Autentykacja dwufaktorowa: przewodnik dla księgowości

Dlaczego autentykacja dwufaktorowa jest niezbędna w biegłości rachunkowej

Biura biegłych rewidentów codziennie przetwarzają wysoce poufne dane finansowe: roczniki fiskalne, bilansy, pokwitowania wynagrodzeń, dane bankowe setek firm będących klientami. W 2025 r. acordo do rocznego raportu ANSSI ataki phishingowe skierowane na zawody regulowane wzrosły o 37% w ciągu roku. W obliczu tego zagrożenia autentykacja dwufaktorowa (2FA) — zwana również autentykacją wielofaktorową (MFA) — stanowi pierwszą linię obrony technicznej zalecaną przez ekspertów.

Autentykacja dwufaktorowa opiera się na prostej zasadzie: aby uzyskać dostęp do systemu, użytkownik musi udowodnić swoją tożsamość za pomocą dwóch odrębnych elementów. Pierwszy to zazwyczaj „coś, co się zna" (hasło), drugi to „coś, co się posiada" (smartfon, fizyczny klucz) lub „coś, czym się jest" (dane biometryczne). Mechanizm ten czyni prawie niemożliwymi ataki poprzez kradzież hasła, które nadal stanowią 81% naruszeń danych secondo raporcie Verizon DBIR 2024.

Dla biegłych rewidentów dostosowanie się do rozporządzenia eIDAS i jego wymogów silnej identyfikacji nie jest już opcją: to konieczność regulacyjna i etyczna. Artykuł ten wyjaśnia krok po kroku, jak skonfigurować 2FA w biurze, jakie narzędzia wybrać i jak wspierać współpracowników w tej transformacji.

---

Metody autentykacji dwufaktorowej dostosowane do sektora rachunkowego

Aplikacje autentykacyjne (TOTP)

Najszersza metoda stosowana w biurach rachunkowych to użycie aplikacji generującej kody czasowe (TOTP — Time-based One-Time Password). Rozwiązania takie jak Google Authenticator, Microsoft Authenticator czy Authy generują kod 6-cyfrowy odnawiany co 30 sekund. Kod ten jest powiązany z sekretem wspólnym przechowywanymi w aplikacji podczas fazy rejestracji (skanowanie kodu QR).

Zalety dla biur: wdrożenie bez dodatkowych kosztów, działa bez połączenia internetowego, kompatybilne z prawie wszystkimi programami rachunkowym (Sage, Cegid, ACD, MyUnisoft). Wada: jeśli współpracownik utraci swój telefon, procedura odzyskiwania musi być zaplanowana z wyprzedzeniem (kody zapasowe przechowywane w bezpiecznym miejscu).

Fizyczne klucze bezpieczeństwa (FIDO2/WebAuthn)

Dla biur przetwarzających duże ilości wrażliwych danych lub podlegających częstym audytom, fizyczne klucze bezpieczeństwa (typu YubiKey czy Feitian) oferują najwyższy poziom ochrony. Oparte na standardach FIDO2 i WebAuthn, są odporne na phishing z założenia: klucz kryptograficznie weryfikuje domenę witryny przed uwierzytelnieniem, co neutralizuje ataki typu „man-in-the-middle".

Coraz więcej portali podatkowych i platform obowiązkowego złożenia (DGFiP, infogreffe) zaczyna akceptować te standardy. Biuro zarządzające około stu mandatami może zwrócić koszt zakupu kluczy (około 50-80 € za sztukę) w ciągu kilku tygodni dzięki zmniejszeniu czasu zarządzania incydentami bezpieczeństwa.

OTP via SMS: do unikania dla wrażliwych danych

Chociaż kody wysyłane SMS-em pozostają opcją w wielu systemach, amerykańskie NIST (Narodowy Instytut Standardów i Technologii) zdegradował je w 2016 roku z kategorii metod silnego uwierzytelnienia. Ataki poprzez wymianę karty SIM (przeniesienie fraudulentnego numeru telefonu na kartę SIM kontrolowaną przez atakującego) dotknęły kilka francuskich biur rachunkowych w ostatnich latach. Dla dostępu do danych podatkowych lub narzędzi podpisu elektronicznego dla biur prawnych i rachunkowych, OTP via SMS powinien być rozważany wyłącznie jako ostateczność.

