Divu faktoru autentifikācija: vadlīnijas grāmatvedībai

Kāpēc divu faktoru autentifikācija ir nepieciešama grāmatvedības jomā

Grāmatvedības kabinetiem ikdienā jāstrādā ar augsti konfidenciāliem finanšu datiem: nodokļu pārskaitiem, bilancēm, algas pārliecinājumiem, bankas rekvizītiem no simtiem klientu uzņēmumu. 2025. gadā saskaņā ar ANSSI gada pārskatu, phishing uzbrukumi, kas vērsti uz regulētajām profesijām, ir palielinājušies par 37% gadā. Saskaroties ar šo draudu, divu faktoru autentifikācija (2FA) — saukta arī par daudzfaktoru autentifikāciju (MFA) — veido pirmo ieteikto tehniskās aizsardzības līniju.

Divu faktoru autentifikācija pamatojas uz vienkāršu principu: lai piekļūtu sistēmai, lietotājam jāpierāda viņa identitāte ar diviem dažādiem elementiem. Pirmais parasti ir "kaut kas, ko zina" (parole), otrais ir "kaut kas, kas pieder" (viedtālrunis, fizisks atslēga) vai "kaut kas, kas tu esi" (biometriskie dati). Šis mehānisms padara gandrīz neiespējamus uzbrukumus ar paroles zādzību vienu, kas joprojām veido 81% no datu pārkāpumiem saskaņā ar Verizon DBIR 2024 pārskatu.

Grāmatvedības speciālistiem atbilstības nodrošināšana eIDAS regulai un tās spēcīgas identifikācijas prasībām vairs nav iespēja: tā ir normatīvā un ētiska nepieciešamība. Šajā rakstā ir izskaidrots soli pa solim, kā konfigurēt 2FA jūsu kabinetā, kurus rīkus izvēlēties un kā pavadīt kolēģus šajā pārejai.

---

Divu faktoru autentifikācijas metodes, kas piemērotas grāmatvedības nozarei

Autentifikācijas programmas (TOTP)

Visizplatītākā metode grāmatvedības kabinetiem ir programmas izmantošana, kas ģenerē laika bāzētus kodus (TOTP — Time-based One-Time Password). Tādas risinājumi kā Google Authenticator, Microsoft Authenticator vai Authy ģenerē 6 ciparus kodu, kas tiek atjaunots ik 30 sekundēm. Šis kods ir saistīts ar noslēpumu, kas tiek glabāts programmā reģistrācijas stadijā (QR koda skenēšana).

Kabinetiem ir priekšrocības: izvēršana bez papildu izmaksām, darbojas bez interneta savienojuma, saderīga ar gandrīz visiem grāmatvedības programmatūrām (Sage, Cegid, ACD, MyUnisoft). Trūkums: ja kolēģis zaudē savu tālruni, atgūšanas procedūra ir jāparedz iepriekš (glabājamie drošības kodi drošā vietā).

Fiziskās drošības atslēgas (FIDO2/WebAuthn)

Kabinetiem, kas apstrādā lielu apjomu sensitīvu datu vai ir regulāri audītu objekti, fiziskās drošības atslēgas (tipa YubiKey vai Feitian) piedāvā augstāko aizsardzības līmeni. Pamatojoties uz FIDO2 un WebAuthn standartiem, tās ir izturīgas pret phishing dizainam: atslēga kriptografiski pārbauda tīmekļa vietas domēnu pirms autentifikācijas, kas neitralizē "man-in-the-middle" uzbrukumus.

Arvien vairāk fiskālo portālu un obligāta iesniegšanas platformu (DGFiP, infogreffe) pieņem šos standartus. Kabinets, kas pārvalda apmēram simts mandātu, var izlīdzināt atslēgu izmaksas (aptuveni 50-80 € par vienību) dažas nedēļas, pateicoties drošības incidentu vadības laika samazināšanai.

