Hoće li uvođenje Fiskalizacije 2.0 povećati sigurnost poslovanja i vaših podataka? Što se promijenilo u svijetu kibernetičkih napada u posljednje dvije godine? Koje konkretne savjete možete slijediti ako želite povećati sigurnost podataka u 2026. godini? O tome razgovaramo s konzultantom za kibernetičku sigurnost i direktorom DRC-Servis d.o.o., Tomislavom Vukom.
Fiskalizacija 2.0 i kibernetička sigurnost: važnost otkrivanja ranjivosti
Bon.hr: “Krenimo od početka. Za nekoliko tjedana stiže nam Fiskalizacija 2.0 koja je najavljena s velikim očekivanjima. No, kako će ovaj veliki iskorak u digitalizaciji utjecati na sigurnost naših podataka?”
Tomislav Vuk: “Mnogo će ovisiti o tome koliko informacija će posrednici preuzimati i s kojim podacima će baratati, odnosno koji će se podaci spremati kod njih. Ako nisu obavljali testiranja otkrivanja ranjivosti, onda će problemi biti ozbiljni. Moglo bi ih se hakirati i ukrasti podatke. Ne smije se zanemariti opasnost krađe tih podataka. Oni imaju golemu vrijednost i na njima se mogu stvarati temelji za druge oblike kibernetičkih napada.
Prijetit će i DoS (Denial of Service) napadi u raznim oblicima koji bi mogli na neko vrijeme onemogućiti rad ovih servisa. Neki napadi mogu izvršeni biti skriptama u vidljivom obliku koje bi, primjerice, generirale tisuće računa. Neki će se javiti u komunikacijskom obliku, kao kod oblika klasičnog Denial of Service napada.
Uz to, mogli bismo vidjeti napade u obliku povrede integriteta informacija, kao kad bi se tisućama bankovnih računa promijenio IBAN unutar tih sustava. Zato je potrebno raditi redovita sigurnosna testiranja, pronaći ranjivosti, vidjeti kako se mogu iskoristiti i zatim ih zakrpati što prije.”
“Ljudski faktor je uzrok proboja u preko 92% slučajeva”
Bon.hr: “Ovo može zvučati zastrašujuće, no na koji način će biti konkretno realizirani ovi napadi? Odakle zapravo dolaze najveći sigurnosni proboji?”
Tomislav Vuk: “Ljudski faktor je uzrok proboja u preko 92% slučajeva, a statistike se kreću oko tog postotka već godinama i bit će i dalje. Najlakše je upasti u sustave na račun ljudske greške, uglavnom putem socijalnog inženjeringa, ali i greškama u konfiguracijama sustava, mreža, zanemarivanje nadogradnji softvera, itd.
Napad preko ljudi, ono što zovemo inicijalni vektor napada, pojačavat će se zbog sve razvijenijeg agentskog AI, koji ima sve veću autonomiju i može u nekoliko minuta napraviti i orkestrirati napade koji bi se do prije dvije godine pripremali tjednima. AI sve to radi daleko efikasnije.
Dodao bih da čak 80% Phishing-as-a-service paketa koji prevaranti plaćaju cyber kriminalcima kako bi lakše izvodili napade imaju i agentske AI alate.”
Što je spear phishing?
Bon.hr: “Na koje onda vrste pokušaja prijevara trebaju pripremiti poduzetnici u 2026. godini?”
Tomislav Vuk: “Uvijek treba biti spreman na razne oblike BEC (Business E-mail Compromise), ali ako ćemo biti konkretniji oko oblika, to će i dalje biti phishing, točnije spear phishing koji agentski AI od početka 2025. radi efikasnije od ljudi.
Bon.hr: “Možete li pojasniti pojam spear phishinga?”
Tomislav Vuk: “Spear phishing je kada se cilja određena osoba u organizaciji, a komunikacije ne mora nužno ići preko e-maila, može i putem WhatsAppa, SMS-a, Messengera ili druge platforme. Imamo sve veći porast napada putem LinkedIna, gdje se žrtve navodi da preuzmu neke datoteke ili otvore linkove koji im se pošalju.
Važna uloga provjerenih poslovnih informacija
Sve je više deepfake prijevara, naročito audio deepfake snimki, npr. glasovne poruke i voice phishing (vhishing). Ove vrste prijevara sve su uvjerljivije i porast tih napada je u 2025. bio za preko 440%. Imali smo primjere takvih napada na direktore i članove uprava u Hrvatskoj. Postavlja se pitanje: kako napadači dolaze do brojeva tih ljudi? Kao što sam spomenuo, velika je vrijednost u ukradenim poslovnim podacima.”
