Sannprófun tveggja þátta: handbók fyrir endurskoðun

Hvers vegna sannprófun tveggja þátta er ómissandi í endurskoðun

Endurskoðunarskrifstofur meðhöndla dagdaga mjög trúnaðarleg fjárhagsgögn: skattskyldublöð, efnahagsreikninga, launaseðla, bankareikninga upplýsingar um hundruð fyrirtækja. Árið 2025, samkvæmt ársskýrslu ANSSI, aukust ætluð vefhugsunarárásir á stjórnsýslustéttir um 37% á ári. Vegna þessarar ógnunar eru sannprófun tveggja þátta (2FA) — einnig kölluð margþátta sannprófun (MFA) — fyrri varnir sem mælt er með.

Sannprófun tveggja þátta byggir á einföldu meginreglu: til að fá aðgang að kerfi verður notandi að sanna auðkenni sitt með tveimur aðskildum þáttum. Fyrri er venjulega "eitthvað sem þú veist" (lykilorð), sá seinni er "eitthvað sem þú átt" (sími, eðlileg lykill) eða "eitthvað sem þú ert" (líffræðileg gögn). Þessi kerfi gerir næstum ógerlegt að stela eingöngu lykilorðum, sem eru enn 81% af gagnabrotum samkvæmt Verizon DBIR 2024 skýrslu.

Fyrir endurskoðendur er samræming við reglusetningarefni eIDAS og kröfur um sterka auðkenningu ekki lengur valfrjáls: það er eftirlits- og siðferðileg nauðsyn. Þessi grein útskýrir skref fyrir skref hvernig á að stilla 2FA í skrifstofunni þinni, hvaða tæki á að velja og hvernig á að fylgja starfsmönnum þínum í þessari breytingu.

---

Sannprófunaraðferðir tveggja þátta sem henta endurskoðunargeiranum

Sannprófunarforrit (TOTP)

Algengasta aðferðin í endurskoðunarskrifstofum er notkun á forriti sem myndar tímabundin kóða (TOTP — Time-based One-Time Password). Lausnir eins og Google Authenticator, Microsoft Authenticator eða Authy mynda 6 stafa kóða sem endurlifa á 30 sekúndum. Þessi kóði er tengdur deilli sem er geymdur í forritinu við skráningu (skönnun QR kóða).

Kostir fyrir skrifstofur: endalaus innleiðing, virkar án nettengingar, samhæft við næstum öll endurskoðunarhugbúnaður (Sage, Cegid, ACD, MyUnisoft). Ókostur: ef starfsmaður tapar símanum verður gera sér grein fyrir batatækni (neyðarkóðar geymdir á öruggum stað).

Eðlileg öryggislyklar (FIDO2/WebAuthn)

Fyrir skrifstofur sem meðhöndla stórar magn viðkvæmra gagna eða eru háðar tíðum endurskoðunum bjóða eðlilegir öryggislyklar (eins og YubiKey eða Feitian) hæsta verndun. Miðað við FIDO2 og WebAuthn staðla eru þeir óhættulegir fyrir vefhugsun með hönnun: lykillinn staðfestir dómlén vefsins með dulkóðun áður en hann auðkennist, sem útrýmir "man-in-the-middle" árásum.

Fleiri og fleiri skattaleg gáttir og forystu pallir (DGFiP, infogreffe) hafa tilhneigingu til að samþykkja þessa staðla. Skrifstofa sem stýrir um hundrað verkefnum getur endurframkallað kaup á lyklum (um 50-80 € fyrir eininguna) á nokkrum vikum með því að fækka öryggisvorðum.

SMS OTP: að forðast fyrir viðkvæm gögn

Þó að kóðar sendir með SMS séu enn valkostur í mörgum kerfum hefur bandarískt NIST (National Institute of Standards and Technology) flutt þá niður árið 2016 frá flokki sterks sannprófunaraðferða. Árásir með SIM skiptingu (sviksamleg yfirfærslu á símanúmeri yfir á SIM kort sem stjórnað er af árásarmaður) hafa snert nokkra endurskoðunarskrifstofur í Frakklandi undanfarin ár. Fyrir aðgang að skattalegum gögnum eða tækjum rafræn undirritun fyrir lögfræðinga og endurskoðendur, SMS OTP ætti að teljast aðeins sem síðasti úrræði.

