Kiberdrošība e-rēķinu apritē

Kopš 2025.gada 1.janvāra norēķinos ar valsts un pašvaldības iestādēm rēķini ir jānoformē strukturēta elektroniskā rēķina (e-rēķins) formātā. Savukārt no 2026.gada 1.janvāra šī prasība attieksies arī uz darījumiem ar juridiskām personām. Ņemot vērā, ka e-rēķinu aprite ir digitalizēta un vairumā gadījumu automatizēta, ir būtiski ievērot kiberdrošības labo praksi uzņēmumā arī attiecībā uz e-rēķinu sagatavošanu un apriti. Kā organizēt drošu e-rēķinu apriti?

Vai digitāli izrakstīts rēķins ir e-rēķins?

Ne visi digitāli sagatavoti rēķini ir e-rēķini. Rēķinu var uzskatīt par e-rēķinu, ja tas atbilst Latvijas nacionālajam standartam LVS EN 16931-1:2017 “Elektroniskie rēķini. 1.daļa. Elektronisko rēķinu pamatelementu semantisko datu modelis” un PEPPOL BIS Billing 3.0 tehniskajai specifikācijai. Tādējādi e-rēķins, kas atbilst noteiktajam standartam, ir sagatavots, nosūtīts un saņemts vienotā strukturētā elektroniskā formātā, piemēram, XML. E-rēķina XML formāta datne nodrošina, ka e-rēķins ir mašīnlasāms dokuments un to ir iespējams automātiski apstrādāt gan Latvijā, gan arī citās valstīts, kas izmanto PEPPOL standartu.

Būtiski atcerēties, ka rēķini, kas ir sagatavoti citos digitālos formātos, piemēram, PDF, JPEG, PNG, DOC, DOCX vai XLSX nav e-rēķini, jo tie nesatur automātiski lasāmus strukturētus datus. Protams, lietotāji papildus XML formātam var sagatavot un nosūtīt rēķinu ierastajā PDF formātā, kas ir lietotājam lasāms. Tomēr šis PDF netiks uzskatīts par e-rēķinu, arī ja tas ir ģenerēts no e-rēķinu sistēmas. Tādēļ nedrīkst piemirst par XML datnes nosūtīšanu.

E-rēķinu aprites sistēmu drošība

Jebkurš komersants var brīvi izvēlēties tam vispiemērotāko e-rēķinu sagatavošanas un aprites kanālu, atbilstoši tā darba specifikai un apjomam. E-rēķinu aprite ir decentralizēta un uzņēmumi var izvēlēties vienu no e-rēķinu aprites kanāliem:

• bezmaksas valsts piegādes risinājums (e-adrese) – autorizēta piekļuve portālā Latvija.gov.lv, kas nodrošina saziņu ar valsts un pašvaldības iestādēm;
• PEPPOL pakalpojumu sniedzēji un e-rēķinu operatori (maksas pakalpojums);
• individuāls risinājums – vienošanās starp pusēm par izvēlēto aprites kanālu (piemēram, grāmatvedības programmatūras risinājumi, XML datņu apmaiņa e-pastā).

Katram no e-rēķinu aprites kanāliem ir savas priekšrocības ne tikai attiecībā uz lietošanas funkcionalitāti, bet arī uz drošības apsvērumiem. Neatkarīgi no izvēlētā e-rēķinu aprites kanāla, būtiski ir nodrošināt, ka uzņēmumā tiek piemērota vispārēja kiberdrošības labā prakse un sekots līdzi uz to attiecināmajām kiberdrošības prasībām.

Pirms e-rēķinu aprites kanāla izvēles un e-rēķinu sistēmas izveidošanas, ja tāda vēl nav ieviesta, katram uzņēmumam nepieciešams izvērtēt esošās informāciju tehnoloģiju (IT) sistēmas uzņēmumā – izpētīt programmatūras, iegādātās licences un to piedāvātās iespējas, kāds ir programmatūru lietotāju skaits un rēķinu apjoms, kā arī kādas ar IT drošību saistītas prasības ir attiecināmas uz uzņēmumu. Šāds IT audits palīdzēs saprast, kāds būtu vispiemērotākais e-rēķinu aprites kanāls konkrētā uzņēmumā un arī izvērtēt, vai nepastāv kādas ievainojamības, kuras varētu izmantot ļaunprātīgi kibernoziedznieki, kas varētu arī negatīvi ietekmēt e-rēķinu apriti.

