Αυθεντικοποίηση δύο παραγόντων: οδηγός για τη λογιστική

Γιατί η αυθεντικοποίηση δύο παραγόντων είναι απαραίτητη στη λογιστική

Τα γραφεία λογιστικής ασχολούνται καθημερινά με εξαιρετικά εμπιστευτικά οικονομικά δεδομένα: φύλλα δεδομένων φόρων, ισολογισμούς, δελτία μισθοδοσίας, τραπεζικές λεπτομέρειες εκατοντάδων εταιρειών πελατών. Το 2025, σύμφωνα με την ετήσια έκθεση του ANSSI, οι επιθέσεις phishing που στοχεύουν τις ρυθμιζόμενες επαγγέλματα αυξήθηκαν κατά 37% σε ένα χρόνο. Αντιμέτωποι με αυτήν την απειλή, η αυθεντικοποίηση δύο παραγόντων (2FA) — επίσης ονομάζεται αυθεντικοποίηση πολλαπλών παραγόντων (MFA) — αποτελεί την πρώτη γραμμή της συνιστώμενης τεχνικής άμυνας.

Η αυθεντικοποίηση δύο παραγόντων βασίζεται σε μια απλή αρχή: για να έχει πρόσβαση ο χρήστης σε ένα σύστημα, πρέπει να αποδείξει την ταυτότητά του μέσω δύο διακριτών στοιχείων. Το πρώτο είναι συνήθως «κάτι που γνωρίζει» (έναν κωδικό πρόσβασης), το δεύτερο είναι «κάτι που κατέχει» (ένα smartphone, ένα φυσικό κλειδί) ή «κάτι που είναι» (βιομετρικά δεδομένα). Αυτός ο μηχανισμός καθιστά σχεδόν αδύνατες τις επιθέσεις μέσω κλοπής κωδικού πρόσβασης μόνο, οι οποίες εξακολουθούν να αντιπροσωπεύουν το 81% των παραβιάσεων δεδομένων σύμφωνα με την έκθεση Verizon DBIR 2024.

Για τους λογιστές, η συμμόρφωση με τον κανονισμό eIDAS και τις απαιτήσεις για ισχυρή ταυτοποίηση δεν είναι πλέον επιλογή: είναι κανονιστική και ηθική ανάγκη. Αυτό το άρθρο σας εξηγεί, βήμα προς βήμα, πώς να ρυθμίσετε τη 2FA στο γραφείο σας, ποια εργαλεία να επιλέξετε και πώς να συνοδεύσετε τους συνεργάτες σας σε αυτή τη μετάβαση.

---

Μέθοδοι αυθεντικοποίησης δύο παραγόντων κατάλληλες για τον λογιστικό τομέα

Εφαρμογές αυθεντικοποίησης (TOTP)

Η πιο διαδεδομένη μέθοδος στα λογιστικά γραφεία είναι η χρήση μιας εφαρμογής που δημιουργεί χρονικούς κωδικούς (TOTP — Time-based One-Time Password). Λύσεις όπως Google Authenticator, Microsoft Authenticator ή Authy δημιουργούν έναν κωδικό 6 ψηφίων που ανανεώνεται κάθε 30 δευτερόλεπτα. Αυτός ο κωδικός συνδέεται με ένα κοινό μυστικό που αποθηκεύεται στην εφαρμογή κατά τη φάση της εγγραφής (σάρωση ενός QR κώδικα).

Πλεονεκτήματα για τα γραφεία: ανάπτυξη χωρίς πρόσθετο κόστος, λειτουργεί χωρίς σύνδεση, συμβατή με σχεδόν όλα τα λογιστικά λογισμικά (Sage, Cegid, ACD, MyUnisoft). Μειονέκτημα: αν ο συνεργάτης χάσει το τηλέφωνό του, η διαδικασία ανάκτησης πρέπει να αναμένεται (κωδικοί αντιγράφων ασφαλείας που θα διατηρηθούν σε ασφαλές μέρος).