SMS OTP: jāizvairās no sensitīviem datiem

Lai gan SMS izmantoti kodi joprojām ir opcija daudzās sistēmās, NIST amerikāņu standarts (National Institute of Standards and Technology) tos pazemināja 2016. gadā no spēcīgu autentifikācijas metožu kategorijas. SIM maiņas uzbrukumi (viltots numura pārvietošana uz kartē, ko kontrolē uzbrucējs) ir skāruši vairākus franču grāmatvedības kabinettos nesen. Piekļuvei nodokļu datiem vai rīkiem elektroniskajām parakstīšanai juristu un grāmatvedības kabinetiem, SMS OTP jāapsver tikai kā pēdējais līdzeklis.

---

Kā konfigurēt divu faktoru autentifikāciju: soli pa solim vadlīnijas

1. solis — Programmu inventarizācija un jomu definēšana

Pirms jebkura tehniska izvēršanas pagatavojiet plašu visu kabinetā izmantoto programmu inventoru:

• Grāmatvedības programmatūra: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-pasti un sadarbības rīki: Microsoft 365, Google Workspace, Slack
• Dokumentu vadības un parakstīšanas rīki: iesniegšanas platformas, darbplūsmas rīki
• Attālie piekļuves: VPN, RDP, virtuālie biuri
• Klientu portāli: dokumentu apmaiņas telpes ar klientiem

Katrai programmai pārbaudiet, vai 2FA ir pieejams (sadaļa "Drošums" iestatījumos) un kāda metode ir atbalstīta (TOTP, FIDO2, SMS). Klasificējiet programmas pēc svarīguma, pamatojoties uz pieejamo datu sensitīvumu.

2. solis — Tehniskā izvēršana un kolēģu reģistrācija

Microsoft 365 konfigurācija tiek veikta Azure Active Directory portālā (Entra ID). Iespējojiet "Security Defaults" vai kabinetiem ar vairāk nekā 10 kolēģiem, konfigurējiet Conditional Access politikas (pieejamas sākot ar Business Premium licenci). Šīs politikas ļauj prasīt 2FA tikai noteiktos apstākļos: piekļuve no biroja ārpuses, pieslēgšanās no nezināma ierīces, neierasta laika.

Grāmatvedības programmatūrai procedūra mainās atkarībā no izdevēja:

• Cegid Loop: drošības iestatījumi > iespējot dubulto autentifikāciju > ģenerēt QR kodus katram lietotājam
• MyUnisoft: administrācija > drošums > stiprā autentifikācija > piespiest 2FA visiem profiliem
• Sage 100 Cloud: saziniecies ar Sage administratoru vai jūsu pārdošanas partneri, lai iespējotu MFA moduli

Plānojiet reģistrācijas sesiju ar katru kolēģi (15 līdz 20 minūtes uz personu). Izplatiet katram lietotājam kopsavilkuma lapas ar atgūšanas kodiem, kas jāuzglabā drošā un fiziskā vietā (kabinetā, piemēram).

3. solis — Vadības politika un avārijas procedūras

Tehniskā ieviešana ir tikai puse no darba. Dokumentēta drošības politika ir jāprecizē:

• Kurš var uz laiku atspējot 2FA (tikai sistēmas administrators, nekad kolēģis pats par sevi)
• Ierīces zaudēšanas procedūra: nekavējošs konta bloķēšana, atgūšanas kodu ģenerēšana, uzraudzīta reģistrācija
• Pārskatīšanas biežums: semestrāls audits no piekļuves un autentifikācijas metodēm
• Aizgājušo pārvaldība: nekavējošs piekļuves un 2FA noslēpumu atcelšana kolēģa aizgājušiem

Šī politika dabiski tiek integrēta jūsu darbības nepārtrauktības plānā (BCP) un datu apstrādes reģistrā GDPR nozīmes ziņā. Uzmeklēšana Certyneo palīdz centrā var sniegt jums politikas modeļus, kas pielāgoti maziem un vidējiem struktūrām.