---

Jak skonfigurować autentykację dwufaktorową: przewodnik krok po kroku

Krok 1 — Inwentaryzacja aplikacji i definicja zakresu

Przed każdym wdrożeniem technicznym należy sporządzić wyczerpującą inwentaryzację wszystkich aplikacji używanych w biurze:

• Programy rachunkowe: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Poczta i narzędzia współpracy: Microsoft 365, Google Workspace, Slack
• Zarządzanie dokumentami i podpis: platformy depozytu, narzędzia workflow
• Dostęp zdalny: VPN, RDP, pulpity wirtualne
• Portale dla klientów: przestrzenie wymiany dokumentów z klientami

Dla każdej aplikacji sprawdź, czy 2FA jest dostępna (sekcja „Bezpieczeństwo" w ustawieniach) i jaką metodę obsługuje (TOTP, FIDO2, SMS). Klasyfikuj aplikacje według krytyczności w zависi od wrażliwości dostępnych danych.

Krok 2 — Wdrożenie techniczne i rejestracja współpracowników

Dla Microsoft 365 konfiguracja odbywa się za pośrednictwem portalu Azure Active Directory (Entra ID). Aktywuj „Security Defaults" lub, dla biur z ponad 10 współpracownikami, skonfiguruj zasady Dostępu warunkowego (dostępne od licencji Business Premium). Te zasady pozwalają wymagać 2FA tylko w określonych warunkach: dostęp spoza biura, logowanie z nieznanego urządzenia, niezwykła godzina.

Dla programów rachunkowych procedura różni się w zależności od wydawcy:

• Cegid Loop: parametry bezpieczeństwa > aktywuj uwierzytelnianie podwójne > wygeneruj kody QR dla każdego użytkownika
• MyUnisoft: administracja > bezpieczeństwo > silne uwierzytelnianie > wymuś 2FA dla wszystkich profili
• Sage 100 Cloud: skontaktuj się z administratorem Sage lub swoim dystrybutorem, aby aktywować moduł MFA

Zaplanuj sesję rejestracji z każdym współpracownikiem (15-20 minut na osobę). Rozdaj każdemu użytkownikowi kartkę ze streszczeniem jego kodów odzyskiwania, która będzie przechowywana w bezpiecznym i fizycznym miejscu (sejf biurowy, na przykład).

Krok 3 — Zasady zarządzania i procedury awaryjne

Wdrożenie techniczne to tylko połowa pracy. Udokumentowana polityka bezpieczeństwa powinna określić:

• Kto może tymczasowo wyłączyć 2FA (tylko administrator systemu, nigdy sam współpracownik)
• Procedura utraty urządzenia: natychmiastowe zablokowanie konta, regeneracja kodów zapasowych, nadzorowana ponowna rejestracja
• Częstotliwość przeglądu: półroczny audyt dostępu i metod autentykacji
• Zarządzanie odejściami: natychmiastowe cofnięcie dostępu i tajemnic 2FA przy każdym odejściu współpracownika

Ta polityka naturalnie integruje się z planem ciągłości działalności (PCA) i rejestrem przetwarzania danych w sensie RODO. Konsultacja z centrum pomocy Certyneo może dostarczyć szablony polityk dostosowane do małych i średnich struktur.

---

Integracja 2FA z narzędziami podpisu elektronicznego

Podpis elektroniczny zaawansowany lub kwalifikowany, jak zdefiniowany w rozporządzeniu eIDAS, wymaga silnej identyfikacji podpisującego. W praktyce, gdy biuro przesyła list polecenia lub umowę usług do podpisania klientowi, platforma podpisu musi weryfikować tożsamość podpisującego w niezawodny sposób. To właśnie tutaj interweniuje 2FA.

