Kaheosalise autentimise juhend raamatupidamise sektorile

Miks kaheosaline autentimine on raamatupidamisekspertiiside sektori jaoks hädavajalik

Raamatupidamiskantseleid käsitlevad iga päev äärmiselt konfidentsiaalseid finantsteadeid: maksudokumendid, bilansid, palgakaardid, sadade klientettevõtete pangaandmed. Aastal 2025 näitab ANSSI aastaaruanne, et fissingu rünnakud, kes sihikul reguleeritud kutsealadel, kasvasid aasta jooksul 37%. Selle ohuga silmitsi seismine, kaheosaline autentimine (2FA) – tuntud ka kui multifaktoriline autentimine (MFA) – moodustab esimese soovitatud tehnilise kaitsejoone.

Kaheosaline autentimine põhineb lihtsal põhimõttel: süsteemi juurdepääsuks peab kasutaja tõendama oma isikut kahe erineva elemendi kaudu. Esimene on tavaliselt "miski, mida sa tead" (parool), teine on "miski, mida sul on" (nutitelefon, füüsiline võti) või "miski, mis sa oled" (biomeetrilised andmed). See mehhanism muudab peaaegu võimatuks rünnakud, mis tuginevad ainult parooli vargusele, mis moodustavad 81% andmete rikkumistest Verizoni DBIR 2024 aruande järgi.

Raamatupidamisekspertidele on kooskõla eIDAS määrusega ja selle tugeva tuvastamise nõuetega enam valik: see on regulatiivne ja eetiline vajadus. See artikkel selgitab teile samm-sammult, kuidas konfigureerida 2FA oma kantselis, milliseid tööriistu valida ja kuidas juhendada oma koostöötajaid selles üleminekus.

---

Kaheosaline autentimismeetodid, mis sobivad raamatupidamise sektoriga

Autentimisrakendused (TOTP)

Raamatupidamiskantseleis kõige levinum meetod on ajasel põhinevate koode genereeriva rakenduse (TOTP — Time-based One-Time Password) kasutamine. Lahendused nagu Google Authenticator, Microsoft Authenticator või Authy genereerivad 6-kohalise koodi, mis uueneb iga 30 sekundi järel. See kood on seotud salajase võtmega, mis salvestatakse rakendusele registreerimise ajal (QR-koodi skaneerimine).

Kantselite jaoks head omadused: juurutamine ilma täiendavate kuludeta, töötab ilma internetiühenduseta, ühilduv peaaegu kõigi raamatupidamistarkvaraga (Sage, Cegid, ACD, MyUnisoft). Puudus: kui koostöötaja kaotab oma telefoni, peab taastamisprotsess olema ette nähtud (varukoodid tuleb säilitada turvaliselt).

Füüsilised turvavõtmed (FIDO2/WebAuthn)

Kantselite puhul, kus käideldakse suurte koguste tundlikke andmeid või mis on regulaarsete auditite all, pakuvad füüsilised turvavõtmed (nt YubiKey või Feitian) kõrgeima kaitsetaseme. Standarditel FIDO2 ja WebAuthn põhinevad, need on kaitsed fissingu rünnakute vastu kujunduse järgi: võti kontrollib krüptograafiliselt saidi domeeni enne autentimist, neutraliseerides "keskmehe" tüüpi rünnakud.

Üha rohkem maksuhaldusportaale ja kohustuslike esitamise platvormi (DGFiP, infogreffe) aktsepteerivad neid standardeid. Kantselei, mis tegeleb umbes saja mandaadiga, saab võtmete ostust (umbes 50-80 € tükk) aru paar nädalat, tänu turvatsatusalade juhtimisega seotud aja vähenemisele.

