Kaksivaiheinen todennus: opas kirjanpitäjille

Miksi kaksivaiheinen todennus on välttämätöntä asiantuntijatilintarkastuksessa

Asiantuntijatilintarkastustoimistot käsittelevät päivittäin erittäin luottamuksellisia taloustietoja: veroilmoituksia, tilinpäätöksiä, palkkalaskelmia, useiden satojen asiakasyrityksen pankkitietoja. Vuonna 2025 ANSSI:n vuosikertomus osoittaa, että säänteltyihin ammatteihin kohdistuvat phishing-hyökkäykset lisääntyivät 37 prosenttia vuodessa. Tämän uhan edessä kaksivaiheinen todennus (2FA) — jota kutsutaan myös monivaiheiseksi todennukseksi (MFA) — muodostaa ensimmäisen suositellun teknisen puolustuslinjan.

Kaksivaiheinen todennus perustuu yksinkertaiseen periaatteeseen: järjestelmään pääsemiseksi käyttäjän on todistettava henkilöllisyytensä kahdella erillisellä tekijällä. Ensimmäinen on yleensä "jotain mitä tiedät" (salasana), toinen on "jotain mitä sinulla on" (älypuhelin, fyysinen avain) tai "jotain mitä olet" (biometriset tiedot). Tämä mekanismi tekee lähes mahdottomaksi salasanavarasteisiin perustuvia hyökkäyksiä, jotka edustavat Verizon DBIR 2024 -raportin mukaan edelleen 81 prosenttia tietomurroista.

Asiantuntijatilintarkastajille eIDAS-asetuksen noudattaminen ja sen vahvan tunnistamisen vaatimukset eivät ole enää valinnaisia: ne ovat sääntelyvaatimus ja eettinen velvollisuus. Tämä artikkeli selittää vaihe vaiheelta, kuinka konfiguroida 2FA toimistoosi, mitä työkaluja valita ja kuinka tukea yhteistyöntekijöitään tässä siirtymässä.

---

Kaksivaiheisen todennuksen menetelmät, jotka sopivat kirjanpitosektorille

Todennussovellukset (TOTP)

Yleisimmin kirjanpitotoimistoissa käytetty menetelmä on sovelluksen käyttäminen, joka luo aikaperusteisia koodeja (TOTP — Time-based One-Time Password). Ratkaisut kuten Google Authenticator, Microsoft Authenticator tai Authy luovat 6-numeroisen koodin, joka uusiutuu 30 sekunnin välein. Tämä koodi liittyy jaettuun salaisuuteen, joka tallennetaan sovellukseen rekisteröintivaiheessa (QR-koodin skannaus).

Edut toimistoille: nollasuuntaistusmaksu, toimii ilman internetyhteyttä, yhteensopiva lähes kaikkien kirjanpitoohjelmistojen kanssa (Sage, Cegid, ACD, MyUnisoft). Haittapuoli: jos yhteistyöntekijä menettää puhelimensa, palautusmenettely on ennakoitava (varmuuskoodit säilytettävä turvallisesti).

Fyysiset suojausavaimet (FIDO2/WebAuthn)

Toimistoille, jotka käsittelevät suuria määriä herkkiä tietoja tai joihin kohdistuu säännöllisiä tarkastuksia, fyysisen suojausavaimet (kuten YubiKey tai Feitian) tarjoavat korkeimman suojatason. FIDO2- ja WebAuthn-standardeihin perustuvat, ne ovat phishing-vastustuskykyisiä: avain varmistaa salausalgoritmeilla sivuston verkkotunnuksen ennen todennusta, mikä neutralisoi "man-in-the-middle" -hyökkäykset.

Yhä useammat verohallintojen portaalit ja velvoitteelliset jättöalustat (DGFiP, infogreffe) hyväksyvät näitä standardeja. Toimisto, joka hallinnoi sataa mandaattia, voi kannustaa avainten ostoa (noin 50-80 € kappale) muutamassa viikossa turvallisuuspoikkeamien hallintoon kuluneen ajan vähentyessä.

