Dvofaktorska avtentifikacija: vodnik za računovodstvo

Zakaj je dvofaktorska avtentifikacija nujno potrebna v reviziji

Pisarne za revizijo obdelujejo vsak dan izjemno zaupne finančne podatke: davčne bilance, bilance stanja, plačilne liste, bančne podatke stotine podjetij strank. Leta 2025 se je po letnem poročilu ANSSI število napadov s phishingom, usmerjenimi v regulirane poklice, povečalo za 37 % v enem letu. Soočeni s to grožnjo je dvofaktorska avtentifikacija (2FA) — znana tudi kot večfaktorska avtentifikacija (MFA) — prva tehnična obrambna linija, ki se priporoča.

Dvofaktorska avtentifikacija temelji na preprostem načelu: za dostop do sistema mora uporabnik dokazati svojo istovetnost prek dveh ločenih elementov. Prvi je običajno "nekaj, kar veste" (geslo), drugi pa je "nekaj, kar imate" (pametni telefon, fizični ključ) ali "nekaj, kar ste" (biometrični podatki). Ta mehanizem naredi lahkotne napade z kražo gesla praktično nemogoče - ti predstavljajo še vedno 81 % kršitev podatkov po poročilu Verizon DBIR 2024.

Za računovodske revizorje je skladnost s pravilnikom eIDAS in njegovimi zahtevami za močno identifikacijo več kot možnost: to je zakonska in etična nujnost. Ta članek vam korak za korakom pojasnjuje, kako konfigurirati 2FA v vaši pisarni, katera orodja izbrati in kako spremljevati sodelavce pri tej spremembi.

---

Metode dvofaktorske avtentifikacije, prilagojene računovodskemu sektorju

Avtentifikacijske aplikacije (TOTP)

Najbolj razširjena metoda v računovodskih pisarnah je uporaba aplikacije, ki generira časovne kode (TOTP — Time-based One-Time Password). Rešitve, kot so Google Authenticator, Microsoft Authenticator ali Authy, generirajo kodo s 6 števkami, ki se osvežuje vsakih 30 sekund. Ta koda je povezana s skupnim skrivnostjo, shranjeno v aplikaciji med fazo vpisa (skeniranje QR kode).

Prednosti za pisarne: uvedba brez dodatnih stroškov, deluje brez povezave, kompatibilna z skoraj vsemi računovodskimi programi (Sage, Cegid, ACD, MyUnisoft). Slabost: če sodelavec izgubi svoj telefon, mora biti postopek obnovitve vnaprej načrtovan (zavarovalnih kod, hranjena na varnem mestu).

Fizični varnostni ključi (FIDO2/WebAuthn)

Za pisarne, ki obdelujejo velike količine občutljivih podatkov ali so predmet pogostih revizij, fizični varnostni ključi (tipa YubiKey ali Feitian) ponujajo najvišjo raven zaščite. Temelječe na standardih FIDO2 in WebAuthn so odporne na phishing po zasnovi: ključ kriptografsko preveri domeno spletnega mesta, preden se avtentificira, kar nevtralizira napade tipa "man-in-the-middle".

Čedalje več davčnih portalov in obveznih depozitnih platform (DGFiP, infogreffe) sprejema te standarde. Pisarna, ki upravlja stotino mandatov, lahko rentabilizira nakup ključev (približno 50-80 € za kos) v nekaj tednih zahvaljujoč zmanjšanju časa upravljanja varnostnih incidentov.

SMS OTP: izogniti se je treba za občutljive podatke

Čeprav kode, poslane prek SMS-a, ostajajo možnost v številnih sistemih, jih je ameriški NIST (National Institute of Standards and Technology) leta 2016 znižal iz kategorije močnih avtentifikacijskih metod. Napadi s spremembo SIM-a (nepravi prenos telefonske številke na SIM kartico pod nadzorom napadalca) so zadeli več francoskih računovodskih pisarn v zadnjih letih. Za dostop do davčnih podatkov ali orodij elektronskega podpisovanja za pravne in računovodske pisarne se SMS OTP sme upoštevati le kot rešitev zadnje možnosti.

---

Kako konfigurirati dvofaktorsko avtentifikacijo: vodnik korak za korakom

Korak 1 — Nabor aplikacij in opredelitev območja

Pred kakršno koli tehnično izvedbo naredite obsežen nabor vseh aplikacij, ki jih uporabljate v vaši pisarni:

• Računovodski programi: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-pošta in orodja za sodelovanje: Microsoft 365, Google Workspace, Slack
• Orodja za upravljanje dokumentov in podpisovanje: platforme depozita, orodja za delovni tok
• Oddaljeni dostopi: VPN, RDP, virtualne pisarne
• Spletni portali strank: prostori za izmenjavo dokumentov s strankami

Za vsako aplikacijo preverite, ali je 2FA dostopna (razdelek "Varnost" nastavitev) in katero metodo podpira (TOTP, FIDO2, SMS). Razvrstite aplikacije po kritičnosti glede na občutljivost podatkov, ki so dostopni.

