Kontinuirano unaprjeđujemo mjere sigurnosti

Ususret skoroj obvezi slanja i primanja eletroničkih računa u skladu s Fiskalizacijom 2.0., važna je tema informacijske sigurnosti dokumenata koje poduzetnici i obrtnici povjeravaju informacijskim posrednicima pri odabiru pristupne točke. O rizicima i zaštiti podataka korisnika za ICTbusiness.info razgovarali smo s Nevenom Stanivukom, voditeljem informacijske sigurnosti (CISO) servisa mer (moj eRačun) tvrtke Elektronički računi, inače vodećeg informacijskog posrednika u Hrvatskoj s 12 godina tradicije i prometom od dva milijuna e-računa mjesečno.

Koliki je godišnji budžet za kibernetičku sigurnost i na koje točno sigurnosne mjere taj novac ide (npr. zaštita od ransomware napada, enkripcija, backup, nadzor mreže)?

Ukupan godišnji budžet za informacijsku sigurnost je dosta teško čak i procijeniti, jer iako alati i stručnjaci koje imamo imaju neku cijenu, informacijska sigurnost ugrađena je u sve aspekte poslovanja. Slobodan pristup specijaliziranim alatima koji su nam ekskluzivno dostupni kao članici Visma grupacije također imaju visoku vrijednost. Sredstva koja možemo smatrati ulaganjem u informacijsku sigurnost proizlaze iz visokih standarda razvoja i održavanja informacijskih sustava i dio su naših standardnih troškova poslovanja. Na primjer, svaki bajt pohranjen na našim sustavima obavezno mora imati tri sigurnosne kopije na različitim medijima i lokacijama, što ulazi u cijenu podatkovnih medija, svaka linija koda razvojnih programera obavezno mora proći sigurnosnu analizu koda, a svaka pristupna točka i svi korišteni libraryji 24-satni nadzor ranjivosti, te obavezno penetracijsko testiranje prije puštanja u produkciju. Također, svaki zaposlenik obavezno treba proći treninge sigurnosti prilagođene za njegovo radno mjesto.

Kako se osigurava arhiviranje e-računa te koja su osiguranja (police osiguranja) dostupna korisnicima u slučaju stečaja ili prestanka poslovanja kako bi klijenti imali neometan pristup svojim arhiviranim podacima?

Polica osiguranja od poslovne odgovornosti, koju naravno imamo i zahtijevamo je od naših dobavljača,  nije baš od koristi ako naši korisnici izgube svoje podatke ili nisu u mogućnosti slati fakture, jer je cijelo poslovanje tvrtke uzaludno ako za svoj rad, proizvod ili uslugu ne može ispostaviti fakturu i po njoj naplatiti potraživanje. Plan očuvanja kontinuiteta poslovanja servisa mer proizašao je iz detaljne procjene rizika u kojoj je popisana svaka situacija koja se može dogoditi, te je rizik otklonjen ili umanjen nizom mjera, kontrola i pravila kako bi bili sigurni da čak i u najgorim situacijama koje uključuju požare, poplave, hakerske napade, pa čak i prestanak poslovanja ključnih dobavljača osiguravaju očuvanje kontinuiteta poslovanja, ne samo nama, nego i našim korisnicima u aspektu procesa razmjene računa. Zdrave i otporne tvrtke, poput tvrtke Elektronički računi, ne mogu nestati preko noći, no čak i da se tako nešto dogodi, svim našim korisnicima osiguran je pristup i mogućnost izvoza njihovih podataka.

Koje konkretne korake poduzimate kako biste zaštitili račune i podatke svojih klijenata od neovlaštenog pristupa ili čitanja računa?

Mer kontinuirano unaprjeđuje i uvodi nove mjere sigurnosti kako bismo držali korak sa svim sigurnosnim izazovima i time zaštitio klijente od gubitka podataka ili neovlaštenog pristupa njihovim podacima. Ovo uključuje sve od operativnih pa do tehničkih mjera, u skladu s najboljim praksama. Međutim, moramo naglasiti kako sigurnost također ovisi  o samim klijentima. Kontrola pristupa podacima unutar tvrtke, higijena održavanja lozinki i točnosti kontaktnih informacija nešto su o čemu svaka tvrtka, bez obzira na to je li naš korisnik ili ne, uvijek treba voditi računa. Kako bismo maksimalno osigurali da je pristup podacima naših korisnika zaštićen od vanjskih zloćudnih aktera ili pokušaja zloporabe unutar tvrtke koja je naš korisnik, uveli smo mogućnost zaštite pristupa web uslugama korištenjem dvofaktorskih vjerodajnica (2FA) i preporučujemo  svim našim korisnicima da ih koriste.

Koliko često i na koji način testirate sigurnosnu otpornost Vašeg sustava (npr. penetracijski testovi, revizije sigurnosti) kako biste spriječili moguće kibernetičke napade poput onog ransomwarea koji se dogodio INA-i?

Testiranje naših sustava ustvari se događa kontinuirano kroz nadzore korištenja, alarmiranja o potencijalnim ranjivostima kod korištenih komponenti, održavanja stroge "clean source" politike te visoko sofisticiranih sustava zaštite od izvršavanja nepoznatog, potencijalno malicioznog softwarea. Dodatno, svaka naša aplikacija prolazi redovitu godišnju sigurnosnu reviziju i penetracijska testiranja od strane kvalificiranih autoriteta, kako bismo i od njih dobili potvrdu o učinkovitosti svih naših mjera i politika, a time i sigurnosti naših aplikacija.

S obzirom na nadolazeću zakonsku obvezu, kako planirate upravljati velikim rastom volumena podataka s aspekta sigurnosti i pouzdanosti sustava?

Vrlo jednostavno. Mi smo već mjesecima pripremljeni na to. Naši sustavi dizajnirani su s najvišim sigurnosnim standardima na umu,  na način da ih je iznimno jednostavno horizontalno i vertikalno skalirati, pa nam teoretski ni povećanje broja korisnika za 1000 puta ne smije predstavljati nikakav problem.

Kao članica norveške softverske grupacije Visma, kako to strateški i tehnički doprinosi jačanju sigurnosnih standarda sustava za razmjenu eRačuna? Koje sigurnosne prakse, resurse ili certifikate imate kao dio globalne grupacije što možda drugi posrednici nemaju?

Visma je grupacija koja kompanije u njenom vlasništvu potiče na  dugoročan razvoj i rast, pa je logično da svoju investiciju štiti visokim standardima otpornosti i zaštite kontinuiteta poslovanja, pri čemu usklađenost i informacijska sigurnost imaju izuzetno važnu ulogu. Odjel informacijske sigurnosti mera svakako je osnažen ovom akvizicijom, ponajviše kroz Vismine zajedničke INFOSEC timove te pristup najsofisticiranijim alatima koji bi kompaniji naše veličine u standardnim uvjetima bili nedosežni, a naši timovi bili bi premali za sveobuhvatan i proaktivan pristup informacijskoj sigurnosti kakav imamo danas. Ono na što smo posebno ponosni je to da smo u nekim aspektima, čak i prije akvizicije bili bolji od Visminog standarda i te prakse podijelili sa svim tvrtkama članicama, kao što te iste tvrtke svoje najbolje prakse dijele s nama.