eRačuni

Sigurnost računalnih sustava je jedna od mojih zona interesa kojoj posvećujem puno pažnje, a sam koncept računalne sigurnosti je iz dana u dan sve kompleksniji budući da gotovo da i nema segmenta života ili poslovanja koje nije zahvaćeno. S druge strane, “bad actors” (ili hakeri :), vitalno su zainteresirani kompromitirati računala i računalne sustave iz najrazličitijih pobuda koje mogu biti čisto samodokazivanje tehničkih znanja, preko ciljanog upada u sustave kako bi se došlo do pojedinih podataka ili kompromitacija istih u različite namjene. Proboj i kompromitacija poslovnih računalnih sustava pojedinačno je najveća prijetnja trgovačkim društvima svugdje u svijetu pa tako i kod nas. ACFE (čiji sam član i jedan od osnivača domaće podružnice) redovito radi istraživanja koja jasno ukazuju na opasnost kompromitacije računalnih sustava (nedavno smo dovršili i prvo regionalno istraživanje i podaci su u najmanju ruku zanimljivi, ovih dana ide i javna objava).

Tu negdje dolazimo i do problematike fiskalizacije koje uskoro postaje obvezna za sve poslovne subjekte u RH. U trenucima kada se provodilo eSavjetovanje o prijedlogu zakona o fiskalizaciji bio sam postavio nekoliko komentara koji se odnose na apsolutno nepostojanje bilo kakvih smislenih sigurnosnih standarda ili minimalne barijere za tvrtke koje se bave posredovanjem u isporuci eRačuna.

Ako pogledate primjerice druge industrije, poput telekoma, banaka, osiguravajućih i drugih financijskih društava, svi oni u zakonima koji reguliraju njihovu djelatnost imaju zadane elementarne kriterije računalne sigurnosti, kao i odgovarajuće agencije koje nadziru suglasnost i sigurnost tih sustava (HAKOM, HNB, HANFA). Informacijskim posrednicima nije nametnut nikakav pa čak niti minimalni standard i jedino što se provjerava je sukladnost razmjene elektroničkih računa i poruka koje su propisane zakonom. Zakonodavca nimalo ne zanima informacijska sigurnost informacijskih posrednika, te danas uz malo ChatGPT-a, kreativnog kodiranja i vi možete postati informacijski posrednik. Tijekom eSavjetovanja, a obzirom na obveze koje proizlaze iz NIS2, predlagao sam (a u biti molio), da se postave barem minimalni tehnički uvjeti u pogledu informatičke sigurnosti prema informacijskim posrednicima. Komentari su odbijeni, a usmeno preneseni stav je otprilike bio: “neka cvate tisuću cvjetova”.

Moje je mišljenje kako račune treba smatrati oblikom ugovora, u njemu se nalaze svi kritični podaci koji govore o poslovnom odnosu između dvije strane. Navedeno je što je, kada i kako isporučeno, po kojim cijenama i kojim uvjetima plaćanja. Ne znam kako vama, no po meni, svi elementi računa su vrhunska poslovna tajna svakog pravnog subjekta. Sve što treba znati o vašem poslovanju je moguće iscrpiti pregledom računa (od popisa klijenta, komparativnih prednosti, karakteristika robe i usluga, do cijena, rabata, volumena i slično). Vrlo uskoro, ti podaci će početi nesmetano kolati između vas, preko jednog ili više informacijskih posrednika da bi u konačnici stiglo u poslovni sustav vašeg klijenta. Svaka od tih točaka predstavlja računalni sustav koji je podložan sigurnosnoj kompromitaciji i posljedicama koje iz njih proizlaze.

Kako sam redovito zvan na intervenciju u situacijama kada dođe do kompromitacije računalnog sustava, te kako su greške uvijek iste i ponavljaju se, u više navrata sam pisao o tipičnim prijevarnim situacijama kao i o minimalnim mjerama koje možete poduzeti da bi sebe i svoje sustave učinili barem malo otpornijima.