SMS OTP: tuleks vältida tundliku teabega

Kuigi SMS-i teel saadetud koodid jäävad paljudes süsteemides valikuks, on USA NIST (National Institute of Standards and Technology) klassifitseerinud need 2016. aastal välja tugev autentimismeetodite kategooriast. SIM-i vahetamise rünnakud (telefoninumbri pettuslik ülekandmine rakendaja juhitavale SIM-kaardile) on hakanud mitut Prantsusmaa raamatupidamiskantselit puudutama. Fiskaalsete andmete või kinnitamise elektronilise allkirjastamise tööriistadele juurdepääsuks peaks SMS OTP käsitlema ainult viimase abinõu valikuna.

---

Kuidas konfigureerida kaheosaline autentimine: samm-sammu juhend

Samm 1 — Rakenduste inventuur ja reguleeritava ala määratlus

Enne igasugust tehnilist juurutamist koostage oma kantselis kasutatavate rakenduste täielik nimekiri:

• Raamatupidamistarkvar: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-posti ja koostööriistad: Microsoft 365, Google Workspace, Slack
• Dokumentide halduse ja allkirjastamise tööriistad: esitamise platvormid, töövoo tööriistad
• Kaugjuurdepääs: VPN, RDP, virtuaalbürood
• Klientide portaalid: dokumentide vahetamise alad klientidega

Iga rakenduse jaoks kontrollige, kas 2FA on saadaval (seadete osa "Turvalisus") ja millist meetodit toetab (TOTP, FIDO2, SMS). Klassifitseerige rakendused kriitilisuse järgi juurdepääsuga seotud andmete tundlikkuse järgi.

Samm 2 — Tehniline juurutamine ja koostöötajate registreerimine

Microsoft 365 jaoks toimub konfigureerimine Azure Active Directory portaali (Entra ID) kaudu. Aktiveerige "Security Defaults" või, kantselite puhul, kus on rohkem kui 10 koostöötajat, konfigureerige Juurdepääsupoliitikat (saadaval Business Premium litsentsist alates). Need reeglid võimaldavad nõuda 2FA ainult teatud tingimustes: juurdepääs kantselei väljastpoolt, sisselogimine tundmatult seadmelt, ebatavaline aeg.

Raamatupidamistarkvaraga käitub protsess sõltuvalt toetajast:

• Cegid Loop: turvalisuse seaded > topeltautentimise aktiveerimise > QR-koodide genereerimine iga kasutaja jaoks
• MyUnisoft: administratsioon > turvalisus > tugev autentimine > 2FA kohustuslik kõigi profiilide jaoks
• Sage 100 Cloud: pöörduge oma Sage'i administratori või müüja poole MFA-mooduli aktiveerimiseks

Planeeri registreerimisseanss iga koostöötajaga (15–20 minutit inimese kohta). Jagage igale kasutajale leht taastekoodidega, mida säilitada turvaliselt ja füüsiliselt (kantselei seif näiteks).

Samm 3 — Halduspoliitika ja hädaolukorras protseduurid

Tehniliste seadistused on vaid poole tööst. Dokumenteeritud turvalisuspoliitika peab täpsustama:

• Kes saab ajutiselt 2FA keelata (ainult süsteemi administraator, mitte kunagi koostöötaja ise)
• Seadme kaotamise protseduur: kohe konto blokeerimine, taastekoodide uuendamine, juhendatud ümberregistreerimine
• Ülevaatuse sagedus: kuue kuu tagant kulude ja autentimismeetodite kontroll
• Lahkumise haldumine: kulude ja 2FA salajaste kohe tühistamine koostöötaja lahkumise korral

See poliitika integreeritakse loomulikult teie äri jätkuvuse plaani (PCA) ja oma andmete töötlemise registrisse GDPR mõttes. Certyneo abikeskuse konsulteerimine võib anda teile mallid, mis on kohandatud väikeste ja keskmiste struktuuride jaoks.

