Dvifaktorinė autentifikacija: vadovas apsiskaitymui

Kodėl dvifaktorinė autentifikacija yra nepavaldoma apsiskaitymų ekspertizoje

Apsiskaitymų birosy kasdien apdorojami ypatingai konfidencialūs finansiniai duomenys: mokestinės atskaitomybės, balansai, atlyginimo kvitai, šimtų kliento įmonių banko rekvizitai. 2025 m., pasak ANSSI metinio pranešimo, pagal phishing atakas, nukreiptas į reguliuojamas profesijas, per metus padidėjo 37 procentais. Šiam pavojui atsispirti, dvifaktorinė autentifikacija (2FA) — dar vadinama daugiavarste autentifikacija (MFA) — yra pirmoji rekomenduojama techninė apsaugos linija.

Dvifaktorinė autentifikacija remiasi paprasta principu: norėdamas pasiekti sistemą, naudotojas turi įrodyti savo tapatybę dviem skirtingais elementais. Pirmasis paprastai yra „tai, ką jūs žinote" (slaptažodis), antrasis yra „tai, ką jūs turite" (išmanusis telefonas, fizinis raktas) arba „tai, kas jūs esate" (biometriniai duomenys). Šis mechanizmas daro beveik neįmanomas smurtines atakas per vien slaptažodžio vagystę, kuri dar sudaro 81 procentą duomenų pažeidimų pagal 2024 m. Verizon DBIR ataskaitą.

Eksperto-apskaitytojams atitiktis eIDAS reglamentui ir jo stipraus identifikavimo reikalavimams nebėra pasirinkimas: tai yra taisyklinė ir etinė būtinybė. Šis straipsnis paaiškina, žingsnis po žingsnio, kaip sukonfigūruoti 2FA jūsų biure, kurias priemones pasirinkti ir kaip palaikyti kolegų perėjimą.

---

Dvifaktorinės autentifikacijos metodai, pritaikyti apsiskaitymų sektoriui

Autentifikacijos programėles (TOTP)

Labiausiai paplitęs metodas apsiskaitymų biuruose yra laiko pagrindo kodų (TOTP — Time-based One-Time Password) generavimo programėlės naudojimas. Tokios sprendimai kaip Google Authenticator, Microsoft Authenticator ar Authy generuoja 6 skaitmenų kodą, atnaujintą kas 30 sekundžių. Šis kodas yra susietas su bendrąja paslaptimi, saugoma programėlėje registracijos metu (QR kodo nuskaitymas).

Biurui pranašumai: diegimas be papildomų sąmatų, veikia be interneto, suderinama su beveik visomis apsiskaitymų programomis (Sage, Cegid, ACD, MyUnisoft). Trūkumas: jei kolegis praras telefoną, atkūrimo procedūra turi būti numatyta iš anksto (atsarginiai kodai turi būti saugomi saugioje vietoje).

Fiziniai saugumo raktai (FIDO2/WebAuthn)

Biuram, tvarkantiems didelius jautrių duomenų kiekius arba dažnai auditoriaus tikrinimiems, hardveriniai saugumo raktai (tipo YubiKey arba Feitian) suteikia aukščiausią apsaugos lygį. Remiantis FIDO2 ir WebAuthn standartais, jie yra atsparūs phishing atakoms pagal projektą: raktas kriptografiškai patvirtina svetainės domeną prieš autentifikavimąsi, kas panaikina „man-in-the-middle" tipo atakas.

Vis daugiau mokestinių portalų ir privalomos saugyklos platformų (DGFiP, infogreffe) linkusios priimti šiuos standartus. Biuras, tvarkytas šimto mandatų, gali padengti raktų pirkimo sąmatas (maždaug 50-80 eurų vienetui) per kelias savaites dėl saugumo incidentų valdymo laiko sutrumpinimo.

