Двуфакторна аутентификация: ръководство за счетоводството

Защо двуфакторната аутентификация е незаменима в счетоводната експертиза

Счетоводните кантори обработват ежедневно висока конфиденциални финансови данни: данъчни приложения, финансови отчети, платежни листи, банкови реквизити на стотици клиентски компании. През 2025 г., според годишния доклад на ANSSI, атаките чрез фишинг, насочени към регулирани професии, се увеличиха с 37% за една година. В лицето на тази заплаха, двуфакторната аутентификация (2FA) — наричана също многофакторна аутентификация (MFA) — представлява първата препоръчана техническа защитна линия.

Двуфакторната аутентификация се основава на прост принцип: за достъп до система, потребителят трябва да докаже своята идентичност чрез два отделни елемента. Първият е обикновено „нещо, което знаеш" (парола), вторият е „нещо, което притежаваш" (смартфон, физически ключ) или „нещо, което си" (биометрични данни). Този механизъм прави почти невъзможни атаките чрез кража на парола сама по себе си, което все още представлява 81% от нарушенията на данни според доклада Verizon DBIR 2024.

За счетоводните експерти, привеждането в съответствие с разпоредбата eIDAS и нейните изисквания за силна идентификация вече не е опция: это е нормативна и етична необходимост. Тази статия ви обяснява, стъпка по стъпка, как да конфигурирате 2FA във вашия кантор, какви инструменти да изберете и как да придружите своите сътрудници в този преход.

---

Методите на двуфакторна аутентификация, адаптирани за счетоводния сектор

Приложения за аутентификация (TOTP)

Най-разпространеният метод в счетоводните кантори е използването на приложение, което генерира времеви кодове (TOTP — Time-based One-Time Password). Решения като Google Authenticator, Microsoft Authenticator или Authy генерират 6-цифров код, обновяван всеки 30 секунди. Този код е свързан със споделена тайна, съхранена в приложението по време на фазата на регистрация (сканиране на QR код).

Предимства за кантори: развертване без допълнителни разходи, работи без интернет, съвместимо с почти всички счетоводни софтуери (Sage, Cegid, ACD, MyUnisoft). Недостатък: ако сътрудникът загуби своя телефон, процедурата за възстановяване трябва да бъде предварително планирана (кодове за възстановяване, които се пазят на безопасно място).

Физически ключове за безопасност (FIDO2/WebAuthn)

За кантори, обработващи голяма количество чувствителни данни или подлежащи на чести одити, физическите ключове за безопасност (тип YubiKey или Feitian) предлагат най-високото ниво на защита. Базирани на стандартите FIDO2 и WebAuthn, те са устойчиви на фишинг по конструкция: ключът криптографски проверява домена на сайта, преди да се аутентифицира, което неутрализира атаките от тип „човек-в-средата".

Все повече фискални портали и платформи за задължително депозиране (DGFiP, infogreffe) се стремят да приемат тези стандарти. Кантор, управляващ около сто пълномощия, може да окупи покупката на ключове (около 50-80 € за единица) в рамките на няколко седмици благодарение на намаляването на времето за управление на инциденти от безопасност.

SMS OTP: да се избягват за чувствителни данни

Въпреки че кодовете, изпратени по SMS, остават опция в много системи, американският NIST (National Institute of Standards and Technology) ги преквалифицира през 2016 г. от категорията на силните методи на аутентификация. Атаките чрез SIM swapping (измама преводи на телефонен номер към SIM карта, контролирана от нападател) засегнаха няколко френски счетоводни кантора през последните години. За достъп до данни по фискални въпроси или до инструменти за електронен подпис за юридически и счетоводни кантори, SMS OTP трябва да се разглежда само като решение на последната инстанция.

---

Как да конфигурирате двуфакторна аутентификация: стъпка по стъпка ръководство

Стъпка 1 — Инвентар на приложенията и дефиниране на обхвата

Преди всяко техническо развертване, направете изчерпателен инвентар на всички приложения, които се използват във вашия кантор:

• Счетоводни софтуери: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Имейл и колаборативни инструменти: Microsoft 365, Google Workspace, Slack
• Инструменти за управление на документи и подпис: платформи за депозиране, инструменти за работен процес
• Отдалечени достъпи: VPN, RDP, виртуални офиси
• Портали на клиенти: пространства за обмен на документи с клиентите

За всяко приложение проверете дали е налична 2FA (раздел "Сигурност" на настройките) и кой метод се поддържа (TOTP, FIDO2, SMS). Класифицирайте приложенията по критичност в зависимост от чувствителността на данните, които са достъпни.

