אימות דו-גורמי: מדריך לתחום החשבונאות

למה אימות דו-גורמי חיוני בהנדסה כלכלית

משרדי הנדסה כלכלית עוסקים ביום-יום בנתונים פיננסיים סודיים ביותר: ניירות דוחות כספיים, מאזנים, כתבי משכורת, פרטי בנקים של מאות חברות לקוחות. בשנת 2025, על פי הדוח השנתי של ANSSI, התקפות דיוג מגניבות המכוונות לעיסוקים מוסדרים עלו ב-37% במהלך שנה. מול איום זה, אימות דו-גורמי (2FA) — המכונה גם אימות רב-גורמי (MFA) — מהווה את קו ההגנה הטכני המומלץ הראשון.

אימות דו-גורמי מבוסס על עיקרון פשוט: כדי לגשת למערכת, המשתמש חייב להוכיח את זהותו דרך שני אלמנטים ברורים. הראשון הוא בדרך כלל "משהו שאתה יודע" (סיסמה), השני הוא "משהו שיש לך" (טלפון חכם, מפתח פיזי) או "משהו שאתה" (נתונים ביומטריים). מנגנון זה הופך התקפות על ידי גניבת סיסמה בלבד להיות כמעט בלתי אפשריות, המהוות עדיין 81% מההפרות בנתונים על פי דוח Verizon DBIR 2024.

לשם הנדסאים-כלכליים, הציות לـ תקנון eIDAS וההתחייבויות שלו לזיהוי חזק אינה עוד אופציה: זוהי הכרח רגולטורי ואתי. מאמר זה מסביר לך, שלב אחר שלב, כיצד להגדיר 2FA במשרדך, אילו כלים לבחור וכיצד ללוות את העובדים שלך בתהליך זה.

---

שיטות אימות דו-גורמי המתאימות לתחום החשבונאות

יישומי אימות (TOTP)

השיטה הנפוצה ביותר במשרדי חשבונאות היא שימוש ביישום היוצר קודים זמניים (TOTP — Time-based One-Time Password). פתרונות כמו Google Authenticator, Microsoft Authenticator או Authy יוצרים קוד בן 6 ספרות המתחדש כל 30 שניות. קוד זה קשור לסוד משותף המאוחסן ביישום בשלב ההרשמה (סריקת קוד QR).

יתרונות למשרדים: פריסה ללא עלות נוספת, פועלת ללא חיבור אינטרנט, תואמת כמעט לכל תוכנות החשבונאות (Sage, Cegid, ACD, MyUnisoft). חסרון: אם העובד מאבד את הטלפון שלו, יש לתכנן מראש הליך ההחזרה (קודי גיבוי לשמירה במקום בטוח).

מפתחות ביטחון פיזיים (FIDO2/WebAuthn)

עבור משרדים העוסקים בכמויות גדולות של נתונים רגישים או הנתונים לביקורות תכופות, מפתחות ביטחון חומרה (סוג YubiKey או Feitian) מציעים את הרמה הגבוהה ביותר של הגנה. מבוססים על תקנים FIDO2 ו-WebAuthn, הם עמידים בדיוג בעיצוב: המפתח מאמת באופן קריפטוגרפי את תחום האתר לפני ההתחברות, מה שמנטרל התקפות מסוג "man-in-the-middle".

יותר ויותר שערים כספיים ופלטפורמות הפקדה חובה (DGFiP, infogreffe) נוטים לקבל תקנים אלה. משרד המנהל מאה סמכויות יכול להחזיר את קנייתו של מפתחות (כ-50-80 € ליחידה) בתוך שבועות ספורים הודות להפחתת זמן ניהול אירועי ביטחון.