SMS OTP: turėtų būti išvengtos jautriems duomenims

Nors SMS išsiųsti kodai lieka galimybe daugelyje sistemų, amerikiečių NIST (Nacionalinis standartų ir technologijų institutas) juos perkategoravo 2016 m. iš stiprių autentifikacijos metodų kategorijos. SIM sukeitymo atakas (neteisėtas telefono numerio perkėlimas į atakavėlio kontroliuojamą SIM kortelę) patyrė keli prancūziški apsiskaitymų birosy per paskutinius metus. Norint pasiekti mokestinių duomenų arba elektroninio parašo priemones biurų ir apsiskaitymų ekspertams, SMS OTP turėtų būti laikoma tik paskutinės atsargumo priemonės sprendimu.

---

Kaip sukonfigūruoti dvifaktorinę autentifikaciją: žingsnis po žingsnio vadovas

1 žingsnis — Programų inventorizacija ir perimetro apibrėžimas

Prieš bet kokį techninį diegimą, padarykite išsamų jūsų biure naudojamų visų programų sąrašą:

• Apsiskaitymų programos: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• El. paštos sistemos ir bendradarbiavimo priemonės: Microsoft 365, Google Workspace, Slack
• Dokumentų valdymo ir parašo priemonės: saugyklos platformos, workflow priemonės
• Nuotolinės prieigos: VPN, RDP, virtualūs biurai
• Kliento portalai: dokumentų mainų saugyklos su klientais

Kiekviena programa, patikrinkite, ar 2FA yra prieinama (parametrų skyrius „Saugumas") ir koks metodas yra palaikomas (TOTP, FIDO2, SMS). Klasifikuokite programas pagal kritišką svarbą, atsižvelgiant į jautrių duomenų pasiekiamumą.

2 žingsnis — Techninis diegimas ir kolegų registracija

Microsoft 365, konfigūracija atliekama per Azure Active Directory (Entra ID) portalą. Aktyvinkite „Security Defaults" arba, daugiau nei 10 kolegų turintiems biuram, sukonfigūruokite Sąlyginės prieigos politiką (prieinama nuo Business Premium licencijos). Šios politikos leidžia pareikalauti 2FA tik tam tikromis sąlygomis: prieiga iš biuro išorės, ryšys iš nežinomo įrenginio, neįprasta valanda.

Apsiskaitymų programose procedūra skiriasi atsižvelgiant į redaktorių:

• Cegid Loop: saugumo parametrai > aktyvinti dvigubą autentifikaciją > generuoti QR kodus kiekvienam naudotojui
• MyUnisoft: administracija > saugumas > stipri autentifikacija > prievartinti 2FA visiems profiliams
• Sage 100 Cloud: susisiekite su Sage administratoriumi arba jūsų pardavėju, kad būtų aktyvuoti MFA modulis

Numatykite registracijos seansą su kiekvienu kolegiu (15-20 minučių vienam asmeniui). Paskleiskite kiekvienam naudotojui suvestinę lapą su jo atsarginiais kodais, kurie turėtų būti saugomi saugioje ir fizinėje vietoje (pavyzdžiui, biuro seife).

3 žingsnis — Valdymo politika ir skubių nenumatytos situacijos procedūros

Techninis diegimas yra tik pusė darbo. Dokumentuota saugumo politika turi paaiškinti:

• Kas gali laikinai išjungti 2FA (tik sistemos administratorius, niekada ne kolegis pats)
• Įrenginio praradimo procedūra: tūralus paskyros blokavimas, atsarginių kodų regeneravimas, prižiūrėta pakartotinė registracija
• Peržiūros dažnumas: pusmetinis prieigos ir autentifikacijos metodų auditas
• Kolegų išėjimo valdymas: tūralus prieigos atšaukimas ir 2FA paslapčių atšaukimas kolegai išėjus

Ši politika natūraliai integruojasi į jūsų verslo tęstinumo planą (PCA) ir į duomenų apdorojimo registrą GDPR atžvilgiu. Peržiūrėti Certyneo pagalbos centrą gali jums suteikti politikos šablonų, pritaikytų mažoms ir vidutinės dydžio struktūroms.

