Categories
Business

Tipična poslovna prevara (i kako je spriječiti ili otežati)

U svom poslu često (jednom do dva puta mjesečno) nailazim na situacije u kojoj je neka tvrtka prevarena putem interneta. U ovom tekstu pokušati ću objasniti kako takva prevara izgleda i koje postupke možete napraviti da je u cijelosti onemogućite ili barem značajno otežate.

Ukratko, tvrtke imaju različite poslovne odnose s mnogobrojnim partnerima, te se mogu naći u ulozi kupca ili dobavljača. Ovaj konkretni tip prevare se najčešće događa kod prekograničnih transakcija i relativno ih je lagano za prepoznati.

Sve u pravilu počinje zaprimljenom email porukom koja je sadržajem, email adresom, imenima u mailu, svim bitnim podacima naizgled totalno autentična. U nekim situacijama sam uočio takve mailove kako se logično nadovezuju na prethodnu korespondenciju ili u nastavku maila imate korespondenciju koja je u cijelosti fiktivna ali daje mailu kojeg ste zaprimili dojam autentičnosti.

Primjer maila kojeg zaprimite (ovo je samo primjer), izgleda autentično, na istovjetnom mail templateu kao i prethodni mailovi vašeg klijenta.

Ukratko, vaš poslovni partner vas npr. pita hoćete li svoju obvezu podmiriti na vrijeme (i najčešće se referira na konkretne brojeve, konkretne datume dospijeća), te vam u prilogu dostavlja dokument u kojem vas partner obavještava da je promijenio bankovni račun te od vas traži da transakciju obavite na sasvim novi račun u drugoj banci.

Primjer pratećeg dopisa (iz stvarne prevare) koji je napravljen na vama prethodno poznatom memorandumu, potpisan od poznatih imena.

Ponekad, osim emaila i dopisa o promjeni bankovnog računa stigne i prateće pismo banke koje potvrđuje da je novi bankovni račun vašeg partnera od sada promijenjen. Kao i ostali dokumenti, i ovaj djeluje autentično i ni po čemu ne odudara od sličnih dokumenata koje ste dobili tijekom godina. Razlozi koji se navode mogu biti različiti, od toga da se konsolidira poslovanje, do toga da se kaže da je to račun nakon provedene akvizicije, račun koji je otvoren zbog nekog poreznog problema i slično.

Primjer bankovne potvrde o “promjeni” računa poslovnog partnera (iz stvarne prevare).

Sve što je potrebno napraviti je povjerovati da su dokumenti autentični i napraviti promjenu u vašem računovodstvenom sustavu i potom napraviti uplatu (naizgled, zašto ne bi bili kada dolaze od vama poznate osobe), no u pozadini su spretni prevaranti koji su se kompromitacijom mail sustava (vašeg ili vašeg klijenta) ubacili u vašu prepisku, poslali vam lažne dokumente i naveli vas da obavite transakciju. U času kada vi ili vaš partner shvatite da novac nije stigao gdje je trebao, račun je zatvoren a novac je odavno otišao kroz nekoliko koraka do svojeg krajnjeg primatelja.

Prevaranti kompromitiraju email račune i često znaju tjednima ili ponekad mjesecima čučati u prikrajku, proučavati vašu mail korespondenciju i čekati priliku kada da se ubace u komunikaciju. Moguće je da su već sada u vašem mail sustavu i pripremaju se poslati prevaru vašem kupcu, ili se nalaze u sustavu vašeg dobavljača pa vama spremaju gore navedeni set dokumenata. Kako god okrenuli, ili ćete svoje teško zarađene novce u najboljoj namjeri prebaciti prevarantu, ili će vaš klijent novce namijenjene vama prebaciti nekome tko ih definitivno ne zaslužuje. U oba scenarija ostajete bez svojeg novca pa je potrebno napraviti razumni napor da tako nešto spriječite.

