Sigurnost eRačuna ovisi o razini sigurnosti koju pruža informacijski posrednik
Krajnji će korisnici često posegnuti za jeftinijom uslugom, ne razmišljajući o sigurnosnom aspektu, a takva će ih odluka koštati već kad prvi put neće moći isporučiti svoj dokument
sim što građani i poslovni korisnici dnevno na različite transakcije troše milijune kuna, oni međusobno razmjenjuju i cijeli niz osjetljivih informacija, poput onih koje se nalaze na računima.
Dakako, brzim digitalnim razvojem došlo se i do elektroničke razmjene dokumenta, među kojima prednjače elektronički računi kao najrasprostranjenija knjigovodstvena isprava.
“Iako na prvu mnogi mogu pomisliti kako je kod eRačuna zapravo riječ o smanjenju količine papira i ubrzavanju razmjene informacija, što dakako stoji, moramo biti svjesni kako se radi o razmjeni osjetljivih, a često i tajnih informacija, kako za građane, tako i za pravne osobe i državne institucije. To za sobom povlači različite sigurnosne zahtjeve te primjenu regulatornih okvira”, ističe Alen Delić, potpredsjednik Hrvatske udruge menadžera sigurnosti.
OOdobreni informacijski posrednici
U Hrvatskoj se godišnje razmijeni više desetaka milijuna računa, što nam zapravo omogućuju informacijski posrednici, među kojima se nalaze oni u državnom vlasništvu, konkretnije FINA, potom pioniri informacijskog posredništva u Hrvatskoj što je mojeRačun, ali i neki, poput telekoma, koji su prepoznali ovo tržište kao svoju dodatnu djelatnost. “Pred svima njima je izazov informacijske sigurnosti na više razina, a oni koji ne dosegnu prihvatljivu razinu, u budućnosti će samo činiti štetu krajnjim korisnicima koji će često posegnuti za jeftinijom uslugom ne razmišljajući o sigurnosnom aspektu. Problem će osjetiti već pri prvoj situaciji kad neće moći isporučiti (ili primiti) određeni račun ili dokument”, upozorava Delić.
Integritet podataka
No, što zapravo znači sigurnosno prihvatljiva razina pružatelja takvih usluga? Pojednostavljeno, ističe Delić, korisnici moraju imati mogućnost razmjene bez utjecaja na integritet podataka koje razmjenjuju. Druga važna stavka je da se za takvu se razmjenu očekuje da može biti izvršena u bilo kojem trenutku kada to korisnik želi ili očekuje. “Kao treće možemo istaknuti kako korisnici trebaju očekivati što je moguću veću zaštitu od utjecaja trećih strana na bilo koji segment usluge, bilo da je riječ o pohrani ili prijenosu. I konačno, dodatnu bi vrijednost korisnici trebali dobiti u slučaju određenih sigurnih problema na način da se takvim problemom bave stručne osobe ili pružatelji koji mogu osigurati neovisne treće strane koje će provjeravati njihove sustave i sudjelovati u rješavanju potencijalni incidenata”, pojašnjava potpredsjednik Hrvatske udruge menadžera sigurnosti.
Mehanizmi povjerenja
Delić smatra kako prvo očekivanje mogu zadovoljiti oni posrednici koji su u svoju uslugu uključili korištenje digitalnih certifikata i potpisivanje računa.
“U posljednje vrijeme, kada smo svjedoci ogromnog broja prijevara upravo putem računa, mehanizmi koji omogućuju povjerenje između dvije strane kako bi one znale da razmjenjuju istinite i izvorne podatke iznimno su važni”.
Drugo očekivanje mogu zadovoljiti oni posrednici koji imaju pravilno dizajniranu arhitekturu sustava koja se, prije svega, bazira na redundanciji te pravilnom testiranju mehanizama oporavka.
“Danas više nije dovoljno na papir napisati kada je određena usluga dostupna, nego se od pružatelja očekuju da kontinuirano analiziraju rizike i prijetnje, neovisno o njihovom izvoru i da budu spremni vratiti uslugu u što je moguće kraćem vremenu ne narušavajući integritet. To mogu isključivo one organizacije u kojima se tom tematikom bave neovisne osobe zadužene za sigurnost”, pojašnjava Alen Delić. Delić smatra kako je nužno i da posrednici procjenu razine sigurnosti njihovih rješenja ili načina upravljanja sigurnošću prepuste trećim, neovisnim stranama.
Primjerice, jedan od načina na koji mnoge organizacije pokušavaju organizirati upravljanje informacijskom sigurnošću je implementacija odgovarajućih mjera temeljenih na različitim metodologijama ili standardima.
TIM PD/VL
Međunarodni standardi
Javnosti je najviše poznata norma ISO/IEC 27001:2013, međunarodna norma na kojoj organizacije temelje svoje sigurnosne kontrole za smanjenje rizika. Ako se takav standard pravilno implementira, može podići razinu zrelosti sustava upravljanja informacijskom sigurnošću unutar organizacije. Naravno, posjedovanje certifikata prema određenom standardu, uključujući 27001 ili bilo koji drugi, ne znači da se organizacija neće suočiti s napadom, osobito sofisticiranim.
“Za očekivati je da organizacije, pa tako i informacijski posrednici, za provjeru svojih rješenja koriste i specifično dizajnirana testiranja, primjerice ona penetracijska. Takva testiranja omogućuju analizu rizika na tehničkoj razini koju osobe zadužene za sigurnost mogu i moraju uzeti u obzir kod daljnjeg razvoja svojih rješenja i pružanja svojih usluga”, naglašava Delić.
Kako dodaje, potpuno je jasno da krajnji korisnici korištenjem pojedinih usluga ili kupnjom određenih rješenja žele olakšati svoje poslovanje te da će iz tog razloga posezati za uslugama koje imaju veću mogućnost integracije i veći broj usluga.
“Iz perspektive sigurnosti, posrednici koji pružaju zadovoljavajuću razinu sigurnosti pružit će tu sigurnost i kao dio svoje kompletne usluge”, zaključuje Alen Delić, potpredsjednik Hrvatske udruge menadžera sigurnosti. ❖
Digitalni certifikat i potpisivanje
Sigurnosni aspekt mogu zadovoljiti oni posrednici koji su u svoju uslugu uključili korištenje digitalnih certifikata i potpisivanje računa
Testiranja važna za sigurnost
Iako posjeduju najviše standarde, informacijski posrednici za provjeru svojih rješenja trebaju koristiti specifično dizajnirana testiranja