Pirms e-rēķinu aprites sistēmas izvēles būtu vēlams veikt arī IT sistēmu auditu tām sistēmām, kas nodrošina e-rēķinu sagatavošanu un nosūtīšanu.

E-adrese

E-adresē pieejamās e-rēķinu veidlapas izmantošana nodrošina drošu vidi rēķinu sagatavošanai un nosūtīšanai. Turklāt e-adrese ļauj identificēt e-rēķina sūtītāju un aizsargā e-rēķinā iekļauto informāciju, tādējādi šāds aprites kanāls samazina krāpniecības riskus. Tomēr šajā rīkā šobrīd ir ierobežots informācijas apjoms, ko var norādīt, līdz ar to tas ierobežo lietošanas iespējas, lai gan ir iespējams e-adresē sagatavotos XML rēķinus lejupielādēt uz ierīces. Šo ierobežojumu dēļ šis risinājums pagaidām vairāk ir piemērots uzņēmumiem ar mazu rēķinu apjomu rēķinu nosūtīšanai valsts un pašvaldību iestādēm.

E-rēķinu operatori

E-rēķinu operatoru izmantotie pakalpojumi, kas balstīti uz PEPPOL tīklu, ir uzskatāmi par drošu rēķinu aprites kanālu, jo PEPPOL tīkla operatoriem ir jāievēro kiberdrošības prasības un jānodrošina datu drošība, integritāte un pieejamība. Ja tiek izmantotas kādas no pieejamām grāmatvedības programmatūrām, ļoti būtiski ir sekot līdzi, lai tiek izmantotas jaunākās versijas un veikti regulāri atjauninājumi. Turklāt jāpievērš uzmanība datu glabāšanas niansēm – vai ar e-rēķinu saistīti dati tiek glabāti lokāli uz uzņēmuma servera, vai arī izmantojot mākoņa risinājumus.

E-pasti

Lai gan ir pieejami dažādi automatizēti risinājumi, e-rēķinu nosūtīšana sadarbības partneriem (uz kuriem neattiecas obligātā prasība nosūtīt uz e-adresi) e-pastā vēl joprojām būs pieejama. Tomēr jāņem vērā, ka informācijas aprite ārpus automatizētiem rīkiem rada papildu riskus gan kiberuzbrukumiem, gan arī krāpniecībai. Tādēļ papildus tehniskajiem risinājumiem, kas nodrošina drošu vidi uzņēmuma sistēmās, būtiski ir saglabāt modrību un īstenot regulāras darbinieku mācības, lai tie spētu atpazīt aizdomīgus e-pasta sūtījumus, ja XML datņu apmaiņa notiek e-pasta saziņā.

Kiberdrošības labā prakse

Saskaņā ar Nacionālās kiberdrošības likumu daļa Latvijas uzņēmumu ir pienākums ievērot ar likumu noteiktās minimālās kiberdrošības prasības (piemēram, organizēt kiberdrošības pārvaldības procesus, ievērot kiberhigiēnu, izvērtēt konfidencialitātes, integritātes riskus, kā arī īstenot regulāras darbinieku mācības). Šīs prasības var tikt piemērotas arī e-rēķinu pakalpojumu sniedzējiem, ja tie kvalificējas kā Nacionālās kiberdrošības likuma subjekti.

Ņemot vērā, ka pēdējo gadu laikā ir strauji audzis kiberuzbrukumu skaits un paplašinājusies kiberrisku ietekme, kiberdrošībai būtu jābūt jebkura uzņēmuma prioritātei. Tādēļ arī e-rēķinu apritē jebkuram uzņēmumam ir būtiski ievērot kiberdrošības labo praksi, neatkarīgi, vai uzņēmumam ir pienākums ievērot ar likumu noteiktās prasības attiecībā uz kiberdrošības nosacījumiem.