Bon.hr: “Kakve prijevare bi se mogle dogoditi u kontekstu Fiskalizacije 2.0?”
Tomislav Vuk: “U kontekstu fiskalizacije, ako će se to na bilo koji način moći učiniti, mogli bismo očekivati da se preko nekih posredničkih servisa šalju fiktivni računi. Na primjer, tisuće malih računa na tisuće poduzeća, i to dovoljno malih iznosa da ne dignu uzbunu.
Mnogi posrednici traže autorizaciju, tako da je nemoguće napraviti registraciju koristeći lažne račune. S druge strane, čitali smo priopćenja nekih koji kažu da je to moguće, ali da provjera nije njihova odgovornost ili da se sustav još uvijek testira dok se računi ne počnu fiskalizirati.”
Bon.hr: “Hoće li, dakle, provjerene poslovne informacije i dalje imati važnu ulogu u povećanju sigurnosti poslovanja?”
Tomislav Vuk: “Fiskalizacija 2.0 bi mogla povećati ulogu provjerenih poslovnih informacija zato što potiče digitalizaciju, a iz nje proizlazi i potreba informiranošću.
U kontekstu sigurnosti, priča se o tome tko će imati pristup poslovnim podacima koji će prolaziti preko posrednika, konkretno govorimo o podacima koji su poslovna tajna. Primjerice, tko s kim posluje, koliko naplaćuje usluge, koje su odgode ili načini plaćanja za određene klijente te što ako ti podaci procure. To je ono što brine mnoge poduzetnike.
Ali isto tako će si mnogi vlasnici poduzeća postaviti pitanje: koji podaci o poduzeću su javno dostupni i nisu tajna? Što oni govore o nama i kako se na temelju njih može donositi neka odluka?”
Kako se zaštititi kod uvođenja Fiskalizacije 2.0
Bon.hr: “Na kraju, što biste konkretno savjetovali poduzetnicima, kako se zaštititi vezano uz Fiskalizaciju 2.0?”
Tomislav Vuk: “Konkretno, sažeto bih to u sljedeće točke:
1. Uvedite multifaktorsku autentifikaciju. I to ne samo kod pristupa vašem informacijskom posredniku, već i kod pristupa svim poslovnim alatima koji koriste povjerljive ili osobne podatke.
2. Provjerite koje sigurnosne metode koristi vaš računovodstveni servis. Oni pristupaju vašim poslovnim podacima i podacima vašeg posrednika te je izuzetno važno da oni ne postanu slaba točka.
3. Koristite jedinstvenu email adresu ili barem jedinstvenu lozinku za spajanje kod informacijskog posrednika. Ako koristite jednu lozinku za sve, onda će napadač, ako je sazna/provali, koristiti password spraying napade (danas automatizirani umjetnom inteligencijom) i odmah tražiti gdje je još moguć pristup s istim podacima.
4. Provjerite koje sigurnosne mjere provodi vaš informacijski posrednik, je li obveznik regulativa (DORA, ZKS/NIS2) ili ima ISO 27001:2022 certifikat. Ako provodi npr. penetracijsko testiranja i redovito objavljuje sigurnosna ažuriranja, veća je vjerojatnost boljih sigurnosnih standarda. Isto vrijedi i za obveznike regulativa i subjekte koji su ISO certificirani, veća je vjerojatnost da provode mjere koje drastično smanjuju sigurnosne rizike.
5. Osvijestite svoje zaposlenike o rizicima i napadima. Ljudski faktor uzrok je proboja u preko 92 % slučajeva. Preporučuje se redovita obuka zaposlenika i testiranje njihovog prepoznavanja rizika.
6. Provjeravajte prije nego platite. Ustanovite korake koji će pomoći da svako plaćanje bude temeljito provjereno prije izvršenja. Tako možete izbjeći plaćanje fiktivnih računa ili likvidaturu računa gdje usluga nije isporučena (kao što je dosad bio slučaj kod raznih “poslovnih registara”).”
Bon.hr: “Hvala Vam na razgovoru! Nadamo se da će naši poduzetnici nakon ovoga barem postaviti snažnu, jedinstvenu lozinku računa kod svog informacijskog posrednika!”