Na platformach podpisu zgodnych z eIDAS (poziom zaawansowany lub kwalifikowany) podpisujący otrzymuje link pocztą elektroniczną, a następnie musi zwalidować swoją tożsamość za pośrednictwem drugiego kanału (SMS, aplikacja autentykacyjna lub certyfikat kwalifikowany). Proces ten tworzy ścieżkę auditu ze stemplem czasowym i kryptograficznie weryfikowalną, co stanowi niezbite dowody w przypadku sporu — kwestia kluczowa dla biegłych rewidentów, którzy zaangażują swoją odpowiedzialność zawodową w każdą misję.

Aby zrozumieć różne poziomy podpisu i wybrać ten odpowiadający Twoim przepływom dokumentów, zalecane jest przeczytanie kompleksowego przewodnika podpisu elektronicznego. Biura korzystające z Certyneo mają natywną integrację 2FA w procesie podpisu, co zmniejsza tarcie dla podpisującego przy jednoczesnym utrzymaniu wymaganego poziomu zgodności.

Szczególna uwaga powinna być zwrócona na listy polecenia (obowiązkowe zgodnie ze standardem zawodowym 2400 OEC) i raporty audytu: te dokumenty angażują osobistą odpowiedzialność zawodnika i wymagają nienaganny ścieżki autentykacji. Możesz również użyć generatora umów opartego na AI do automatyzacji tworzenia tych dokumentów przy jednoczesnym zintegrowaniu od razu wymogów silnego uwierzytelnienia.

---

Szkolenie i świadomość współpracowników: czynnik ludzki

Najbardziej rygorystyczne wdrażanie techniczne staje się nieskuteczne, jeśli współpracownicy nie rozumieją postawki lub obchodzą urządzenia bezpieczeństwa. W biegłości rachunkowej zespoły są często złożone z różnych profili: senior partnerzy, młodsi współpracownicy, stagiariusze, kierowniczki biur. Szkolenie musi być dostosowane do każdego profilu.

Rekomendowany program świadomości dla biura od 5 do 30 osób:

1. Sesja inauguracyjna (1h): prezentacja konkretnych zagrożeń (anonimowe przykłady realnych incydentów w sektorze), demonstracja live konfiguracji, pytania i odpowiedzi
2. Krótkie tutoriale wideo (3-5 minut każdy): jeden tutorial na krytyczną aplikację, dostępny w intranecie biura
3. Symulowana ćwiczenie phishingowe: wysłanie fałszywego emailu phishingowego za 3 miesiące od wdrożenia, aby zmierzyć rzeczywistą czujność i zidentyfikować współpracowników wymagających dodatkowego wsparcia
4. Integracja w procesem onboardingu: każdy nowy pracownik konfiguruje 2FA w pierwszy dzień, z dedykowanym opiekunem

Orden Biegłych Rewidentów (OEC) oferuje również zasoby szkolenia ustawicznego w cyberbezpieczeństwie w ramach obowiązkowego szkolenia rocznego (40 godzin dla biegłych rewidentów wpisanych na listę). Te szkolenia mogą być doceniane w Twojej procedurze jakości, jeśli biuro ma certyfikat ISO 9001 lub dąży do certyfikacji cyberbezpieczeństwa (label ExpertCyber ANSSI, na przykład).

Ramy prawne mające zastosowanie do silnego uwierzytelnienia w biegłości rachunkowej

Wdrożenie autentykacji dwufaktorowej w biurze biegłego rewidenta wpisuje się w gęste ramy regulacyjne, zbudowane wokół kilku kluczowych tekstów.

Rozporządzenie eIDAS nr 910/2014 i jego rewizja eIDAS 2.0 (Rozporządzenie UE 2024/1183) stanowią podstawę odniesienia dla wszystkiego, co dotyczy elektronicznej identyfikacji w Europie. Artykuł 8 definiuje trzy poziomy pewności dla środków elektronicznej identyfikacji: niski, zasadniczy i wysoki. Dla aktów angażujących odpowiedzialność zawodową biegłego rewidenta (podpisywanie raportów, walidacja roczników fiskalnych online), wymagany jest poziom pewności „zasadniczy" lub „wysoki", co oznacza obligatoryjnie autentykację wielofaktorową.

