Autentifikacija sa dva faktora: vodič za računovodstvo

Zašto je autentifikacija sa dva faktora neophodna u računovodskoj reviziji

Kancelarije računovodske revizije svakodnevno obrađuju visoko povjerljive financijske podatke: fiskalnih izvješća, bilanci, naknadne liste, bankovne podatke stotina klijentskih poduzeća. Prema godišnjem izvješću ANSSI iz 2025., napadi phishingom koji ciljaju regulirane profesije povećali su se za 37% godišnje. Suočeni s tom prijetnjom, autentifikacija sa dva faktora (2FA) — poznata i kao višefaktorska autentifikacija (MFA) — predstavlja prvu liniju tehnijske obrane koju se preporučuje.

Autentifikacija sa dva faktora temelji se na jednostavnom principu: kako bi pristupili sustavu, korisnik mora dokazati svoj identitet kroz dva različita elementa. Prvi je obično "nešto što znate" (lozinka), a drugi je "nešto što imate" (smartphone, fizički ključ) ili "nešto što ste" (biometrijski podaci). Ovaj mehanizam čini gotovo nemogućima napade krađom lozinke koja sama od sebe predstavlja 81% kršenja podataka prema Verizonu DBIR 2024 godišnjeg izvješća.

Za računovodstvene revizore, usklađenost s regulacijom eIDAS i njezinim zahtjevima za snažnu identifikaciju više nije opcija: to je regulatorna i etička nužnost. Ovaj članak vam korak po korak objašnjava kako konfigurirati 2FA u svojoj kancelariji, koje alate odabrati i kako pratiti svoje suradnike u ovoj tranziciji.

---

Metode autentifikacije sa dva faktora prilagođene računovodstvenom sektoru

Aplikacije za autentifikaciju (TOTP)

Najčešća metoda u računovodstvenim kancelarijama je korištenje aplikacije koja generira vremenske kodove (TOTP — Time-based One-Time Password). Rješenja kao Google Authenticator, Microsoft Authenticator ili Authy stvaraju kod od 6 znamenki koji se obnavlja svakih 30 sekundi. Ovaj kod je povezan sa zajedničkom tajnom pohranjenoj u aplikaciji tijekom faze upisa (skeniranje QR koda).

Prednosti za kancelarije: nema dodatnih troškova, funkcionira bez internetske veze, kompatibilno s gotovo svim računovodstvenim softverima (Sage, Cegid, ACD, MyUnisoft). Nedostatak: ako suradnik izgubi svoj telefon, procedura oporavka mora biti unaprijed planirana (kodovi za spremanje trebaju biti čuvani na sigurnom mjestu).

Fizički sigurnosni ključevi (FIDO2/WebAuthn)

Za kancelarije koje obrađuju velike količine osjetljivih podataka ili su predmet čestih revizija, fizički sigurnosni ključevi (kao YubiKey ili Feitian) pružaju najveću razinu zaštite. Temeljeni na standardima FIDO2 i WebAuthn, oni su otporni na phishing po dizajnu: ključ kriptografski provjerava domenu web stranice prije autentifikacije, što neutralizira napade tipa „man-in-the-middle".

Sve više portalnih portala i obveznih platformi za depozit (DGFiP, infogreffe) počinje prihvaćati te standarde. Kancelarija koja upravlja stotinu mandatima može vratiti ulaganje u ključeve (oko 50-80 € po jedinici) u nekoliko tjedana zahvaljujući smanjenju vremena upravljanja sigurnosnim incidentima.

SMS OTP: izbjegavati za osjetljive podatke

Iako kodovi poslani SMS-om ostaju opcija u mnogim sustavima, američki NIST (National Institute of Standards and Technology) ih je 2016. demotivirao iz kategorije jakih metoda autentifikacije. Napadi SIM swappingom (lažni prenos broja telefona na SIM karticu koju kontrolira napadač) pogodili su nekoliko francuskih računovodstvenih kancelarija u posljednjim godinama. Za pristup fiskalnim podacima ili alatima elektroničkog potpisa za pravne i računovodstvene kancelarije, SMS OTP trebao bi biti razmatran samo kao zadnja rješenja.

---

Kako konfigurirati autentifikaciju sa dva faktora: Korak-po-korak vodič

Korak 1 — Inventar aplikacija i definiranje opsega

Prije bilo kojeg tehničkog postavljanja, izvedite potpuni inventar svih aplikacija korištenih u vašoj kancelariji:

• Računovodstveni softveri: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Poruke i suradnički alati: Microsoft 365, Google Workspace, Slack
• Alati upravljanja dokumentima i potpisa: platforme za depozit, alati za radne tokove
• Udaljeni pristup: VPN, RDP, virtualne radne površine
• Klijentski portali: prostori za razmjenu dokumenata s klijentima

Za svaku aplikaciju, provjerite je li 2FA dostupna (odjeljak "Sigurnost" postavki) i koja metoda je podržana (TOTP, FIDO2, SMS). Razvrstajte aplikacije po prioritetu ovisno o osjetljivosti dostupnih podataka.

