Link: https://www.ictbusiness.info / vijesti / sigurnost-eracuna-ne-pocinje-certifikatom-nego-sustavom-koji-mora-izdrzati-svaki-dan
Sigurnost eRačuna ne počinje certifikatom, nego sustavom koji mora izdržati svaki dan
U svijetu elektroničke razmjene računa povjerenje se ne gradi deklarativno, nego operativno. Upravo na toj razlici Fina temelji svoj pristup sigurnosti eRačuna, ističući kako se visoka razina zaštite ne potvrđuje samo certifikatima i usklađenošću s propisima, nego svakodnevnim nadzorom sustava, jasno definiranim procedurama, testiranjem otpornosti i sposobnošću brze reakcije na incidente.
Iz Fine pojašnjavaju da organizacija još od 2015. godine posjeduje ISO 27001 certifikat, a u međuvremenu je provela i tranziciju na novu verziju standarda ISO 27001:2022. Certifikacija se, kako navode, ne svodi na formalno ispunjavanje uvjeta, jer joj prethode interni auditi, testiranja planova kontinuiteta poslovanja i niz provjera kojima se potvrđuje da sigurnosni sustav funkcionira i u praksi. Vanjske revizije provode se jednom godišnje, u skladu sa zahtjevima standarda.
Takav okvir dodatno je ojačan novim regulatornim zahtjevima. Fina je u proteklom razdoblju provela opsežan interni projekt usklađivanja sa zahtjevima DORA-e i Zakona o kibernetičkoj sigurnosti, pri čemu su prilagođeni procesi rada, politike, procedure i tehničke kontrole. Kako pojašnjavaju, cilj nije bio samo zadovoljiti propise, nego preciznije definirati odgovornosti, unaprijediti upravljanje rizicima te ojačati nadzor i izvještavanje.
Regulativa bez praznog hoda
Kad je riječ o ulozi informacijskih posrednika u sustavu eRačuna, iz Fine smatraju da u Hrvatskoj ne postoji regulatorna praznina koja bi omogućila djelovanje bez minimalnih sigurnosnih standarda. Njihov je stav da su svi takvi subjekti, zbog svoje uloge u sustavu, obuhvaćeni odredbama Zakona o kibernetičkoj sigurnosti. U tom kontekstu certifikati, poput ISO/IEC 27001, nisu sami sebi svrha, nego potvrda da su sigurnosna i procesna pravila doista implementirana u poslovanje.
Iako Fina nije upisana u Registar pružatelja platnih usluga Hrvatske narodne banke, iz institucije naglašavaju da niz poslova za banke i njihove klijente obavljaju temeljem ugovorne suradnje o eksternalizaciji. U sigurnosnom smislu, takve se aktivnosti tretiraju kao IKT usluge i provode prema najvišim standardima informacijske sigurnosti, relevantnim propisima i dobrim praksama.
Upravljanje rizikom kao trajni proces
Iz Fine otvoreno priznaju da apsolutna sigurnost ne postoji, ali upravo zato naglasak stavljaju na procese upravljanja rizicima, kontinuirani nadzor i spremnost na odgovor. Trenutačno nemaju ugovorenu policu osiguranja od cyber rizika, no navode da prikupljaju potrebne informacije i ponude za njezino eventualno sklapanje. Dosadašnji je fokus, kažu, bio na prevenciji, kontroli i ograničavanju posljedica, a ne na prijenosu rizika na osiguravatelja.
Sigurnosna testiranja provode kombinacijom internog stručnog tima i neovisnih trećih strana. Takav model, ističu, omogućuje pravodobno otkrivanje ranjivosti, ali i dodatnu objektivnost u validaciji nalaza. U slučaju da klijent pretrpi financijsku štetu zbog sigurnosnog propusta na strani Fine, pravo na naknadu štete ostvaruje se prema važećem zakonodavnom okviru i ugovornim obvezama, uz interne postupke utvrđivanja uzroka, procjenu odgovornosti i, prema potrebi, pokretanje odgovarajućih postupaka.