RODO (Rozporządzenie UE 2016/679), w artykule 32, nakłada na administratorów danych obowiązek wdrożenia „odpowiednich technicznych i organizacyjnych środków" w celu zagwarantowania bezpieczeństwa danych osobowych. Biuro biegłego rewidenta przetwarza wrażliwe dane osobowe (dane finansowe, dane zdrowotne poprzez pokwitowania wynagrodzeń ze zwolnieniami lekarskimi itp.). Brak 2FA na dostępach do programów rachunkowych stanowi bardzo prawdopodobnie naruszenie tego artykułu, narażając biuro na sankcje mogące sięgnąć 4% rocznego światowego obrotu (artykuł 83 RODO).

Kodeks cywilny, artykuły 1366 i 1367, normują wartość prawną podpisu elektronicznego. Artykuł 1367 precyzuje, że „niezawodność procedury podpisu elektronicznego domniemana jest, aż do dowodu przeciwnego, gdy procedura ta wdraża podpis elektroniczny kwalifikowany". Silne uwierzytelnienie jest istotnym komponentem tego domniemania niezawodności.

Dyrektywa NIS2 (Dyrektywa UE 2022/2555), transponowana w prawo francuskie ustawą nr 2024-449 z 21 maja 2024 r. i jej dekrety wykonawcze, rozszerzają zobowiązania cyberbezpieczeństwa na szeroki spektrum podmiotów. Choć biura biegłych rewidentów nie są bezpośrednio wymienione jako podmioty istotne, te, które świadczą usługi cyfrowe podmiotom istotnym lub ważnym (placówki opieki zdrowotnej, władze samorządowe, przedsiębiorstwa infrastruktury krytycznej) mogą być poddane zobowiązaniom pośrednio poprzez swoje umowy świadczenia usług.

Standard zawodowy 2400 Ordenu Biegłych Rewidentów narzuca ponadto wzmocniony obowiązek dołożenia starań w dziedzinie bezpieczeństwa systemów informatycznych dla biur zajmujących się misjami legalnymi. ANSSI wyraźnie rekomenduje MFA jako miarę minimalną w swoim przewodniku „Bezpieczeństwo systemów informatycznych dla MTP/MPP" (wydanie 2024).

Odpowiedzialność cywilna zawodowa: w przypadku naruszenia danych klientów wynikającego z braku 2FA, ubezpieczyciel RCP biura może powołać się na rażące zaniedbanie, aby zmniejszyć lub odmówić gwarancji. Zdecydowanie zalecane jest zachowywanie dokumentacji technicznej wdrożenia 2FA jako dowodu staranności.

Scenariusze użycia: 2FA w praktyce w biurach rachunkowych

Scenariusz 1 — Biuro biegłości rachunkowej średniej wielkości

Biuro skupiające około piętnastu współpracowników i zarządzające około czteroma setnami aktywnych mandatów zdecydowało się wdrożyć 2FA na wszystkich narzędziach w wyniku incydentu phishingowego, który niemal skompromitował dostęp do programu do rozliczania wynagrodzeń. Kierownictwo wybrało Microsoft Authenticator na Microsoft 365 (poczta, SharePoint, Teams) oraz natywne aplikacje TOTP swojego programu rachunkowego w chmurze.

Wdrożenie zostało zrealizowane w ciągu trzech tygodni: tydzień inwentaryzacji i parametryzacji, tydzień rejestracji współpracowników w grupach po pięć osób, tydzień śledzenia i korygowania problemów. Rezultat: zero incydentów skompromitowania konta w ciągu 12 miesięcy następnie, w porównaniu z dwoma incydentami rok wcześniej. Czas zarządzania incydentami bezpieczeństwa zmniejszył się o około 70%. Biuro mogło również uzasadnić kilku klientom grandes firmy (w tym małemu przedsiębiorstwu przemysłowemu będącemu klientem narzucającemu kartę bezpieczeństwa dostawców), że jego systemy respektują wymogi MFA.