Φυσικά κλειδιά ασφάλειας (FIDO2/WebAuthn)

Για τα γραφεία που διαχειρίζονται μεγάλους όγκους ευαίσθητων δεδομένων ή υπόκεινται σε συχνούς ελέγχους, τα φυσικά κλειδιά ασφάλειας (τύπου YubiKey ή Feitian) προσφέρουν το υψηλότερο επίπεδο προστασίας. Βασισμένα στα πρότυπα FIDO2 και WebAuthn, είναι ανθεκτικά στο phishing κατά σχεδιασμό: το κλειδί επαληθεύει κρυπτογραφικά τον τομέα του ιστότοπου πριν να πραγματοποιήσει αυθεντικοποίηση, το οποίο ουδετεροποιεί τις επιθέσεις τύπου «man-in-the-middle».

Όλο και περισσότερες φορολογικές πύλες και πλατφόρμες υποχρεωτικής κατάθεσης (DGFiP, infogreffe) τείνουν να αποδέχονται αυτά τα πρότυπα. Ένα γραφείο που διαχειρίζεται περίπου εκατό εντολές μπορεί να αποσβέσει την αγορά κλειδιών (περίπου 50-80 € ανά μονάδα) σε λίγες εβδομάδες χάρη στη μείωση του χρόνου διαχείρισης συμβάντων ασφάλειας.

SMS OTP: να αποφευχθεί για ευαίσθητα δεδομένα

Αν και οι κωδικοί που αποστέλλονται μέσω SMS παραμένουν μια επιλογή σε πολλά συστήματα, το NIST των ΗΠΑ (National Institute of Standards and Technology) τα τα ταξινόμησε το 2016 στην κατηγορία των αδύναμων μεθόδων αυθεντικοποίησης. Οι επιθέσεις SIM swapping (δόλιος μεταφορά ενός αριθμού τηλεφώνου σε μια SIM κάρτα που ελέγχεται από έναν επιτιθέμενο) έχουν χτυπήσει αρκετά γαλλικά λογιστικά γραφεία τα τελευταία χρόνια. Για τις προσβάσεις σε φορολογικά δεδομένα ή σε εργαλεία ηλεκτρονικής υπογραφής για νομικά και λογιστικά γραφεία, το SMS OTP θα πρέπει να θεωρείται ως λύση τελευταίας κατάληξης.

---

Πώς να ρυθμίσετε την αυθεντικοποίηση δύο παραγόντων: βήμα προς βήμα

Βήμα 1 — Απογραφή των εφαρμογών και ορισμός του πεδίου

Πριν από κάθε τεχνική ανάπτυξη, δημιουργήστε μια ολοκληρωμένη απογραφή όλων των εφαρμογών που χρησιμοποιούνται στο γραφείο σας:

• Λογιστικά λογισμικά: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Αλληλογραφία και εργαλεία συνεργασίας: Microsoft 365, Google Workspace, Slack
• Εργαλεία διαχείρισης εγγράφων και υπογραφής: πλατφόρμες κατάθεσης, εργαλεία ροής εργασίας
• Αποχωρισμένες προσβάσεις: VPN, RDP, εικονικά γραφεία
• Πύλες πελατών: χώροι ανταλλαγής εγγράφων με πελάτες

Για κάθε εφαρμογή, επαληθεύστε εάν η 2FA είναι διαθέσιμη (ενότητα « Ασφάλεια» των ρυθμίσεων) και ποια μέθοδος υποστηρίζεται (TOTP, FIDO2, SMS). Ταξινομήστε τις εφαρμογές κατά κρισιμότητα ανάλογα με την ευαισθησία των δεδομένων που είναι προσβάσιμα.

