune ćete putem odabranog posrednika slati svojim krajnjim kupcima. To otprilike znači da će vaš informacijski posrednik (i to u realnom vremenu) imati gotovo sto postotni uvid u prihodnu stranu vaše bilance (i isto to na rashodnoj strani). To uključuje ukupni popis vaših kupaca, gore spomenute uvjete i rokove plaćanja, kao i količine i karakteristike robe ili usluga koje ste im isporučili. Kompromitacija tih podataka (preuzimanje kontrole nad računalnim sustavom posrednika) znači da ti podaci odjednom počnu slobodno kolati internetom (npr. vaša konkurencija može proučiti s kime poslujete i pod kojim kriterijima), to može značiti da bi kompromitacijom poslovnog sustava informacijskog posrednika u nekome času mogli biti onemogućeni (barem privremeno) u slanju ili zaprimanju eRačuna. A u nekom najcrnjem scenariju, zainteresirana strana bi mogla preuzeti kontrolu nad informacijskim posrednikom i programski krenula mijenjati primjerice brojeve bankovnih računa na koje je potrebno platiti račun (slična situacija se već dogodila u susjednoj Mađarskoj, nažalost ne uspijevam pronaći referencu na tu situaciju, no slanje prijevarnih računa je dobro poznata kriminalna shema). Neke od rizika koji proizlaze iz korištenja eRačuna navodi i KPMG u svojem advisoryu.
No, kako kod nas nema nikakvih pa ni minimalnih standarda, da bi napravili prijevarni račun ne morate čak niti hakirati sustav. Neki od informacijskih posrednika uopće ne rade niti minimalne provjere autentičnosti pošiljatelja. Pokušao sam kreirati dva subjekta na dva odvojena informacijska posrednika, prvi od njih je servis eRačuna Hrvatske pošte (dakle javnog trgovačkog društva u vlasništvu Republike Hrvatske, konkretnije PostLink d.o.o.), a drugi je servis Tvoj-Eračun u vlasništvu tvrke OmniSight d.o.o..
U oba ova posrednika moguće je ulogirati se bez apsolutno ikakve provjere identiteta osobe/pravne osobe koja je kreirala korisnički account. U oba slučaja sam se registrirao s privremenom i slučajno kreiranom email adresom, no daleko je zanimljivije da sam mogao odabrati bilo koji OIB bilo kojeg poslovnog subjekta da bi dovršio registraciju. Odmah sam bio u mogućnosti poslati eRačun (dakle bez ikakve naknadne provjere, nitko nije niti nazvao i pitao, nijedan dokument nije trebao biti razmijenjen, nula). Oba računalna sustava ne radi ama baš nikakvu provjeru pa je tako recimo moguće ulogirati se koristeći nepostojeći ili izbrisani OIB (što sam i učinio), te je tako moguće poslati račun bilo kome koristeći bilo koje podatke (uočite da sam na eRačunu HR Pošte iskoristio IBAN račun koji je registriran u Poljskoj, dok sam se na drugom servisu registrirao kao Pero Djetlić). To otprilike znači da se ne morate niti truditi kompromitirati posrednika kada nikakve provjere ne postoje. Dakle, doslovno danas se možete ulogirati u servis HR Pošte i kreirati korisnički račun primjerice INA-e ili Plive i početi slati račune u nadi da će biti plaćeni.
Ovo je informacijsko-sigurnosni horror na kojeg sam upozoravao i nevjerojatno je da je toliko jednostavno kompromitirati posrednika i cijeli fiskalizacijski proces (primjerice, zamislite da se netko zlonamjeran prijavi u ime vaše tvrtke i pošalje niz računa, vi ćete biti ti koji ćete poreznoj upravi objašnjavati što se dogodilo, a ne zlonamjernik). Uočavam u sustavu fiskalizacije još nekoliko “spornih” točaka koje predstavljaju očigledne sigurnosne rizike.
Dodatno, a to je vrlo očigledno, ovdje slutim i anticipiram jedno zanimljivo javno-privatno partnerstvo, sasvim je očigledno kako su eRačun servisi Hrvatske pošte i OmniSighta identični (postoje minimalne funkcionalne razlike), ali se vizualno ne razlikuju niti u jednom jedinom elementu te je očigledno riječ o dva totalno identična programska rješenja. Kako je riječ o servisima a ne o aplikaciji koju kupite, u dobroj domaćoj tradiciji (a HR Pošta je to radila više puta), za pretpostaviti je kako se ovdje radi o koordiniranom naporu da se zauzme što veći dio tržišnog kolača a kako bi se kasnije, nakon 1. siječnja kada fiskalizacija i krene, moglo napraviti “preuzimanje” koje je očigledno odavno dogovoreno mimo svih uobičajenih kriterija.
Kroz informacijske posrednike će vrlo uskoro početi kolati računi čija će suma biti u milijardama EUR-a, iako račun nije novac, riječ je o povjerljivim informacijama i mora postojati barem minimalno povjerenje u sustav i sigurnost da je zaprimljeni račun stigao od autenticiranog pošiljatelja, te da je neizmijenjen zaprimljen u vaš poslovni sustav. ISO27001 očigledno nije jamstvo sigurnosti. Fiskalizacija kako trenutno funkcionira to ne omogućava, teret sigurnosti je prebačen na informacijske posrednike od kojih neki nemaju očigledno niti minimalne mjere, a rizik poslovanja je isključivo na vama kao njihovim korisnicima. Mali checkbox koji kliknete nije provjera. Ako ste obveznik fiskalizacije, morate potrošiti barem minimum vremena da se uvjerite kako vaš posrednik udovoljava minimalne sigurnosne kriterije, da vaši korisnički računi udovoljavaju sigurnosne kriterije (složeni password i 2FA autentikacija) a čak i ako to imate, morate u svojoj organizaciji već danas kreirati poslovne procese kroz koje ćete provjeravati autentičnost i točnost zaprimljenih računa – dok su ovakve situacije moguće, ulaznom eRačunu jednostavno ne smijete vjerovati.
Disclaimer: sve ovo sam napravio samo i isključivo da bih dokazao poantu, za dokazivanje koncepta koristio sam poslovne subjekte u kojima sam odgovorna osoba, osim u slučaju Hrvatske pošte gdje sam iskoristio OIB brisanog poslovnog subjekta. Nažalost, na servisima ne postoji mogućnost zatvaranja usluge i brisanja pa korisničke račune nisam uspio odmah i zatvoriti (ali pretpostavljam da će se to dogoditi vrlo brzo). Također, odmah po objavi sam obavijestio i nadležne u Poreznoj Upravi i MUP-u kako bi i oni bili upoznati s problemom.
Misao dana:
If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.