---

2FA integravimas su elektroninio parašo priemonėmis

Išplėstinis arba kvalifikuotas elektroninis parašas, kaip apibrėžtas eIDAS reglamente, reikalauja stipraus parašo suteikėjo identifikavimo. Konkrečiai, kai jūsų biuras perduoda kliento laiško ar paslaugų sutarties pasirašymui, parašo platforma turi patikrinti parašo suteikėjo tapatybę tvirtu būdu. Būtent čia įgyvendinamas 2FA.

eIDAS atitinkamose parašo platformose (išplėstas ar kvalifikuotas lygis), parašo suteikėjas gauna nuorodą per el. paštą, tada turi patikrinti savo tapatybę per antrą kanalą (SMS, autentifikacijos programa arba kvalifikuotas sertifikatas). Šis procesas sukuria horodatytą ir kriptografiškai patikrintą auditoriaus pradžią, kuri sudaro neginčijamą įrodymą iškilus ginčui — kritinis klausimas ekspertams-apskaitytojams, kurie įpareigoja savo civilinę profesinę atsakomybę už kiekvieną misiją.

Norėdami suprasti skirtingus parašo lygius ir pasirinkti tinkamą jūsų dokumentų srautams, rekomenduojama perskaityti išsamų elektroninio parašo vadovą. Birosy, kurie naudoja Certyneo, yra natūralus 2FA integravimas parašo eigos metu, kuris sumažina parašo suteikėjo trintį, išlaikant reikalingą atitikties lygį.

Ypatingas dėmesys turi būti skiriamas misijos rašams (privalomi pagal OEC 2400 profesinį standartą) ir komisuoto audito ataskaitoms: šie dokumentai įpareigoja profesionalo asmeninę atsakomybę ir reikalauja nepriekaištingos autentifikacijos sekimumo. Jūs taip pat galite naudoti AI sutarčių generatorių norėdami automatizuoti šių dokumentų kūrimą, tuo pačiu integruodami stipraus autentifikavimo reikalavimus nuo pat dizaino pradžios.

---

Kolegų mokymas ir supažindinimas: žmogiškasis faktorius

Pats griežčiausias techninis diegimas nebeveikia, jei kolegai nesupraučia rizikų arba obliuoja saugumo priemones. Apsiskaitymų ekspertizoje komandos dažnai susideda iš labai skirtingų profilių: vyresnieji partneriai, jaunesnieji kolegai, stažininkai, direktoriaus asistentos. Mokymas turi būti pritaikytas kiekvienam profiliui.

Rekomenduojama sąmoningumo programa biurui iš 5–30 žmonių:

1. Paleidimo sesija (1 val.): rizikos pristatymas (anonimizuoti realūs incidentai sektoriuje), tiesioginis demonstravimas, klausimų ir atsakymų sesija
2. Trumpi mokymo vaizdo įrašai (po 3-5 minutes): vienas vaizdo įrašas kiekvienai pagrindinei programai, prieinamas biuro intranete
3. Modeliavimo phishing pratimas: skaitmeninio phishing el. laiško siuntimas po 3 mėnesių nuo diegimo, kad būtų įvertinta faktinė budrumas ir būtų nustatyti kolegai, kuriems reikalingas papildomas palaikymas
4. Integravimas į orientaciją: kiekvienas naujas kolegis naudotojo 2FA sukonfigūruojamas pirmą darbo dieną, turėdamas dedikuotą pagalbininką

Eksperto-apskaitytojų ordinas (OEC) taip pat siūlo tolimojo mokymosi išteklius apie kibernetinį saugumą kaip dalį metinės mokymo pareigos (40 valandų ekspertams-apskaitytojams, įtrauktiems į sąrašą). Šie mokymai gali būti vertinti jūsų kokybės iniciatyvoje, jei jūsų biuras yra sertifikuotas pagal ISO 9001 arba siekia kibernetinio saugumo sertifikavimo (ANSSI ExpertCyber žyma, pavyzdžiui).

