U vremenu kada digitalna razmjena dokumenata postaje kritična poslovna infrastruktura, pitanje sigurnosti eRačuna više nije tehnička tema rezervirana samo za IT odjele. Za tvrtke, obrtnike i institucije to je pitanje kontinuiteta poslovanja, zaštite podataka, regulatorne usklađenosti i povjerenja u partnera koji mora garantirati da će dokument stići sigurno, cjelovito i na vrijeme. Upravo zato tržište sve jasnije razlikuje pružatelje koji zadovoljavaju samo formalni minimum od onih koji sigurnost grade kao operativni standard u svakodnevnom radu. U takvom okruženju certifikati poput ISO 27001 i ISO 9001 imaju važnu ulogu, ali sami po sebi nisu dovoljni ako iza njih ne stoje stvarni procesi, redovite revizije, kontrola pristupa, nadzor anomalija i jasno definirani mehanizmi odgovora na incident.
Megatrend Redok pritom svoju poziciju temelji na dugogodišnjem iskustvu u digitalnoj razmjeni dokumenata, velikim volumenima obrade i infrastrukturi koja mora osigurati visoku dostupnost i integritet podataka. Posebnu težinu u takvom pristupu imaju i svakodnevna operativna disciplina, dodatne sigurnosne provjere, korištenje neovisnih vanjskih stručnjaka te jasan odnos odgovornosti prema korisnicima. Na tržištu na kojem cijena često pokušava preuzeti glavnu riječ, upravo sigurnost, pouzdanost i transparentnost postaju ključne točke razlikovanja. „Odabrati najjeftinije ne znači odabrati najbolje, a pogotovo ne i najsigurnije rješenje“, ističe za ICTBusiness Media – ICTbusiness.info Fran Karlo Strajher, direktor tvrtke Megatrend Redok. U razgovoru smo zato otvorili niz konkretnih pitanja: od certifikata i revizija, preko kibernetičkog osiguranja i 24/7 nadzora, do odgovornosti prema klijentima i stvarnih mjerila po kojima poduzetnik može procijeniti kome će povjeriti svoje digitalne dokumente.
Koje certifikate i akreditacije vaša organizacija posjeduje i zašto su oni relevantni za sigurnost eRačuna?
Megatrend Redok već dugi niz godina posluje na hrvatskom i međunarodnom tržištu. Sigurnost, pouzdanost i kvaliteta usluge temelj su poslovanja te povjerenja između nas i naših klijenata. Sve aktivnosti Megatrend Redoka obavljaju se u okviru certificiranih sustava upravljanja. Megatrend Redok ima implementirane ISO 27001 i ISO 9001 sustave, s opsegom koji obuhvaća: razvoj, hosting i operativno pružanje platformi kao servisa (iPaaS) za integraciju poslovnih aplikacija, EDI razmjenu i usluge informacijskog posrednika, uključujući slanje i zaprimanje e-računa, fiskalizaciju te e-izvještavanje. Drugim riječima svi procesni elementi usluge koju pružamo našim klijentima su certificirani kako bi i na taj način potvrdili kvalitetu i sigurnost usluge koju pružamo našim klijentima. Posljednja u nizu provjera izvršena je u prosincu protekle 2025. godine čime je započeo novi certifikacijski ciklus, a koji traje do 1. 2. 2029. godine. Sukladno pravilima struke svi procesi Megatrend Redoka podliježu strogim internim auditima te nadzornim provjerama treće strane.
Posjedujete li ISO/IEC 27001 certifikat za upravljanje informacijskom sigurnošću, i koliko često prolazite kroz eksterne revizije njegove primjene u praksi – ne samo na papiru?