SMS OTP: välttäminen sensitiivien tietojen kohdalla

Vaikka SMS:llä lähetetyt koodit ovat mahdollisia monissa järjestelmissä, Yhdysvaltojen NIST (National Institute of Standards and Technology) aliarvioi ne vuonna 2016 vahvan todennuksen kategoriasta. SIM-vaihdohyökkäykset (puhelinnumeron vilpillinen siirto hyökkääjän hallinnassa olevaan SIM-korttiin) ovat koskettaneet useita ranskalaisia kirjanpitotoimistoja viime vuosina. Verohallintojen tietoihin tai oikeusalan ja kirjanpitoalan sähköisen allekirjoituksen työkaluihin pääsemiseksi SMS OTP tulee harkita vain viimeisenä ratkaisuna.

---

Kaksivaiheisen todennuksen konfiguroiminen: vaiheittainen opas

Vaihe 1 — Sovellusten inventointi ja soveltamisalan määrittäminen

Ennen teknistä käyttöönottoa, tee täydellinen luettelo kaikista toimistossa käytetyistä sovelluksista:

• Kirjanpitoohjelmistot: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Sähköpostit ja yhteistyötyökalut: Microsoft 365, Google Workspace, Slack
• Asiakirjojen hallinta- ja allekirjoitustyökalut: jätöalustat, työnkulkutyökalut
• Etäyhteydet: VPN, RDP, virtuaalityöpöydät
• Asiakasportaalit: asiakirjavaihdon tilat

Jokaiselle sovellukselle tarkista, onko 2FA saatavilla (asetuksissa "Turvallisuus"-osio) ja mitä menetelmää tuetaan (TOTP, FIDO2, SMS). Luokittele sovellukset kriittisyyden mukaan sen perusteella, kuinka herkkiä tietoja niiden kautta pääsee käsiksi.

Vaihe 2 — Tekninen käyttöönotto ja käyttäjien rekisteröinti

Microsoft 365:lle konfigurointi tehdään Azure Active Directoryn (Entra ID) portaalissa. Ota käyttöön "Security Defaults" tai yli 10 yhteistyöntekijän toimistoissa määritä ehdolliset pääsy -käytännöt (saatavilla Business Premium -lisenssistä alkaen). Nämä käytännöt mahdollistavat 2FA:n edellyttämisen vain tietyissä olosuhteissa: pääsy toimiston ulkopuolelta, tuntemattomasta laitteesta kirjautuminen, epätavallinen aika.

Kirjanpitoohjelmistoissa menettely vaihtelee julkaisijan mukaan:

• Cegid Loop: turvallisuusasetukset > kaksivaiheisen todennuksen käyttöönotto > QR-koodien luominen jokaiselle käyttäjälle
• MyUnisoft: hallinto > turvallisuus > vahva todennus > 2FA pakollinen kaikille käyttäjäprofiileille
• Sage 100 Cloud: ota yhteyttä Sage-ylläpitäjään tai jälleenmyyjääsi MFA-moduulin aktivoimiseksi

Varaa rekisteröintisessio jokaiselle yhteistyöntekijälle (15–20 minuuttia per henkilö). Jaa jokaiselle käyttäjälle tietolomake, jossa hänen palautuskoodinsa, säilytettävä turvallisesti ja fyysisesti (toimiston kassakaapissa esimerkiksi).

Vaihe 3 — Hallintokäytäntö ja hätämenettelyn

Tekninen käyttöönotto on vain puoli työstä. Dokumentoitu turvallisuuskäytäntö on täsmennettävä:

• Kuka voi väliaikaisesti poistaa 2FA:n käytöstä (vain järjestelmänvalvoja, ei koskaan käyttäjä itse)
• Laitteen katoamisen menettely: tilin välitön esto, palautuskoodien uudelleenluominen, valvottu uudelleenrekisteröinti
• Tarkistustiheys: puolivuotinen audit käyttöoikeuksista ja todentamismenetelmistä
• Poistumisten hallinta: pääsyn ja 2FA-salaisuuksien välitön mitätöiminen minkään yhteistyöntekijän lähtiessä

Tämä käytäntö integroituu luontevasti jatkuvuussuunnitelmaan (PCA) ja tietojen käsittelyrekisteriin GDPR:n merkityksessä. Certyneoin tukikeskuksessa voidaan saada malleja käytännöiksi, jotka sopivat pienille ja keskisuurille rakenteille.