---

2FA integreerimine elektronilise allkirjastamise tööriistadega

Elektronilise allkirja avanceeritud või kvalifitseeritud, nagu määratletud eIDAS määruses, nõuab allkirjastaja tugevat tuvastamist. Praktiliselt, kui teie kantselei edastab allkirjastajakaardi või teenuse lepingu kliendile allkirjastamiseks, peab allkirjastamisplatform kontrollima allkirjastaja isikut robustselt. See juhtub täpselt siis, kui 2FA astub sisse.

eIDAS-iga kooskõlas olevas allkirjastamisplatvormis (avanceeritud või kvalifitseeritud tase) saab allkirjastaja lingi per e-maili, seejärel peab valideerima oma isikut teise kanali kaudu (SMS, autentimisrakendus või kvalifitseeritud sertifikaat). See protsess loob auditijälje, mis on ajalukuga ja krüptograafiliselt kontrollitav, mis moodustab vaidlusejuhul vastuolematut tõendit — oluline risk raamatupidamisekspertidele, kes kannavad vastutust iga missiooni eest.

Allkirjastamise erinevate tasemete mõistmiseks ja õige taseme valimiseks oma dokumentide voogudeks soovitame lugeda elektronilise allkirjastamise täielikt juhend. Kantselid, kes kasutavad Certyneot, saavad 2FA-s natiivset integratsioon allkirjastamise voolusse, mis vähendab hõõrdumist allkirjastaja jaoks, samal ajal säilitades vajaliku vastavuse taseme.

Erilist tähelepanu tuleb pöörata missiooni kirjadele (OEC-i professionaalse normi 2400 kohaselt kohustuslik) ja audiitori aruannetele: need dokumendid annavad professionaali isiklikele vastutusele ja vajavad vaidlustamatut autentimise jälitamist. Samuti saate kasutada AI lepingu generaatorit nende dokumentide loomise automatiseerimiseks, integreerides kujunduse ajal tugeva autentimise nõuded.

---

Koostöötajate koolitus ja sensibiliseerimine: inimlik tegur

Kõige rangem tehnilise juurutamine muudetakse ebatõhusaks, kui koostöötajad ei mõista riski või eiravad turvadispositsiive. Raamatupidamisekspertiisis koosnevad meeskondid sageli väga erinevatest profiilidest: vanemad osanikud, noored koostöötajad, stažöörrid, direktori assistendid. Koolitus peab olema kohandatud iga profiilile.

Soovitatav tundlikkuse programm kantselile, kus on 5–30 inimest:

1. Käivitusseanss (1t): konkreetsete riskide esitamine (anonüümsed tegelikud juhtumid sektori raames), reaalajas konfiguratsiooni näitus, küsimused/vastused
2. Lühivideod (3–5 minutit igaüks): üks õpetus rakenduse kohta, kättesaadav kantselei intraneti kaudu
3. Fissingu simulatsioon: vale e-maili saatmine 3 kuud pärast juurutamist, et mõõta tegelikku valvsust ja tuvastada koostöötajaid, kes vajavad täiendavat juhendamist
4. Integreerimine sissejuhatusesse: iga uus koostöötaja konfigureerib oma 2FA esimesel tööpäeval, pühendatud nõustajaga

Raamatupidamisekspertide Orden (OEC) pakub samuti jätkatavaid koolitusressursse küberturvalisuse alal, mis on seotud iga-aastaste koolitusnõuetega (40 tundi tabelisse kantud ekspertide jaoks). Need koolitused võib hinnata teie kvaliteedi lähenemine, kui teie kantselii on ISO 9001 sertifitseeritud või kavatseb saada küberturvalisuse sertifikaati (ANSSI-s ExpertCyber märgis näiteks).

Raamatupidamisekspertiisile kohaldatav õiguslik raamistik

Kaheosaline autentimine raamatupidamiskantselis on tihedalt seotud regulatiivse raamistikuga, mis on koostatud mitme põhidokumendi ümber.