Prekogranični poslovni odnosi su osobito osjetljivi jer malo tko zna ili brine o tome na koji račun se novac šalje ili doista razlikuje da vam je primjerice dobavljač iz Njemačke poslao uputstvo da mu novac platite na račun u Portugalu ili Velikoj Britaniji. Domaće transakcije su nam svima dobro poznate i internet bankarstvo odmah napiše tko je primatelj (ako je riječ o pravnoj osobi), a iskreno, standardi provjera i mogućnost otvaranja računa u našim bankama je bitno uredniji nego na nekim drugim tržiđtima. Kada smo već kod banaka “primatelja”, najčešće se pojavljuju banke u Velikoj Britaniji poput primjerice HSBC-a. Mnogi znaju da je HSBC velika banka, ali u stvarnosti riječ je o velikom broju malenih banaka (doslovce stotine sitnih banaka). U posljednje vrijeme sam naišao na nekoliko situacija gdje se traži plaćanje na banke u Portugalu, a tu su naravno i računi neo-banaka poput Revolut, Wise i sličnih (a kod kojih bankovni račun možete otvoriti u nekoliko klikova).

Dvije su taktike koje treba koristiti kako bi se značajno otežala ili u cijelosti onemogućila ovakva prevara, jedna je tehničke prirode a druga proceduralne.

Tehnička mjera

Morate napraviti napor da email sustav kojeg koristite bude siguran i onemogućava ili barem dramatično otežava mogućnost da se netko pogrešno prijavi. Te tehničke mjere se mogu svesti na nekoliko mogućih koraka:

  • odabir kvalitetnog email providera – iako vjerujem da ima ljudi koji će vas uvjeravati u suprotno, moje je osobno mišljenje da posao upravljanja vašim mail serverom u 2024. godini morate prepustiti nekome tko ima dobru reputaciju u tome. Solidni provideri su primjerice Google Workspace ili Microsoft Office 365 no vjerujem da ima i drugih reputabilnih providera osim ova dva (koja su po mom iskustvu najčešća, od čega će vam MS O365 riješiti i problem legalnosti office alata koje ionako vjerojatno dnevno koristite). Takvi dobavljači imaju superiorne spam filtere, te imaju cijeli niz alata koji provjeravaju autentičnost dolaznih mailova ali i “digitalno potpisuju” i jamče da je vaš mail odaslan od osobe koja je doista autorizirana za tako nešto. Dobri email provideri koštaju i postoji značajna razlika između hostanog maila od 20EUR godišnje i servisa poput Googlea ili Microsofta koji po korisniku koštaju od 6EUR mjesečno na više.
  • čak i ako ugovorite neki od gornjih servisa, potrebno ih je na adekvatan način konfigurirati, a to znači da je potrebno u DNS zoni vaše domene podesiti sve parametre koji su nužni za sigurni rad vaše domene u razmjeni email poruka. To primjerice znači da morate podesiti SPF record, DKIM i DMARC zapise. Ovo je korak koji se prečesto propušta i koji otvara prostor za manipulaciju i “proboj” sigurnosti. Slobodno testirajte vašu aktualnu domenu da vidite da li su ovi zapisi uopće konfigurirani – ne očekujem da razumijete objašnjenja, ali već sama činjenica da dobijete odgovor od ovih alata da zapis postoji i da je ispravan je korak naprijed (iako, ne mora značiti, treba provjeriti da je sve ažurno a to može napraviti vaš informatičar).
  • Nadalje, svi mail accounti (i općenito svi accounti) moraju biti zaštićeni sigurnim šiframa/zaporkama. Prije dvije godine sam napisao što to točno znači i kako provjeriti i na ovom linku imate detaljnije upustvo kako pristupiti zaporkama. Načelno, u 2024. godini password bi morao imati najmanje 14 znakova i treba jako paziti da isti password ne koristite za svoj poslovni/privatni mail i druge servise (osobito web dućane i slične web stranice na kojima objektivno pojma nemate da li su sigurni ili nisu). Ovih četrnaest znakova je okvirna brojka, ispravna mjera kompleksnosti zaporke se zove “entropija passworda” i nju možete izmjeriti na ovome mjestu, pri čemu se sigurnim passwordom smatra onaj koji ima entropiju veću od 60.
  • I posljednje, 99.9% svih problema možete riješiti ako počnete koristiti MFA/2FA autentikaciju. Svi reputabilni servisi kojima je sigurnost imalo bitna omogućavaju različite oblike MFA autentikacije. Znam da je to naizgled gnjavaža i nepotrebni korak, ali je to kritični korak kojim povećavate svoju sigurnost u mnogobrojnim redovima veličina.

