Kétfaktoros hitelesítés: útmutató a számvitelhez

Miért elengedhetetlen a kétfaktoros hitelesítés a számviteli szakterületen

A számviteli irodák naponta kezelnek nagyon bizalmas pénzügyi adatokat: adónyilatkozatokat, mérlegeket, fizetési szelvényeket, száz vállalati ügyfél banki koordinátáit. A 2025-ös év szerint az ANSSI éves jelentése szerint a szabályozott szakmákat célzó adathalász támadások 37%-kal nőttek egy év alatt. Ezzel a veszéllyel szemben a kétfaktoros hitelesítés (2FA) — más néven többfaktoros hitelesítés (MFA) — az ajánlott technikai védelmi első vonal.

A kétfaktoros hitelesítés egy egyszerű elvből indul: a rendszerhez való hozzáféréshez a felhasználónak az identitását két különálló elemmel kell igazolnia. Az első általában "valamit, amit tudunk" (jelszó), a második "valamit, amit birtoklunk" (okostelefon, fizikai kulcs) vagy "valamit, amik vagyunk" (biometrikus adatok). Ez a mechanizmus szinte lehetetlen teszi a jelszólopáson alapuló támadásokat, amelyek még mindig az adatszegések 81%-át jelentik a 2024-es Verizon DBIR jelentés szerint.

A számvitelszakértők számára a eIDAS rendelet szerinti megfelelőség és az erős azonosítási követelmények már nem opcionális: szükséges szabályozási és etikai kötelezettség. Ez a cikk lépésről lépésre magyarázza el, hogyan kell konfigurálni a 2FA-t az irodájában, mely eszközöket kell választani, és hogyan lehet segíteni az alkalmazottakat ebben az átmenetben.

---

A kétfaktoros hitelesítés módszerei a számviteli szektorban

Hitelesítési alkalmazások (TOTP)

A számviteli irodákban leggyakoribb módszer az időalapú egyszer használható jelszavakat (TOTP — Time-based One-Time Password) generáló alkalmazás használata. Az olyan megoldások, mint a Google Authenticator, Microsoft Authenticator vagy az Auty, 6 számjegyű kódot generálnak, amely 30 másodpercenként frissül. Ez a kód egy megosztott titkokhoz van társítva, amely az alkalmazásban tárolódik a regisztrációs szakaszban (QR-kód beolvasása).

Az irodák számára előnyös: nulla további költség nélküli telepítés, kapcsolat nélkül működik, kompatibilis szinte minden számviteli szoftverrel (Sage, Cegid, ACD, MyUnisoft). Hátránya: ha az alkalmazott elveszíti a telefonját, a helyreállítási eljárást előre kell tervezni (biztonsági kódok biztonságos helyen való tárolása).

Fizikai biztonsági kulcsok (FIDO2/WebAuthn)

Az olyan irodák számára, amelyek nagy mennyiségű érzékeny adatot kezelnek vagy gyakori auditoknak vannak kitéve, a fizikai biztonsági kulcsok (pl. YubiKey vagy Feitian) a legmagasabb védelmi szintet nyújtják. Az FIDO2 és WebAuthn szabványokon alapulnak, és terv szerint ellenállóak a halász támadásokkal szemben: a kulcs kriptográfiailag ellenőrzi a webhely tartományát az hitelesítés előtt, amely semlegesíti az "ember a középben" típusú támadásokat.

Egyre több pénzügyi portál és kötelező bejelentési platform (DGFiP, infogreffe) hajlamos az ilyen szabványokat elfogadni. Száz megbízást kezelő iroda az átlagos 50-80 EUR-s kulcsok beszerzésének megtérülését néhány hét alatt elérheti a biztonsági incidensek kezelésének időbeni csökkentése miatt.