---

2FA:n integrointi sähköisen allekirjoituksen työkaluihin

Edistynyt tai määrälty sähköinen allekirjoitus, kuten eIDAS-asetus määrittelee, vaatii vahvan tunnistamisen allekirjoittajalle. Käytännössä, kun toimistoosi lähettää asiakkaalle kirjeen tai palvelun sopimukseen allekirjoittamista varten, allekirjoitusalusta on vahvistettava allekirjoittajan henkilöllisyys vankaasti. Juuri tässä 2FA tulee mukaan.

eIDAS-vaatimuksiltensa mukaisissa allekirjoitusalustoissa (edistynyt tai määrälty taso) allekirjoittaja saa sähköpostitse linkin ja sen jälkeen hänen on vahvistettava henkilöllisyytensä toisen kanavan kautta (SMS, todennussovellus tai määrälty todistus). Tämä prosessi luo aikaleimatun ja salausalgoritmeillä vahvistetun audit-peitin, joka muodostaa kiistattoman todisteen kiistatapauksen sattuessa — kriittinen seikka asiantuntijatilintarkastajille, jotka osallistuvat omalla vastuullaan jokaisen tehtävän.

Eri allekirjoitustason ja valinnasta sopivat dokumenttivirrat, sähköisen allekirjoituksen kattava opas on suositeltavaa. Toimistot, jotka käyttävät Certyneota, hyötyvät 2FA:n natiivista integraatiosta allekirjoitusprosessiin, mikä vähentää allekirjoittajalle aiheutuvaa kitkaa samalla säilyttäen vaaditun vaatimustenmukaisuustason.

Erityistä huomiota on kiinnitettävä mandaattikirjeisiin (pakollinen OEC:n ammattistandardin 2400 mukaan) ja tilintarkastuskertomusten raportteihin: nämä asiakirjat osallistuvat ammattilaisen henkilökohtaiseen vastuuseen ja vaativat nuhteettoman todennusketjun. Voit myös käyttää tekoälyn dokumenttien luontiohjainta näiden asiakirjojen luomisen automatisoinnin sijaan samalla integroiden vaatimukset vahvan todennuksen saavuttamiseksi.

---

Yhteistyöntekijöiden koulutus ja tietoisuuden lisääminen: ihmiskerroin

Tiukin tekninen käyttöönotto tehdään tehotonta, jos yhteistyöntekijät eivät ymmärrä panostuksia tai ohita turvallisuusjärjestelmiä. Asiantuntijatilintarkastuksessa tiimit koostuvat usein erilaisista profiiileista: vanhemmat osakkaat, nuoret yhteistyöntekijät, harjoittelijat, johtavat avustajat. Koulutus on muokattava jokaiselle profiilille.

Tiedon levittämisohjelman suositus 5–30 henkilön toimistoille:

1. Käynnistysistunto (1 tunti): konkreettisten riskien esittely (anonyymit tosielämän poikkeamat sektorilla), elävä demoesitys konfiguraatiosta, kysymykset/vastaukset
2. Lyhyet opetusvideot (3–5 minuuttia kukin): yksi video kutakin kriittistä sovellusta kohti, saatavilla toimiston intranetissa
3. Simuloitu phishing-harjoitus: väärän sähköpostin lähettäminen 3 kuukautta jälkeen käyttöönotolle todellisen valppauden mittaamiseksi ja yhteistyöntekijöiden tunnistamiseksi, jotka tarvitsevat lisätukea
4. Integrointi onboardingiin: jokainen uusi yhteistyöntekijä konfiguroi 2FA:nsa ensimmäisenä päivänä, jossa heillä on omistettu viitattava

Asiantuntijatilintarkastajien Järjestö (OEC) tarjoaa myös jatkuvakoulutusresursseja kybersäikeistä vuosittaisen koulutusvelvoitteensa piirissä (40 tuntia taulukkoon merkityille asiantuntijatilintarkastajille). Näitä koulutuksia voidaan arvostaa laadunvarmistustyössä, jos toimistosi on ISO 9001 -sertifioitu tai pyrkii kybersäikeisyyden sertifiointiin (ANSSI:n ExpertCyber-leima esimerkiksi).

Asiantuntijatilintarkastukseen sovellettava oikeudellinen kehys

Kaksivaiheisen todennuksen toteuttaminen asiantuntijatilintarkastustoimistossa tapahtuu tiheän sääntelykehyksen sisällä, joka rakentuu useiden perustavanlaatuisten lakien ympärille.

eIDAS-asetus nro 910/2014 ja sen tarkistus eIDAS 2.0 (EU-asetus 2024/1183) muodostavat perusta kaiken sähköisen tunnistamisen osalta Euroopassa. Artikla 8 määrittelee kolme varmuuden tasoa sähköisen tunnistamisen välineille: matala, laajennettu ja korkea. Asiantuntijatilintarkastajan ammatillista vastuuta sitovissa toimissa (raporttien allekirjoittaminen, veroilmoitusten online-validointi), vaaditaan "laajennettu" tai "korkea" varmuuden taso, mikä merkitsee välttämättä usean tekijän todennusta.