---

2FA integrācija ar elektroniskās parakstīšanas rīkiem

Elektroniski paraksti, kas ir paaugstināti vai sertificēti, kā definēts eIDAS regulā, prasa parakstītāja spēcīgu identifikāciju. Konkrēti, kad jūsu kabinets nosūta mandāta vēstuli vai pakalpojumu līgumu klientam parakstīšanai, parakstīšanas platforma ir jāpārbauda parakstītāja identitāte spēcīgi. Tieši šeit nāk klāt 2FA.

eIDAS atbilstošās parakstīšanas platformās (paaugstināts vai sertificēts līmenis), parakstītājs saņem saiti e-pastā, un tad ir jāvalidē viņa identitāte caur otru kanālu (SMS, autentifikācijas programma vai sertificēts sertifikāts). Šis process izveido audita pēdu, kas ir laikstemplēta un kriptografiski pārbaudāma, kas veido neapstrīdu pierādījumu tiesā gadījumā — kritisks jautājums grāmatvedības speciālistiem, kas uzņemas personīgo civilās atbildības par katru uzdevumu.

Lai saprastu dažādus parakstīšanas līmeņus un izvēlētos to, kas piemērots jūsu dokumentu plūsmām, ieteicams izlasīt pilnīgu elektroniskās parakstīšanas vadlīnijas. Kabinetiem, kas izmanto Certyneo, ir iedzimta 2FA integrācija parakstīšanas ceļojumā, kas samazina friktoru parakstītājam, vienlaikus saglabājot nepieciešamo atbilstības līmeni.

Īpaša uzmanība ir jāpievērš mandāta vēstulēm (obligātas saskaņā ar OEC profesionālo normu 2400) un revidentu ziņojumiem: šie dokumenti uzņemas profesionāla atbildību un prasa nevainojamus autentifikācijas izsekošanu. Starp citu, varat izmantot AI kontraktu ģeneratoru šo dokumentu izveides automatizācijai, vienlaikus integrējot projektēšanas stadijā spēcīgas autentifikācijas prasības.

---

Kolēģu apmācīšana un apzināšana: cilvēciskais faktors

Visrīguroza tehniskā ieviešana kļūst neefektīva, ja kolēģi nesaprot jautājumus vai apiet drošības ierīces. Grāmatvedības jomā komandas bieži sastāv no dažādiem profiliem: senioru partneri, seniori kolēģi, praktikanti, direktores asistentes. Apmācībai ir jābūt pielāgotai katram profilam.

Ieteicta apzinošanas programma kabinetam ar 5 līdz 30 cilvēkiem:

1. Palaišanas sesija (1h): tūlītējā risiku prezentācija (anonīmi reālie incidenti nozarē), tieša demonstrācija no konfigurācijas, jautājumi/atbildes
2. Īsi video pamācības (3-5 minūtes katrs): viena pamācība par katru kritisko programmu, pieejama kabinetā
3. Simulēta phishing vingrinājums: viltota phishing e-pasta sūtīšana 3 mēnešus pēc izvēršanas, lai mērītu faktisko modrību un identificētu kolēģus, kuriem nepieciešama papildu atbalsts
4. Integrācija onboarding: katrs jauns kolēģis konfigurē savu 2FA pirmajā dienā ar dediķētu referentu

Grāmatvedības eksperts Ordre (OEC) pieņem arī pastāvīgās apmācības resursus par kiberdrošību nepieciešamo apmācības stundu ietvaros (40 stundas grāmatvedības ekspetiem, kas ierakstīti tabulā). Šīs apmācības var tikt vērtētas jūsu kvalitātes iniciatīvā, ja jūsu kabinets ir sertificēts ISO 9001 vai mērķējošs kiberdrošības sertifikācijai (ANSSI ExpertCyber etiķete, piemēram).

Normatīvais ietvars, kas piemērojams stiprai autentifikācijai grāmatvedības jomā

Divu faktoru autentifikācijas ieviešana grāmatvedības kabinetā ir ietvertas plašā normatīvajā sistēmā, kas ir izstrādāta ap vairākiem pamatjautājumiem.