Scenariusz 2 — Biuro specjalizujące się w audycie legalnym MTP

Biuro audytu legalnego zarządzające około sześćdziesięcioma mandatami audytu legalnego stanęło przed specjalnym wymogiem: jego klienci w coraz większej liczbie zwracają się o dowód zgodności RODO przy odnowieniu misji. Biuro wybrało wdrożenie kluczy bezpieczeństwa FIDO2 dla partnerów (dostęp do najbardziej wrażliwych spraw) i aplikacji TOTP dla starszych współpracowników, jednocześnie utrzymując OTP via SMS wyłącznie dla dostępów o niskiej wrażliwości.

Jednocześnie biuro zintegrowało podpis elektroniczny zaawansowany w swoje przepływy raportów audytu, z systematycznym silnym uwierzytelnieniem podpisującego. Dzięki wygenerowanej ścieżce audytu dwa potencjalne spory z klientami kwestionującymi rzeczywistą datę dostarczenia raportu mogły być rozstrzygnięte na korzyść biura poprzez przedstawienie logów uwierzytelnienia ze stemplem czasowym. Skrócenie czasu podpisywania raportów (z średnio 5 dni do poniżej 24 godzin) pozwoliło również na usprawnienie fakturowania i poprawę płynności finansowej biura o około 15%.

Scenariusz 3 — Biuro w fazie wzrostu zewnętrznego

Sieć regionalna biur rachunkowych, która wchłonęła trzy niezależne struktury w ciągu dwóch lat, znalazła się z znaczną heterogenicznością systemów: niektóre wchłonięte biura nie miały żadnej polityki 2FA, inne stosowały OTP via SMS. Grupa skorzystała z tej integracji, aby ujednolicić się w kierunku zunifikowanego rozwiązania zarządzania tożsamością (IAM — Identity and Access Management) z obowiązkową 2FA.

Inwestycja początkowa (licencje IAM, szkolenie, wsparcie) została oszacowana na około 8000 € dla całej grupy (około 45 współpracowników). W zamian zmniejszenie kosztów związanych z incydentami bezpieczeństwa (interwencje dostawcy informatyki, zarządzanie kryzysem) zostały oszacowane na 15 000-20 000 € w ciągu pierwszego roku. Grupa mogła również wynegocjować zmniejszenie premii ubezpieczenia cyber rzędu 20%, dostarczając ubezpieczycielowi dokumentacji wdrożenia 2FA.

Podsumowanie

Autentykacja dwufaktorowa nie jest już luksusem zarezerwowanym dla dużych struktur: to imperatyw bezpieczeństwa i zgodności dla każdego biura biegłości rachunkowej, niezależnie od rozmiaru. Między wymogami RODO, rekomendacjami ANSSI, zobowiązaniami eIDAS dla podpisu elektronicznego i rosnącą presją klientów na standardy bezpieczeństwa swoich dostawców, 2FA stał się nie do uniknięciem standardem w sektorze.

Dobra wiadomość: wdrożenie jest dziś dostępne, szybkie i takie o małych kosztach. Następując kroki opisane w tym artykule — inwentaryzacja aplikacji, wybór odpowiedniej metody, rejestracja współpracowników, redakcja udokumentowanej polityki — biuro może osiągnąć solidny poziom bezpieczeństwa w ciągu kilku tygodni.

Certyneo natywnie integruje silne uwierzytelnienie w swoje przepływy podpisu elektronicznego, pozwalając Ci połączyć zgodność eIDAS z bezpieczeństwem MFA bez dodatkowej złożoności. Odkryj nasze oferty i ceny lub skontaktuj się z naszym zespołem w celu spersonalizowanego wsparcia w dostosowaniu się do wymogów biura.