Taikytinas teisinių nuostatų reguliavimas stipriai autentifikacijai apsiskaitymų ekspertizoje

Dvifaktorinės autentifikacijos diegimas apsiskaitymų biure yra tiesioginėje vietoje kelių pagrindinių tekstų nuo kurio ryšys suformuojamas.

eIDAS n°910/2014 reglamentas ir jo eIDAS 2.0 peržiūra (EU reglamentas 2024/1183) sudaro pamatą bet kam, kas susijęs su elektronine identifikacija Europoje. 8 straipsnis apibrėžia tris elektroninio identifikacijos priemonių asignavimo lygius: žemas, dalinis ir aukštas. Dėl aktų, kurie veda eksperto-apskaitytojo profesinę atsakomybę (ataskaitų parašai, mokestinių ataskaitų patvirtinimas internete), reikalingas „dalinis" arba „aukštas" asignavimo lygis, kuris paskatina dvifaktorinę autentifikaciją.

GDPR (EU reglamentas 2016/679), jo 32 straipsnyje, nustato atsakingoms duomenų tvarkymo asmenims diegti „tinkamą techninį ir organizacinį" saugumą duomenų tvarkymo saugumui, normos užtikrinimui. Apsiskaitymų biuras tvarkys jautrūs asmeniniai duomenys (finansiniai duomenys, sveikatos duomenys per atlyginimo kvitus su ligomis ir t.t.). Būklė be 2FA išlygose tvarkymui apsiskaitymų programoms, greičiausiai, yra šio straipsnio nepažaidimas, kuris buro yra atsakinga baudų iki 4 procentų metinio pasaulio apyvartos (83 straipsnis, GDPR).

Civilinio kodekso 1366-1367 straipsniai reguliuoja elektroninio parašo teisinę vertę. 1367 straipnis paaiškina, kad „elektroninio parašo procedūros patikimumas yra manoma, kol neįrodyta priešingai, kai procedūra numato kvalifikuotą elektroninį parašą". Stipri autentifikacija yra esminė šios patikimumo prielaidos sudedamoji dalis.

NIS2 direktyva (EU direktyva 2022/2555), perkeliama į prancūzų teisę pagal 2024 m. gegužės 21 d. n°2024-449 įstatymą ir jo nuostatai, išplečia kibernetinio saugumo pareigas į plačiu spekrą subjektų. Nors apsiskaitymų biurosy nėra tiesiogiai nurodomiems kaip esminės subjektai, tie, kurie suteikia skaitmeninių paslaugų esminiams ar svarbiam subjektams (sveikatos įstaigos, savivaldos institucijos, kritinės infrastruktūros pradžiose) gali būti jungti pareigomis, iš jų tiesiogiai, per jų paslaugų sutartis.

OEC 2400 profesinis standartas nustato sutartų pareigas dėl apsiskaitymų sistemų saugumo gabaliams, suteikiantiems teisines misijas. ANSSI išreikštai rekomenduoja MFA kaip minimalią priemonę savo „Informacijos sistemų saugumą TPE/PME" vadove (2024 m. leidimas).

Profesinė atsakomybė: jei duomenų kliento pažeidimas yra dėl 2FA nebuvimo, biuro draudikai gali nustatyti charakterizuotą nuodėmę, dėl kurio sumažinti arba atmesti jūsų draudimą. Labai rekomenduojama saugoti 2FA diegimo techninę dokumentaciją kaip atsargumo įrodymą.

Panaudojimo scenarijai: 2FA praktikoje apsiskaitymų biuruose

1-asis scenarijus — Vidutinio dydžio apsiskaitymų ekspertizos biuras

Biuras, kuriame apie penkiolika kolegų ir valdomų maždaug 400 aktyvių mandatų, nusprendė įdiegti 2FA visose savo priemonėse po phishing incidento, kuris beveik sukomprometavo prieigą prie jo atlyginimo programos. Vadovybė pasirinkusi Microsoft Authenticator Microsoft 365 (el. paštas, SharePoint, Teams) ir tiesioginės TOTP programas jos debesies apsiskaitymų programos.

