会计师网络安全指南

5 种简单的方法来最大程度地提高安全性并降低风险

对于会计安全而言，“一盎司预防抵得上一磅治疗”的陈词滥调从未像现在这样真实。可以问一下德勤会计师事务所 (Deloitte Touche Tohmatsu Ltd.) 的安全专业人员，他们还在 9 月下旬遭遇的入侵中挣扎，波及的范围仍然未知。入侵的黑客能够访问德勤的 Microsoft Entra ID (Azure) 云，因为该帐户仅有一个弱密码保护，并且未使用两步验证。

会计师最大程度提高网络安全性可以采取的简单措施

会计电脑系统充满了攻击者所贪图的信息。幸运的是，通过一些简单的措施即可防止绝大多数攻击发生。请遵循本指南，通过密码管理程序和安全数字保管库来轻松防止类似的数据泄露。您的客户将非常感激您！

1 实施严格的密码策略

虽然大多数商业会计软件产品的设计都相当安全，但规范对这些系统的安全访问落在用户手中，并成为最薄弱的安全环节。至关重要的是，所有包含安全数据的内容都必须通过强密码进行保护。密码管理程序，诸如 Keeper 领先的密码管理程序和数字保管库，可以自动创建高强度的随机密码，使其几乎不可能被破解。

密码管理程序还允许管理员为员工分配复杂的密码，但员工无法查看密码的字符。然后，员工可以登录 Web 服务，而不会试图将密码写下来或与其他员工共享。此外，如果员工离职，只需删除或更改密码记录即可。

2 提高您的文档安全性

与大多数行业一样，会计师事务所也已将其文档移至网上，以提高速度、效率和便利性。不同之处在于会计师知悉高度敏感的客户数据。通常，包含安全数据的文档将以未受保护的简单文本文件下载并存储在本地。它们也通过电子邮件在内部或与客户共享，这是出了名的不安全方式。综合起来，这些做法使敏感数据敞开大门让黑客窃取。

更安全的方法是在 Keeper 的加密保管库范围内共享文件。在内部或与外部客户共享安全信息时，将文件放在安全数字保管库中，并与拥有免费 Keeper 帐户的任何人共享加密记录。

3 将安全措施扩展到员工自有设备

随着 BYOD（自带设备）政策的兴起以及智能手机和平板电脑对企业的渗透，会计师事务所必须确保员工的移动设备使用不会削弱其网络安全态势。虽然非常方便，但如果没有正确的安全预防措施，员工自有设备可能成为客户数据的麻烦通道。这是一个日益严重的问题，正如波耐蒙研究所 2018 年中小企业网络安全状况报告所述，50％的小企业数据可以通过智能手机访问。

除非有两步验证的保护，否则会计师事务所绝不应在移动设备上访问或托管敏感信息。为了方便，许多人使用简单的 PIN 码、模式匹配或生物识别保护。研究表明，人或视频观察可以猜测出 PIN 码和模式，甚至人脸和指纹识别系统也无法提供绝对的保护。至少需要结合两种措施才能适当地保护移动设备。Keeper DNA^® 是作为增强的两步验证而开发的，以增加必要的设备安全性，并嵌入到所有 Keeper 移动应用中。

有关使用 Keeper 密码管理程序和安全数字保管库的更多信息

4 提高您的文档安全性

电子邮件是一个主要的漏洞点。如前所述，会计师不应使用电子邮件向客户发送申报表或其他文件，而应在安全的加密保管库内共享。同样重要的是，应确保您办公室的工作人员对网络钓鱼攻击（特别是针对特定个人的鱼叉式网络钓鱼）保持高度警惕。会计师常因其所掌握信息的价值而成为主要目标。精明的鱼叉式钓鱼者非常善于欺骗，他们的电子邮件几乎无法被发现有问题。务必让同事仔细查看原始电子邮件地址，不要轻易点击链接，除非他们确定链接的指向。

通过将所有员工的登录凭据存储在密码管理程序中，员工将更不可能陷入网络钓鱼诈骗。他们将习惯只使用 URL 和隐藏的密码登录。当员工从未知道实际的密码值时，他们就不会试图将其输入钓鱼网站或电子邮件中。

5 远程、智能地工作

远程工作在所有行业急剧地增加。无论是在家工作、出差还是在途中查收电子邮件，预期员工能够在任何地点继续工作。虽然随时随地工作的能力提供了更大的灵活性，但也增加了数据泄露的机会。

会计师绝不应使用公共 Wi-Fi 服务来访问或交流敏感信息。黑客可以轻松地利用公共数据流并拦截以纯文本格式交换的数据。如果您计划使用公共电脑，请购买 VPN 软件进行端到端加密，或确保交换的所有数据都位于加密保管库中。

黑客以会计专业人员为目标的信息有哪些？

会计师在黑客社区中占有特殊的 C 位。他们知悉被盗数据黑暗网络出高价的一类信息。这使他们成为各种网络窃贼的主要目标。他们也特别容易受到攻击造成的损害。客户信任他们的会计师作为高度敏感信息的管家。泄露可能对会计师事务所的声誉造毁灭性打击。

会计电脑系统充满了攻击者所贪图的信息，包括：

客户身份证号

网络犯罪分子可以利用这个信息来解锁大量欺诈和身份盗窃机会。其中包括使用被盗身份申请信用卡，以及通过社会工程学危害银行和医疗帐户。一旦攻击者获得了身份证号，他们就已经完成了破坏客户生活目标的一半。

地址、电话号码和出生日期

这些都是 1040 表格上的标准字段，是攻击者创建虚构信用帐户和劫持现有信用帐户所需的其他信息。

配偶和子女的姓名、就业地点和年收入

在身份欺诈中也很有用，配偶和街道地址名称可以用来通过验证问题等安全障碍。与上述其他私人信息一起，攻击者可能会成功地通过与客户的代表交谈，并获得金融帐户的访问权限。

健康记录

1099-HC 表格和医疗收据提供了黑客可用于保险或处方欺诈的大量信息。事实上，健康记录目前在被盗信息交换中的价格最高。

雇主信息

可以访问组织财务部门的员工识别号、工资单信息和联系人姓名的犯罪分子可能会提交欺诈性费用报告、发票和保险索赔。

财务记录

客户提供给其会计师的年终税务财务文件通常包含帐号。纳税人还经常会共享包含信用卡信息的收据。这些可能会被用于支票和信用卡欺诈，或通过社会工程访问帐户。

电子邮件地址

有了银行帐户和电子邮件地址，黑客可以通过简单的“忘记密码”流程劫持网上银行和股票帐户。电子邮件地址也可用于行骗，使罪犯能够向其他人发送看起来像真的邮件，其似乎来自合法的发件人。