Руководство по кибербезопасности для бухгалтеров

Клише “предотвратить легче, чем лечить” как нельзя кстати подходит для обеспечения безопасности в бухгалтерской сфере. Спросите хотя бы профессионалов из компании Deloitte Touche Tohmatsu Ltd., потрясенных недавней сентябрьской атакой, масштабы которой все еще неизвестны. Хакеры, избравшие своей мишенью Deloitte, смогли получить доступ к корпоративному облаку Microsoft Entra ID (Azure) просто из-за того, что учетная запись была защищена лишь единственным ненадежным паролем без использования двухфакторной аутентификации.

Простые меры, которые можно принять, чтобы максимально повысить кибербезопасность

Бухгалтерские компьютерные системы содержат массу информации, притягивающей хакеров. К счастью, большинство атака можно предотвратить, приняв несколько простых мер. Следуйте данному руководству, и вы узнаете легкие способы предотвращения взлома данных с помощью менеджера паролей и безопасного цифрового хранилища.

1 Применяйте строгие политики использования паролей

Хотя большинство коммерческого бухгалтерского программного обеспечение рассчитано на обеспечение достаточной безопасности, контролирование безопасного доступа подводит в руках пользователей и становится самым слабым звеном в цепи безопасности. Важно, чтобы всё, что содержит конфиденциальные данные, защищалось надежными паролями. Менеджер паролей, такой как ведущий менеджер паролей и цифровое хранилище Keeper, может автоматически создавать случайным образом надежные пароли, которые практически невозможно взломать.

Менеджер паролей также позволяет администраторам предоставлять сотрудникам сложные пароли, причем так, чтобы сотрудники не видели сами эти пароли. Тогда сотрудник сможет заходить в веб-сервисы, не поддаваясь искушению записать пароль или поделиться им с другим сотрудником. Более того, если сотрудник покинет вашу организацию, вы можете просто удалить или изменить запись с паролем.

2 Повысьте защищенность своих документов

Подобно компаниям в других отраслях, бухгалтерские компании перевели свои документы в цифровой формат с доступом через Интернет в целях повышения скорости, эффективности и удобства работы. Но разница состоит в том, что бухгалтеры имеют дело со строго конфиденциальными клиентскими данными. Зачастую документы, содержащие конфиденциальные данные, загружаются и хранятся локально в виде простых, незащищенных текстовых файлов. Ими также обмениваются внутри организации и с клиентами по электронной почте, что откровенно небезопасно.

Гораздо более безопаснее делиться файлами в пределах зашифрованного хранилища Keeper. Делясь конфиденциальной информацией, будь то внутри организации или с внешним клиентом, поместите файл в безопасное цифровое хранилище и поделитесь зашифрованной записью с кем-либо, кто имеет бесплатную учетную запись Keeper.

3 Распространите меры безопасности на собственные устройства сотрудников

С появлением политик, разрешающим сотрудникам пользоваться собственными устройствами в рабочих целях, и проникновение смартфонов и планшетов в бизнес, бухгалтерские компании должны следить за тем, чтобы использование личных устройств сотрудников не ослабляло кибербезопасность. Хотя и очень удобные, но не обеспеченные надлежащими мерами безопасности, личные устройства сотрудников могут быть проблематичными воротами, открывающими несанкционированный доступ к клиентским данным. И эта проблема растет, как показал отчет The Ponemon Institute’s 2018 State of SMB Cybersecurity, в котором выявлено, что 50% данных малого бизнеса доступно со смартфона.

Бухгалтерским компаниям никогда не следует хранить конфиденциальную информацию на мобильных устройствах или предоставлять с них доступ к ней, если они не защищены двухфакторной аутентификацией. Ради удобства многие люди используют простой ПИН-код, рисунок или биометрическую защиту. Исследование показало, что ПИН-коды и рисунки можно нетрудно подобрать или подсмотреть, и даже системы распознавания лица и отпечатка пальца не гарантируют абсолютной защиты. Как минимум, сочетание двух факторов защиты необходимо для надлежащей защиты мобильного устройства. Система Keeper DNA^® была разработана в целях расширенной двухфакторной аутентификации, обеспечивающей должную безопасность, и внедрена во всех мобильных приложениях Keeper.