Sažeto: složeni i jedinstveni password kao vatrogasna mjera, 2FA da bi se mogli osjećati sigurnim, SPF/DMARC/DKIM da bi bili odgovorni na internetu i reputabilni email provider da većinu gore navedenih briga za vas brine netko drugi.

Proceduralna mjera

Bez obzira na to što ste svoj mail sustav učinili sigurnim i napravili sve što je razumno moguće da se taj sigurnosni propust vama ne dogodi, moguće je da ćete zaprimiti od vašeg dobavljača mail s instrukcijom o promjeni bankovnog računa. Pitanje je što učiniti u takvim situacijama i sve što vam mogu ponuditi je nekoliko jednostavnih pravila:

  • ako dobijete zahtjev za promjenom računa na koji je potrebno platiti, odmah u postupak uključite druge osobe. Dakle ako ste računovođa, o tome odmah i bez odlaganja obavijestite odgovornu osobu u društvu, ako ste odgovorna osoba u društvu, konzultirajte se s računovođom.
  • ako ste osoba odgovorna za plaćanja, pa čak i ako dobijete mailom nalog vama nadređene osobe da na određeni IBAN prema poslovnom partneru s kojim nikada niste poslovali prebacite neki avans, stanite, razmislite i konzultirajte se. Više ljudi zna više i primjećuje više, provjerite svakako autentičnost informacije.
  • ako instrukciju dobijete putem telefona ili čak video poziva (pročitajte članak) i ako to djeluje imalo neuobičajeno, pričekajte, razmislite i provjerite. U doba umjetne inteligencije više ne možete biti baš totalno sigurni s kim razgovarate.
  • ako ste dobili instrukciju o promjeni bankovnog računa kroz poruku koja vam se čini autentičnom, svakako to provjerite kroz alternativni način komunikacije. To znači da nazovete tu osobu (ili drugu osobu iz tvrtke koja vas je obavijestila) na broj telefona kojeg imate od ranije i kojeg ste već koristili s tom osobom (dakle ne na broj telefona koji je eventualno naveden u podnožju emaila ili na zaglavlju memoranduma kojeg ste dobili).
  • moguće je da vam je i sve ovo promaklo te da ste napravili transakciju no nazvati će vas službenik iz banke da napravi još jednom provjeru. Provjere banke rade u slučajevima kada njihov interni sustav za procjenu rizika danu transakciju proglasi potencijalno prijevarnom – no često vam neće reći da sumnjaju na prijevaru nego samo kažu da rade provjeru (što je po meni pogrešno, ali općenito se loše slažem s bankama). Ako vas nazovu, stanite momentalno sa svime, zaustavite transakciju dok ne budete 1000% sigurni da je sve ispravno. Manja je šteta od dan-dva kašnjenja u plaćanju od gubitka desetaka a ponekad i stotina tisuća EUR.

I posljednje, ako ste zahvaćeni pokušajem ovakve prevare i ako ste je zaustavili na vrijeme, svakako se javite vašem bankaru i obavijestite ih o pokušaju (banke potom ubacuju takve račune na crne liste pa ćete s tih par minuta poziva vjerojatno spasiti nekog drugog, baš kao što će možda netko drugi spasiti vas – pay it forward), napišite opis što se dogodilo i pošaljite policiji. Ako vam je ovo pomoglo ili spriječilo štetu svakako mi se javite, a možete me počastiti i kavom.

p.s. neka osiguravajuća društva nude police osiguranja protiv ovakvih događaja, pa i to treba istražiti ako smatrate da ste posebno ugroženi

Misao dana:
It was the heart of any scam or fiddle — keep the punter uncertain, or, if he is certain, make him certain of the wrong thing.

Categories
Business Ekonomija Politika

O novom obračunu plaće / osobnog dohotka

Većina tekstova koje (rijetko) pišem su kritički orijentirani na sve što se događa oko nas, pa evo jednoga koji je mala iznimka od uobičajenog programa gdje se pohvalno izražavam od aktualnih promjena. Naime, od početka siječnja primjenjuju se nova pravila za obračune plaća (osobnog dohotka) i te promjene se događaju na nekoliko različitih razina. Nekako je cijelu transformaciju obilježio protest knjigovođa koji prigovaraju kompliciranom obračunu, početnim bugovima u softverima i nedostupnosti adekvatne podrške, no to su sve početne bolesti koje se događaju prilikom svake tranzicije i iako možemo reći da se moglo pripremiti bolje, objektivno sve što se događa je u okviru predvidivog i prihvatljivog. Evo nekoliko razloga zašto je ova reforma dobra i bitna.