Megatrend Redok ima implementiran ISO/IEC 27001 sustav upravljanja informacijskom sigurnošću, s istim temeljnim opsegom kao i za 9001: razvoj, hosting i operativno pružanje naših platformi, uključujući EDI, e-račune i fiskalizaciju. Eksterne revizije provodi neovisno certifikacijsko tijelo u redovnim ciklusima – kroz inicijalnu certifikaciju, godišnje nadzorne audite i periodičnu re-certifikaciju. Nadzori ne obuhvaćaju samo pregled dokumentacije, već i detaljne i konkretne tehničke i organizacijske prakse. Kontrola pristupa, logiranje, backupi, upravljanje incidentima, kontinuirana poboljšanja samo su neki od elemenata koji se detaljno dodatno kontroliraju.
Jeste li registrirani kod HNB-a kao ovlašteni pružatelj platnih usluga, i što ta regulatorna obveza konkretno znači za razinu sigurnosti koju morate održavati?
Megatrend Redok trenutno ne pruža platne usluge te slijedom toga nije registriran kod HNB-a kao pružatelj platnih usluga. Naš trenutni fokus je isključivo na sigurnoj razmjeni i obradi elektroničkih dokumenata – e-računa, fiskalnih poruka i drugih EDI dokumenata – unutar regulatornih okvira za e-račun i fiskalizaciju, gdje smo povezani na centralnu platformu i usklađeni sa svim standardima Porezne uprave.
Postoji li zakonska ili regulatorna praznina u Hrvatskoj koja omogućuje da netko posluje kao informacijski posrednik u sustavu eRačuna bez minimalnih sigurnosnih standarda – i kako vi kao industrija na to gledate?
Fiskalizacija 2.0. zahtijeva od informacijskih posrednika visoku razinu operativne pouzdanosti i sigurnosti. Međutim riječ je samo o formalnom minimumu. Svjedoci smo brojnih problema s kojima su se klijenti i korisnici, odnosno poslovni subjekti susreli u proteklim mjesecima, a koji su rezultat zadovoljavanja samo tog minimuma. Ozbiljni pružatelji usluga svoje su sustave značajno dodatno unaprijedili, upravo kako bi klijentima, tržištu odnosno poslovnim subjektima osigurali najviši stupanj kvalitete i sigurnosti u pružanju usluga razmjene digitalnih dokumenata.
Tržište je već prepoznalo razliku između raznih ponuđača. Odabrati najjeftinije ne znači odabrati najbolje, a pogotovo ne i najsigurnije rješenje.
Megatrend Redok je svoju poziciju na hrvatskom, kao i na međunarodnom tržištu, izgradio na visokim sigurnosnim standardima, kvaliteti usluge, transparentnosti ponude te pozicioniranju kao dugoročnog partnera svojim klijentima neovisno o njihovoj veličini.
Upravo zbog toga Megatrend Redok obavlja i redovite dodatne provjere te revizije svih ključnih procesa, a kako bi preventivno djelovali te potencijalne slabosti otkrili i uklonili prije nego što uopće postanu incident.
Vjerujemo da će se i regulatorni okvir s vremenom nastaviti zaoštravati i da će ozbiljni sigurnosni standardi postati obvezni za sve koji žele igrati važniju ulogu na tržištu.
Kako se vaša infrastruktura prilagođava novim direktivama o digitalnoj operativnoj otpornosti (DORA)?
DORA je usmjerena na financijske ustanove i njihove ključne ICT pružatelje usluga s ciljem ojačanja digitalne otpornosti financijskog sektora. Iako Megatrend Redok ne pruža platne usluge niti posluje kao banka strateški se vodimo istim principima: geografski distribuirana i redundantna infrastruktura, kontrolirani procesi promjena i jasni planovi kontinuiteta poslovanja. Drugim riječima, iako formalno nismo adresat DORA regulative, naš dizajn sustava i operativni procesi već danas odražavaju ključne zahtjeve digitalne otpornosti – visoku dostupnost, otpornost na prekide, kontrolu dobavljača i jasno definiran način oporavka usluga.
Kako vaša organizacija financijski i operativno upravlja rizikom kibernetičkog incidenta?