Подробнее об использовании менеджера паролей и безопасного цифрового хранилища Keeper

• Начните бесплатный пробный период использования менеджера паролей и безопасного цифрового хранилища Keeper для бизнеса
• Будущее технологии бухгалтерского учета - Инновационные решения в сфере кибербезопасности: SlideShare
• Эксклюзивный исследовательский отчет: Состояние киберпреступности по отношению к малому и среднему бизнесу в 2018 году
• Узнайте, как Keeper уже помог компаниям, предоставляющим финансовые услуги: история успеха

4 Повысьте защищенность своих документов

Электронная почта является значительной уязвимой точкой. Как уже рекомендовалось ранее, бухгалтерам не следует использовать электронную почту для отправки документов клиентам, и вместо этого использовать безопасное шифрованное хранилище для обмена документами. Столь же важно обеспечить, чтобы ваш офисный персонал был начеку в отношении фишинговых атак, особенно в отношении адресного фишинга, нацеленного на конкретных сотрудников. Бухгалтеры избираются главными мишенями из-за ценности информации, находящейся в их распоряжении. Тщательно просчитанный фишинг очень коварен из-за того, что такие письма почти невозможно распознать. Научите сотрудников смотреть на исходные адреса эл. почты и никогда не нажимать ссылки, если нет полной уверенности в них.

При хранении учетных данных сотрудников в менеджере паролей сотрудники с меньшей вероятностью могут попасться на удочку фишинга. У сотрудников войдет в привычку входить только с использованием URL-адресов и скрытых паролей. Когда сотрудники фактически не знают свои пароли, они не могут поддаться искушению ввести пароль на фишинговом сайте или сообщить его в письме.

5 Работая удаленным образом, принимайте должные меры

Доля удаленной работы значительно возросла во всех отраслях. Ожидается, что сотрудники способны продолжать работать независимо от своего местонахождения, будь то дома, в пути или в командировке. Хотя способность работать в пути повышает гибкость, она также порождает возможности взлома данных.

Бухгалтерам никогда не следует использовать публичные услуги Wi-Fi для доступа к конфиденциальной информации или обмена ею. Хакеры могут легко вклиниться в открытые потоки данных и перехватить данные, передаваемые в простом текстовом формате. Если вы планируете использовать публичный компьютер, инвестируйте в программное обеспечение VPN в целях сквозного шифрования или работайте так, чтобы все обмениваемые данные оставались в пределах зашифрованного хранилища.

За какой информацией охотятся хакеры, выбирая бухгалтеров в качестве своей мишени?

Бухгалтеры занимают особое почетное место в хакерском сообществе. Ведь они причастны к информации, которая больше всего ценится на черном рынке украденных данных. Это делает бухгалтеров первичной целью киберворов всех мастей. Бухгалтерские компании также особенно уязвимы к ущербу от хакерских атак. Ведь клиенты доверяют им крайне важную информацию. Взлом может просто погубить репутацию бухгалтерской компании.

Бухгалтерские компьютерные системы содержат массу информации, притягивающей хакеров, включая:

Номера социального страхования клиентов

Эта информация открывает перед киберпреступниками массу возможностей подлога и "кражи личности", например, заказ кредитной карты по украденным идентификационным данным и компрометирование банковского счета и медицинской учетной записи посредством социальной инженерии. Как только хакеры получают номер социального страхования, они уже на полпути к своей цели.

Адрес, номер телефона и дата рождения

Эти стандартные поля формы 1040 представляют собой оставшуюся информацию, необходимую хакерам, чтобы создавать фиктивные кредитные счета и похищать существующие.

Имена супругов, детей, место работы и ежегодный доход

Также полезные при подлоге личности, имя супруга или супруги и адрес могут использоваться для прохождения защитных барьеров, таких как контрольные вопросы. Используя эту информацию вместе с другой личной информацией, хакеры могут добираться и до банковских счетов.

Медицинские записи

Формы 1099-HC и медицинские квитанции предоставляют щедрую информацию, которую хакеры могут использовать для мошенничества со страховкой или врачебными рецептами. В действительности, медицинские записи сейчас выше всего котируются среди украденных данных.

Информация по месту работы

Преступники получившие доступ к табельным номерами сотрудников, информации из платежных ведомостей и контактным именам в бухгалтерии организации, могут подделывать отчеты о расходах, счета-фактуры и страховые требования.

Финансовые записи

Финансовые документы по окончании года, которые клиенты передают своим доверенным лицам, обычно содержат номера банковских счетов. Налогоплательщики также обычно предъявляют квитанции, содержащие информацию о кредитных картах. Всё это может быть использовано для мошенничества, связанного с кредитными картами, или для доступа к счетам посредством "социальной инженерии".

Адреса электронной почты

Вооружившись данными о банковском счете и украденной учетной записью электронной почты, хакер способен похитить учетную запись системы онлайн-банкинга, используя простую процедуру восстановления забытого пароля. Адресами электронной почты можно также прикрываться, что дает преступнику возможность отправлять правдоподобно выглядящие мошеннические сообщения, кажущиеся пришедшими от настоящего отправителя.