Dobro je da individualne općine i gradovi imaju mogućnost samostalno odlučivati o stopama poreza na dohodak. Malo je poznato da je u nekim starijim verzijama Zakona o porezu na dohodak tako nešto već bilo ranije moguće ali je u nekom trenutku izbačeno (vjerojatno zato što tu mogućnost nitko nije iskoristio). Dobro je i da se ukinuo prirez – jer je to objektivno porezno davanje koje se i do sada plaćalo na isti račun i s istim pozivom na broj i u biti dvije transakcije svodite na jednu, a osim toga taj prirez je samo bio shema gdje se individualno omogućavalo općinama i gradovima da podešavaju ukupno porezno opterećenje. Dakle, good riddance prirezu. Jedino što bi se moglo “zamjeriti” je raspon dopuštenih stopa poreza na dohodak i možda bi bilo dobro da je taj raspon i veći, te činjenica da (koliko sam shvatio, sorry ako sam propustio) da je Porezna uprava dopustila da se te stope mijenjaju više nego jednom godišnje, tako da će sada biti malo naporno pratiti radnju (ali objektivno istu situaciju smo imali ranije i s prirezom pa smo svi živjeli s time, nije ovo nikakva razlika). U posljednjih nekoliko godina (uglavnom zahvaljujući hrabrim iskoracima ekipe iz Bjelovara i čini mi se Svete Nedjelje), počelo se govoriti o korigiranju stopa poreza na dohodak kao alatu za privlačenje radne snage i businessa u pojedine općine i gradove i čini mi se da se nakon nekoliko godina ovog “eksperimenta” naziru vrlo jasni rezultati koje vrijedi prepoznati i pohvaliti. Uz malo sreće, u sljedećem razdoblju će mnoge općine i gradovi početi razmišljati o korekcijama poreznih stopa kako bi postigle pojedine ciljeve razvoja svojih sredina i mislim da je to dobro, pohvalno i da će na dugu stazu biti dobro za cijelu zemlju jer se moramo odmaknuti od bjesomučne centralizacije svega i svačega u nekoliko žarišta, to jednostavno nije bilo dobro i ovo je prvi korak u korekciji tog stanja.

Knjigovođa koji pritisnut rokovima pokušava izračunati osobni dohodak, kolorizirano, AI.

Na isti način smatram kako je sasvim očekivano i logično da pojedine sredine (a to je nekolicina velikih gradova) imaju veće porezno opterećenje iz jednostavnog razloga što upravljaju infrastrukturom koja je neusporedivo veća, složenija i skuplja za upravljanje od malene općine ili tzv. grada koji ima tri semafora i četiri autobusne stanice. Jedan grad poput Zagreba, Splita ili Rijeke ima neusporedivo veću infrastrukturu po svakom mogućem kriteriju od manjih gradova i općina. Mislim da nema smisla nabrajati.

Ukratko, pohvala da se krenulo u ovom smjeru i smatram da će se srednji i duži rok ovo pokazati kao odličan potez, neovisno o otporima u promjeni (za nešto što su, u suštini, ionako dva računala koja moraju međusobno razmijeniti neke poruke).

Druga značajnija promjena je i pitanje načina obračuna obračuna za mirovinsko osiguranje prvog stupa. Tu sada postoji klizna skala čiji je temeljni cilj povećati dohodak najmanje plaćenih zaposlenih i imam osjećaj da će oni baš značajno cijeniti ovu promjenu.

Da, način obračuna je kompliciraniji i daleko složeniji, no opet, nije da računovođe rukom računaju svaki dohodak posebno nego to radi računalo umjesto njih, ako imate dobrog isporučitelja programske podrške onda problema nema niti će ih biti. A prije nego što krenete kritizirati cijeli model obračuna, vrijedi znati kako mi nismo jedini koji ima takav obračun i sličnih metoda obračuna ima i u drugim zemljama. U trenutku kada sam prije nekoliko godina proučavao poreze i doprinose, uočio sam da primjerice Velika Britanija ima vrlo slični pristup najnižim plaćama i to je dobro.