Βήμα 2 — Τεχνική ανάπτυξη και εγγραφή συνεργατών

Για το Microsoft 365, η ρύθμιση γίνεται μέσω της πύλης Azure Active Directory (Entra ID). Ενεργοποιήστε τις « Security Defaults» ή, για γραφεία με περισσότερους από 10 συνεργάτες, ρυθμίστε πολιτικές Υπό όρους πρόσβασης (διαθέσιμες από την άδεια Business Premium). Αυτές οι πολιτικές επιτρέπουν να απαιτείται η 2FA μόνο υπό ορισμένες συνθήκες: πρόσβαση από εξωτερικό του γραφείου, σύνδεση από άγνωστη συσκευή, ασυνήθιστη ώρα.

Για τα λογιστικά λογισμικά, η διαδικασία ποικίλλει ανάλογα με τον κατασκευαστή:

• Cegid Loop: ρυθμίσεις ασφάλειας > ενεργοποίηση διπλής αυθεντικοποίησης > δημιουργία QR κωδικών για κάθε χρήστη
• MyUnisoft: διοίκηση > ασφάλεια > ισχυρή αυθεντικοποίηση > επιβολή 2FA για όλα τα προφίλ
• Sage 100 Cloud: επικοινωνία με τον διαχειριστή Sage ή τον αντιπρόσωπό σας για ενεργοποίηση του αρθρώματος MFA

Σχεδιάστε μια περίοδο εγγραφής με κάθε συνεργάτη (15 έως 20 λεπτά ανά άτομο). Διανείμετε σε κάθε χρήστη ένα σύντομο φύλλο με τους κωδικούς ανάκτησης, να διατηρηθεί σε ασφαλές και φυσικό μέρος (θυρίδα του γραφείου, για παράδειγμα).

Βήμα 3 — Πολιτική διαχείρισης και διαδικασίες έκτακτης ανάγκης

Η τεχνική εφαρμογή είναι μόνο το μισό της δουλειάς. Μια τεκμηριωμένη πολιτική ασφάλειας πρέπει να καθορίζει:

• Ποιος μπορεί να απενεργοποιήσει προσωρινά τη 2FA (μόνο ο διαχειριστής συστήματος, ποτέ ο ίδιος ο συνεργάτης)
• Διαδικασία απώλειας συσκευής: άμεσος αποκλεισμός λογαριασμού, ανακατασκευή κωδικών ανάκτησης, επιτηρούμενη ανα-εγγραφή
• Συχνότητα αναθεώρησης: εξάμηνη ελέγχος των προσβάσεων και των μεθόδων αυθεντικοποίησης
• Διαχείριση αναχωρήσεων: άμεση ανάκληση των προσβάσεων και των μυστικών 2FA κατά κάθε αναχώρηση συνεργάτη

Αυτή η πολιτική ενσωματώνεται φυσικά στο σχέδιο συνέχειας δραστηριότητας (PCA) σας και στο μητρώο επεξεργασίας δεδομένων σας σύμφωνα με το GDPR. Η συμβουλή από το κέντρο βοήθειας Certyneo μπορεί να σας παρέχει πρότυπα πολιτικών προσαρμοσμένα σε μικρές και μεσαίες δομές.

---

Ενσωμάτωση της 2FA με εργαλεία ηλεκτρονικής υπογραφής

Η προηγμένη ή καθιερωμένη ηλεκτρονική υπογραφή, όπως ορίζεται στον κανονισμό eIDAS, απαιτεί ισχυρή ταυτοποίηση του υπογράφοντος. Συγκεκριμένα, όταν το γραφείο σας μεταδίδει μια επιστολή εντολής ή ένα συμβόλαιο υπηρεσίας για υπογραφή σε έναν πελάτη, η πλατφόρμα υπογραφής πρέπει να επαληθεύσει την ταυτότητα του υπογράφοντος με ισχυρό τρόπο. Αυτό είναι ακριβώς όπου παρεμβαίνει η 2FA.