Стъпка 2 — Техническо развертване и регистрация на сътрудници

За Microsoft 365 конфигурацията се извършва чрез портала Azure Active Directory (Entra ID). Активирайте "Security Defaults" или, за кантори с повече от 10 сътрудници, конфигурирайте политики за условен достъп (достъпни от лицензата Business Premium нагоре). Тези политики позволяват 2FA да се изисква само при определени условия: достъп отвън офиса, вход от неизвестно устройство, необичайно време на деня.

За счетоводните софтуери процедурата варира в зависимост от издателя:

• Cegid Loop: параметри за сигурност > активиране на двойна аутентификация > генериране на QR кодовете за всеки потребител
• MyUnisoft: администрация > сигурност > силна аутентификация > принудителна 2FA за всички профили
• Sage 100 Cloud: свържете се с администратора на Sage или вашия препродавач, за да активирате модула MFA

Планирайте сесия за регистрация с всеки сътрудник (15-20 минути на човек). Раздайте на всеки потребител информационен лист с неговите кодове за възстановяване, които трябва да се пазят на безопасно и физическо място (сейф на кантората, например).

Стъпка 3 — Политика на управление и процедури за спешни случаи

Техническото внедряване е само половина от работата. Документирана политика за сигурност трябва да уточни:

• Кой може да деактивира временно 2FA (само системният администратор, никога не самия сътрудник)
• Процедура при загуба на устройство: незабавна блокада на акаунта, преиздаване на кодовете за възстановяване, надзирана преregistrация
• Честота на преглед: полугодишен одит на достъпа и методите на аутентификация
• Управление на раздели: незабавно отозване на достъпа и на тайните 2FA при всеки отход на сътрудник

Тази политика се интегрира естествено в вашия план за продължаване на дейност (PCA) и в своя регистър за обработка на данни в смисъла на GDPR. Консултирането на центъра за помощ на Certyneo може да ви осигури модели на политики, адаптирани към малки и средни структури.

---

Интеграция на 2FA с инструменти за електронен подпис

Продвинутият или квалифициран електронен подпис, както е определен от разпоредбата eIDAS, изисква силна идентификация на подписващия. Конкретно, когато вашият кантор предава писмо на задание или договор за услуга за подписване на клиент, платформата за подпис трябва да проверри идентичността на подписващия по надежден начин. Това е точно където влизат в сила 2FA.

В платформите за подпис в съответствие с eIDAS (напреднало или квалифицирано ниво), подписващият получава връзка по имейл, а след това трябва да валидира своята идентичност чрез втори канал (SMS, приложение за аутентификация или квалифициран сертификат). Този процес създава одитен запис с времеви печат и криптографски проверяем, което представлява неоспоримо доказателство в случай на спор — критичен въпрос за счетоводни експерти, които поемат своята отговорност на основата на всяка мисия.

За да разберете различните нива на подпис и да изберете това, което отговаря на вашите документни потоци, препоръчването на пълното ръководство за електронен подпис е препоръчително. Кантори, които използват Certyneo, се възползват от собствена интеграция на 2FA в процеса на подписване, което намалява затруднението за подписващия, поддържайки същевременно нивото на съответствие, което се изисква.

Специално внимание трябва да бъде обърнато на писмата на задание (задължителни според професионалния стандарт 2400 на OEC) и на докладите на комисара на компаниите: тези документи поемат личната отговорност на професионалистите и изискват безупречна проследимост на аутентификацията. Можете дори да използвате генератор на договори чрез AI за автоматизиране на създаването на тези документи, като същевременно интегрирате от самото начало изисквания за силна аутентификация.