---

Hvernig á að stilla sannprófun tveggja þátta: skreffanleg handbók

Skref 1 — Birgðir forrita og skilgreining umfangs

Fyrir allar tæknilegar innleiðingar, gerðu tæmandi skrá yfir öll forrit sem notuð eru í skrifstofunni þinni:

• Endurskoðunarhugbúnaður: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Tölvupóstur og samvinnuverkfæri: Microsoft 365, Google Workspace, Slack
• Gjaldeyrisbúnaður og undirritunartæki: gáttir fyrir innlögn, verkflæðistæki
• Fjarlægir aðgangar: VPN, RDP, sýndarskrifstofur
• Viðskiptavini gáttir: skjöladeiling með viðskiptavinum

Fyrir hvert forrit skaltu athuga hvort 2FA sé fáanlegt (hluti "Öryggi" í stillingum) og hvaða aðferð er studd (TOTP, FIDO2, SMS). Flokkaðu forrit eftir mikilvægi miðað við viðkvæmni gagna sem aðgengilegir eru.

Skref 2 — Tæknilegur innleiðing og skráning starfsmanna

Fyrir Microsoft 365, stillingar fer fram í gegnum Azure Active Directory (Entra ID) gátt. Virkjaðu "Security Defaults" eða, fyrir skrifstofur með fleiri en 10 starfsmönnum, stilltu Aðgengilisbandbreiddarstefnu (fáanlegt frá Business Premium leyfi). Þessar reglur gera kleift að krefjast 2FA aðeins undir ákveðnum skilyrðum: aðgangur utan skrifstofu, innskráning frá óþekktu tæki, óvenjulegir tími.

Fyrir endurskoðunarhugbúnaði, verklagið er breytilegt eftir útgefanda:

• Cegid Loop: stillingarkerfissæki > virkja tvöfalda auðkenningu > mynda QR kóða fyrir hvern notanda
• MyUnisoft: stjórnun > öryggi > strong authentication > framfylgja 2FA fyrir allar forvöxur
• Sage 100 Cloud: hafðu samband við Sage stjórnanda eða endursöluaðila til að virkja MFA eininguna

Skipulagðu skráningarlotu með hverjum starfsmanni (15 til 20 mínútur á mann). Dreifðu hverjum notanda samantektarblað með endurheimtunarlykkjum, sem á að geyma á öruggum og eðlilegum stað (skrifstofukofri, til dæmis).

Skref 3 — Stefna fyrir stjórnun og neyðarverklag

Tæknilega innleiðingin er aðeins helmingur verkinu. Skjalfest öryggisstefna verður að tilgreina:

• Hverjir geta slökkt tímabundið á 2FA (aðeins kerfisstjóri, aldrei starfsmaður sjálfur)
• Verklag við tap á tæki: tafarlaus útilokun reiknings, endurmyndun endurheimtunarlykkja, endurskráning undir eftirliti
• Endurskipulagning tíðni: hálf ársendurskoðun á aðgangi og sannprófunaraðferðum
• Stjórnun á brottfarandi: tafarlaus afturköllun á aðgangi og 2FA leyndum við hvaða brottför sem er starfsmanns

Þessi stefna samofna sér náttúrulega í endurstjórnunaráætlun þinni (PCA) og í gögn stjórnunarriti þínu frá GDPR sjónarhorni. Samráð við hjálparmiðstöð Certyneo getur gefið þér sniðmát stefnu sem hæfa litlum og meðalstórum skipulögum.