Määrus eIDAS nr 910/2014 ja selle muudatus eIDAS 2.0 (Määrus EU 2024/1183) moodustavad aluseks kõigele, mis puudutab elektroonilise tuvastamise Euroopas. 8. artikkel määratleb kolm kindlustaseme taset elektrooniliste tuvastamise vahenditele: nõrk, märkimisväärne ja kõrge. Eksperttöde jaoks, mis kannavad raamatupidamiseksperdi isiklikku vastutust (aruannete allkirjastamine, maksudokumentide valideerimise võrgus), on nõutav "märkimisväärne" või "kõrge" kindlustase, mis kohustuslikult nõuab multifaktorilist autentimist.

GDPR (Määrus EU 2016/679) nõuab artikli 32 kohaselt vastutavast isikust rakendada "asjakohaseid tehnilisi ja organisatsioonilisi abinõusid" isikuandmete turvalisuse garanteerimiseks. Raamatupidamiskantselei käitleb tundlikke isikuandmeid (finantsteated, terviseteated palgakaarti kaudu haiguste seisaku näol jne). 2FA puudumine raamatupidamistarkvaralle juurdepääsuks on tõenäoliselt rikkumine sellele artiklile, eksponeerides kantselit sanktsioonidele, mis võivad ulatuda 4% maailmavahelistest aastasissetulekutest (artikli 83 GDPR).

Tsiviilseadus, artiklid 1366 ja 1367, määratlevad elektronilise allkirja õigusväärtuse. Artikkel 1367 täpsustab, et "elektroonilise allkirja protseduuri usaldusväärsus eeldatakse, kuni vastupidi ei ole tõestatud, kui see protseduur rakendab kvalifitseeritud elektroonilise allkirja". Tugev autentimine on selle eelduse oluline komponent.

Direktiiv NIS2 (Direktiiv EU 2022/2555), transpositsioon Prantsusmaa õiguseks seaduse n°2024-449 ja selle rakendusaktide 21. mai 2024 kaudu, laieneb küberturvalisuse kohustused laiale olemite spektrile. Kuigi raamatupidamiskantselii ei ole otseselt loetletud oluliste olemitena, saavad need, kes pakuvad digitaalteenuseid olenditele või olulistele olemitele (terviseasutused, kohalikeldustused, kriitilise infrastruktuuri ettevõtted), olema ükaupa kohustised lepingute kaudu.

OEC-i professionaalne norm 2400 kohustab edasiste kindlate täitmise kohustuste rakendamist informatsioonisüsteemide turvalisuse alal kantselite puhul, mis käsitlevad õiguslike missioone. ANSSI soovitab otseselt MFA-d minimaalne abinõu oma juhendis "Informatsioonisüsteemide turvalisus TPE/PME jaoks" (2024. aasta väljaanne).

Kutsealaste vastutuse kindlustus: andmete rikkumiste korral, mis tuleneb 2FA puudumisest, võib kindlusustaja kutsealaste vastutuste esitaja kutsealase vastutuse vähendamiseks või keeldumiseks. Kindlasti soovitame säilitada 2FA juurutamise tehnilised dokumentid kui diligentsi tõendus.

Kasutamise stsenaariumid: 2FA praktikas raamatupidamiskantseleis

Stsenaariumid 1 — keskmise suurusega raamatupidamisekspertiis

Kantselei, mille koostis on umbes 15 koostöötajat ja umbes 400 aktiivset mandaati, otsustas rakendada 2FA kõigele tööriistadele pärast fissingu juhtumit, mis oli peaaegu ohtustusse seaanud tema palgaarvutuse tarkvara juurdepääsu. Juhtkond valis Microsoft Authenticatori Microsoft 365 jaoks (e-posti, SharePointi, Teamsid) ja rakenduse TOTP native'i oma pilveteenustele raamatupidamistarkvarale.