Kada krene fiskalizacija 2.0, svoje račune ćete putem odabranog posrednika slati svojim krajnjim kupcima. To otprilike znači da će vaš informacijski posrednik (i to u realnom vremenu) imati gotovo sto postotni uvid u prihodnu stranu vaše bilance (i isto to na rashodnoj strani). To uključuje ukupni popis vaših kupaca, gore spomenute uvjete i rokove plaćanja, kao i količine i karakteristike robe ili usluga koje ste im isporučili. Kompromitacija tih podataka (preuzimanje kontrole nad računalnim sustavom posrednika) znači da ti podaci odjednom počnu slobodno kolati internetom (npr. vaša konkurencija može proučiti s kime poslujete i pod kojim kriterijima), to može značiti da bi kompromitacijom poslovnog sustava informacijskog posrednika u nekome času mogli biti onemogućeni (barem privremeno) u slanju ili zaprimanju eRačuna. A u nekom najcrnjem scenariju, zainteresirana strana bi mogla preuzeti kontrolu nad informacijskim posrednikom i programski krenula mijenjati primjerice brojeve bankovnih računa na koje je potrebno platiti račun (slična situacija se već dogodila u susjednoj Mađarskoj, nažalost ne uspijevam pronaći referencu na tu situaciju, no slanje prijevarnih računa je dobro poznata kriminalna shema). Neke od rizika koji proizlaze iz korištenja eRačuna navodi i KPMG u svojem advisoryu.

No, kako kod nas nema nikakvih pa ni minimalnih standarda, da bi napravili prijevarni račun ne morate čak niti hakirati sustav. Neki od informacijskih posrednika uopće ne rade niti minimalne provjere autentičnosti pošiljatelja. Pokušao sam kreirati dva subjekta na dva odvojena informacijska posrednika, prvi od njih je servis eRačuna Hrvatske pošte (dakle javnog trgovačkog društva u vlasništvu Republike Hrvatske, konkretnije PostLink d.o.o.), a drugi je servis Tvoj-Eračun u vlasništvu tvrke OmniSight d.o.o..

U oba ova posrednika moguće je ulogirati se bez apsolutno ikakve provjere identiteta osobe/pravne osobe koja je kreirala korisnički account. U oba slučaja sam se registrirao s privremenom i slučajno kreiranom email adresom, no daleko je zanimljivije da sam mogao odabrati bilo koji OIB bilo kojeg poslovnog subjekta da bi dovršio registraciju. Odmah sam bio u mogućnosti poslati eRačun (dakle bez ikakve naknadne provjere, nitko nije niti nazvao i pitao, nijedan dokument nije trebao biti razmijenjen, nula). Oba računalna sustava ne radi ama baš nikakvu provjeru pa je tako recimo moguće ulogirati se koristeći nepostojeći ili izbrisani OIB (što sam i učinio), te je tako moguće poslati račun bilo kome koristeći bilo koje podatke (uočite da sam na eRačunu HR Pošte iskoristio IBAN račun koji je registriran u Poljskoj, dok sam se na drugom servisu registrirao kao Pero Djetlić). To otprilike znači da se ne morate niti truditi kompromitirati posrednika kada nikakve provjere ne postoje. Dakle, doslovno danas se možete ulogirati u servis HR Pošte i kreirati korisnički račun primjerice INA-e ili Plive i početi slati račune u nadi da će biti plaćeni.

Ovo je informacijsko-sigurnosni horror na kojeg sam upozoravao i nevjerojatno je da je toliko jednostavno kompromitirati posrednika i cijeli fiskalizacijski proces (primjerice, zamislite da se netko zlonamjeran prijavi u ime vaše tvrtke i pošalje niz računa, vi ćete biti ti koji ćete poreznoj upravi objašnjavati što se dogodilo, a ne zlonamjernik). Uočavam u sustavu fiskalizacije još nekoliko “spornih” točaka koje predstavljaju očigledne sigurnosne rizike.

