Przewodnik w zakresie cyber-bezpieczeństwa dla księgowych

Powiedzenie „Lepiej zapobiegać niż leczyć” jest niezwykle trafne w odniesieniu do bezpieczeństwa w sektorze księgowości. Sporo do powiedzenia na ten temat mieliby z pewnością specjaliści pracujący w firmie Deloitte Touche Tohmatsu Ltd., która pod koniec września ucierpiała w wyniku ataku hakerskiego, którego zakres nie jest jeszcze w pełni znany. Hakerzy, którzy zaatakowali Deloitte zdołali uzyskać dostęp do chmury Microsoft Entra ID (Azure) firmy, gdyż to konto było chronione tylko pojedynczym, słabym hasłem i nie stosowano uwierzytelniania dwuskładnikowego.

Proste kroki, które mogą powziąć księgowi, by zwiększyć swoje cyber-bezpieczeństwo

Komputerowe systemy księgowe są pełne informacji pożądanych przez hakerów. Na szczęście zdecydowanej większości ataków można zapobiec, stosując kilka prostych środków. Zastosuj proste sposoby zapobiegania naruszeniom danych poprzez stosowanie menedżera haseł i bezpiecznego sejfu cyfrowego, które opisaliśmy w tym przewodniku. Twoi klienci będą Ci za to wdzięczni.

1 Wprowadź ścisłe zasady pod względem stosowania haseł

Większość komercyjnych programów do księgowania jest zaprojektowanych tak, by były stosunkowo bezpieczne, a kontrola bezpiecznego dostępu do tych systemów jest powierzana użytkownikom i staje się tym samym najsłabszym ogniwem pod względem bezpieczeństwa. Niezwykle istotne jest, by wszystko, co zawiera poufne dane było chronione silnymi hasłami. Menedżer haseł, taki jak menedżer haseł i sejf cyfrowy Keeper może automatycznie tworzyć silne, losowe hasła, praktycznie niemożliwe do złamania przez hakerów.

Menedżer haseł umożliwia administratorom przypisywanie pracownikowi skomplikowanego hasła bez możliwości zobaczenia jego poszczególnych znaków. Tym samym pracownik może logować się do serwisów internetowych bez możliwości zapisania hasła czy udostępniania go innym pracownikom. Dodatkowo w momencie odejścia pracownika z organizacji, można wpis z hasłem w prosty sposób usunąć lub zmienić.

2 Zwiększ bezpieczeństwo swoich dokumentów

Podobnie jak w przypadku firm z innych branż, biura księgowe przenoszą dokumenty do przestrzeni internetowej, kierując się oszczędnością czasu, wydajnością i wygodą. Problem leży w tym, że dane księgowe są bardzo prywatne, a nawet niezwykle poufne. Tymczasem dokumenty zawierające poufne dane są często pobierane i przechowywane lokalnie, tak jak zwykłe, niezabezpieczane pliki. Są również udostępniane wewnętrznie, jak i klientom przy użyciu wiadomości e-mail, które często są niebezpieczne. Wszystkie te praktyki sprawiają, że poufne dane są narażone na kradzież.

Znacznie bezpieczniejszym sposobem jest udostępnianie plików w obrębie zaszyfrowanego sejfu Keeper. Udostępniając poufne informacje wewnętrznie lub klientowi zewnętrznemu, umieść plik w bezpiecznym sejf cyfrowym i udostępnij zaszyfrowany wpis wybranej osobie korzystającej z darmowego konta Keeper.

3 Zwiększ środki bezpieczeństwa na urządzeniach należących do pracowników

Wraz ze wzrostem popularności polityk BYOD, pozwalającym pracownikom pracować na własnych urządzeniach, oraz wprowadzaniem pracy na smartfonach i tabletach, biura księgowe muszą upewnić się, że korzystanie z urządzenia mobilnego pracownika nie wpłynie negatywnie na cyber-bezpieczeństwo. Urządzenia pracowników, choć zwiększają wygodę pracy, bez odpowiednich środków ostrożności mogą stanowić źródło dostępu do danych Twoich klientów. To rosnący problem. Według raportu Cyber-bezpieczeństwo MŚP – stan na 2018 r. przygotowanego przez Instytut Ponemon do 50% danych małych firm można uzyskać dostęp ze smartfonów.