---

Samþætting 2FA með rafrænum undirritunartækjum

Framöfguð eða hæf rafræn undirritun, eins og skilgreint er í reglunni eIDAS, krefst sterkrar auðkenningar undirritanda. Í raun, þegar skrifstofan þín sendir verkefnisbrefi eða þjónustusamning til undirskriftar til viðskiptavinar, verður undirritunarpallur að staðfesta auðkenni undirritanda á traustum hátt. Þetta er nákvæmlega þar sem 2FA kemur inn.

Í undirritunarkerfum sem eru samhæf eIDAS (framöfguð eða hæf stig), fær undirritandi tengil með tölvupósti, og þarf síðan að staðfesta auðkenni hans í gegnum annan rás (SMS, sannprófunarforrit eða hæft vottorð). Þetta ferli skapar lagðar endurskoðunarslóð og dulkóðunaragreinilega staðfestingu, sem er ótvíræð sönnun við deilur — mikilvæg málefni fyrir endurskoðendur sem skuldbinda sig á persónulega ábyrgð á hverri verkefni.

Til að skilja mismunandi undirritunarstig og velja það sem passar við þína gagna verkflæði, lestur á heildarhandbók um rafræna undirritun er mælt með. Skrifstofur sem nota Certyneo njóta beint samþættingar 2FA inn í undirritunarferli, sem dregur úr núningi fyrir undirritanda á meðan gætt er að kröfum um samhæfni.

Sérstök athygli verður gefin á verkefnabréfum (skylt samkvæmt faglegum stöðlum 2400 OEC) og skýrslum um endurskoðun: þessi skjöl bindandi persónulega ábyrgð fagmannsins og krefjast óefaskepta auðkenningarslóðar. Þú getur reyndar notað AI samningu búnaðarritun til að gera þessi skjöl sjálfvirk á meðan þú samþættir kröfur um sterka auðkenningu frá hönnun.

---

Þjálfun og meðvitund starfsmanna: mannlegi þátturinn

Önnur tæknilega innleiðing, sama hversu ströng sem er, er endalaust gert óhæf ef starfsmenn skilja ekki hvatar eða farast um öryggisbúnaðinn. Í endurskoðun eru liðir oft samsettir af mjög mismunandi forvexti: eldri samstarfsaðilar, yngri samstarfsaðilar, starfsmenn, aðstoðarkonur. Þjálfun verður að vera aðlöguð að hverri forvexti.

Ábendingaáætlun fyrir skrifstofur með 5 til 30 mannum:

1. Opnunarlota (1h): kynning á hættu í raunveruleikanum (dæmi um sannvirk atvik nafnlaus í geiranum), lifandi sýning á stillingum, spurningar/svör
2. Stuttir myndbandaveiðleikar (3-5 mínútur hvor): ein leiðbeiningar fyrir hvert mikilvægt forrit, í boði á intranet skrifstofunnar
3. Vefhugsun æfing: sending á röngum tölvupósti til vefhugsun til 3 mánaða fyrir innleiðingu til að mæla alvöru gætingu og bera kennsl á starfsmenn sem þarfnast viðbótaraðstoðar
4. Samþætting í innleiðingu: allir nýir starfsmenn stilla 2FA á fyrsta degi með tilteknum samstarfsaðila

Félag endurskoðenda (OEC) bauð einnig þjálfunarúrræði um netöryggi sem hluta af árlegu þjálfunarskuldbindingum (40 klukkustundir fyrir endurskoðendur sem skráðir eru á borðið). Þessar þjálfun geta verið metin í gæðaáætlun ef skrifstofan er staðfest samkvæmt ISO 9001 eða miðar að netöryggisstaðfestingu (ExpertCyber merki ANSSI, til dæmis).

Lagaleg rammi sem gildir fyrir sterka auðkenningu í endurskoðun

Uppsetning sterkrar auðkenningar tveggja þátta í endurskoðunarskrifstofu er hluti af þéttum regluverki sem er miðlun um nokkur grundvallarritungarstærðir.