SMS OTP: kerülendő az érzékeny adatok esetén

Noha az SMS-ben küldött kódok számos rendszerben továbbra is opcióként maradnak, az amerikai NIST (National Institute of Standards and Technology) 2016-ban visszaminősítette őket az erős hitelesítési módszerek kategóriájából. A SIM-csere támadások (egy telefonszám fraudulens átvitele egy támadó által vezérelt SIM-kártyára) több francia számviteli irodát is érintett az elmúlt években. Az adóügyi adatokhoz vagy a számviteli és jogi irodák számára a digitális aláírási eszközökhöz való hozzáféréshez az SMS OTP-t csak utolsó megoldásként kell figyelembe venni.

---

A kétfaktoros hitelesítés konfigurálása: lépésről lépésre útmutató

1. lépés — Az alkalmazások leltározása és a terület meghatározása

Bármely technikai telepítés előtt készítse el az irodájában használt összes alkalmazás kimerítő leltárát:

• Számviteli szoftverek: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-mailezés és kollaboratív eszközök: Microsoft 365, Google Workspace, Slack
• Dokumentumkezelés és aláírási eszközök: bejelentési platformok, munkafolyamat-eszközök
• Távoli hozzáférés: VPN, RDP, virtuális asztalok
• Ügyfélportálok: dokumentum-cserehelyek az ügyfelekkel

Minden alkalmazáshoz ellenőrizze, hogy a 2FA elérhető-e (a beállítások "Biztonság" szakaszában) és milyen módszer támogatott (TOTP, FIDO2, SMS). Az alkalmazások besorolása az elérhető adatok érzékenysége alapján kritikusságát végezze el.

2. lépés — Technikai telepítés és az alkalmazottak bejelentkeztetése

Microsoft 365 esetén a konfigurálás az Azure Active Directory portálon (Entra ID) történik. Aktiválja a "Security Defaults" lehetőséget, vagy a 10-nél több alkalmazotttal rendelkező irodák számára konfigurálja az Feltételes hozzáférés szabályzatait (már a Business Premium licenc lehetővé teszi). Ezek a szabályzatok lehetővé teszik a 2FA megkövetelését csak bizonyos feltételek alatt: az iroda külső helyről való hozzáféréskor, ismeretlen eszközről való bejelentkezéskor, szokatlan időpontban.

Számviteli szoftverek esetén az eljárás az szerkesztő szerint változik:

• Cegid Loop: biztonsági beállítások > dupla hitelesítés aktiválása > QR-kódok létrehozása minden felhasználóhoz
• MyUnisoft: adminisztráció > biztonság > erős hitelesítés > 2FA megkövetelése az összes profilhoz
• Sage 100 Cloud: lépjen kapcsolatba a Sage adminisztrátorral vagy forgalmazójával az MFA modul aktiválásához

Tervezzen egy bejelentkeztetési ülést minden alkalmazottnak (15-20 perc felhasználónként). Adja ki minden felhasználónak a helyreállítási kódokkal rendelkező összegzett lapot, amelyet biztonságos fizikai helyen kell tárolni (például az iroda széfjében).

3. lépés — Felügyeleti politika és sürgősségi eljárások

A technikai bevezetés csak a munka fele. A dokumentált biztonsági politikának a következőket kell meghatároznia:

• Wer lehet ideiglenesen letiltani a 2FA-t (csak a rendszergazda, soha nem az alkalmazott)
• Eszközvesztés eljárása: a fiók azonnali letiltása, helyreállítási kódok újragenerálása, felügyelt újrabejelentkeztetés
• Felülvizsgálat gyakorisága: félévenkénti hozzáférési és hitelesítési módszerek auditja
• Alkalmazottak maradásának kezelése: azonnali hozzáférés és 2FA titkok visszavonása bármely alkalmazott maradásakor

Ez a politika természetesen illeszkedik a folytonossági tervéhez (PCA) és az GDPR szerinti adatkezelési nyilvántartásához. A Certyneo segítségnyújtási központjának konzultálása a kis és közepes méretű szervezetekhez igazított politikai sablonokat nyújthat.