---

Обучение и сензибилизиране на сътрудници: човешкият фактор

Най-строгото техническо развертване е неефективно, ако сътрудниците не разбират рисковете или заобикалят мерките за безопасност. В счетоводната експертиза екипите често се состоят от много разнородни профили: старши партньори, млади сътрудници, практиканти, администратора на офисите. Обучението трябва да бъде приспособено към всеки профил.

Препоръчана програма за сензибилизиране за кантор от 5 до 30 човека:

1. Сесия на стартиране (1 час): представяне на конкретните рискове (примери на реални инциденти, анонимизирани в сектора), демонстрация на живо на конфигурацията, въпроси и отговори
2. Кратки видео уроци (3-5 минути всеки): един урок по критично приложение, достъпни в интранета на кантората
3. Симулирано упражнение за фишинг: изпращане на фалшив имейл с фишинг до 3 месеца след развертването, за измерване на реалната бдителност и идентифициране на сътрудници, които нуждаят от допълнителна поддръжка
4. Интеграция в въвеждането: всеки нов сътрудник конфигурира своята 2FA на първия си ден, с посвещен справочник

Орденът на счетоводните експерти (OEC) предлага също ресурси за обучение в областта на кибербезопасността в контекста на задълженията за годишното обучение (40 часа за счетоводни експерти, вписани в таблицата). Тези обучения могат да бъдат оценени в рамките на вашия подход към качеството, ако вашият кантор е сертифициран ISO 9001 или се стреми към сертификат по кибербезопасност (етикет ExpertCyber на ANSSI, например).

Правна рамка, приложима към силната аутентификация в счетоводната експертиза

Внедряването на двуфакторна аутентификация в кантор за счетоводна експертиза се вписва в гъста нормативна рамка, артикулирана около няколко основни текста.

Разпоредбата eIDAS №910/2014 и нейната преработка eIDAS 2.0 (Разпоредба ЕС 2024/1183) представляват основата на справка за всичко, което се отнася до електронна идентификация в Европа. Членът 8 определя три нива на уверяване за средствата за електронна идентификация: слабо, съществено и високо. За дейностите, които поемат отговорност на счетоводния експерт (подпис на докладите, валидиране на данъчни приложения онлайн), нивото на уверяване "съществено" или "високо" е необходимо, което неминуемо предполага многофакторна аутентификация.

GDPR (Разпоредба ЕС 2016/679), в неговия членант 32, налага на отговорните лица за обработка да приложат "подходящи технически и организационни мерки" за гарантиране на сигурността на личните данни. Счетоводния кантор обработва чувствителни лични данни (финансови данни, здравни данни чрез платежни листи със болнични отпуски и т.н.). Липсата на 2FA при достъпа до счетоводни софтуери вероятно представлява нарушение на този членант, изложение кантората на санкции, които могат да достигнат 4% от годишния световен оборот (членант 83 GDPR).

Гражданския кодекс, членове 1366 и 1367, регулира юридическата стойност на електронния подпис. Членант 1367 уточнява, че "надеждността на процедура за електронен подпис се предполага, до противното доказателство, когато тази процедура реализира квалифициран електронен подпис". Силната аутентификация е съществен компонент на това предположение за надеждност.

Директивата NIS2 (Директива ЕС 2022/2555), транспонирана във френския закон чрез закон №2024-449 от 21 май 2024 г. и неговите имплементационни декрети, разширява задълженията за кибербезопасност към широк спектър от субекти. Въпреки че счетоводните кантори не са пряко посочени като съществени субекти, тези, които предоставят цифрови услуги на съществени или важни субекти (здравни заведения, местни органи, предприятия от критична инфраструктура) могат да бъдат подложени на задължения чрез своите договори за оказване на услуги.

Професионалния стандарт 2400 на Ордена на счетоводните експерти налага освен това укрепено задължение за средства по отношение на сигурността на информационните системи за кантори, обработващи законни мисии. ANSSI изрично препоръчва MFA като минимална мярка в своя ръководство "Сигурност на информационните системи за малки и средни предприятия" (издание 2024).

Отговорност на професионалната застраховка: в случай на нарушение на данни на клиентите, вследствие на липса на 2FA, застраховател RCP на кантората може да поиска умишленото нарушение, за да намали или отказ на своята гаранция. Силно се препоръчва запазване на техническата документация за развертване на 2FA като доказателство на внимание.