Dodatno, a to je vrlo očigledno, ovdje slutim i anticipiram jedno zanimljivo javno-privatno partnerstvo, sasvim je očigledno kako su eRačun servisi Hrvatske pošte i OmniSighta identični (postoje minimalne funkcionalne razlike), ali se vizualno ne razlikuju niti u jednom jedinom elementu te je očigledno riječ o dva totalno identična programska rješenja. Kako je riječ o servisima a ne o aplikaciji koju kupite, u dobroj domaćoj tradiciji (a HR Pošta je to radila više puta), za pretpostaviti je kako se ovdje radi o koordiniranom naporu da se zauzme što veći dio tržišnog kolača a kako bi se kasnije, nakon 1. siječnja kada fiskalizacija i krene, moglo napraviti “preuzimanje” koje je očigledno odavno dogovoreno mimo svih uobičajenih kriterija.

Kroz informacijske posrednike će vrlo uskoro početi kolati računi čija će suma biti u milijardama EUR-a, iako račun nije novac, riječ je o povjerljivim informacijama i mora postojati barem minimalno povjerenje u sustav i sigurnost da je zaprimljeni račun stigao od autenticiranog pošiljatelja, te da je neizmijenjen zaprimljen u vaš poslovni sustav. ISO27001 očigledno nije jamstvo sigurnosti. Fiskalizacija kako trenutno funkcionira to ne omogućava, teret sigurnosti je prebačen na informacijske posrednike od kojih neki nemaju očigledno niti minimalne mjere, a rizik poslovanja je isključivo na vama kao njihovim korisnicima. Mali checkbox koji kliknete nije provjera. Ako ste obveznik fiskalizacije, morate potrošiti barem minimum vremena da se uvjerite kako vaš posrednik udovoljava minimalne sigurnosne kriterije, da vaši korisnički računi udovoljavaju sigurnosne kriterije (složeni password i 2FA autentikacija) a čak i ako to imate, morate u svojoj organizaciji već danas kreirati poslovne procese kroz koje ćete provjeravati autentičnost i točnost zaprimljenih računa – dok su ovakve situacije moguće, ulaznom eRačunu jednostavno ne smijete vjerovati.

Disclaimer: sve ovo sam napravio samo i isključivo da bih dokazao poantu, za dokazivanje koncepta koristio sam poslovne subjekte u kojima sam odgovorna osoba, osim u slučaju Hrvatske pošte gdje sam iskoristio OIB brisanog poslovnog subjekta. Nažalost, na servisima ne postoji mogućnost zatvaranja usluge i brisanja pa korisničke račune nisam uspio odmah i zatvoriti (ali pretpostavljam da će se to dogoditi vrlo brzo). Također, odmah po objavi sam obavijestio i nadležne u Poreznoj Upravi i MUP-u kako bi i oni bili upoznati s problemom.

Misao dana:
If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.

Ako ste poduzetnik ili se bavite računovodstvom, tada ste u proteklih nekoliko mjeseci sigurno primjetili diskusiju oko toga što elektronički račun doista jest?