Korak 2 — Tehnična uvedba in vpis sodelavcev

Za Microsoft 365 se konfiguracija izvede prek portala Azure Active Directory (Entra ID). Aktivirajte "Security Defaults" ali za pisarne z več kot 10 sodelavci konfigurirajte politike pogojnega dostopa (dostopne že s licenco Business Premium). Te politike omogočajo zahtevati 2FA samo v določenih pogojih: dostop od zunaj pisarne, prijava z neznanega naprave, neobičajen čas.

Za računovodske programe postopek variira glede na izdajatelja:

• Cegid Loop: nastavitve varnosti > aktiviranje dvojne avtentifikacije > ustvarjanje QR kod za vsakega uporabnika
• MyUnisoft: administracija > varnost > močna avtentifikacija > vsiliti 2FA za vse profile
• Sage 100 Cloud: kontaktirajte skrbnika Sage ali vašega preprodajalca za aktiviranje modula MFA

Pripravite sejo vpisa s posameznim sodelavcem (15-20 minut na osebo). Vsakemu uporabniku distribuirajte povzetno kartico z njegovimi kodami obnovitve, ki jih hranite na varnem in fizičnem mestu (sejna pisarne, na primer).

Korak 3 — Politika upravljanja in nujni postopki

Tehnična uvedba je samo polovica dela. Dokumentirana politika varnosti mora specificirati:

• Kdo lahko začasno onemogoči 2FA (samo sistemski skrbnik, nikoli sam sodelavec)
• Postopek izgube naprave: nemudna blokada računa, regeneracija zavarovalnih kod, nadzorovani ponovni vpis
• Pogostost pregleda: polletni revizijski dostop in metode avtentifikacije
• Upravljanje odhodov: nemudna preklica dostopa in 2FA skrivnosti ob kateremkoli odhodnem sodelavcu

Ta politika se naravno integrira v vaš načrt nadaljevanja poslovanja (PCA) in v vaš register obdelave podatkov v smislu GDPR. Obisk centra za pomoč Certyneo vam lahko zagotovi predloge politike, prilagojene manjšim in srednje velikim strukturam.

---

Integracija 2FA z orodji za elektronski podpis

Napredni ali kvalificirani elektronski podpis, kot ga opredeljuje pravilnik eIDAS, zahteva močno identifikacijo podpisnika. Konkretno, ko vaša pisarna stranki pošlje pismo o naročilu ali pogodbo za storitve za podpis, mora platforma za podpis preveriti istovetnost podpisnika na robusten način. Ravno tam pride do izraza 2FA.

Na platformah za podpis, skladnih z eIDAS (napredna ali kvalificirana raven), podpisnik prejme povezavo prek e-pošte in nato mora potrditi svojo istovetnost prek drugega kanala (SMS, avtentifikacijska aplikacija ali kvalificirani certifikat). Ta postopek ustvari horodatirane in kriptografsko preverljive revizijske sledi, kar predstavlja nedvoumljiv dokaz v primeru spora — kritično vprašanje za računovodske revizorje, ki so osebno odgovorni za vsako nalogo.

Za razumevanje različnih ravni podpisovanja in izbiro primerne za vaše dokumente je priporočljivo branje popolnega vodiča elektronskega podpisovanja. Pisarne, ki uporabljajo Certyneo, imajo rodno integracijo 2FA v pot podpisovanja, kar zmanjša trenje za podpisnika in ohrani raven skladnosti.

Posebna pozornost mora biti namenjena pismom o naročilih (obvezna po poklicnem standardu 2400 Ordre des Experts-Comptables) in poročilom nadzornika: ti dokumenti ogrozijo osebno odgovornost strokovjaka in zahtevajo nepreudarno avtentifikacijsko sledljivost. Uporabite generator pogodb s pomočjo AI za avtomatizacijo ustvarjanja teh dokumentov ob upoštevanju zahtev za močno avtentifikacijo že od zasnove.

---

Usposabljanje in informiranje sodelavcev: človeški dejavnik

Najtočnejša tehnična uvedba je neuspešna, če sodelavci ne razumejo vlog ali zaobidejo varnostne mehanizme. V reviziji so ekipe pogosto sestavljene iz zelo različnih profilov: starejši podjetniki, mladi sodelavci, staž, direktorice. Usposabljanje je treba prilagoditi vsakemu profilu.

Priporočeni program informiranja za pisarno s 5 do 30 osebami:

1. Sejna zagona (1h): predstavitev konkretnih tveganj (anonimiziranih resničnih primerov incidentov v sektorju), neposredna demonstracija konfiguracije, vprašanja in odgovori
2. Kratki video učbeni (3-5 minut vsak): en vodnik za vsako kritično aplikacijo, dostopen v intranetu pisarne
3. Simulirani phishing-ov: pošiljanje lažnega e-poštnega sporočila o phishingu čez 3 mesece za merjenje dejanske budnosti in prepoznavanje sodelavcev, ki potrebujejo dodatno podporo
4. Vključitev v uvajanje: vsak novi sodelavec konfigurira svojo 2FA na prvi dan dela, s potrebnim svetovalcem

Ordre des Experts-Comptables (OEC) nudi tudi vire za stalno izobraževanje o kibervarnosti v okviru letnih obveznosti izobraževanja (40 ur za eksperte-računovodske na tabeli). Ta izobraževanja je mogoče ceniti v vaši pristopi k kakovosti, če je vaša pisarna certificirana po ISO 9001 ali stremi k certifikaciji kibervarnosti (oznaka ExpertCyber ANSSI, na primer).