---

A 2FA integrálása a digitális aláírási eszközökkel

Az eIDAS rendelet által meghatározott haladó vagy minősített digitális aláírás az aláíró erős azonosítását igényli. Gyakorlatilag, amikor az irodája egy megbízási levelet vagy teljesítési szerződést továbbít egy ügyfélhez aláírásra, az aláírási platformnak erősen ellenőriznie kell az aláíró identitását. Ez pontosan ott fordul elő, ahol a 2FA beavatkozik.

Az eIDAS-nak megfelelő aláírási platformokon (haladó vagy minősített szint) az aláíró egy e-mailben kapott linket kap, majd identitását egy második csatornán keresztül kell érvényesítenie (SMS, hitelesítési alkalmazás vagy minősített tanúsítvány). Ez a folyamat egy időbélyeggel ellátott és kriptográfiailag igazolt auditnyomot hoz létre, amely egy vitás kérdésben vitatható bizonyíték — a szakértő számára fontos szempont, aki minden feladaton felé felelős.

A különböző aláírási szintekhez és az Ön dokumentumfolyamataihoz illő szint kiválasztásához a digitális aláírás teljes útmutatójának olvasása javasolt. A Certyneot használó irodák natív 2FA-integrációt élveznek az aláírási útvonalban, amely csökkenti az aláíró súrlódást, miközben megtartja a szükséges megfelelőségi szintet.

Különleges figyelmet kell fordítani a megbízási levelekre (az OEC 2400-as szakmai normája szerint kötelezőek) és a felelősöket tanúsító jelentésekre: ezek a dokumentumok az oktató személyes felelősségét terhelik, és megkövetelnek egy kifogástalan hitelesítési nyomon követést. Ezeket a dokumentumokat egyébként egy AI szerződés-generátorral automatizálhatja az erős hitelesítési követelményeket már a tervezésből integrálva.

---

Az alkalmazottak képzése és érzékenyítése: az emberi tényező

A leghatékonyabb technikai telepítés hatástalan marad, ha az alkalmazottak nem értik meg a szükségességet vagy megkerülik a biztonsági eszközöket. A számvitelszakértésben az csapatok gyakran nagyon változatos profilokból állnak: vezető társulások, fiatal kollaboránsok, gyakornokk, igazgatási asszisztensek. A képzésnek minden profilra adaptálhatónak kell lennie.

Ajánlott szenzibilizálási program egy 5-30 fős irodához:

1. Indítóülés (1 óra): a konkrét kockázatok bemutatása (a szakterület valós incidenseinek anonimizált példái), élő konfigurálási bemutató, kérdések/válaszok
2. Rövid videó-útmutatók (3-5 perc mindegyik): egy útmutató alkalmazásonként, az iroda intraneten elérhető
3. Szimulált adathalász gyakorlat: hamis adathalász e-mail küldése 3 hónap múlva az üzembe helyezéshez képest a tényleges éberség mérésére és a további támogatást igénylő alkalmazottak azonosítására
4. Integráció az onboardingba: minden új alkalmazott a 2FA-t az első napon konfigurálja, egy dedikált referenssel

Az Ordem de los Expertos-Comptables (OEC) további képzési lehetőségeket kínál a számviteli biztonság terén az éves képzési kötelezettségek keretében (40 óra az OEC táblájában nyilvántartott számvitelszakértők számára). Ezeket a képzéseket az Ön minőségi megközelítésében lehet értékelni, ha az iroda ISO 9001-ben tanúsított vagy a kibertámadásokkal szembeni biztonságot igazolni szeretne (pl. az ANSSI ExpertCyber címkéje).

Az erős hitelesítésre vonatkozó jogi keret a számvitelszakértésben

A kétfaktoros hitelesítés bevezetése egy számviteli irodában egy sűrű szabályozási keretbe illeszkedik, amelyet számos alapvető szöveg épít fel.