SMS OTP: להימנע מנתונים רגישים

אף שקודים הנשלחים ב-SMS נשארים אפשרות ברבות מהמערכות, NIST האמריקני (National Institute of Standards and Technology) הורידו אותם בשנת 2016 מקטגוריית שיטות האימות החזקות. התקפות על ידי החלפת SIM (העברה בלתי חוקית של מספר טלפון לכרטיס SIM שנשלט על ידי תוקף) פגעו במשרדי חשבונאות צרפתים רבים בשנים האחרונות. לגישה לנתונים פיסקליים או לכלים של חתימה אלקטרונית למשרדים משפטיים וחשבוניים, SMS OTP צריך להיחשב רק כפתרון אחרון.

---

כיצד להגדיר אימות דו-גורמי: מדריך שלב אחר שלב

שלב 1 — מלאי יישומים והגדרת ההיקף

לפני כל פריסה טכנית, כינוס מלאי ממצה של כל היישומים המשמשים במשרדך:

• תוכנות חשבונאות: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• דואר אלקטרוני וכלים שיתופיים: Microsoft 365, Google Workspace, Slack
• כלים לניהול מסמכים וחתימה: פלטפורמות הפקדה, כלי זרימת עבודה
• גישה מרחוקת: VPN, RDP, משרדים וירטואליים
• פורטלים של לקוחות: מרחבי חילופי מסמכים עם לקוחות

עבור כל יישום, בדוק אם 2FA זמין (סעיף "אבטחה" של הגדרות) ואיזו שיטה נתמכת (TOTP, FIDO2, SMS). סווג את היישומים לפי קריטיקליות בהתאם לרגישות הנתונים הנגישים.

שלב 2 — פריסה טכנית והרשמת עובדים

עבור Microsoft 365, התצורה מתבצעת דרך פורטל Azure Active Directory (Entra ID). הפעל את "Security Defaults" או, למשרדים בעלי יותר מ-10 עובדים, הגדר מדיניות גישה מותנית (זמינות מהרישיון Business Premium ויותר). מדיניויות אלה מאפשרות דרישת 2FA רק בתנאים מסוימים: גישה מחוץ למשרד, התחברות מתקן לא ידוע, שעה לא רגילה.

עבור תוכנות חשבונאות, ההליך משתנה לפי המוציא:

• Cegid Loop: הגדרות אבטחה > הפעל אימות כפול > צור קודי QR עבור כל משתמש
• MyUnisoft: ניהול > אבטחה > אימות חזק > כפה 2FA עבור כל הפרופילים
• Sage 100 Cloud: צור קשר עם מנהל Sage או הנמכר שלך כדי להפעיל את מודול MFA

תכננו הפעלת הרשמה עם כל עובד (15 עד 20 דקות לאדם). חלק לכל משתמש דף זיכרון עם קודי ההחזרה שלו, לשמירה במקום בטוח ופיזי (קופה של משרדך, לדוגמה).

שלב 3 — מדיניות ניהול והליכי חירום

הפריסה הטכנית היא רק חצי מהעבודה. מדיניות אבטחה מתועדת חייבת לציין:

• מי יכול להשבית זמנית את 2FA (רק מנהל המערכת, לעולם לא העובד בעצמו)
• הליך אובדן התקן: חסימה מיידית של החשבון, יצירה מחדש של קודי גיבוי, הרשמה מחדש מפוקחת
• תדירות בדיקה: ביקורת חצי שנתית של גישות ושיטות אימות
• ניהול עזיבות: שיבוט מיידי של גישות וסודות 2FA בזמן כל עזיבה של עובד

מדיניות זו משתלבת באופן טבעי בתוכנית ההמשכיות של העסק (PCA) שלך ובתיעוד עיבוד הנתונים בהקשר GDPR. התייעצות עם מרכז הסיוע Certyneo יכולה לספק לך תבניות של מדיניות המתאימות למבנים קטנים ובינוניים.

---

שילוב של 2FA עם כלים של חתימה אלקטרונית

חתימה אלקטרונית מתקדמת או מוסמכת, כמוגדר בתקנון eIDAS, דורשת זיהוי חזק של החותם. בפועל, כאשר משרדך משדר מכתב משימה או חוזה שירותים לחתימה ללקוח, הפלטפורמה של החתימה חייבת לאמת את זהות החותם בדרך חזקה. זה בדיוק כאן שמתערבת ה-2FA.