eRačuni su kod nas obavezni prilikom slanja javnim naručiteljima od 1. srpnja 2019. (iako ima niz izuzetaka), te se samo djelomično koriste u poslovanju između poduzetnika. Po aktualnim planovima porezne uprave, očekuje se da će vrlo uskoro u javnosti završiti zakonski i podzakonski prijedlozi o tzv. fiskalizaciji 2.0 koja će uključivati obveznu razmjenu računa između pravnih osoba putem sustava eRačuna. Dakle neosporno je da su eRačuni već sada dio poslovne prakse te će njihovo korištenje odjednom višestruko narasti. Nuspojava obveze razmjene računa između poslovnih subjekata je i to što će porezna uprava imati direktni uvid u sadržaje računa u realnom vremenu; to s jedne strane omogućuje daleko veći nadzor poduzetnika ali će u perspektivi omogućiti i smanjenje izvještajnog tereta nad samim poduzetnicima (čisto informacije radi, postoje europske države gdje ovakav sustav postoji već godinama). Nadam se da će fiskalizacija 2.0 biti posložena malo liberalnije od fiskalizacije za promete u gotovini jer obveza digitalnog potpisivanja kreira odgovarajući teret na infrastrukturu i zahtjeva organizacijske pripreme i vjerojatno promjene. Fiskalizacija 2.0 je moguće rješiva na način da smo šaljete račune, dok bi timestamp i digitalni potpis mogao odraditi posrednik prilikom preuzimanja a prije odašiljanja u pretinac primatelja.

Cijela problematika koja se dogodila, opisana je u mnogim tekstovima (poput ovoga), te je bila dio raznih javnih konverzacija, na jednoj od njih sam i ja bio pozvan sudjelovati.

Elektronički račun je u osnovi digitalno potpisani XML zapis koji je strukturiran po odgovarajućim standardima. Ideja elektroničkih računa je višestruka ali načelno riječ je o digitalnom dokumentu koji je namijenjen razmjeni između računalnih sustava, pa ako ste to ispravno posložili onda će vaš ERP sustav izdati fakturu i poslati je odgovarajućem kupcu koji će taj račun zaprimiti i “importirati” u svoj računalni sustav koji će potom automatski upariti to sa zapisom o vama kao dobavljaču, a ako je sve ispravno popunjeno onda će upariti i račun s odgovarajućim ugovorom ili narudžbom, a stavke računa ispravno povezati s odgovarajućim primkama/otpremnicama, osnovnim sredstvima ili troškovnim pozicijama (ako ste dobro sve skupa posložili kroz pravila knjiženja i povezivanja). Primarna prednost elektroničkih računa je to što su isporučeni gotovo instant i postoji jasna sljedivost kretanja računa, što nema prepisivanja podataka (dakle manje grešaka), te što stvaraju uštedu u razmjeni. Znam da mnogi protestiraju na troškovima eRačuna, no kada to stavite u perspektivu ispisa računa, kuvertiranja, odlaska na poštu, poštarine (skupa s vremenom koje se troši na otpremu, zaprimanje i obradu), tada o tome uopće ne bi trebali raspravljati osim ako mislite da je vaše vrijeme besplatno (u kojem slučaju vam očajno treba mali tečaj iz stvarnih troškova poslovanja).

Osim ovih prednosti elektroničkih računa, jedan od parametara koje osobito morate imati na umu je pitanje vjerodostojnosti dokumentacije, a ona je definirana na mnogim mjestima ali za poduzetnike je to uglavnom Zakon o računovodstvu. Tricky part je u tome što elektronički račun da bi bio smatran vjerodostojnim mora biti sačuvan/arhiviran u njegovom izvornom obliku a to bi bila XML datoteka. Sasvim je svejedno gdje se ona nalazi ali mora biti u svom nepromijenjenom izvornom obliku koji nije nimalo čitljiv ljudima. Kako je 90+% svih poduzetnika kod nas u kategoriji obrta, mikro i malih, većina njih (myself included) funkcionira na način da koriste različite metode računovodstva koje opet uglavnom koriste ručne upise u različite knjigovodstvene softvere. I tu otprilike nailazimo na problem, jer su mnogi i već godinama elektroničke račune krenuli ispisati u tzv. vizualizaciju no to je samo vizualna reprezentacija XML dokumenta i tako ispisani dokument nije vjerodostojni dokument. To pak znači da ako vam dođe porezni ili drugi nadzor u kontrolu, i ako postavi takvo pitanje, da im morate ponuditi da pregledaju i originalne XML datoteke, jer ako takvih dokumenata nemate tada poreznici mogu te transakcije proglasiti nevažećima pa ste u mogućnosti izgubiti pravo na knjiženje troška, povrata PDV-a i tko zna što sve još.
Za razliku od papirnatog računa koji ima svoj jasni izvornik (a kojeg potom možete umnožavati u neograničenom broju kopija), u digitalnom svijetu je koncept “izvornika” malo kompliciraniji i u biti neprimjenjiv pojam budući da su sve kopije međusobno istovjetne. Svejedno, u slučaju eRačuna se točno zna što se može smatrati izvornikom tj. vjerodostojnim dokumentom. Ispis vizualizacije koja je nastala iz XML datoteke i potom arhiviranje takve vizualizacije u papirnatom ili čak digitalnom obliku nije prihvatljivo jer nema načina da se utvrdi da li je riječ o izvornom dokumentu ili je riječ o krivotvorini.