Na rizik kibernetičkog incidenta gledamo kao na poslovni, a ne samo tehnički rizik. To znači da ga adresiramo kombinacijom tri stvari: certificiranog sustava upravljanja sigurnošću (ISO 27001), konkretnih tehničkih i organizacijskih kontrola u svakodnevnom radu, te specijaliziranog cyber osiguranja koje pokriva i našu odgovornost prema korisnicima. U praksi to uključuje redovite procjene rizika, jasne procedure za upravljanje incidentima, segmentaciju sustava, enkripciju podataka, ograničavanje prava pristupa i kontinuirano praćenje ključnih servisa. Na taj način, financijski i operativni rizik dijelimo između preventivnih ulaganja (ljudi, procesi, tehnologija) i zaštitnog sloja (osiguravatelja).
Imate li sklopljenu policu osiguranja od cyber rizika – i što ta polica pokriva: samo vaše operativne troškove ili i štetu koja nastane za vaše klijente poduzetnike čiji su podaci eventualno kompromitirani?
Megatrend Redok ima aktivnu policu cyber osiguranja. Pokriće se ne odnosi samo na naše interne troškove u slučaju incidenta, već uključuje i odgovornost prema trećim stranama, odnosno našim korisnicima. S obzirom na povjerljivost ovog segmenta ne možemo iznositi pojedinosti no naši klijenti su osigurani i sigurni da u Megatrend Redoku imaju partnera koji svoj posao obavlja svjesno i odgovorno uz konkretnu financijsku zaštitu.
Provodite li redovite procjene ranjivosti i penetracijska testiranja svojih sustava, i tko provodi te testove – interna ekipa ili neovisna treća strana?
Redovito radimo procjene ranjivosti i sigurnosna testiranja, pri čemu za ključne dijelove infrastrukture i aplikacija angažiramo nezavisne specijalizirane tvrtke koje provode penetracijska testiranja i sigurnosne revizije. Sigurnost naših sustava temelji se dakle na radu internih stručnjaka ali i neovisnih vanjskih partnera. Interni tim zatim analizira rezultate, prioritizira mjere i vodi implementaciju korektivnih i preventivnih aktivnosti. Takav model nam omogućuje da zadržimo dubinsko poznavanje vlastite platforme, ali uz stalni vanjski „reality check“ kojim dodatno povećavamo razinu sigurnosti i otpornosti naših sustava.
U slučaju da jedan od vaših klijenata – manji obrtnik ili tvrtka – pretrpi financijsku štetu zbog sigurnosnog propusta na vašoj strani, koji je mehanizam zaštite i naknade štete koji im stoji na raspolaganju?
Svaki korisnik ima jasno definiran okvir u kojem može tražiti naknadu štete ako se dokaže da je došlo do sigurnosnog propusta na našoj strani. Model odgovornosti (limiti, SLA krediti, posebni uvjeti) usklađujemo kroz ugovorni proces, posebno kod većih korisnika i ustanova. Time izbjegavamo pristup „one size fits all“ i osiguravamo da je razina zaštite razmjerna važnosti i volumenu posla koji radimo za pojedinog klijenta. Odgovornost i mehanizam naknade štete uređeni su našim ugovorima i općim uvjetima te ih jasno i transparentno komuniciramo prema našim klijentima.
Imate li 24/7 nadzor, vlastiti SOC ili ugovoreni vanjski centar te kako je organizirana eskalacija incidenta?
Sve naše ključne usluge pa tako i procesi vezani uz F2.0 i e-račune – pokrivene su podrškom koja radi sukladno definiranim SLA parametrima, što uključuje i obradu hitnih slučajeva na principu 24/7. Incident koji potencijalno može ugroziti kontinuitet razmjene dokumenata ili sigurnost podataka obrađuje odmah prema jasno definiranim eskalacijskim pravilima. Eskalacija uključuje tehnički tim, odgovorne osobe za sigurnost te, naravno, direktnu komunikaciju s korisnikom. Cilj je samo jedan: brzo detektirati, izolirati i riješiti problem, uz minimalan utjecaj na poslovanje korisnika i jasnu komunikaciju tijekom cijelog procesa.
Kako izgleda vaš svakodnevni operativni sigurnosni nadzor?