U središtu operativne obrane nalazi se Security Operations Center, integriran u proces upravljanja sigurnosnim incidentima. Njegova je zadaća kontinuiran nadzor informacijskih sustava, analiza sigurnosnih događaja i pravodobna detekcija prijetnji i anomalija. U Fini naglašavaju da SOC sudjeluje u svim fazama incidentnog ciklusa, od početne detekcije i procjene rizika do forenzičke analize, dokumentiranja i izvještavanja.
Nadzor 24 sata na dan i odgovor bez odgode
Operativni sigurnosni nadzor organiziran je tako da sustav za detekciju i odgovor na incidente radi 24 sata dnevno, sedam dana u tjednu. Uz tehničke komponente, uspostavljen je i Service Desk koji zaprima i evidentira prijave te osigurava inicijalnu klasifikaciju i eskalaciju prema nadležnim timovima. Dodatno, organiziran je sustav dežurstava stručnog osoblja kako bi reakcija bila moguća i noću, vikendom i blagdanima.
Iz Fine tvrde da na sigurnosni alarm mogu reagirati u vrlo kratkom roku, neovisno o dobu dana. “Apsolutna sigurnost ne postoji”, poručuju, ali dodaju da se svi zabilježeni događaji i incidenti otklanjaju u izuzetno kratkim rokovima te su dosad imali nikakve ili minimalne posljedice za korisnike. Nakon svakog incidenta provodi se detaljna analiza uzroka, takozvani Root Cause Analysis, na temelju koje slijede korektivne i preventivne mjere, od podešavanja sigurnosnih sustava i tehničkih kontrola do dodatnih internih revizija i edukacije zaposlenika.
Za nadzor mrežnog prometa i anomalija koriste napredne sustave koji omogućuju pravodobno prepoznavanje neuobičajenih obrazaca ponašanja, uključujući pokušaje neovlaštenog pristupa ili iznošenja podataka. Riječ je, kako navode, o dijelu šireg sigurnosnog okvira koji uključuje kontinuirani monitoring, korelaciju događaja i jasno definirane procedure za brzo reagiranje.
Kontrola pristupa i povjerenje bez vanjskih posrednika
Jedan od ključnih elemenata zaštite podataka u sustavu eRačuna jest stroga kontrola pristupa. Fina pritom primjenjuje načelo minimalnih ovlasti, što znači da svaki zaposlenik ima pristup samo onim podacima, sustavima i resursima koji su mu nužni za obavljanje posla. Prava se dodjeljuju prema formalno definiranim odgovornostima, a svaki zahtjev prolazi kontrolirane procese odobravanja, uz provjeru opravdanosti i usklađenosti s radnom ulogom.
Dodatnu specifičnost njihova modela predstavlja činjenica da za pohranu ili obradu podataka klijenata ne koriste podugovarače ni cloud-pružatelje. Svi se podaci obrađuju i pohranjuju unutar Fine, u vlastitim podatkovnim centrima. Time, ističu, zadržavaju potpunu kontrolu nad infrastrukturom, sigurnosnim mehanizmima i procesima obrade, bez dodatnih rizika koje može nositi oslanjanje na vanjske pružatelje usluga.
Na isti način adresiraju i prijetnju insajderskih napada. Taj rizik, objašnjavaju, pokrivaju kombinacijom tehničkih i organizacijskih mjera, od nadzora pristupa i detekcije neuobičajenih aktivnosti do strogo definiranih pravila upravljanja pristupima tijekom cijelog životnog ciklusa zaposlenika, uključujući i prestanak radnog odnosa.
Regulirano i nadzirano poslovanje
Pitanje povjerenja za Finu nije pitanje dojma, nego mjerljivih operativnih i regulatornih činjenica. Kao institucija koja više od trideset godina pruža ključne nacionalne digitalne i financijske usluge, Fina naglašava da se njezina pouzdanost temelji na reguliranom i nadziranom poslovanju, visokoj dostupnosti sustava, jasno definiranim RTO i RPO parametrima, redovitim testiranjima kontinuiteta poslovanja i stručnim timovima za podršku.