Сценарии на употреба: 2FA на практика в счетоводните кантори

Сценарий 1 — Счетоводен кантор с интермедиална величина

Кантор, групиращ около петнайсет сътрудници и управляващ около 400 активни мандата, реши да развърне 2FA на всички свои инструменти след инцидент на фишинг, който почти компрометира достъпа до своя софтуер за управление на заплати. Ръководството избра Microsoft Authenticator при Microsoft 365 (имейл, SharePoint, Teams) и приложенията TOTP, собствени на своя облачен счетоводен софтуер.

Развертването беше реализирано в три седмици: една седмица на инвентар и конфигурация, една седмица на регистрация на сътрудници в групи от пет, една седмица на наблюдение и коригиране на проблеми. Резултат: нулеви инциденти на компрометиране на акаунт в следващите 12 месеца, срещу два инцидента в предходната година. Времето на управление на инциденти от безопасност беше намалено с около 70%. Кантор също можа да оправдае към няколко клиента, които са големи сметки (включително малко индустриално предприятие клиент с налагане на политика по безопасност на доставчиците), че неговите системи отговарят на изисквания на MFA.

Сценарий 2 — Кантор, специализиран в одита на малки и средни предприятия

Кантор за комисариат на компаниите, управляващ около шестдесет мандата на законния одит, се сблъска със специфично изискване: неговите клиенти все повече искат доказателство за съответствие на GDPR при подновяване на мисии. Кантор избра да развърне FIDO2 ключове за партньорите (достъп до най-чувствителните папки) и TOTP приложения за старшите сътрудници, поддържайки SMS OTP само за достъпи с малка чувствителност.

Паралелно, кантор интегрира напредналия електронен подпис в своите потоци на докладите на комисариата, със система на силна аутентификация на подписващия. Благодарение на генерирания одит в запис, два потенциални спора с клиенти, оспорващи датата на ефективна доставка на доклад, бяха разрешени в полза на кантората чрез производство на логове за аутентификация с времеви печат. Намаляването на сроковете на подпис на докладите (от средно 5 дни до по-малко от 24 часа) също позволи на потока на подписа да бъде течен и да се подобри касата на кантората с около 15%.

Сценарий 3 — Кантор в фаза на външни растежа

Регионална мрежа на счетоводни кантори, която абсорбира три независими структури в две години, се оказа с голяма хетерогенност на системи: някои абсорбирани кантори нямаше никаква политика на 2FA, други използваше SMS OTP. Групата се възползува от това интегрирани, за да хармонизира единна решение за управление на идентичности (IAM — Identity and Access Management) със задължителна 2FA.

Первоначалния инвестиция (лицензи IAM, обучение, придружение) беше оценена на около 8 000 € за цялата група (около 45 сътрудници). В замяна, намаляването на разходите, свързани с инциденти от безопасност (интервенции на доставчика IT, управление на криза) беше оценена на 15 000-20 000 € през първата година. Групата също можа да договори намаляване на своята премия за кибер застраховка с около 20%, предоставяйки на своя застраховател документацията на развертване на 2FA.

Заключение

Двуфакторната аутентификация вече не е лукс, запазен за големи структури: това е императив за безопасност и съответствие за всеки счетоводен кантор, независимо от неговата величина. Между изисквания на GDPR, препоръки на ANSSI, задължения на eIDAS за електронен подпис и растяща натиск на клиентите за норми на безопасност на техните доставчици, 2FA е станала неотложен стандарт на сектора.

Добрата новина: развертването е днес достъпно, бързо и с малко разходи. Следвайки стъпките, описани в тази статия — инвентар на приложенията, избор на адаптиран метод, регистрация на сътрудници, редакция на документирана политика — вашият кантор може да достигне надежно ниво на сигурност в рамките на няколко седмици.

Certyneo интегрира собствено силна аутентификация в своите потоци на електронен подпис, позволяващи ви да комбинирате съответствие на eIDAS и безопасност на MFA без допълнителна сложност. Откройте наши предложения и цени или свържете се с нашия екип за персонално придружение при приведение на вашия кантор в съответствие.