Sigurnost kod nas nije jednokratni projekt, nego dio svakodnevnog operativnog ritma. Kontinuirano pratimo stanje ključnih sustava, logove, performanse i anomalije, a rezultati tog nadzora ulaze u interne izvještaje i redovne sastanke na razini operacija i upravljanja. To uključuje nadzor dostupnosti servisa, integracijskih tokova, statusa razmjene dokumenata, kao i sigurnosnih događaja, od pokušaja neovlaštenog pristupa do neuobičajenih obrazaca korištenja aplikacije. Na taj način rizike rješavamo prije nego što se pretvore u incident.
Raspolažete li sustavom za detekciju i odgovor na incidente koji funkcionira 24/7 – i koliko brzo, realno gledano, vaš tim može reagirati na sigurnosni alarm usred noći ili vikendom?
Svi naši sustavi i procesi dizajnirani su tako da ključne usluge imaju kontinuirani nadzor i definiranu reakciju sukladno SLA-u, bez obzira radi li se o radnom danu ili vikendu. U slučaju kritičnog upozorenja postoji jasan „on-call“ mehanizam kojim se aktivira odgovorni tim, te se odmah kreće sa operativnim procedurama. Naši korisnici znaju da će se takvi eventualni slučajevi tretirati kao prioritet čim budu detektirani. To je jedini način da e-računi i F2.0 usluge budu stvarno pouzdani u praksi.
Koristite li sustave za nadzor anomalija sa ili bez AI-a u prometu podataka koji mogu pravovremeno detektirati neovlašteni pristup ili krađu podataka – poput onih 560 GB koji su navodno izvučeni iz španjolske porezne agencije u jednom potezu?
Koristimo kombinaciju tradicionalnih i naprednih mehanizama nadzora kako bismo prepoznali neuobičajene obrasce ponašanja – primjerice nestandardne volumene, vremena ili načine pristupa. Ne ulazimo u detalje tehnološkog „stacka“ iz razumljivih sigurnosnih razloga, ali možemo reći da pratimo sve ključne metrike koje bi signalizirale pokušaj masovnog iznošenja podataka ili neautorizirani pristup prije nego što se isti dogodi.
Naš cilj je ne samo detektirati događaj, nego i jasno povezati signal sa stvarnim rizikom – kako bismo razlikovali legitimno povećanje prometa od stvarne prijetnje. Tu kombiniramo brojne automatizirane alate, AI, ali i ljudsku analizu.
Kada je vaša organizacija posljednji put imala ozbiljan sigurnosni incident ili gotovo-incident, i što ste konkretno promijenili u svom sustavu zaštite kao posljedicu?
Megatrend Redok od svojeg osnivanja nije doživio slučaj gubitka dokumenata niti incident koji bi doveo do kompromitacije integriteta ili dostupnosti podataka naših korisnika. To ne znači da živimo u iluziji „potpune sigurnosti“. U slučajevima manjih tehničkih poteškoća ili near-miss događaja, naš pristup je uvijek isti: prvo stabilizirati situaciju, zatim napraviti analizu uzroka i, na kraju, implementirati trajne korektivne mjere. To uključuje, ili može uključivati, dodatne kontrole, izmjene konfiguracije ili pooštravanje procedura, ovisno o tome što je potrebno.
Koji su vam definirani RTO i RPO za ključne usluge razmjene eRačuna?
Sustavi su projektirani s visokim stupnjem redundancije, a ključni poslovni pokazatelj za nas je jednostavan: od osnivanja nismo izgubili niti jedan dokument. Naši mehanizmi pohrane i replikacije u praksi postigli su ono što je i nama i korisnicima najvažnije – da se niti jedan e-račun ili drugi dokumenti ne izgubi.
Formalni RTO i RPO parametri definirani su ugovorima i SLA-ima, a njihov je cilj održati kontinuitet razmjene dokumenata čak i u slučaju ozbiljnijih tehničkih problema. U pozadini toga stoje redundantna infrastruktura, redoviti backupi i razdvajanje kritičnih komponenti sustava.