בפלטפורמות חתימה התואמות eIDAS (ברמה מתקדמת או מוסמכת), החותם מקבל קישור בדוא"ל, ואז חייב לאמת את זהותו דרך ערוץ שני (SMS, יישום אימות או תעודה מוסמכת). תהליך זה יוצר רצף ביקורת מחותם בזמן ומאומת בצורה קריפטוגרפית, המהווה הוכחה בלתי ניתנת להפרכה במקרה של סכסוך — סוגיית מפתח למומחים-כלכליים המתחייבים לכך בכל משימה.

כדי להבין את הרמות השונות של חתימה ולבחור את זו המתאימה לתזרימי המסמכים שלך, קריאת המדריך המקיף של חתימה אלקטרונית מומלצת. משרדים המשתמשים ב-Certyneo נהנים משילוב מקורי של 2FA בנתיב החתימה, אשר מפחית חיכוך לחותם תוך שמירה על רמת הציות הנדרשת.

יש לשים לב מיוחדת ל-מכתבי משימה (חובה לפי תקן מקצועי 2400 של OEC) ו-דוחות ביקורת: מסמכים אלה מחייבים את האחריות האישית של הצוות ודורשים ניתוח אימות בלתי תלוי. אתה יכול גם להשתמש ב-מחולל חוזים על ידי AI כדי להפוך את יצירת המסמכים הללו לאוטומטית תוך שילוב דרישות אימות חזקות מהעיצוב.

---

הדרכה והרגעת עובדים: הגורם האנושי

הפריסה הטכנית הקפדנית ביותר נעשית בלתי יעילה אם עובדים לא מבינים את הסוגיות או עוקפים מכשירי אבטחה. בהנדסה כלכלית, הצוותים לעתים קרובות מורכבים מפרופילים מגוונים מאוד: שותפים בכירים, עובדים צעירים, מתמחים, עוזרות ניהול. ההדרכה חייבת להיות מותאמת לכל פרופיל.

תוכנית הרגעה מומלצת למשרד בן 5 עד 30 אנשים:

1. הפעלת הפעלה (שעה): הצגת סיכונים קונקרטיים (דוגמאות של אירועים בעולם אמיתי בתחום), הדגמה חיה של התצורה, שאלות/תשובות
2. סרטוני הדרכה קצרים (3-5 דקות כל אחד): סרטון הדרכה אחד לכל יישום קריטי, זמינים בתוך הרשת הפנימית של המשרד
3. אימון דיוג מדומה: שליחת דוא"ל דיוג מזויף ל-3 חודשים מהפריסה כדי למדוד קשב בעולם אמיתי וזיהוי עובדים הדורשים ליווי נוסף
4. אינטגרציה באימוץ: כל עובד חדש מגדיר את 2FA שלו ביום הראשון שלו, עם מפנה ייעודי

ה-OEC (Ordre des Experts-Comptables) מציע גם משאבים להדרכה מתמשכת בנושא סייבר במסגרת התחייבויות הדרכה שנתיות (40 שעות למומחים-כלכליים הרשומים בטבלה). הדרכה זו יכולה להיות מוערכת בגישת הבקרה שלך אם משרדך מסודר ב-ISO 9001 או שואף להסמכת סייבר (תווית ExpertCyber של ANSSI, לדוגמה).

מסגרת חוקית החלה על אימות חזק בהנדסה כלכלית

כלאה של אימות דו-גורמי במשרד הנדסה כלכלית מתרחשת במסגרת נורמטיבית עדינה, מובנת סביב מספר טקסטים בסיסיים.