Posebno ističu i dug kontinuitet razvoja same usluge e-Račun. “Fina je informacijski posrednik već dugi niz godina te je postavila temelje sustava za razmjenu e-računa i prije nego što je regulativa izjednačila elektronički i papirnati račun u smislu pravne valjanosti”, poručuju iz institucije. Još 2007. godine predstavili su e-račun u XML formatu prema UBL standardu, koji je kasnije postao i europski interoperabilni standard.
U razmjeni e-računa Fina primjenjuje PKI tehnologiju, digitalne certifikate i elektronički potpis kako bi osigurala autentičnost identiteta, integritet sadržaja i pravnu valjanost razmjene podataka. Usto, svaki porezni obveznik sam određuje prava pristupa i rada u sustavu, čime se dodatno smanjuje rizik od neovlaštenog postupanja, čak i unutar same organizacije korisnika.
Zaključno, iz Fine poručuju da sigurnost eRačuna nije pitanje jedne tehnologije, jednog certifikata ni jedne procedure, nego dosljedno izgrađenog sustava koji mora funkcionirati svakodnevno, pod nadzorom i pod opterećenjem. Upravo u toj kombinaciji regulatorne usklađenosti, operativne discipline i dugogodišnjeg iskustva vide svoj glavni argument za povjerenje korisnika.
Ako poduzetnik sutra postavi jednostavno pitanje: "Zašto bih vama vjerovao više nego nekom drugom posredniku?" – što je vaš konkretan, mjerljiv odgovor koji nije samo marketing?
Fina je dugogodišnja, renomirana institucija koja više od trideset godina pruža ključne nacionalne digitalne i financijske usluge. Naš rad je reguliran, nadziran i temeljen na najvišim sigurnosnim standardima, a pouzdanost sustava mjerimo konkretnim pokazateljima.
Za uslugu Fina e-Račun koristimo infrastrukturu koja je projektirana za visoku dostupnost, s jasno definiranim RTO i RPO parametrima, redovitim BCP testiranjima i dokazanim kontinuitetom poslovanja. Uz to, imamo stručne timove koji korisnicima pružaju podršku u stvarnom vremenu te posjeduju iskustvo u radu na projektima svih veličina.
Fina je informacijski posrednik već dugi niz godina te je postavila temelje sustava za razmjenu e-računa i prije nego što je regulativa izjednačila elektronički i papirnati račun u smislu pravne valjanosti. Još 2007. godine predstavili smo e-račun, prateći europske standarde za dokumente koji sudjeluju u lancu eProcurementa. Već tada je e-račun bio izrađen u XML formatu prema UBL standardu, koji je kasnije postao standard na razini europske interoperabilnosti.
Prilikom razmjene e-računa primjenjujemo PKI tehnologiju. Iako se to ponekad može percipirati kao dodatna složenost, od početka smo naglasak stavili na sigurnosni aspekt zaštite podataka. To uključuje ne samo IT sigurnost, već i dosljedno poštivanje Zakona i Pravilnika o PDV-u, kao i Zakona o fiskalizaciji. U tom kontekstu posebno su važni zahtjevi VAT direktive i pripadajuće nacionalne regulative, koji podrazumijevaju nedvojbenu vjerodostojnost i autentičnost poreznog obveznika te očuvanje integriteta podataka koji se razmjenjuju.
Primjena digitalnih certifikata osigurava autentičnost identiteta u digitalnom okruženju, dok elektronički potpis jamči integritet i nepromjenjivost sadržaja. Riječ je o ključnim mehanizmima koji osiguravaju autentičnost, integritet i pravnu valjanost razmjene podataka.
Dodatno, svaki porezni obveznik sam određuje prava pristupa i rada u sustavu Fina e-Račun, pri čemu se posebna pažnja posvećuje njihovoj dodjeli kako bi se onemogućilo neovlašteno postupanje, čak i unutar same organizacije korisnika. Na tim smo postavkama gradili sustav Fina e-Račun, kao i niz drugih digitalnih i transakcijskih sustava. Upravo zato smatramo da korisnici imaju konkretne i mjerljive razloge za povjerenje u sigurnost i pouzdanost razmjene svojih e-računa i podataka putem Fine.