Korak 2 — Tehnička primjena i upis suradnika

Za Microsoft 365, konfiguracija se provodi putem Azure Active Directory portala (Entra ID). Aktivirajte "Security Defaults" ili, za kancelarije s više od 10 suradnika, konfigurirajte politike uvjetnog pristupa (dostupne od Business Premium licence). Te politike omogućuju zahtijevanje 2FA samo u određenim uvjetima: pristup izvan ureda, prijava sa nepoznatog uređaja, neuobičajeno vrijeme.

Za računovodstvene softvere, procedura se razlikuje prema izdavaču:

• Cegid Loop: parametri sigurnosti > aktivacija dvostruke autentifikacije > generiranje QR kodova za svakog korisnika
• MyUnisoft: administracija > sigurnost > snažna autentifikacija > prisiliti 2FA za sve profile
• Sage 100 Cloud: kontaktirajte Sage administratora ili vašeg distributera kako biste aktivirali MFA modul

Planirana je sesija upisa sa svakim suradnikom (15-20 minuta po osobi). Distribuirajte svakom korisniku rezimeja s kodovima oporavka, koji se čuvaju na sigurnom i fizičkom mjestu (primjerice u sef-skriniji kancelarije).

Korak 3 — Politika upravljanja i procedura u nuždi

Tehnička primjena je samo pola posla. Dokumentovana politika sigurnosti mora precizirati:

• Tko može privremeno deaktivirati 2FA (samo administrator sustava, nikada sam suradnik)
• Procedura gubitka uređaja: odmah blokiranje računa, regeneracija kodova oporavka, supervizioniran ponovni upis
• Učestalost pregleda: polugodišnja revizija pristupa i metoda autentifikacije
• Upravljanje odlaskom: odmah opozvati pristup i 2FA tajne pri bilo kojem odlasku suradnika

Ta politika se prirodno integrira u vaš plan kontinuiteta poslovanja (PCA) i u vaš register obrade podataka u skladu s GDPR-om. Konsultiranje Certyneo centra pomoći može vam pružiti modele politika prilagođene malim i srednjim strukturama.

---

Integracija 2FA s alatima elektroničkog potpisa

Napredni ili kvalificirani elektronički potpis, kako je definirano uredbom eIDAS, zahtijeva snažnu identifikaciju potpisnika. U praktičnom smislu, kada vaša kancelarija šalje pismo o dogovoru ili ugovor o pruživanju usluga klijentu na potpis, platforma za potpis mora provjeriti identitet potpisnika na robustan način. To je upravo gdje intervenira 2FA.

Na platformama za potpis u skladu s eIDAS (napredni ili kvalificirani nivo), potpisnik prima vezu e-poštom, a zatim mora potvrditi svoj identitet preko drugog kanala (SMS, aplikacija za autentifikaciju ili kvalificirani certifikat). Ovaj proces kreira vremenski označenu i kriptografski verifiabilnu revizijsku pista, što predstavlja neporeciv dokaz u slučaju spora — važna problematika za računovodstvene revizore koji angažiraju svoju stručnu odgovornost na svakoj misiji.

Za razumijevanje različitih nivoa potpisa i odabir onog prikladnog vašim dokumentarnim tokovima, čitanje integralnog vodiča kroz elektronički potpis preporučuje se. Kancelarije koje koriste Certyneo koriste od nativne integracije 2FA u tok potpisa, što smanjuje trenje za potpisnika dok se održava razina sukladnosti.

Posebna pažnja treba biti usmjerena na pisma o dogovoru (obavezna prema profesionalnom standardu 2400 OEC-a) i izvještaje revizora: ti dokumenti angažiraju osobnu odgovornost stručnjaka i zahtijevaju besprijekornu autentifikacijsku dokumentaciju. Možete čak koristiti generator ugovora AI-om da automatizirate kreiranje tih dokumenata uz integraciju zahtjeva snažne autentifikacije u dizajn.

---

Obuka i osjetljivost suradnika: ljudski faktor

Najstrožija tehnička primjena čini se neučinkovita ako suradnici ne razumiju problematiku ili izbjegavaju sigurnosne uređaje. U računovodskoj reviziji, timovi često se sastoje od vrlo različitih profila: senior partneri, mlađi suradnici, praktikanti, asistentkinje direktora. Obuka mora biti prilagođena svakom profilu.