Diegimas buvo atliekamas per tris savaites: viena savaitė inventoriaus ir nustatymų, viena savaitė kolegų registravimo grupėmis iš penkių, viena savaitė problemų sekimo ir koregavimo. Rezultatas: nė vienas paskyros sukeičiavimo incidentas per 12 mėnesių po diegimo, priešais du incidentus ankstesniu metams. Saugumo incidentų valdymo laikas buvo sumažintas apie 70 procentų. Biuras taip pat galėjo patvirtinti keliems dideliems klientams (įskaitant pramoninę KMU, kurie nustato tiekėjo saugumo kartą) kad jos sistemos atitinka MFA reikalavimus.

2-asis scenarijus — Audito juridinio biuro specializacija

Komisuoto audito biuras, valdantis apie šešiasdešimt audito teisinio mandatų, buvo susidūręs su specifine dalimi: jo klientai yra vis daugiau prašymo saugumo atitikimo RGPD patvirtinimą, atnaujinant misijas. Biuras pasirinkęs FIDO2 saugumo raktus associatams (prieiga prie labiausiai jautrių dokumentų) ir TOTP programėles vyresniesiems kolegoms, išlaikant SMS OTP tik žemo jausrumo prieigams.

Tuo pačiu metu biuras integrinėjo išplėstinį elektroninį parašą komisuoto audito ataskaitų sraute, su sistematiniu parašo suteikėjo stipraus autentifikacijos naudojimu. Dėl sugeneruoto audito gijos, du potencialūs ginčai su klientais, ginčijantis ataskaitų pateikimo datą, galėjo būti išspręsti biuro naudai pateikiant horodatyto autentifikacijos žurnalus. Ataskaitų parašo laikymo sumažinimas (vidutiniškai nuo 5 dienų iki mažiau nei 24 valandų) taip pat sugebėjo patikinti sąmatą ir pagerinti biuro grynąją dalį apie 15 procentų.

3-asis scenarijus — Biuras augimo išorinės ekspansijos fazoje

Regionalinis apsiskaitymų biuro tinklas, sugebėjęs sugeriama tris nepriklausomas struktūras per du metus, atsidūrė su dideliu skirtumu sistemose: kai kurie absorbuoti birosy neturėjo jokios 2FA politikos, kiti naudojėjo SMS OTP. Grupė panaudojo šią integraciją suvienodinti unifikuotame identitetų valdymo sprendime (IAM — Identity and Access Management) su privaloma 2FA.

Pradinis investavimas (IAM licenzijas, mokymas, palaikymas) buvo skaičiuojamas apie 8000 eurų biurui (maždaug 45 kolegams). Mainais, atskaičiusieji susijęs su incidentais (atsiskaitymų atstovas saugumo intervencijos, krizės valdymo) buvo skaičiuojamos 15000-20000 eurų per pirmus metus. Grupė taip pat sugebėjo derybomis gauti savo kibernetinio draudimo premijos sumažinimą apie 20 procentų pateikusi jų draudikui 2FA diegimo dokumentaciją.

Išvada

Dvifaktorinė autentifikacija nėra jau prabanga, skirta tik didelėms struktūroms: tai yra saugumo ir atitikties būtinybė bet kokiam apsiskaitymų biurui, nepriklausomai nuo dydžio. Tarp GDPR reikalavimų, ANSSI rekomendacijų, eIDAS pareigų elektroniniam parašui ir didėjančio klientų slėgio dėl jų tiekėjų saugumo normų, 2FA tapo neginčijamu sektoriaus standartu.

Geroji žinia: šiandien diegimas yra prieinamas, greitas ir mažo sąmatai. Sekdami šiame straipsnyje aprašytus žingsnius — inventorizacijos programose, metodo pasirinkimą, kolegų registraciją, dokumentuotos politikos redagavimą — jūsų biuras gali pasiekti tvirtas saugumo lygį kelias savaites.

Certyneo natūraliai integruoja stiprią autentifikaciją elektroninio parašo sraute, leidžiantis jums sujungti eIDAS atitiktį ir MFA saugumą be papildomų sudėtumų. Atraskite mūsų pasiūlymus ir kainas arba susisiekite su mūsų komanda personalizuotam jūsų biuro atitikties palaikymui.