תקנון eIDAS מס' 910/2014 וגרסתו המעודכנת eIDAS 2.0 (תקנון האיחוד 2024/1183) מהווים את הבסיס ההפניה לכל הנוגע לזיהוי אלקטרוני באירופה. סעיף 8 מגדיר שלוש רמות ביטחון לאמצעי זיהוי אלקטרוני: נמוך, משמעותי וגבוה. לפעולות המחייבות את אחריותו של מומחה-כלכלי (חתימת דוחות, אימות ניירות דוחות כספיים באופן מקוון), רמת הביטחון "משמעותית" או "גבוהה" נדרשת, מה שמרמז חובה אימות רב-גורמי.

GDPR (תקנון ה-EU 2016/679), בסעיף 32 שלו, מטיל על אחראיי עיבוד להטמיע "אמצעים טכניים וארגוניים מתאימים" כדי להבטיח אבטחת נתונים אישיים. משרד הנדסה כלכלית מעבד נתונים אישיים רגישים (נתונים כספיים, נתוני בריאות דרך כתבי משכורת עם הפסקות מחלה וכו'). היעדר 2FA על גישות לתוכנות חשבונאות מהווה כנראה הפרה של סעיף זה, ומחשף את המשרד לעונשים של עד 4% מהיקף העסק השנתי בעולם (סעיף 83 GDPR).

קוד אזרחי צרפתי, סעיפים 1366 ו-1367, מסדירים את הערך המשפטי של חתימה אלקטרונית. סעיף 1367 מציין כי "אמינות הליך חתימה אלקטרונית מובטחת, עד להוכחה אחרת, כאשר הליך זה מיישם חתימה אלקטרונית מוסמכת". אימות חזק הוא רכיב חיוני של הנחה זו של אמינות.

הוראה NIS2 (הוראה UE 2022/2555), המתועדת בחוק הצרפתי מס' 2024-449 מה-21 במאי 2024 וההצעות שלו, מרחיבה התחייבויות סייבר לספקטרום רחב של ישויות. אף על פי שמשרדי הנדסה כלכלית אינם רשומים ישירות כישויות חיוניות, אלה המספקות שירותים דיגיטליים לישויות חיוניות או חשובות (מתקני בריאות, רשויות מקומיות, חברות תשתית קריטית) עלולים להיות כפופים להתחייבויות בעקיפין דרך חוזי השירות שלהם.

תקן מקצועי 2400 של OEC הטיל בנוסף התחייבות אמצעים משופרת בעניין אבטחת מערכות מידע למשרדים העוסקים במשימות משפטיות. ANSSI ממליצה בבירור על MFA כאמצעי מינימום במדריך שלה "אבטחה של מערכות מידע עבור TPE/PME" (מהדורה 2024).

אחריות אזרחית מקצועית: במקרה של הפרת נתונים של לקוחות הנובעת מהיעדר 2FA, המבטח RCP של המשרד יכול להזמין חוקיות כדי להפחית או לסרב להערכתו. מומלץ בחוזקה לשמור על תיעוד טכני של פריסת 2FA כהוכחה של שקדנות.

תרחישי שימוש: 2FA בפועל במשרדי חשבונאות

תרחיש 1 — משרד הנדסה כלכלית בגודל בינוני

משרד המכיל כחמישה עשר עובדים וניהול כ-400 סמכויות פעילות החליט להפיץ 2FA על כל הכלים שלו בעקבות אירוע דיוג שכמעט פיגע בגישה לתוכנית המשכורת שלו. ההנהלה בחרה Microsoft Authenticator ב-Microsoft 365 (דוא"ל, SharePoint, Teams) וביישומי TOTP הילידיים של תוכנת החשבונאות הענן שלה.