Poanta je dakle da morate paziti na svoju arhivu eRačuna te ih morate čuvati propisanih 11 godina. Ne moram objašnjavati da je 11 godina jako puno i pokušajte na svojim diskovima pronaći dokumente koje ste stvarali daleke 2014. godine? U međuvremenu ste promijenili nekoliko računala te se možda koje od njih i pokvarilo pa su neki podaci nestali, a backup ako imate pitanje je da li radi na ispravan način (kopiranje podataka na eksterni USB nije backup, imate puno dojam backupa ali su takvi diskovi i USB mediji jednostavno podložni kvarenju). Pravi backup uključuje 3-2-1 pravilo, što znači da imate najmanje tri kopije svojih podataka, na najmanje dva različita medija te je najmanje jedna od tih kopija pospremljena na udaljenoj lokaciji (kao zaštita od krađe ili neke nepogode poput npr. potresa, požara ili poplave). Malo tko ima podatke tako arhivirane, a ako i imate onda znate da takav sustav arhiviranja ima svoje jasne troškove u opremi, software-u, uloženom vremenu i održavanju (da ne kažemo da tijekom 11 godišnje obveze čuvanja arhive morate promijeniti opremu najmanje dvaput, potencijalno triput a da bi je održali u zoni sigurne upotrebe). Morate se dakle pouzdati da su podaci sigurno spremljeni kod vas, vašeg knjigovođe ili možete ugovoriti uslugu arhiviranje kod vašeg posrednika elektroničkih računa (gdje će trošak arhive uvijek biti manji nego da to sami odradite po “pravilima struke”).

Posrednici za razmjenu elektroničkih računa su zanimljivi koncept i najbolja analogija koju mogu smisliti je da su oni poput telekoma s kojima imate ugovor o pružanju usluga. Oni osiguravaju infrastrukturu koja je nužna da bi elektronički račun stigao do vas. Zanimljiva razlika kod elektroničkih računa je u tome da možete imati više od jednog dobavljača tih usluga te da ne postoji jedno mjesto gdje završavaju svi eRačuni nego ih može biti više – što može kreirati konfuziju. Zamislite da imate dva mobilna telefona, jedan je npr. 091 a drugi 099. U normalnoj upotrebi, svi pozivi prema 091 će završiti na 091 telefonu i obrnuto; no u slučaju distribucije elektroničkih računa, ako netko s 091 (posrednikom) pokuša poslati na 099 (posrednika), ako imate otvoren račun kod 091 posrednika, račun će završiti u 091 pretincu (i potencijalno “pogrešnom” posredniku što vam može proizvesti različite organizacijske probleme).