U kojim ste sve situacijama po zakonu ili vlastitoj poslovnoj politici obvezni obavijestiti korisnika o sigurnosnom incidentu koji ga se tiče – i koliko brzo nakon detekcije to činite?
Odredbom čl. 9. al. 4. Zakona o kibernetičkoj sigurnosti Financijska agencija, kao informacijski posrednik za razmjenu e-računa među poduzetnicima, svrstana je u kategoriju tzv. ključnih subjekata. Stoga je, u pogledu obavještavanja korisnika (primatelja usluga) o sigurnosnim incidentima i ozbiljnim kibernetičkim prijetnjama, dužna postupati u skladu s odredbama Zakona o kibernetičkoj sigurnosti i Uredbe o kibernetičkoj sigurnosti.
Prema odredbama čl. 85. st. 1. i čl. 86. st. 2. Uredbe o kibernetičkoj sigurnosti, Fina bez odgode, a najkasnije u roku od 72 sata od saznanja o značajnom incidentu ili ozbiljnoj kibernetičkoj prijetnji, obavještava korisnike svojih usluga na koje bi takav incident odnosno prijetnja mogli utjecati.
U slučaju sigurnosnog incidenta koji predstavlja povredu osobnih podataka u smislu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), Fina, u slučaju ispunjenja pretpostavki propisanih Općom uredbom o zaštititi podataka, bez odgađanja obavještava ispitanika odnosno korisnika o povredi osobnih podataka.
Kako se nosite s prijetnjom insajderskih napada – situacijama u kojima sigurnosni propust ne dolazi izvana, nego od strane vašeg vlastitog zaposlenika ili bivšeg suradnika koji ima ili je imao pristup sustavu?
Rizik insajderskih prijetnji adresiramo kroz kombinaciju tehničkih i organizacijskih mjera. To uključuje nadzor i kontrolu pristupa sustavima i podatcima, primjenu sigurnosnih mehanizama i alata za otkrivanje neuobičajenih aktivnosti te jasno definirane interne politike i procedure za upravljanje pristupima tijekom cijelog životnog ciklusa zaposlenika (uključujući i prestanak radnog odnosa). Dodatno, postupanje u slučaju povreda sigurnosnih pravila uređeno je internim aktima i važećim radnopravnim okvirom, u skladu s kojima se i postupa.
Raspolažete li sustavom za detekciju i odgovor na incidente koji funkcionira 24 sata dnevno, 7 dana u tjednu – i koliko brzo, realno gledano, vaš tim može reagirati na sigurnosni alarm usred noći ili vikendom?
Da, Fina raspolaže sustavom za detekciju i odgovor na sigurnosne incidente koji funkcionira 24 sata dnevno, 7 dana u tjednu. Sustav je integriran u cjelokupni proces upravljanja incidentima te obuhvaća organizacijske i tehničke komponente koje omogućuju pravodobnu reakciju na sigurnosne događaje.
U okviru tog procesa djeluje i Service Desk, koji kontinuirano zaprima i evidentira prijave te osigurava njihovu inicijalnu klasifikaciju i eskalaciju prema nadležnim timovima unutar organizacije. Dodatno, uspostavljen je sustav dežurstava stručnog osoblja koji osigurava operativnu dostupnost i izvan redovnog radnog vremena, uključujući noćne sate, vikende i blagdane.
Zahvaljujući takvoj organizaciji, Fina može reagirati na sigurnosni alarm u vrlo kratkom roku, neovisno o dobu dana. Nakon inicijalne detekcije, incident se odmah prosljeđuje odgovornim stručnjacima koji provode analizu, poduzimaju potrebne mjere te koordiniraju daljnje aktivnosti u skladu s internim procedurama i regulatornim zahtjevima.
Ovakav model rada osigurava visoku razinu operativne spremnosti, brzu reakciju i učinkovito upravljanje sigurnosnim incidentima u svim okolnostima.