Biuro rachunkowe nigdy nie powinno korzystać z poufnych danych na urządzeniach mobilnych, chyba że są one ochronione przez uwierzytelnianie dwuskładnikowe. Ze względu na wygodę wiele osób korzysta wyłącznie z numeru PIN, symbolu blokady czy zabezpieczenia biometrycznego. Tymczasem badania wykazały, że numery PIN i symbole blokady można łatwo odgadnąć na podstawie obserwacji przez człowieka bądź wideo, a systemy rozpoznawania twarzy i odcisków palców nie zapewniają całkowitej ochrony. Aby w pełni zabezpieczyć urządzenie mobilne, potrzebne jest połączenie minimum dwóch metod. Metoda Keeper DNA^® została stworzona jako zaawansowane uwierzytelnianie dwuskładnikowe, aby umożliwić niezbędne zabezpieczanie urządzeń, i dodana do wszystkich aplikacji mobilnych Keeper.

Więcej informacji na temat korzystania z menedżera haseł i bezpiecznego sejfu cyfrowego Keeper

• Wypróbuj darmową wersję próbną menedżera haseł Keeper i sejfu cyfrowego dla firm
• Przyszłość technologii księgowych – Innowacyjne rozwiązania w zakresie cyber-bezpieczeństwa: SlideShare
• Ekskluzywny raport z badania: Cyber-bezpieczeństwo MŚP w 2018 r.
• Dowiedz się, w jaki sposób aplikacja Keeper pomogła firmom z sektora finansowego w przeszłości: Studium przypadku

4 Zwiększ bezpieczeństwo swoich dokumentów

Wiadomości e-mail to główny słaby punkt w firmach. Księgowi nie powinni wysyłać klientom dokumentów za pośrednictwem poczty e-mail. Lepiej jest udostępniać je przy użyciu bezpiecznego, zaszyfrowanego sejfu. Równie istotne jest upewnienie się, że pracownicy są wyczuleni na próby wyłudzenia informacji poprzez phishing, którego celem mogą stać się poszczególne osoby. Biura księgowe stanowią główny cel ataków ze względu na istotne informacje, które przechowują. Hakerzy stosujący phishing tak skutecznie podszywają się pod innych nadawców wiadomości, że ich e-miale są praktycznie niemożliwe do odróżnienia. Poinformuj swoich współpracowników, jak analizować adresy e-mailowe i uprzedź ich, że nigdy nie powinni używać żadnego łącza, jeśli nie są pewni, gdzie zostaną przekierowani.

Przechowywanie wszystkich danych logowania pracowników w menedżerze haseł sprawi, że pracownicy będą mniej narażeni na działania phishingowe. Wyrobią sobie nawyk logowania wyłącznie przy użyciu URL i ukrytych haseł. Jeśli pracownik nigdy nie znał hasła, nie będzie mógł go wprowadzić na przechwyconej przez hakerów stronie internetowej czy poczcie e-mail.

5 Pracuj zdalnie i mądrze

Praca zdalna stała się niezwykle popularna we wszystkich branżach. Niezależnie od tego, czy pracownicy pracują z domu lub podczas podróży biznesowej, czy sprawdzają pocztę e-mail, będąc w drodze, oczekuje się od nich, że będą pracować niezależnie od swojej lokalizacji. Możliwość pracy zdalnej daje dużą elastyczność, ale jednocześnie stwarza wiele możliwości naruszenia danych.

