Uvođenje obvezne fiskalizacije 2.0 i slanja eRačuna za sve poslovne subjekte u Hrvatskoj, koje uskoro stupa na snagu, donosi sa sobom i ogroman sigurnosni rizik na koji zakonodavac nije računao.
Stručnjak za računalnu sigurnost Marko Rakar otkrio je i u praksi dokazao golem propust u sustavu koji omogućuje bilo kome da šalje račune u ime bilo koje tvrtke, otvarajući vrata masovnim prijevarama. Cijeli sustav, kako je trenutno postavljen, predstavlja informacijsko-sigurnosni horor, piše Rakar na svom blogu.
Problem leži u informacijskim posrednicima, tvrtkama preko kojih će se odvijati razmjena eRačuna. Dok industrije poput telekomunikacija ili bankarstva imaju stroge zakonske sigurnosne kriterije koje nadziru agencije poput HAKOM-a ili HNB-a, za informacijske posrednike u sustavu fiskalizacije ne postoji apsolutno nikakav minimalni sigurnosni standard.
Rakar navodi kako je tijekom javnog savjetovanja o zakonu upozoravao na ovaj problem i predlagao uvođenje barem minimalnih tehničkih uvjeta, no komentari su mu redovito odbijani.
To je posebno opasno jer, piše Rakar, računi sadrže i poslovne tajne - od popisa klijenata, cijena i rabata do uvjeta plaćanja i karakteristika usluga. Uskoro će ti podaci masovno kolati preko sustava posrednika čija sigurnost nije ni na koji način provjerena ni zajamčena.
Da bi dokazao razmjere problema, Rakar je proveo jednostavan test na servisima dvojice informacijskih posrednika: eRačun Hrvatske pošte (PostLink d.o.o.) i Tvoj-Eračun (OmniSight d.o.o.).
U oba slučaja uspio se registrirati koristeći privremenu, lažnu e-mail adresu i OIB bilo kojeg poslovnog subjekta, pa čak i onog koji je obrisan iz sustava. Nikakva provjera identiteta nije provedena - nitko ga nije nazvao niti tražio ijedan dokument.
Odmah nakon registracije, sustav mu je omogućio slanje eRačuna u ime tvrtke čiji je OIB koristio.
To znači, piše Rakar, da se doslovno bilo tko danas može prijaviti na servis, primjerice, Hrvatske pošte, predstaviti se kao INA ili Pliva i početi slati lažne račune na stvarne adrese, nadajući se da će netko nasjesti i platiti. Na jednom od lažnih računa čak je uspio navesti IBAN registriran u Poljskoj, a na drugom se servisu registrirao pod imenom "Pero Djetlić".
Posljedice ovakvog propusta mogu biti katastrofalne, upozorava Rakar.
U najblažem scenariju, vaša konkurencija može doći do svih vaših poslovnih podataka. U težem, hakeri mogu preuzeti kontrolu nad sustavom posrednika i privremeno vam onemogućiti slanje ili primanje računa. Najcrnji scenarij, koji se već dogodio u susjednoj Mađarskoj, jest da zlonamjerna strana preuzme kontrolu i programski počne mijenjati brojeve bankovnih računa na računima, preusmjeravajući uplate na svoje račune.
Rakar također uočava da su sustavi eRačuna Hrvatske pošte i tvrtke OmniSight vizualno i funkcionalno gotovo identični.
"Kako je riječ o servisima a ne o aplikaciji koju kupite, u dobroj domaćoj tradiciji (a HR Pošta je to radila više puta), za pretpostaviti je kako se ovdje radi o koordiniranom naporu da se zauzme što veći dio tržišnog kolača a kako bi se kasnije, nakon 1. siječnja kada fiskalizacija i krene, moglo napraviti “preuzimanje” koje je očigledno odavno dogovoreno mimo svih uobičajenih kriterija", piše Rakar na svom blogu.
Budući da sustav trenutno ne jamči sigurnost, teret provjere prebačen je isključivo na poduzetnike.
Primljenom eRačunu jednostavno se ne smije vjerovati na slijepo. Ključno je da svaka tvrtka već danas uspostavi interne procese za provjeru autentičnosti i točnosti svakog zaprimljenog računa prije plaćanja. To znači provjeru s dobavljačem je li račun ispravan, ističe i upozorava Rakar.
Osim toga, Rakar savjetuje poduzimanje minimalnih mjera zaštite: pažljivo odaberite informacijskog posrednika i provjerite zadovoljava li barem osnovne sigurnosne kriterije. Za pristup servisu koristite složene lozinke i dvofaktorsku autentifikaciju (2FA) ako je dostupna.
"Rizik poslovanja, nažalost, isključivo je na vama kao korisnicima", navodi Rakar.
Na koncu Rakar napominje da je cijeli test proveo isključivo kako bi dokazao poantu, koristeći podatke poslovnih subjekata za koje je odgovoran ili podatke brisanog subjekta, te je o cijelom slučaju i opasnom propustu odmah obavijestio Poreznu upravu i MUP.