Juurutamine toimus kolme nädala jooksul: üks nädal inventuuri ja seadistuste jaoks, üks nädal viie inimese rühmade koostöötajate registreerimiseks, üks nädal järelkontrollile ja probleemide parandamiseks. Tulemus: null kontoga seotud juhtumeid 12 kuu jooksul, võrreldes kahe juhtumiga eelmise aasta. Turvajuhtumite haldurisele kulunud aeg vähenes umbes 70%. Kantselei sai ka õigustada mitme suurettevõtte kliendi ees (sealhulgas ühe tööstuse KKK, kellel on turvamärustik tarnijatele), et tema süsteemid on kooskõlas MFA nõudega.

Stsenaariumid 2 — õigusaudi spetsialiseerunud kantselei

Õigusauditi kantselei, kes käsitleb umbes 60 õigusauditi mandaati, puutus kokku eriti rangega nõudega: tema kliendid üha rohkem küsivad GDPR vastavuse tõendeid lepingute uuendamisel. Kantselei valis juurutada FIDO2 turvavõtmeid osanikele (juurdepääs kõige tundlikematele failidele) ja TOTP rakendusi vanem koostöötajatele, säilitades SMS OTP ainult väikese tundlikkusega juurde.

Paralleelselt integreeris kantselei elektronilise allkirja avanceeritud neist oma õigusauditi aruannete voolusse, tugevatele autentimisega allkirjastajale. Geneeritud auditijälje kaudu saaks kaks võimalikku vaidlust klientidega, kes vaidlustasid aruande esituse kuupäeva, lahendada kantselei kasuks, kaasates ajalikult allkirjastamise logisid. Ka aruannete allkirjastamise kiirendus (keskmiselt 5 päevalt vähem kui 24 tunnile) aitas kiirendada arveloomist ja kasvatada kantselei rahavoogu umbes 15%.

Stsenaariumid 3 — kiires kasvutsüklis kantselei

Regionaalne raamatupidamiskantselite võrgustik, kes neelas kolm iseseisva struktuuri kahes aastas, seisid silmitsi olulise heterogeensusega süsteemides: mõned neelatud kantseleid ei olnud 2FA poliitikat, teised kasutasid SMS OTP-d. Grupp kasutis seda integratsioon unitusvastasele lahenduse standardiseerimiseks (IAM — Identity and Access Management) 2FA kohustusliga.

Esialgne investeering (IAM litsentd, koolitus, tugi) hinnangule ca 8000 € kogu grupi jaoks (umbes 45 koostöötajat). Vastavasel, turvajuhtumite kulude (IT-pakkuja sekkumised, kriisiühendus) vähenemine hinnangule 15000-20000 € esimesel aastal. Grupp saigi ka negotsieerida tema kuberturvalisuse kindlustuse alampidurdus umbes 20%, esitades kindlusustajale 2FA juurutamise dokumentatsiooni.

Järeldus

Kaheosaline autentimine ei ole enam luksus, mis on reserveeritud suurtele struktuuridele: see on ohutus ja nõuetekohasus iga raamatupidamiskantselei jaoks, sõltumata selle suurusest. GDPR nõuete, ANSSI soovituste, eIDAS kohustuste ja klientide kasvava surve turvalisuse normidele on 2FA muutunud sektor standardiks.

Hea uudis: juurutamine on tänapäeval juurdepääsetav, kiire ja odav. Järgides selles artiklis kirjeldatud etappe – rakenduste inventuuri, sobiva meetodi valikut, koostöötajate registreerimist, dokumenteeritud poliitika kirjutamist – saab teie kantselii saavutada tugeva turvalisuse taseme mõne nädala jooksul.

Certyneo integreerib natiivse kallid autentimise oma elektronilise allkirja voogudes, võimalikult teil kombineerida eIDAS vastavus ja MFA turvalisus ilma täiendava keerukuseta. Avastage meie pakkumised ja hinnad või võtke ühendust meie meeskonnaga isiklike juhendatud kooskõla loomiseks oma kantselii jaoks.