Reglusetningarefni eIDAS nr. 910/2014 og hennar endurskoðun eIDAS 2.0 (Reglusetningarefni ESB 2024/1183) mynda forrit fyrir allt sem snertir rafræna auðkenningu í Evrópu. 8. grein skilgreinir þrjú tryggingastig fyrir rafræna auðkenningaaðferðir: veikt, framleitt og há. Fyrir athafnir sem bindandi persónulega ábyrgð endurskoðenda (undirritun skýrslna, staðfesting skattskyldublöða á netinu), þarf "framleitt" eða "há" tryggingastig, sem felur í sér óskoranir margþátta auðkenningu.

GDPR (Reglusetningarefni ESB 2016/679), í 32. grein hans, setur á fulltrúa stjórnanda að framkvæma "viðeigandi tæknilegar og stjórnunarlegar ráðstafanir" til að tryggja öryggi persónuupplýsinga. Endurskoðunarskrifstofa meðhöndlar viðkvæm persónugögn (fjárhagsgögn, heilsufarsgögn með launaseðlum með veikindum, osfrv.). Skortur á 2FA á aðgangi að endurskoðunarhugbúnaði er mjög líklega brot á þessari grein, sem útsetur skrifstofuna fyrir sektum sem geta náð 4% af árlegum heildartekjum á heimsvísu (32. grein GDPR).

Borgarleg lög, greinum 1366 og 1367, setja reglur um lagalegt gildi rafræns undirskriftar. Grein 1367 tilgreinir að "áreiðanleiki rafræns undirskriftar skal talin til sannar, fram til sönnunar á hinu, þegar þessi ferli framkvæmir hæfa rafræna undirskrift". Sterk auðkenning er nauðsynlegur hluti af þessari sannarlegri áreiðanleika.

NIS2 tilskipunin (Tilskipun ESB 2022/2555), sem flutt var yfir í frönsku lög með lögum nr. 2024-449 frá 21. maí 2024 og tilskipunum, stækkar netöryggisskuldbindingar á breiðan sviðsmönnum. Þó að endurskoðunarskrifstofur séu ekki beint taldar sem nauðsynlegar aðilar, þeir sem veita stafræna þjónustu nauðsynlegum aðilum eða mikilvægum aðilum (heilsuflokkar, sveitarfélög, innviðaíréttar) geta verið háðir skuldbindingum gegnum samningaskuldbindingar.

Faglegir staðlar 2400 frá félaginu endurskoðenda leggur aukna skuldbindingu á öryggismálum fyrir kerfi upplýsingafræðinga fyrir skrifstofur sem meðhöndla löglegar verkefni. ANSSI mælir með MFA skýrt sem lágmarksráðstöfun í handbók sinni "Öryggi upplýsingakerfa fyrir SME/SME" (útgáfu 2024).

Faglegur ábyrgðarvátrygging: ef gönubrota á viðskiptavina gögnum stafar af skorti á 2FA, getur vátryggjandi RCP skrifstofunnar ákveðið einfaldan sök til að fækka eða hafna tryggingu. Það er mjög ráðlagt að varðveita tæknilega gögn um 2FA innleiðingu sem sönnun um viðeigandi.

Notkunarsviðsmyndir: 2FA í framkvæmd í endurskoðunarskrifstofum

Notkunarmynd 1 — Endurskoðunarskrifstofa með meðalstærð

Skrifstofa sem samanstendur af um 15 starfsmönnum og stýrir um 400 virk verkefnum ákvað að setja upp 2FA á öllum tækjum sínum eftir vefhugsunartíðindi sem næstum kom til þess að svæða aðgang að launakerfinu. Stjórnendur kusu Microsoft Authenticator á Microsoft 365 (tölvupóstur, SharePoint, Teams) og fyrir TOTP forrit inn í endurskoðunarhugbúnaði sínum.

Innleiðingin var gerð á þremur vikum: ein vika fyrir birgðir og stillingar, ein vika fyrir skráningu starfsmanna í 5 manna hópum, ein vika fyrir eftirfylgni og leiðréttingu vandamála. Niðurstaða: engin tími um samningsbrot reiknings innan 12 mánaða, á móti tveimur tilvikum fyrra ár. Tími til að takast á við öryggismál var minnkaður um um 70%. Skrifstofan gat einnig réttlætt fyrir nokkrum viðskiptavinum (þar á meðal SME iðnaðar viðskiptavini sem setti öryggissiðataflið fyrir birgjendur) að kerfi hans uppfylltu MFA kröfur.