Općenito, ako promatrate naše poreze i doprinose, unatoč općem stavu, oni ipak nisu preveliki i sasvim su uporedivi s ostalim zemljama Europske Unije (čak su i značajno manji nego u nekim zemljama), te su usporedivi s našim neposrednim okruženjem i vjerujem da će u kombinaciji promjena u shemi poreza na dohodak i obračuna mirovinskog biti još konkurentniji. Ono što nas u stvari koči i čini nekonkurentnim nije u tolikoj mjeri porezna presija na rad, koliko je riječ o ukupnoj neučinkovitosti/neproduktivnosti sustava. A ako govorimo o produktivnosti, to se ne odnosi na vas osobno i vaše radno mjesto koje je možda iznimno učinkovito, ili čak na vašu tvrtku u kojoj radite koja je također možda iznimno učinkovita, nego u ukupnu produktivnost vašeg radnog mjesta je ugrađena i neproduktivnost i neučinkovitost cijelog državnog aparata i buduću konkurentnost naše države moramo početi crpiti na način da krenemo sustavno rješavati te neefikasnosti.

Mimo gornjega, zahvaljujući dosadašnjim poreznim korekcijama, bitno je objasniti kako je porez na dohodak toliko opterećen i osakaćen različitim olakšicama da u ovome času (vjerojatno) manje od polovice svih zaposlenih uopće plaća porez na dohodak (nisam gledao statistike ali to je za očekivati), pa se onda postavlja pitanje da li je doista riječ o porezu na dohodak i ostvaruje li on uopće svoju svrhu ako većina ljudi koji ostvaruje dohodak nije zahvaćeno porezom? To ne znači da taj porez treba ukinuti nego da smo u beskonačnim intervencijama u porez na dohodak negdje putem izgubili njegovu svrhovitost. Ono što je trebalo raditi svih ovih godina nije nužno bila intervencija u porez na dohodak (naravno da je, jer smo dugo vremena bili na vrhu skale), nego smo trebali intervenirati i u doprinose gdje je naš doprinos za mirovinsko ili zdravstveno ukupno nešto veći nego u drugim zemljama. Tako da sada imamo koliko toliko konkurentno stanje u pogledu poreza na dohodak, intervencijama u obračun mirovinskog smo adresirali neto plaću najslabije plaćenih dijelova radne snage pa još ostaje samo fino podešavanje doprinosa na zdrastveno (koji ide na teret poslodavca i ne iskazuje se na isplatnim listama ali opterećuje ukupni trošak rada).

I da sve ovo gore sažmem u jednoj rečenici: smatram da su sve ove promjene koje su se dogodile dobrodošle te da će se pozitivni efekti ove strukturne promjene (ne bih je nužno nazvao velikom reformom) vidjeti u srednjem i dugom roku, dok će oni najmanje plaćeni vidjeti i neposredne kratkoročne efekte. Rekao bih da je ova strukturna promjena rezultat pristupa novog ministra financija koji je odlučio napraviti značajnu promjenu razmišljanja u odnosu na inkrementalne promjene koje su se događale posljednjih dvadesetak godina i ako želimo biti vjerodostojni u kritici onda moramo biti i dosljedni da pohvalimo kada je nešto dobro učinjeno, a smatram da je ovo definitivno takva situacija.

Misao dana:
I’m proud to pay taxes in the United States; the only thing is, I could be just as proud for half the money.

Categories
Business eDržava Internet

Zakon o kibernetičkoj sigurnosti (moje primjedbe njima)

Kako sam i napisao prije nekoliko dana, doradio sam i malo preciznije formulirao moje primjedbe i prijedloge na tekst zakona o kibernetičkoj sigurnosti i sve je svedeno na nekoliko točaka, a sve zajedno možete pronaći i na stranicama eSavjetovanja (skupa s mojim prijedlozima promjena):

Opći komentar

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju.

Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija.

Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta.

Članak 24.

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.  Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta.

Članak 28.

U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv.

Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive.

Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“.

Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta.

Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti.

Članak 51.

Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“.

Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze.

NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni.

Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava.

Članak 61.

Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e.

Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna.

Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost.

Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi.

Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva.

I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna.

Članak 101. i Članak 102.

Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju.

Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa).

Misao dana:
My main problem with cops is that they do what they’re told. They say ‘Sorry mate, I’m just doing my job’ all the fucking time.