Księgowi pod żadnym pozorem nie powinni korzystać z publicznych sieci Wi-Fi w celu uzyskania dostępu do poufnych informacji czy udostępniania ich. Hakerzy mogą w prosty sposób uzyskać dostęp do strumieni publicznych danych i przechwycić wymieniane dane w formacie zwykłego tekstu. Jeśli planujesz korzystanie z publicznego komputera, zainwestuj w oprogramowanie VPN zapewniające szyfrowanie wiadomości na całym etapie wysyłania lub upewnij się, że wszystkie wymieniane dane pozostają w zaszyfrowanym sejfie.

Jakich informacji szukają hakerzy w przypadku firm księgowych?

Biura księgowe są postrzegane przez hakerów jako niezwykle cenne źródło danych. Zapewniają dostęp do informacji bardzo wysoko wycenianych pośród skradzionych danych w dark web. W związku z tym stanowią jeden z głównych celów cyber-złodziei. Są też szczególnie narażone na ataki. Klienci ufają swoim księgowym, tak jak pasażerowie stewardesom, i powierzają im swoje najbardziej poufne dane. Z tego powodu wyciek danych może doszczętnie zniszczyć reputację biura księgowego.

Systemy komputerowe do księgowania zawierają mnóstwo informacji poszukiwanych przez hakerów:

Numery dowodów osobistych klientów

Cyber-przestępcy mogą wykorzystywać te informacje do kradzieży tożsamości i powiązanych z nią czynności przestępczych, takich jak: ubieganie się o kartę kredytową w cudzym imieniu, kradzież rachunków bankowych, stosując inżynierię społeczną. Posiadanie numeru dowodu osobistego to już połowa drogi do osiągnięcia celu i utrudnienia życia Twoim klientom.

Adres, numer telefonu i data urodzenia

Wszystkie standardowe pola na formularzu 1040 stanowią pozostałe informacje potrzebne hakerom do stworzenia fikcyjnych rachunków kredytowych i przejęcia istniejących.

Imiona i nazwiska małżonków i dzieci, miejsca zatrudnienia i roczne dochody

Są to informacje wykorzystywane w celu kradzieży tożsamości, ale mogą być stosowane również w celu ominięcia zabezpieczeń, takich jak pytania weryfikacyjne. Wykorzystując te dane w połączeniu z innymi prywatnymi informacjami wymienionymi powyżej, hakerzy mogą uzyskać dostęp do kont finansowych, dzwoniąc na infolinie i przechodząc weryfikację tożsamości.

Dane medyczne

Potwierdzenia ubezpieczenia zdrowotnego 1099-HC i recepty lekarskie zawierają mnóstwo informacji, które mogą zostać wykorzystane przez hakerów w przestępstwach ubezpieczeniowych i nadużyciach recept lekarskich. Obecnie informacje medyczne osiągają najwyższe ceny na rynku wymiany skradzionych danych.

Dane pracowników

Przestępcy mający dostęp do numerów identyfikacyjnych pracowników, ich danych dot. wynagrodzeń i danych kontaktowych w dziale księgowym firmy, mogą przygotowywać sfałszowane raporty kosztowe, faktury i roszczenia ubezpieczeniowe.

Dane finansowe

Dokumenty finansowe wysyłane na koniec roku klientom zazwyczaj zawierają numery rachunków bankowych. Dodatkowo płatnicy podatków regularnie udostępniają potwierdzenia płatności, na których widnieją dane karty kredytowej. Te informacje można wykorzystać do oszust przy użyciu kart kredytowych lub do uzyskania dostępu do kont poprzez inżynierię społeczną.

Adresy e-mail

Posiadając numer rachunku bankowego i adres e-mail, haker może przejąć kontrolę nad bankowością internetową i uzyskać dostęp do kont, wykorzystując prosty sposób odzyskiwania hasła. Przestępcy mogą również podszywać się pod adresy e-mail i wysyłać realistycznie wyglądające wiadomości innym odbiorców, które wyglądają jak pochodzące od bezpiecznego nadawcy.