Regulējums eIDAS Nr.910/2014 un tā revīzija eIDAS 2.0 (Regulējums ES 2024/1183) veido atsauces pamatu visam, kas attiecas uz elektronisko identifikāciju Eiropā. 8. artikuls nosaka trīs pārliecības līmeņus elektroniskai identifikācijai: zems, būtisks un augsts. Darbībām, kas uzņem grāmatvedības speciālista atbildību (pārskatu parakstīšana, fiskālo sarakstu validācija tiešsaistē), "būtisks" vai "augsts" pārliecības līmenis ir obligāts, kas skaidri nozīmē daudzfaktoru autentifikāciju.

GDPR (Regulējums ES 2016/679), ar 32. pantu, uzliek atbildīgajiem datu apstrādātājiem īstenot "atbilstošus tehniskos un organizatoriskus pasākumus" datu personālās drošības nodrošināšanai. Grāmatvedības kabinets apstrādā sensitīvus personīgos datus (finanšu dati, dati par veselību caur algas dokumentiem ar slimības lapām). 2FA neesamība grāmatvedības programmatūras piekļuvēs, visticamāk, ir pārkāpums šim pantam, kam graud nāk 4% no gada darbības apjoma (GDPR 83. panta) soda iespējas.

Civillikuma 1366. un 1367. pants regulē elektroniskā paraksta juridisko vērtību. 1367. panta noteikums ir skaidrs, ka "elektroniskā paraksta procesuālā uzticamība ir uzskatīta, līdz citādāk pierādīts, kad šis process izpilda kvalificētu elektronisko parakstu". Stipra autentifikācija ir būtisks šīs pieņemšanas komponents.

NIS2 direktīva (Direktīva ES 2022/2555), transponēta franču tiesībās ar likumu Nr.2024-449 no 21. maija 2024. gadā un tā dekrētiem, paplašina kiberdrošības pienākumus uz plašu entītiju spektru. Lai arī grāmatvedības kabinetiem nav tieši uzskaitīts kā būtiskās entītītes, tiem, kas sniedz digitālos pakalpojumus būtiskām vai svarīgām entītijām (veselības aprūpes iestādes, pašvaldības, kritiskās infrastruktūras uzņēmumi), var būt pienākumi caur iespējamo līgumu.

OEC profesionāla norma 2400 tālāk uzliek uzlabotu nozīmes pienākumu drošības jomā informācijas sistēmām kabinetiem, kas nodarbojas ar obligātajiem uzdevumiem. ANSSI tieši iesaka MFA kā minimālu pasākumu savā ceļvidī "Datu sistēmu drošums TPE/SME" (2024. gada izdevums).

Civila profesionāla atbildības: datu pārkāpumu gadījumā, kas izriet no 2FA neesamības, kabinetū RCP apdraudējs var iebilst par lielā kļūdā samazinājuma vai garantijas noraidīšanu. Ļoti ieteicams glabāt 2FA izvēršanas tehniskus dokumentus kā diligences pierādījumu.

Lietošanas scenāriji: 2FA praksē grāmatvedības kabinetiem

Scenārijs 1 — Vidēja lieluma grāmatvedības eksperts kabinets

Kabinets ar apmēram piecpadsmit kolēģiem un apmēram 400 aktīvi vadītiem mandātiem nolēma izvērst 2FA uz visu rīku kopumā pēc phishing incidenta, kurš gandrīz bija kaitējis piekļuvei tā algas programmatūrai. Vadība izvēlējās Microsoft Authenticator uz Microsoft 365 (e-pasts, SharePoint, Teams) un TOTP programmas savā mākoņa grāmatvedības programmatūrā.

Izvēršana notika trīs nedēļās: viena nedēļa inventarizācijai un iestatīšanai, viena nedēļa kolēģu reģistrācijai piecas personas, viena nedēļa uzraudzībai un problēmu risināšanai. Rezultāts: nulle drošības incidenti nākamajā gadā, pretstatā diviem incidentiem iepriekšējā gadā. Drošības incidentu vadības laiks samazinājies par aptuveni 70%. Kabinets varēja arī pierādīt vairākiem lielajiem kliju kontiem (tostarp vidējam lielam rūpniecības uzņēmumam, kuram ir piegādātāja drošības karte), ka tā sistēmas atbilst MFA prasībām.

