Uoči uvođenja obvezne fiskalizacije 2.0 i sustavnog slanja eRačuna za sve poduzetnike u Hrvatskoj, otkriven je ozbiljan sigurnosni propust koji bi mogao otvoriti prostor širokim prijevarama.
Stručnjak za računalnu sigurnost Marko Rakar upozorio je kako novi sustav, zbog nedostatka ključnih zaštitnih mehanizama, omogućuje bilo kome da šalje račune u ime bilo koje tvrtke – bez ikakve provjere identiteta. O svom upozorenju i provedenom testiranju Rakar je detaljno pisao na svom blogu, ocijenivši trenutačno stanje “informacijsko-sigurnosnim hororom”.
Bez sigurnosnih kriterija za posrednike: “Upozoravao sam, ali su me odbijali”
Središnji problem nalazi se u informacijskim posrednicima – tvrtkama preko kojih će se slati eRačuni. Za razliku od telekoma i banaka, čiji rad nadziru HAKOM i HNB i koji moraju zadovoljiti stroge tehničke standarde, za posrednike eRačuna ne postoji nikakav propisani minimalni sigurnosni zahtjev.
Rakar navodi da je tijekom javnog savjetovanja na to izričito upozoravao i predlagao uvođenje barem osnovnih sigurnosnih pravila, no svi njegovi prijedlozi su odbijeni.
Posebno je problematično što eRačuni sadrže osjetljive poslovne informacije – cijene, popise klijenata, rabate, uvjete plaćanja – podatke koji će uskoro u velikim količinama prolaziti kroz posrednike čija sigurnost nije zajamčena.
Jednostavan test otkrio koliki je propust
Kako bi pokazao razmjere opasnosti, Rakar je testirao sustave dvojice velikih posrednika: eRačun Hrvatske pošte (PostLink d.o.o.) i Tvoj-Eračun (OmniSight d.o.o.).
Na oba servisa uspio se registrirati koristeći:
potpuno lažnu, privremenu e-mail adresu
OIB bilo koje tvrtke, čak i one izbrisane iz sustava
bez ikakve provjere identiteta – nitko ga nije kontaktirao, zatražio dokument ili dodatnu autentikaciju
Nakon registracije sustav mu je odmah dopustio slanje eRačuna u ime odabrane tvrtke.
Na jednom je testnom računu bez problema naveo IBAN otvoren u Poljskoj, dok se na drugom servisu registrirao pod imenom “Pero Djetlić”.
Rakar upozorava da se ovakvim propustom bilo tko može predstaviti kao INA, Pliva ili bilo koja druga tvrtka, i slati lažne račune nadajući se da će ih netko, zbog automatizacije procesa, i – platiti.
Dodatno, primijetio je da sustavi Pošte i OmniSighta izgledaju gotovo identično, što otvara sumnju u širi, koordinirani pothvat pripreme tržišta za kasnije preuzimanje korisnika.
Moguće posljedice: od krađe podataka do milijunskih financijskih prijevara
Potencijalni scenariji koje Rakar navodi iznimno su ozbiljni:
krađa poslovnih tajni i podataka o klijentima
onemogućavanje slanja i primanja računa napadom na posrednika
masovne prijevare putem lažnih računa
najopasniji scenarij: automatizirana promjena bankovnih računa na eRačunima, što se već dogodilo u Mađarskoj
Kako se poduzetnici mogu zaštititi?
Dok sustav ne dobije propisane sigurnosne zahtjeve, odgovornost prelazi isključivo na korisnike.
Rakar savjetuje:
ne vjerovati automatski nijednom zaprimljenom računu
uvijek provjeriti račun kod dobavljača prije plaćanja
izabrati informacijskog posrednika koji barem minimalno primjenjuje sigurnosne prakse
koristiti složene lozinke i dvofaktorsku autentifikaciju (2FA) ako postoji
– Nažalost, rizik poslovanja u cijelosti je na vama kao korisnicima – zaključuje Rakar.
Dodaje i kako je test proveo isključivo kako bi dokazao propust, koristeći podatke subjekata za koje je ovlašten ili brisanih tvrtki, te je o svemu odmah obavijestio Poreznu upravu i MUP.
Izvor i foto: Blog – mrak.org
Foto naslovna: Blog – mrak.org
📲 Najbrže informacije – pratite nas na Facebooku, Instagramu i TikToku!