Papildus minētajam IT esošo sistēmu auditam pirms e-rēķinu aprites sistēmas izvēles līdzīgu IT sistēmu auditu būtu vēlams regulāri veikt arī tām sistēmām, kas nodrošina e-rēķinu sagatavošanu un nosūtīšanu. Piemēram, vai izvēlētais operators, pakalpojuma sniedzējs nodrošina datu integritāti, šifrēšanu, drošu glabāšanu un nosūtīšanu, un rezerves kopiju sagatavošanu. Gadījumā, ja dati tiek glabāti lokāli uzņēmumā serverī, svarīgi pārskatīt drošības aspektus arī iekšējās sistēmās, kas ir sasaistītas ar e-rēķinu sagatavošanas programmām. Arī uz e-rēķinu lietošanu var attiecināt vispārējos kiberdrošības labās prakses principus. Svarīgi, ka šie principi tiek ievēroti sistemātiski un tie būtu jāiekļauj uzņēmuma kiberdrošības pārvaldības principos un dokumentācijā.

Viens no izplatītākajiem kiberdrošības riskiem ir neregulāra IT sistēmu atjaunošana, nedrošu paroļu atkārtota izmantošana un neregulāras darbinieku mācības par kiberriskiem. Tādēļ svarīgi, ka uzņēmuma sistēmu, tostarp dažādu programmatūru, ugunsmūra atjauninājumi ir iestatīti uz automātisku atjaunojuma lejupielādi un uzstādīšanu. Tāpat regulāri jāpārbauda, ka visas programmatūras ir atjauninātas un nav radušās kādas sistēmu ievainojamības. Līdzīga regularitāte ir nepieciešama arī drošu paroļu un divu faktoru autentifikācijas lietošanai. Šāda labā prakse ir daļa no darbinieku ikdienas paradumu kopuma, kas kopā ar labu izpratni par iespējamiem riskiem un aizdomīgiem e-pasta ziņojumiem un lejupielāžu ierobežojumu no nepārbaudītām interneta vietnēm var mazināt kiberriskus uzņēmumā.

Jebkura ievainojamība IT sistēmās var ietekmēt arī e-rēķinu apriti. Piemēram, neatjaunots ugunsmūris vai novecojusi antivīrusa programma nepiefiksē ieviesušos ļaunatūru uz ierīces, kas var negatīvi ietekmēt arī e-rēķina XML datni, kas tiek saņemta vai pārsūtīta, un rezultātā tā var radīt negatīvas sekas visā IT sistēmā kopumā. Tādēļ regulāra IT sistēmu pārraudzība un kiberhigiēna uzņēmumā mazinās riskus arī e-rēķinu aprites drošībā.

Tātad drošai e-rēķinu apritei nepieciešams:

• pārskatīt un atjaunināt uzņēmuma iekšējās IT un datu drošības politikas;
• uzturēt elektronisko ierīču lietojumprogrammatūras un veikt regulāri nepieciešamos atjauninājumus, īpaši pievēršot uzmanību grāmatvedības programmatūrām;
• uzturēt darba kārtībā DNS ugunsmūri;
• lietot divu faktoru autentifikāciju, kur iespējams;
• pievērst uzmanību e-rēķinu sūtītājiem, ja rēķins saņemts e-pastā;
• regulāri veidot datu kopijas un glabāt tās citā serverī;
• regulāri veikt paroļu atjaunošanu;
• apmācīt darbiniekus par potenciāliem kiberdrošības riskiem – spēt atpazīt un ziņot;
• pārskatīt sadarbības līgumus ar pakalpojuma sniedzējiem, kas nodrošina ar e-rēķinu saistītus pakalpojumus;
• uzturēt dialogu ar pakalpojuma sniedzējiem par IT drošības risinājumiem un datu apstrādi.

Publikācija: ifinanses.lv