I malo konkretnih situacija. Kako sam se i sam krenuo baviti problematikom arhive elektroničkih računa, jedna od odluka je bila i da konsolidiram svoje pružatelje usluga (jer sam ih iz različitih razloga koristio više). Prvi servis kojeg sam krenuo gasiti je FINA eRačun kojeg sam koristio isključivo za slanje računa, ali su neki dobavljači unatoč mojim pokušajima da ih preusmjerim na drugi servis svejedno isporučivali svoje račune u FINAu. Problem koji imate prilikom pokušaja arhiviranja eRačuna s FINAe je u tome što je kod njih nemoguće odabrati sve ulazne račune i potom ih samo downloadati, pa je nužno ići po redosljedu i potom skidati jedan po jedan (malo XML-a, malo vizualizacije, malo priloga) pa proces jednostavno traje i podložan je greškama i propustima. Specijalni je problem što ako pogledate svoje ulazne eRačune, nećete biti u mogućnosti downloadati originalne XML dokumente koji su stariji od 1. siječnja 2023. godine – dakle već sada su vam nedostupni (to je naravno pokopano negdje u općim uvjetima i koliko razumijem da bi došli do tih podataka morate prvo ugovoriti arhivu pa vam oni “otključaju” taj dio priče).

Kod mog drugog posrednika je moguće odabrati arbitrarni broj ulaznih računa (dakle select ALL je moguć) ali, zasada, ta arhiva neće sadržavati XML nego samo vizualizaciju i eventualne priloge. Dakle brže ali ne i idealno, iako je XMLove moguće vrlo brzo poklikati jer je korisničko sučelje daleko bolje posloženo nego ono od FINA-e.

Malo sam frustriran što sam morao odraditi sve ovo jer normalni servisi koje koristite po vani svi redom imaju takeout opciju (dakle specifični dio usluge koji omogućava da vam sve vaše podatke pripremi i zapakira u jednu arhivu koju potom jednostavno downloadate). Razumijem ja da pružatelji usluga žele maksimalno otežati odlazak i učiniti ga teškim, no to je jednostavno primitivna i loša poslovna praksa i na tome bi trebali raditi (dakle, poruka pružateljima usluga, svih ne samo posrednicima, budite dostojanstveni gubitnici).

Potrošio sam dakle nekoliko sati da bih downloadao sve stare eRačune i napravio backup kod sebe (koji jest 3-2-1). Ali, uočio sam jednu iznimno zanimljivu situaciju o kojoj također vrijedi razmišljati. Naime skidajući tu silnu arhivu (u mom slučaju nije osobito velika, par stotina računa u nekoliko godina), uočio sam da uvjerljiva većina dobavljača u biti kreira klasične račune (u PDFu) koje potom radi obveze isporuke transformiraju u eRačune, te se cijeli sustav razmjene elektroničkih računa u svojoj osnovi uopće ne koristi kao sustav elektroničkih računa nego kao sustav sigurne razmjene i isporuke računa. Dakle neovisno o tome što ste račun zaprimili od npr. svojeg telekoma, izvorni račun u PDF-u (a mogli bi argumentirati i da je onda upravo taj PDF vjerodostojni dokument), dok je XML samo modalitet transporta računa (ne očekujem da se složite s time ali i letimični pogled kaže da je tako). To će se sve promijeniti dolaskom fiskalizacije i tada ćete morati biti spremni izdavati i zaprimati eRačune, ali imati i riješeno pitanje arhiviranja na dugačke i zakonom propisane rokove.

I posljednje, sustav eRačuna je u svojoj biti dizajniran za razmjenu poruka između računalnih sustava, dakle da vaš računovodstveni ili ERP sustav automatski putem API sučelja šalje ili prima račune. No u praksi, kako većina nas spada u grupu malih i mikro poduzetnika, to najčešće nije slučaj. Zasada dok dobijamo sporadične eRačune (u mom slučaju komunalije, telekom i HAC) to je podnošljivo, no kada svi budemo prisiljeni prebaciti se na fiskalizaciju 2.0, tada će situacija odjednom biti daleko kompliciranija i teža za upravljati i trebate razmisliti o tome koje rješenje ćete koristiti za razmjenu eRačuna od 1. siječnja 2026. od kada se očekuje početak nove sheme.

Misao dana:
Bureaucracy is like a fungus that contaminates everything.