הפריסה בוצעה בתוך שלוש שבועות: שבוע אחד של מלאי והגדרת פרמטרים, שבוע אחד של הרשמת עובדים בקבוצות של חמש, שבוע אחד של ניטור ותיקון של בעיות. התוצאה: אפס אירועי סכנה בחשבון במהלך 12 החודשים שלאחר מכן, לעומת שני אירועים בשנה הקודמת. זמן ניהול אירועי אבטחה הופחת בכ-70%. המשרד יכול גם להצדיק מול מספר לקוחות גדולים (כולל SME תעשייתי לקוח בעל תקנון אבטחה לספקים) שהמערכות שלו עומדות בדרישות MFA.

תרחיש 2 — משרד מיוחד בביקורת חוקית של SMEs

משרד של ביקורות חוקיות המנהל כ-60 סמכויות ביקורת חוקיות התעמת בדרישה ספציפית: יותר ולותר מהלקוחות שלה מבקשים הוכחה של תאימות GDPR בעת חידוש המשימות. המשרד בחר להפיץ מפתחות אבטחה FIDO2 לשותפים (גישה לתיקיות רגישות ביותר) ויישומי TOTP לעובדים בכירים, תוך שמירה על SMS OTP רק לגישה לרגישות נמוכה.

במקביל, המשרד שילב חתימה אלקטרונית מתקדמת בתזרימי הדוחות של הביקורת שלו, עם אימות חזק של החותם במערכת. בזכות רצף הביקורת שנוצר, שני סכסוכים פוטנציאליים עם לקוחות המטילים בספק את התאריך האפקטיבי של הימסרות דוח יכלו להיפתר לטובת המשרד על ידי הפקת יומני האימות מחותמים בזמן. הפחתה בזמני החתימה של דוחות (מ-5 ימים בממוצע לפחות מ-24 שעות) אפשרה גם סילוק הנוזלות בדוחות ושיפור בנזילות המשרד בכ-15%.

תרחיש 3 — משרד בשלב גדילה חיצוני

רשת אזורית של משרדי חשבונאות ספגה שלוש מבנים בלתי תלויים במהלך שנתיים התגלתה בהטרוגניות משמעותית של מערכות: כמה משרדים ספוגים לא היו בעלי מדיניות 2FA, אחרים השתמשו ב-SMS OTP. הקבוצה ניצלה אינטגרציה זו כדי ליישב על פתרון אחד של ניהול זהויות (IAM — Identity and Access Management) עם 2FA חובה.

ההשקעה ההתחלתית (רישיונות IAM, הדרכה, ליווי) הוערכה בכ-8000 € לכל הקבוצה (כ-45 עובדים). בתמורה, הפחתה בעלויות הקשורות לאירועי אבטחה (התערבויות משנה מספקים IT, ניהול משבר) הוערכה ב-15,000-20,000 € בשנה הראשונה. הקבוצה יכולה גם לנהל הנחה בפרמיית הסייבר שלה בגודל כ-20% על ידי ספקת תיעוד פריסת 2FA למבטח שלה.

סיכום

אימות דו-גורמי כבר איננו שפע שמור למבנים גדולים: זהו חובה אבטחה וציות עבור כל משרד הנדסה כלכלית, ללא קשר לגודלו. בין דרישות GDPR, ההמלצות של ANSSI, התחייבויות eIDAS לחתימה אלקטרונית ולחץ הולך וגדל של לקוחות על תקני אבטחה של הספקים שלהם, 2FA הפך לתקן בלתי מוקד בתחום.

החדשות הטובות: הפריסה כיום נגישה, מהירה ובעלות נמוכה. בעקבות השלבים המתוארים במאמר זה — מלאי יישומים, בחירת השיטה המתאימה, הרשמת עובדים, כתיבת מדיניות מתועדת — משרדך יכול להגיע לרמה של אבטחה חזקה תוך שבועות ספורים.

Certyneo משלבת ברמת מקור אימות חזק בתזרימי חתימתה האלקטרוניים, המאפשרים לך לשלב תאימות eIDAS ובטחון MFA ללא מורכבות נוספת. גלה את ההצעות וההתמורה שלנו או צור קשר עם הצוות שלנו עבור ליווי מותאם אישית להתאמת משרדך.