Notkunarmynd 2 — Skrifstofa sérhæfð í lagalegri endurskoðun SME

Endurskoðunarskrifstofa sem stýrir um 60 löglegu endurskoðunarverkefnum stóð frammi fyrir tiltekninni kröfu: fleiri og fleiri viðskiptavenir þeirra óskuðu sönnunar fyrir GDPR samræmi þegar verkefni voru endurnýjuð. Skrifstofan ákvað að setja upp FIDO2 öryggislykla fyrir samstarfsaðila (aðgangur að viðkvæmustu möppunum) og TOTP forrit fyrir eldri samstarfsmenn, en hélt SMS OTP eingöngu fyrir aðganga með litlum tilfærslum.

Samhliða setti skrifstofan rafræna undirritun framöfgunar inn í endurskoðunarskýrsluflæði sína, með sterka auðkenningu undirritanda kerfisbundið. Með sönnunarsloðinni sem framleidd var, gátu tvær mögulegir deilur við viðskiptavini sem deila um raunverulegum tíma endurgjalds skýrslu verið leyst í hag skrifstofunnar með því að framleiða auðkenningarlög með tímastimpli. Minnkun undirskriftartíðni skýrslna (frá meðaltal 5 dögum til innan við 24 klukkustundir) fluidified einnig reikninga og bætti sjóðstreymi skrifstofunnar um um 15%.

Notkunarmynd 3 — Skrifstofa í vexti með ytri samruna

Svæðisbundið endurskoðunarnetið sem gleypti þrjú óháð skipulag á tveimur árum stóð frammi fyrir verulegri ósamræmi kerfa: sumar gleyptu skrifstofur höfðu enga 2FA stefnu, aðrar notuðu SMS OTP. Hópurinn nýtti sér þessa samþættingu til að samræma samstæðu auðkenningastjórnunarlausnar (IAM — Identity and Access Management) með 2FA skyldu.

Upphaflegur fjárfesting (IAM leyfi, þjálfun, stuðningur) var áætlaðu um 8.000 € fyrir alla hópinn (um 45 starfsmenn). Til móts við það var minnkun gjalda vegna öryggisviðburða (inngripa tölvuflutningsaðila, umsjón á krísistímum) áætluð 15.000-20.000 € á fyrsta ári. Hópurinn gat einnig samið um 20% lækkun á netöryggistryggingu sinni með því að útvega vátryggjanda sínum gögn um 2FA innleiðingu.

Niðurstöður

Sannprófun tveggja þátta er ekki lengur lúxus frátekinn fyrir stór skipulag: það er nauðsyn um öryggi og samræmi fyrir allar endurskoðunarskrifstofur, án tillits til stærðar. Milli GDPR krafna, ANSSI tilmæla, eIDAS skuldbindinga fyrir rafræna undirritun og aukin þrýsting frá viðskiptavinum um öryggisviðmið fyrir birgja, 2FA er orðin óumdeildur staðall geirans.

Gott frétt: innleiðingin er nú aðgengileg, hröð og lítil kostnaðaráhætta. Með því að fylgja skrefunum sem lýst eru í þessari grein — birgðir forrita, val á viðeigandi aðferð, skráning starfsmanna, ritstörf á skjalfestu stefnu — gæti skrifstofan þín náð öruggum öryggisstigi á nokkrum vikum.

Certyneo samþættir eðlilega sterka auðkenningu inn í rafræna undirritunarsflæði sína, sem gerir þér kleift að samstilla eIDAS samræmi og MFA öryggi án viðbótarflókins. Fáðu upplýsingar um tilboð okkar og verðlagningu eða hafðu samband við okkar teymi fyrir persónulega samstarfsaðstoð við að samræma skrifstofuna þína.