GDPR (EU-asetus 2016/679) edellyttää artiklan 32 nojalla vastuullisilta käsittelijöiltä "asianmukaisten teknisten ja organisaatiovaatimusten toteuttamista" tietojenvälittäjien turvallisuuden varmistamiseksi. Asiantuntijatilintarkastustoimisto käsittelee herkkiä henkilötietoja (taloustiedot, terveystiedot palkkalaskelmien kautta sairaslomien avulla jne.). 2FA:n puuttuminen kirjanpitoohjelmistojen käyttöoikkeuksista muodostaa hyvin todennäköisesti poikkeaman tästä artikklasta, mikä altistaa toimiston sakkoille, jotka voivat osua 4 % koko maailman vuotuisista tuloista (GDPR:n 83 artikla).

Siviililaki, artikiat 1366 ja 1367, sääntelevät sähköisen allekirjoituksen oikeudellista arvoa. Artikla 1367 täsmentää, että "määrällyn sähköisen allekirjoituksen menettelyn luotettavuus oletetaan, kunnes toiseksi osoitetaan, kun menettely käyttää määrältyä sähköistä allekirjoitusta". Vahva todennus on olennainen osa tätä luotettavuuden oletusta.

NIS2-direktiivi (EU-direktiivi 2022/2555), joka kirjattiin ranskalaiseksi laiksi nro 2024-449 21.5.2024 ja sen soveltamismääräykset, laajentaa kybersäikeisyyden velvoitteet laajalle entiteettiryhmälle. Vaikka asiantuntijatilintarkastustoimistot eivät ole suoraan luettelossa olevia olennaisina entiteetteina, ne, jotka tarjoavat digitaalisia palveluita olennaisille tai tärkeille entiteeille (terveyspalvelut, paikallishallinnot, kriittisen infrastruktuurin yritykset), voivat olla velvoitteita tosiasiallisesti sopimusten kautta.

Asiantuntijatilintarkastajien Järjestön ammattisääntö 2400 velvoittaa lisäksi vahvennettua keinohyödyn edellyttämistä ICT:n turvallisuudessa toimistoilla, jotka käsittelevät oikeudellisesti merkityviä tehtäviä. ANSSI suosittelee nimenomaista MFA:ta vähimmäismittaukseksi ohjeessaan "Tietojärjestelmien turvallisuus pienille ja keskisuurille yrityksille" (2024 painos).

Ammatillinen vastuuvakuutus: jos asiakastietojen rikkominen aiheutuu 2FA:n puuttumisesta, toimiston vakuutusyhtiö voi vedota selkeään väärinkäytökseen vähentääkseen tai kieltäytyäkseen takuusta. On erittäin suositeltavaa säilyttää 2FA:n käyttöönottotekniikan dokumentaatio todisteena varovaisuudesta.

Käyttötapaukset: 2FA käytännössä kirjanpitotoimistoissa

Tapaus 1 — Keskikokoinen asiantuntijatilintarkastustoimisto

Toimisto, jossa on noin 15 yhteistyöntekijää ja joka hallinnoi noin 400 aktiivista mandaattia, päätti ottaa 2FA:n käyttöön kaikissa työkaluissa phishing-poikkeaman jälkeen, joka lähes vaaransi pääsyn palkanlaskennan ohjelmistoon. Johtaja valitsi Microsoft Authenticatorin Microsoft 365:lle (sähköposti, SharePoint, Teams) ja TOTP-sovelluksille cloud-kirjanpidon ohjelmistoissa.

Käyttöönotto toteutettiin kolmessa viikossa: yksi viikko inventoinnista ja konfiguroinnista, yksi viikko yhteistyöntekijöiden rekisteröinnistä ryhmittäin viisillä, yksi viikko seurantaa ja ongelmien korjausta. Tuloksena: nolla tilin vaarantumisen poikkeamaa 12 kuukauden aikana seuraavasti, vastoin kahta poikkeamaa edellisenä vuonna. Turvallisuuspoikkeamien hallintoon kulunut aika väheni noin 70 %. Toimisto pystyi myös osoittamaan useille suurille asiakasyrityksille (mukaan lukien yksi teollisuuden pk-yritys-asiakas, joka asetti toimittajille turvallisuusvaatimukset) että sen järjestelmät noudattavat MFA-vaatimuksia.