Preporučeni program osjetljivosti za kancelariju s 5 do 30 osoba:

1. Sesija pokretanja (1h): prezentacija konkretnih rizika (primjeri stvarnih anonimiziranih incidenta u sektoru), uživa demonstracija konfiguracije, pitanja/odgovori
2. Kratki video tutorijali (3-5 minuta svaki): jedan tutorial po kritičnoj aplikaciji, dostupan u intranet kancelarije
3. Simulirani vježba phishinga: slanje lažne e-poruke phishinga za 3 mjeseca nakon primjene za mjerenje stvarne budnosti i identifikaciju suradnika koji trebaju dodatnu podršku
4. Integracija u onboarding: svaki novi suradnik konfigurira svoju 2FA tijekom prvoga dana, s namjenskim referentom

Reda Eksperta-Računovođa (OEC) također nudi resurse kontinuirane obuke o cyber sigurnosti u okviru godišnjih obveza obuke (40 sati za eksperte-računovođe upisane na popis). Te obuke mogu biti vrijedne u vašoj inicijativi kvalitete ako je vaša kancelarija ISO 9001 certificirana ili teži cyber sigurnosnoj certificiranju (ExpertCyber ANSSI oznaka, primjerice).

Pravni okvir primjenjiv na snažnu autentifikaciju u računovodskoj reviziji

Primjena autentifikacije sa dva faktora u kancelariji računovodske revizije odvija se u gustom normativnom okviru artikuliranom oko nekoliko temeljnih tekstova.

Uredba eIDAS br. 910/2014 i njezina verzija eIDAS 2.0 (Uredba EU 2024/1183) čine temelj reference za sve što se tiče elektroničke identifikacije u Europi. Članak 8 definira tri nivoa sigurnosti za sredstva elektroničke identifikacije: nisk, supstancijalan i visok. Za čine koji angažiraju odgovornost računovodstvenog eksperta (potpis izvještaja, potvrdu fiskalnih izvještaja na mreži), nivo sigurnosti "supstancijalan" ili "visok" je obavezan, što nužno podrazumijeva višefaktorsku autentifikaciju.

GDPR (Uredba EU 2016/679), u členku 32, nameće upraviteljima obrade da provedu "odgovarajuće tehničke i organizacijske mjere" kako bi osigurali sigurnost osobnih podataka. Kancelarija računovodske revizije obrađuje osjetljive osobne podatke (financijske podatke, zdravstvene podatke preko naknadnih lista sa apsentizmom, itd.). Nedostatak 2FA na pristupima računovodstvenim softverima čini se vrlo vjerovatno kršenje tog članka, izlažući kancelariju kaznama koje mogu dosegnuti 4% godišnjeg svjetskog prometa (članak 83 GDPR).

Građanski zakonik, člancima 1366 i 1367, reguliraju pravnu vrijednost elektroničkog potpisa. Članak 1367 precizira da je "pouzdanost postupka elektroničkog potpisa pretpostavljena, do dokazivanja suprotnog, kada taj postupak primjenjuje kvalificirani elektronički potpis". Snažna autentifikacija je bitna komponenta te pretpostavke pouzdanosti.

Direktiva NIS2 (Direktiva EU 2022/2555), uključena u francusko pravo zakonom br. 2024-449 od 21. svibnja 2024 i njezinim uredbama o primjeni, proširuje obveze cyber sigurnosti na širok spektar entiteta. Iako se kancelarije računovodske revizije nisu direktno navedene kao bitni entiteti, one koje pružaju digitalne usluge bitnim ili važnim entitetima (zdravstvene ustanove, lokalne zajednice, kritična infrastruktura poduzeća) mogu biti obvezane posredno preko svojih ugovora o pružanju usluga.

Profesionalni standard 2400 Reda Eksperta-Računovođa nadalje nameće pojačanu obvezu sredstava u smislu sigurnosti informacijskih sustava za kancelarije koje rukuju zakonom obveznih misija. ANSSI izričito preporučuje MFA kao minimalnu mjeru u svojem vodiču "Sigurnost informacijskih sustava za malila i srednja poduzeća" (izdanje 2024).

Stručna civilna odgovornost: u slučaju kršenja podataka klijenta rezultata nedostatka 2FA, osiguravač RCP kancelarije može pribjeći karakteriziranoj greški kako bi smanjio ili odbio njezinu garanciju. Snažno se preporučuje čuvanje tehničke dokumentacije primjene 2FA kao dokaza pažnje.