Na koji način obavještavate klijente u realnom vremenu ako detektirate sumnjivu aktivnost na njihovom računu?
Način komunikacije ovisi o specifičnom slučaju. Kod sumnjivih aktivnosti koje mogu imati utjecaj na sigurnost ili integritet podataka, korisnika kontaktiramo kroz kanale definirane ugovorom najčešće kombinacijom e-maila, telefonskog poziva i informacija kroz podršku. Važno nam je da komunikacija bude pravodobna i jasna: što se događa, koje su mjere poduzete, što korisnik treba (ili ne treba) napraviti i koji su sljedeći koraci. S našim korisnicima razvijamo kulturu otvorenog partnerstva, a ne minimalistički pristup „šutimo dok ne moramo“.
Tko sve ima pristup podacima koji prolaze kroz vaš sustav i kako to kontrolirate?
Pristup podacima u Megatrend Redoku strogo je ograničen i kontroliran. Operativno polazimo od jedinog ispravnog načela: svi podaci su u vlasništvu korisnika, a naša je uloga da ih sigurno prenesemo, obradimo i pohranimo, uz minimalno potreban operativni uvid. Tehnički, u praksi je to kombinacija enkripcije podataka, kontroliranog pristupa na osnovi uloga i jasne segmentacije sustava. Cilj kojeg smo ostvarili je ograničavanje broja ljudi i sustava koji uopće mogu doći u kontakt s osjetljivim sadržajem.
Primjenjujete li načelo minimalnih ovlasti – odnosno ima li svaki vaš zaposlenik pristup samo onim podacima koji su mu nužni za obavljanje posla, i kako to tehnički osiguravate?
Da, Megatrend Redok primjenjuje načelo minimalnih ovlasti kao standard. Svaki zaposlenik ima dodijeljene uloge i prava pristupa koja su ograničena na konkretne zadatke koje obavlja. To je podržano tehničkim mehanizmima kontrole pristupa, logiranjem i redovitim periodičnim revizijama dodijeljenih prava. Na taj način sprječavamo da netko zadrži ovlasti koje mu više nisu potrebne ili prikupi preširok set dozvola tijekom vremena.
Koristite li usluge podugovarača ili cloud-pružatelja za pohranu ili obradu podataka svojih klijenata – i na koji način osiguravate da i oni zadovoljavaju iste sigurnosne standarde koje vi propagirate?
Da, koristimo cloud usluge, uključujući AWS i druge, pri čemu je ključni uvjet data residency u EU i usklađenost s relevantnim sigurnosnim standardima. AWS sam podržava 143 sigurnosna standarda i certifikata usklađenosti, uz ISO 27001 i druge industrijske certifikate. Dobavljače biramo po strogim kriterijima – od tehničkih mogućnosti i certifikata, do ugovornih jamstava i DPA-a – i na taj način osiguravamo da lanac povjerenja ne staje na nama, nego obuhvaća i sve ključne partnere uključene u obradu i pohranu podataka.
Kako se nosite s prijetnjom insajderskih napada – situacijama u kojima sigurnosni propust ne dolazi izvana, nego od strane vašeg vlastitog zaposlenika ili bivšeg suradnika koji ima ili je imao pristup sustavu?
Internim rizicima posvećujemo jednaku pažnju kao i vanjskim prijetnjama. Mitigiranje internih rizika temelji se na tri ključna elementa: provjeri i ugovornoj obvezi pri zapošljavanju (uključujući povjerljivost), stroga kontrola i segmentacija prava pristupa te standardizirani off boarding proces kojim se ovlasti bivših suradnika brzo i potpuno ukidaju. Također, sadržaj kojem zaposlenici pristupaju se enkriptira, a svaki pristup se logira (eventualna zlouporaba ovlasti ostavlja trag). Na taj način smanjujemo motiv i mogućnost da pojedinac zloupotrijebi povjerenje koje mu je dano.
Što poduzetnik koji koristi vaše usluge stvarno zna o tome kako štitite njegove podatke?