Az eIDAS 910/2014 rendelet és annak eIDAS 2.0 felülvizsgálata (EU 2024/1183 rendelet) az Európa-szerte az elektronikus azonosítással kapcsolatos referencia alapja. A 8. cikk az elektronikus azonosítási eszközökhöz három biztonsági szintet határoz meg: alacsony, lényeges és magas. Egy számvitelszakért személyes felelősségét terhelő cselekmények (jelentések aláírása, adóbevallások online érvényesítése) esetén a "lényeges" vagy "magas" biztosítási szint szükséges, amely szükségszerűen többfaktoros hitelesítést igényel.

Az GDPR (EU 2016/679 rendelet) a 32. cikkében a feldolgozókra megfelelő "technikai és szervezeti intézkedéseket" ír elő a személyes adatok biztonságának biztosítása érdekében. Egy számviteli iroda érzékeny személyes adatokat kezel (pénzügyi adatok, egészségügyi adatok fizetési szelvényeken keresztül betegszabadság formájában stb.). A 2FA hiánya a számviteli szoftverekhez való hozzáférésben valószínűleg ennek a cikknek a megsértése, amely az irodát az éves globális bevétel 4%-áig terjedő szankciónak teszi ki (GDPR 83. cikk).

A polgári törvény 1366. és 1367. cikkei az elektronikus aláírás jogi értékét szabályozzák. Az 1367. cikk szerint "az elektronikus aláírási eljárás megbízhatósága akkor vélelmezendő, amíg az ellenkezőjét nem bizonyítják, ha az eljárás minősített elektronikus aláírást alkalmaz". Az erős hitelesítés ennek a megbízhatósági vélelemnek az alapvető összetevője.

Az NIS2 direktíva (EU 2022/2555 direktíva), amelyet az 2024. május 21-i 2024-449. szám törvénye és annak alkalmazási dekrétumei ültetnek át Franciaország jogába, kiterjesztik a kiberbiztonsági kötelezettségeket egy széles entitásspektrumra. Noha a számviteli irodák nem szerepelnek közvetlenül az alapvető entitások listáján, azok, amelyek alapvető vagy fontos entitásoknak nyújtanak digitális szolgáltatásokat (egészségügyi intézmények, helyi önkormányzatok, kritikus infrastruktúra vállalkozások), közvetlenül alá lehetnek vetve az előírásokat prestasiós szerződéseken keresztül.

Az Ordre des Experts-Comptables 2400-as szakmai normája emellett az erre rendszer biztonsági információihoz kapcsolódó erősített kötelezettséget ír elő a jogi megbízások kezelésére. Az ANSSI kifejezetten ajánlja az MFA-t mint minimális intézkedést az "Információs rendszerek biztonsága a KKV-khoz/KKV-khoz" útmutatóban (2024-es kiadás).

Szakmai felelősségbiztosítás: ha az ügyfeladatok biztonsági megsértése a 2FA-hiányából eredő biztonsági adatszegésből adódik, az iroda RCP-biztosítója felhasználhatja a végzett hibát a garancia csökkentésének vagy elutasításának indokaként. Erősen javasolt a 2FA bevezetésének technikai dokumentációját gondosságbizonyítékként megőrizni.

Esetek az irodák 2FA-nak gyakorlati használata

Eset 1 — Közepes méretű számviteli iroda

Egy körülbelül tizenöt alkalmazottal rendelkező és körülbelül 400 aktív megbízást kezelő iroda úgy döntött, hogy a 2FA-t az összes eszközre bevezetik, miután egy adathalász incidens majdnem kompromittálta az számviteli szoftver elérhetőségét. A vezetés a Microsoft 365-n (e-mail, SharePoint, Teams) a Microsoft Authenticatort és az alkalmazásfelhő-alapú számviteli szoftverének natív TOTP-alkalmazásait választotta.

Az üzembe helyezés három hét alatt valósult meg: egy hét leltárba és beállításra, egy hét az alkalmazottak bejelentkezésére öt fős csoportokba, egy hét a problémák nyomon követésére és kijavítására. Eredmény: nulla fiók kompromittálásának incidensje a következő 12 hónapban az előző évvel szemben két incidens volt. A biztonsági incidensek kezelésének ideje körülbelül 70%-kal csökkent. Az iroda számos nagy ügyfél (beleértve egy ipari KKV-t, amely beszállító biztonsági chartát írta elő) előtt is igazolhatta, hogy rendszerei az MFA követelményeit betartják.