Στις πλατφόρμες υπογραφής συμμορφες με eIDAS (επίπεδο προηγμένο ή καθιερωμένο), ο υπογράφων λαμβάνει έναν σύνδεσμο μέσω ηλεκτρονικού ταχυδρομείου, στη συνέχεια πρέπει να επαληθεύσει την ταυτότητά του μέσω ενός δεύτερου καναλιού (SMS, εφαρμογή αυθεντικοποίησης ή καθιερωμένο πιστοποιητικό). Αυτή η διαδικασία δημιουργεί μια χρονικά σημειωμένη και κρυπτογραφικά επαληθεύσιμη ίχνη ελέγχου, η οποία αποτελεί αναμφίβολη απόδειξη σε περίπτωση διαφοράς — ένα κρίσιμο ζήτημα για τους λογιστές που αναλαμβάνουν την εμπορική τους ευθύνη σε κάθε εργασία.

Για να κατανοήσετε τα διαφορετικά επίπεδα υπογραφής και να επιλέξετε αυτό που ταιριάζει στις ροές εγγράφων σας, η ανάγνωση του πλήρους οδηγού της ηλεκτρονικής υπογραφής συνιστάται. Τα γραφεία που χρησιμοποιούν Certyneo επωφελούνται από μια εγγενή ενσωμάτωση της 2FA στη διαδρομή υπογραφής, η οποία μειώνει την τριβή για τον υπογράφοντα διατηρώντας το απαιτούμενο επίπεδο συμμόρφωσης.

Ιδιαίτερη προσοχή πρέπει να δοθεί στις επιστολές εντολής (υποχρεωτικές σύμφωνα με το τεχνικό πρότυπο 2400 του OEC) και στους λογαριασμούς επιθεώρησης: αυτά τα έγγραφα αναλαμβάνουν την προσωπική ευθύνη του επαγγελματία και απαιτούν άψογη ανιχνευσιμότητα αυθεντικοποίησης. Μπορείτε επίσης να χρησιμοποιήσετε ένα γεννήτρια συμβάσεων με AI για να αυτοματοποιήσετε τη δημιουργία αυτών των εγγράφων ενώ ενσωματώνετε από την αρχή τις απαιτήσεις ισχυρής αυθεντικοποίησης.

---

Κατάρτιση και ευαισθητοποίηση συνεργατών: ο ανθρώπινος παράγοντας

Η πιο αυστηρή τεχνική ανάπτυξη είναι αναποτελεσματική εάν οι συνεργάτες δεν κατανοούν τα ζητήματα ή παρακάμπτουν τις συσκευές ασφάλειας. Στη λογιστική, τα τιμ αποτελούνται συχνά από πολύ ποικίλα προφίλ: πρεσβύτεροι συνεταίροι, νεώτεροι συνεργάτες, σταθμοί, διευθυντές γραφείου. Η κατάρτιση πρέπει να προσαρμοστεί σε κάθε προφίλ.

Συνιστώμενο πρόγραμμα ευαισθητοποίησης για ένα γραφείο 5-30 ατόμων:

1. Περίοδος έναρξης (1ώρα): παρουσίαση συγκεκριμένων κινδύνων (παραδείγματα πραγματικών συμβάντων ανώνυμα στον τομέα), ζωντανή επίδειξη της ρύθμισης, ερωτήσεις/απαντήσεις
2. Σύντομα βίντεο εκπαίδευσης (3-5 λεπτά το καθένα): ένα σεμινάριο ανά κρίσιμη εφαρμογή, διαθέσιμο στο intranet του γραφείου
3. Άσκηση phishing προσομοίωσης: αποστολή ενός ψευδούς email phishing σε 3 μήνες από την ανάπτυξη για να μετρήσετε την πραγματική επιφυλακή και να εντοπίσετε συνεργάτες που χρειάζονται πρόσθετη υποστήριξη
4. Ενσωμάτωση στο onboarding: κάθε νέος συνεργάτης ρυθμίζει τη 2FA της την πρώτη του ημέρα, με ένα αφιερωμένο σημείο αναφοράς

Η Τάξη των Λογιστών (OEC) προσφέρει επίσης πόρους κατάρτισης για συνεχή εκπαίδευση για την κυβερνασφάλεια στο πλαίσιο των υποχρεώσεων ετήσιας κατάρτισης (40 ώρες για τους λογιστές που εγγράφονται στο ημερολόγιο). Αυτές οι κατάρτιση μπορεί να αναγνωρισθούν στην προσέγγιση ποιότητας σας εάν το γραφείο σας είναι πιστοποιημένο κατά ISO 9001 ή στοχεύει σε πιστοποίηση κυβερνασφάλειας (ετικέτα ExpertCyber του ANSSI, για παράδειγμα).