Tapaus 2 — Lakisääteisen tilintarkastuksen erikoistunut toimisto

Toimisto, joka on erikoistunut tilintarkastukseen ja hallinnoi noin 60 lakisääteisen tilintarkastuksen mandaattia, kohtasi erityisvaatimuksen: yhä useammat asiakkaat pyysivät GDPR-vaatimustenmukaisuuden todistetta missioiden uusimisen yhteydessä. Toimisto valitsi FIDO2-suojausavaimet osakkaille (pääsy herkimpiin tiedostoihin) ja TOTP-sovellukset vanhemmille yhteistyöntekijöille, kun taas SMS OTP:t pidettiin vain vähemmän herkkiin pääsyihin.

Samalla toimisto integroitu edistyneen sähköisen allekirjoituksen tilintarkastuskertomuksiin, joissa vahva todennus allekirjoittajalle on systemaattista. Audit-peitin perusteella kaksi mahdollista asiakkaiden kanssa käytyä riitaa raportin toimittamisen päivämäärää vastustettaessa voitiin ratkaista toimiston hyväksi tuottamalla aikaleimatut todennusloki. Raporttien allekirjoitukseen kuluneen ajan vähentyminen (keskimäärin 5 päivästä alle 24 tuntiin) virtautti myös laskutusta ja paransi toimiston kassavirtaa noin 15 prosenttia.

Tapaus 3 — Kasvava toimisto ulkoisen kasvun kautta

Alueen kirjanpitotoimistojen verkosto, joka oli omaksunut kolme itsenäistä rakennetta kahden vuoden aikana, kohtasi merkittävää ohjelmistojen heterogeenisuutta: joillakin omaksutuilla toimistoilla ei ollut 2FA-käytäntöä, toisilla käytettiin SMS OTP:tä. Verkosto käytti integraation etua yhdenmukaistamakseen yhdistetyn identiteettien hallintaratkaisun (IAM) kanssa, jossa 2FA on pakollinen.

Alkusijoitus (IAM-lisenssit, koulutus, tuki) arvioitiin noin 8 000 € koko verkoille (noin 45 yhteistyöntekijää). Vastineeksi turvallisuuspoikkeamiin liittyvien kustannusten vähentyminen (ICT-toimittajan palvelut, kriisinhallinta) arvioitiin 15 000–20 000 €:ksi ensimmäisen vuoden aikana. Verkko pystyi myös neuvottelemaan vakuutuksensa cyber-vakuutusmaksun alentamisesta noin 20 prosentilla toimittamalla vakuuttajalle 2FA-käyttönottoasiakirjat.

Johtopäätös

Kaksivaiheinen todennus ei ole enää luksus suurille rakenteille: se on turvallisuus- ja vaatimustenmukaisuusvelvoite jokaiselle asiantuntijatilintarkastustoimistolle huolimatta koosta. GDPR-vaatimuksista, ANSSI:n suosituksista, sähköisen allekirjoituksen eIDAS-velvoitteista ja asiakkaiden kasvavasta paineesta niiden palveluntarjoajien turvallisuusstandardeista, 2FA on muodostunut sektorin kiistattomaksi standardiksi.

Hyvä uutinen: käyttöönotto on nykyään helppoa, nopeaa ja edullista. Tämän artikkelin vaiheita seuraamalla — sovellusten inventointi, sopivan menetelmän valinta, käyttäjien rekisteröinti, dokumentoidun käytännön kirjoittaminen — toimistosi voi saavuttaa vankan turvallisuustason muutamassa viikossa.

Certyneo integroi natiivisti vahvan todennuksen sähköisen allekirjoitusprosesseihin, mikä mahdollistaa eIDAS-vaatimustenmukaisuuden ja MFA-turvallisuuden yhdistämisen ilman ylimääräistä monimutkaisuutta. Tutustu tarjouksiimme ja hintoihin tai ota yhteyttä tiimiin henkilökohtaisen ohjauksen saamiseksi toimistosi vaatimustenmukaisuuden parantamiseen.