Scenariji korištenja: 2FA u praksi u računovodstvenim kancelarijama

Scenarij 1 — Srednje velika kancelarija računovodske revizije

Kancelarija s petnaest suradnika i upravljanjem oko 400 aktivnih mandataa odlučila je primjenjivi 2FA na sve svoje alate nakon incidenta phishinga koji je gotovo ugrožio pristup svojoj softveru za obračun plaća. Upravljanje je odabralo Microsoft Authenticator na Microsoft 365 (e-mail, SharePoint, Teams) i za primjena TOTP nativni svojega računovodstvenog softvera u oblaku.

Primjena je provedena u tri tjedna: jedan tjedan inventara i konfiguracije, jedan tjedan upisa suradnika u grupi od pet, jedan tjedan praćenja i ispravke problema. Rezultat: nula incidenata kompromisa računa u sljedećih 12 mjeseci, u odnosu na dva incidenta godinu dana prije. Vrijeme upravljanja sigurnosnim incidentima smanjilo se za oko 70%. Kancelarija je također mogla opravdati nekoliko klijenti većih preduzeća (uključujući jednu mali industrijski poduzeće klijenta koji ima popis zahtjeva sigurnosti dobavljača) da njezini sustavi respektiraju zahtjeve MFA.

Scenarij 2 — Kancelarija specijalizirana za zakonsku reviziju malih poduzeća

Kancelarija revizora od stotinu mandataa zakonske revizije suočena je sa specifičnom zahtjeva: njezini klijenti su sve brojniji traže dokaza sukladnosti GDPR-om tijekom obnavljanja misije. Kancelarija je odabrala FIDO2 sigurnosne ključeve za partnere (pristup najosjetljivijim mapama) i aplikacije TOTP za starije suradnike, dok je SMS OTP održavala samo za pristupe niske osjetljivosti.

Paralelno, kancelarija je integrirala napredni elektronički potpis u svoje tokove izvještaja revizora, sa sustavnom snažnom autentifikacijom potpisnika. Zahvaljujući generirannoj revizijskoj pisti, dva potencijalna spora s klijentima koji ospore datuma učinkovite dostave izvještaja bila su riješena u korist kancelarije proizvodnjom vremenski označenih protokola autentifikacije. Smanjenje vremena za potpis izvještaja (s prosječno 5 dana na manje od 24 sata) također je dovelo do fluidiranja naplata i poboljšanja likvidnosti kancelarije za oko 15%.

Scenarij 3 — Kancelarija u fazi eksterna rasta

Regionalna mreža računovodstvenih kancelarija koja je apsorbirala tri nezavisne strukture u dvije godine naći se s važnom heterogenošću sustava: neke apsorbirane kancelarije nisu imale nikakvu politiku 2FA, druge su koristile SMS OTP. Grupa je iskoristila ovu integraciju za harmonizaciju na ujedinjeno rješenje upravljanja identitetima (IAM — Identity and Access Management) s obaveznom 2FA.

Početna ulaganja (IAM licence, obuka, pratnja) procijenjena su na oko 8 000 € za cijelu grupu (oko 45 suradnika). Zauzvrat, smanjenje troškova vezanih uz sigurnosne incidente (intervencije IT dobavljača, upravljanje krizom) procijenjena je na 15 000-20 000 € tijekom prve godine. Grupa je također mogla pregovarati smanjenje premije cyber osiguranja od oko 20% pružanjem dokumentacije o primjeni 2FA svojem osiguravaču.

Zaključak

Autentifikacija sa dva faktora više nije luksuz rezerviran za velike strukture: to je sigurnosna nužda i obaveza sukladnosti za svaku kancelariju računovodske revizije, bez obzira na njezinu veličinu. Između zahtjeva GDPR-a, preporuka ANSSI-ja, obveza eIDAS-a za elektronički potpis i rastućeg pritiska klijenta na standarde sigurnosti svojih davatelja usluga, 2FA je postao neobuzdan standard sektora.

Dobra vijest: primjena je danas pristupačna, brza i malo skupna. Slijeđenjem koraka opisanih u ovom članku — inventara aplikacija, odabira prilagođene metode, upisa suradnika, pisanja dokumentovane politike — vaša kancelarija može dostići robusnu razinu sigurnosti u nekoliko tjedana.

Certyneo nativno integrira snažnu autentifikaciju u svoje tokove elektroničkog potpisa, omogućavajući vam kombiniranje eIDAS sukladnosti i MFA sigurnosti bez dodatne složenosti. Saznajte naše ponude i cijene ili kontaktirajte naš tim za prilagođenu pratnju usklađenja vaše kancelarije.