Eset 2 — A KKV-k jogi auditjára szakosodott iroda

Körülbelül hatvan jogi audit megbízást kezelő bizottság-iroda egy konkrét követelménnyel szembesült: ügyfelei egyre több számban GDPR megfelelőségi bizonyítékot igényeltek a megbízások megújítása során. Az iroda úgy döntött, hogy a FIDO2 biztonsági kulcsokat telepítse a társultokhoz (hozzáférés a legérzékenyebb fájlokhoz) és TOTP alkalmazásokat a vezető colaboradores számára, miközben az SMS OTP-t csak az alacsony érzékenységű hozzáférésekhez tartotta meg.

Párhuzamosan az iroda integrálja az erős hitelesítésű aláírási eljárást a bizottság-jelentések munkafolyamataiba, az aláíró szisztematikus erős hitelesítésével. Az auditnyom generálásának köszönhetően két lehetséges vita az ügyfélekkel a jelentés átvételi időpontjának vitatásával az iroda javára lett feloldva az időbélyeggel ellátott hitelesítési naplók előterjesztésével. A jelentések aláírásának csökkent időtartama (átlagosan 5 nap kevesebb mint 24 óra alatt) a munkafolyamatot és a számlázást is felgyorsította, az iroda keringőforrásait körülbelül 15%-kal javítva.

Eset 3 — Növekedésben lévő iroda külső fúzión keresztül

Egy regionális számviteli irodahálózat, amely két év alatt három független szerkezetet szívott fel, nagy heterogenitással találkozott: néhány felszívott irodának nem volt 2FA-politikája, másoknak SMS OTP-t használtak. A csoport ezt az integrációt egy egységes identitáskezelési megoldáshoz (IAM — Identity and Access Management) való szinkronizálásra használta ki, kötelező 2FA-val.

A kezdeti beruházás (IAM-licencek, képzés, támogatás) körülbelül 8000 eurót tesz ki az egész csoport számára (körülbelül 45 alkalmazott). Cserébe a biztonsági incidensekből eredő költségcsökkentés (informatikai ajánlott szolgáltató beavatkozása, válságkezelés) az első év során körülbelül 15 000–20 000 eurová becsülhető. A csoport képes volt továbbá a kibertámadásokkal szembeni biztosítása kedvezményét körülbelül 20%-kal tárgyalni az iroda által a 2FA-bevezetés dokumentációját benyújtva.

Következtetés

A kétfaktoros hitelesítés már nem nagyobb intézmények számára fenntartott luxus: a szakterület minden számviteli irodájának biztonsági és megfelelőségi parancs, méretétől függetlenül. Az GDPR kötelezettségek között, az ANSSI ajánlásai, az eIDAS kötelezettségek az elektronikus aláírásra, valamint az ügyfelek növekvő nyomása az ellátók biztonsági normáinak tekintetében a 2FA a szakterület biztosan elkerülhetetlen szabványává vált.

A jó hírek: a bevezetés ma már elérhető, gyors és alacsony költségű. Az ebben a cikkben leírt lépések követésével — az alkalmazások leltárkészítése, a megfelelő módszer választása, az alkalmazottak bejelentkeztetése, a dokumentált politika írása — az iroda néhány hét alatt robusztus biztonsági szintet érhet el.

A Certyneo natív módon integrálja az erős hitelesítést az aláírási munkafolyamataiba, lehetővé téve az eIDAS megfelelőség és az MFA-biztonság kombinálásához anélkül, hogy további összetettséget adna. Fedezze fel ajánlatainkat és díjainkat vagy forduljon csapatunkhoz az iroda megfelelőségi szinthez való személyre szabott támogatásért.