Mi smatramo da sigurnost nije „crna kutija“. U našoj komunikaciji sa klijentima, kroz sam ugovor, SLA-ove i dokumentaciju koju dijelimo s klijentima, jasno komuniciramo kako je sustav koncipiran, koje sigurnosne mjere primjenjujemo i koje su obveze s obje strane.
Također, kroz direktnu komunikaciju s korisnicima – od inicijalnih sastanaka do svakodnevne podrške – nastojimo pojasniti sigurnost jednostavnim, razumljivim jezikom: što radimo i zašto je to za njih bitno u svakodnevnom radu.
Postoji li jasan, razumljiv i javno dostupan dokument – ne skriven u dubinama ugovora – koji objašnjava što se događa s podacima vašeg korisnika u slučaju hakerskog napada, i koja su mu prava i koraci?
Imamo detaljnu internu dokumentaciju koja definira postupanje u slučaju sigurnosnog incidenta, uključujući obveze obavještavanja i sve daljnje korake. Ona je polazište za ugovorne klauzule i komunikaciju prema klijentima, ali u ovom trenutku nije u obliku zasebnog, javno objavljenog dokumenta na web stranici. Korisnici kroz ugovorne dokumente i dogovore sa svojim account i tehničkim kontaktima dobivaju sve konkretne informacije, što se događa u slučaju incidenta, koja su im prava i koji su preporučeni koraci.
U kojim ste sve situacijama po zakonu ili vlastitoj poslovnoj politici obvezni obavijestiti korisnika o sigurnosnom incidentu koji ga se tiče – i koliko brzo nakon detekcije to činite?
Komunikacija, kada je riječ o sigurnosnim incidentima se temelji na zakonskoj regulativi: GDPR u slučaju osobnih podataka, propisima o kibernetičkoj sigurnosti, ali i na našim internim politikama. Megatrend Redok ne želi samo ispunjavati zakonske obveze stoga smo svoje interne politike komunikacije i načine djelovanja definirali na još striktniji, stroži način. Cilj nam je obavijestiti korisnika u najkraćem mogućem roku, odmah po detekciji nepravilnosti, nakon što je incident potvrđen i dovoljno razjašnjen da komunikacija bude točna i klijentu korisna. Detaljni rokovi i kanali komunikacije definirani su SLA-ovima i ugovorima, ali zajednički nazivnik je da incidenti koji se tiču korisnika ne ostaju „ispod radara“, nego se aktivno komuniciraju zajedno s prijedlogom konkretnih koraka.
Ako poduzetnik sutra postavi jednostavno pitanje: „Zašto bih vama vjerovao više nego nekom drugom posredniku?“ – što je vaš konkretan, mjerljiv odgovor koji nije samo marketing?
Megatrend Redok je tvrtka koja se specijalizirala za informacijsko posredništvo, EDI i integracije. Digitalna razmjena dokumenata nije posao kojim smo se počeli baviti najavom i stupanjem na snagu Zakona o Fiskalizaciji 2.0. Megatrend Redok se digitalnom razmjenom dokumenata bavi više od 15 godina na hrvatskom i međunarodnom tržištu. Našim platformama svakodnevno se koristi više od 40.000 domaćih i međunarodnih organizacija i poslovnih subjekata koje razmjenjuju preko 70 milijuna dokumenata godišnje. Naši procesi, infrastruktura i tim testirani su na velikim volumenima i u stvarnim uvjetima. Svi naši sustavi su certificirani (ISO 9001 i ISO 27001) te se redovito eksterno revidiraju, uz dokazivu usklađenost s primjenjivim standardima i propisima.
Od svojeg osnivanja tvrtka Megatrend Redok nije izgubila niti jedan dokument korisnika, a arhitektura sustava i način rada dizajnirani su upravo s ciljem stalnog unapređenja i poboljšanja dostupnosti, integriteta i sigurnosti razmjene e-računa. Naš je cilj da se naši korisnici osjećaju kao da imaju partnera, a ne samo „dobavljača rješenja“.