Scenārijs 2 — Kabinets, kas specializējas juridiskajā SME audīta

Revidentu kabinets, kas vadījis apmēram sešdesmit juridiskos audita mandātus, tika saskartas ar specifisku prasību: noritējošo pieaugošo klientu skaitu, kuri pieprasa GDPR atbilstības pierādījumu misiju atjaunošanā. Kabinets nolēma FIDO2 drošības atslēgas partneriem (piekļuve vairāk jutīgajiem failiem) un TOTP programmas seniores kolēģiem, vienlaikus uzturot SMS OTP tikai mazas sensitīvuma piekļuvēm.

Paralēli kabinets revidentu pārskatī integrēja paaugstināto elektronisko parakstīšanu ar sistēmisku stipru parakstītāja autentifikāciju. Audita pēdas dēļ divi iespējamie strīdi ar klientiem, kas apstrīdēja pārskata faktisko iesniegšanas datumu, varēja tikt atrisināti kabinetā, iesniedzot laikstemplētus autentifikācijas logus. Parakstīšanas laika samazināšana (no vidējā 5 dienām uz mazāk par 24 stundām) arī palīdzēja paātrināt pārskata parakstīšanu un uzlaboja kabinetā apgrozījumu aptuveni 15%.

Scenārijs 3 — Kabinets, kas paplašinās ārēji

Reģionāls grāmatvedības kabinetenu tīkls, kas divos gados absorbēja trīs neatkarīgas struktūras, saskarās ar ievērojamas nekonsekvences: dažiem absorbētajiem kabinetiem nebija 2FA politikas, citiem tika lietotas SMS OTP. Grupā izmantoja šo konsolidāciju, lai harmonizētu vienoto identitātes vadības risinājumu (IAM — Identity and Access Management) ar obligātu 2FA.

Sākotnējais ieguldījums (IAM licences, apmācības, konsultācijas) tika prognozēts aptuveni 8 000 € visai grupai (aptuveni 45 kolēģi). Pretī drošības incidentu saistītajiem izdevumiem (IT pakalpojuma sniedzēja intervences, krīzes pārvaldības) tika prognozēts 15 000-20 000 € pirmajā gadā. Grupa arī varēja pienormalized savu kiberdrošības apdrošināšanas prēmijas par aptuveni 20%, nodrošinot apdrošinātājam 2FA izvēršanas dokumentāciju.

Secinājums

Divu faktoru autentifikācija vairs nav pūrs, kas paredzēts tikai lielām struktūrām: tā ir drošības un atbilstības pienākums katram grāmatvedības kabinetam, neatkarīgi no tā lieluma. Starp GDPR prasībām, ANSSI ieteikumiem, eIDAS norādiem elektroniskajai parakstīšanai un pieaugošo klientu spiedienu uz drošības normām to pakalpojumu sniedzēju gadījumā, 2FA ir kļuvusi par neatņemamu standartu nozarē.

Laba ziņa: izvēršana šodien ir pieejama, ātri un ar nelielu izmaksu. Sekojot šajā rakstā aprakstītajiem soļiem — programmu inventarizācija, piemērotas metodes izvēle, kolēģu reģistrācija, dokumentētas politikas noformēšana — jūsu kabinets var sasniedz stingru drošības līmeni dažu nedēļu laikā.

Certyneo neatņemami integrē stipru autentifikāciju savos elektroniskās parakstīšanas plūsmas, ļaujot jums apvienot eIDAS atbilstību un MFA drošību bez papildu sarežģītības. Atklājiet mūsu piedāvājumus un tarifus vai sazinieties ar mūsu komandu personalizētam atbalstam jūsu kabinetā ievērojot atbilstību.