Νομικό πλαίσιο που ισχύει για την ισχυρή αυθεντικοποίηση στη λογιστική

Η εφαρμογή της αυθεντικοποίησης δύο παραγόντων σε ένα γραφείο λογιστικής υπάγεται σε ένα πυκνό κανονιστικό πλαίσιο, που αρθρώνεται γύρω από αρκετά θεμελιώδη κείμενα.

Ο Κανονισμός eIDAS n°910/2014 και η αναθεώρησή του eIDAS 2.0 (Κανονισμός ΕΕ 2024/1183) αποτελούν τη βάση αναφοράς για όλα όσα αφορούν την ηλεκτρονική ταυτοποίηση στην Ευρώπη. Το άρθρο 8 ορίζει τρία επίπεδα εξασφάλισης για τα μέσα ηλεκτρονικής ταυτοποίησης: ασθενές, ουσιαστικό και υψηλό. Για τις πράξεις που αναλαμβάνουν την επαγγελματική ευθύνη ενός λογιστή (υπογραφή εκθέσεων, επικύρωση φύλλων δεδομένων φόρων online), το επίπεδο εξασφάλισης «ουσιαστικό» ή «υψηλό» είναι υποχρεωτικό, το οποίο συνεπάγεται υποχρεωτικά αυθεντικοποίηση πολλαπλών παραγόντων.

Το GDPR (Κανονισμός ΕΕ 2016/679), στο άρθρο 32, επιβάλλει στους υπεύθυνους επεξεργασίας να εφαρμόσουν «κατάλληλα τεχνικά και οργανωτικά μέτρα» για να εξασφαλίσουν την ασφάλεια των προσωπικών δεδομένων. Ένα γραφείο λογιστικής επεξεργάζεται ευαίσθητα προσωπικά δεδομένα (οικονομικά δεδομένα, δεδομένα υγείας μέσω δελτίων μισθοδοσίας με αρρώστιες, κλπ.). Η απουσία 2FA στις προσβάσεις στα λογιστικά λογισμικά αποτελεί πολύ πιθανό παραβίαση του άρθρου 32, εκθέτοντας το γραφείο σε κυρώσεις που μπορούν να φτάσουν το 4% του παγκόσμιου ετήσιου κύκλου εργασιών (άρθρο 83 GDPR).

Το Αστικό Δίκαιο, άρθρα 1366 και 1367, ρυθμίζουν την νομική αξία της ηλεκτρονικής υπογραφής. Το άρθρο 1367 διευκρινίζει ότι « η αξιοπιστία μιας διαδικασίας ηλεκτρονικής υπογραφής υποτίθεται, μέχρι ενδεχομένως αποδείξεως του αντιθέτου, όταν χρησιμοποιεί μια καθιερωμένη ηλεκτρονική υπογραφή». Η ισχυρή αυθεντικοποίηση είναι ένα ουσιαστικό συστατικό αυτής της υπόθεσης αξιοπιστίας.

Η οδηγία NIS2 (Οδηγία ΕΕ 2022/2555), που μεταφέρθηκε σε γαλλικό δίκαιο από τον νόμο αριθμός 2024-449 της 21ης Μαΐου 2024 και τα διατάγματα εφαρμογής του, επεκτείνει τις υποχρεώσεις κυβερνασφάλειας σε ένα ευρύ φάσμα οντοτήτων. Αν και τα γραφεία λογιστικής δεν αναφέρον