Pravni okvir, velja za močno avtentifikacijo v reviziji

Uvedba dvofaktorske avtentifikacije v pisarno za revizijo je del gostega normativnega okvira, strukturiranega okoli več temeljnih besedil.

Pravilnik eIDAS n°910/2014 in njegova revizija eIDAS 2.0 (Pravilnik EU 2024/1183) predstavljata osnovno referenco za vse, kar se tiče elektronske identifikacije v Evropi. Članek 8 opredeljuje tri ravni zagotavljanja za sredstva elektronske identifikacije: nizka, bistvenega in visoka. Za dejanja, ki ogrozijo odgovornost revizorja za revizijo (podpisovanje poročil, potrditev davčnih bilaj na spletu), je raven zagotavljanja "bistvenega" ali "visoka" obvezna, kar neposredno pomeni večfaktorsko avtentifikacijo.

GDPR (Pravilnik EU 2016/679), v svojem članku 32, pisarnam za tvarjenje ne naloži "ustreznih tehničnih in organizacijskih ukrepov" za zagotovitev varnosti osebnih podatkov. Pisarna za revizijo obdeluje občutljive osebne podatke (finančni podatki, zdravstveni podatki prek plačilnih listov z bolezenskim dopustom itd.). Odsotnost 2FA pri dostopu do računovodskih programov skoraj gotovo predstavlja kršitev tega članka, kar izpostavlja pisarno kaznim do 4 % letnega svetovnega prometa (članek 83 GDPR).

Civilni zakonik, članka 1366 in 1367, regulirata pravno vrednost elektronskega podpisa. Članek 1367 precizira, da je "zanesljivost postopka elektronskega podpisovanja domnevna, do nasprotnega dokaza, ko postopek uvaja kvalificirani elektronski podpis". Močna avtentifikacija je bistvena komponenta te domnevke zanesljivosti.

Direktiva NIS2 (Direktiva EU 2022/2555), prenesena v francoski pravo z zakonom n°2024-449 z dne 21. maja 2024 in njegovih izvršilnih odlokov, razširja obveznosti kibervarnosti na širok spekter subjektov. Čeprav pisarne za revizijo niso neposredno navedene kot bistveni subjekti, tiste, ki nudijo digitalne storitve bistvenim ali pomembnim subjektom (ustanove za zdravstvo, lokalne skupnosti, podjetja za kritično infrastrukturo), so lahko predmet obveznosti s posrednim učinkom prek svojih pogodb storitev.

Poklicni standard 2400 Ordre des Experts-Comptables tudi naloži ojačano obveznost sredstev glede varnosti informacijskih sistemov za pisarne, ki obdelujejo pravne naloge. ANSSI izrecno priporoča MFA kot minimalno merilo v svojem vodniku "Varnost informacijskih sistemov za mikro/male/srednje velike podjetke" (izdaja 2024).

Odgovornost za strokovne napake: v primeru kršitve podatkov strank, ki je posledica odsotnosti 2FA, lahko zavarovalec odgovornosti pisarne vloži zahtevo za zmanjšanje ali zavrnitev garancije. Toplo je priporočljivo ohraniti dokumentacijo tehnične uvedbe 2FA kot dokaz diligence.

Scenariji uporabe: 2FA v praksi v pisarnah za revizijo

Scenarij 1 — Srednja pisarna za revizijo

Pisarna s petnajstimi sodelavci in upravljanjem približno 400 aktivnih mandatov se je odločila za uvedbo 2FA na vsa svoja orodja po incidentu s phishingom, ki je skoraj ogrozil dostop do njene programske opreme za plače. Vodstvo je izbralo Microsoft Authenticator na Microsoft 365 (e-pošta, SharePoint, Teams) in rodne TOTP aplikacije svojega oblačnega računovodskega programa.

Uvedba je bila izvedena v treh tednih: en teden za inventar in parametre, en teden za vpis sodelavcev v skupinah po pet, en teden za sledenje in popravo težav. Rezultat: nič incidentov ogrozitve računa v 12 mesecih po uvedbi, v primerjavi z dvema incidentoma leto prej. Čas upravljanja varnostnih incidentov je bil zmanjšan za približno 70 %. Pisarna je tudi lahko upravičila številnim strankam velike velikosti (med njimi manjšega industrijska podjetja stranke, ki je zahtevala varnostni kodeks dobaviteljev), da njeni sistemi spoštujejo zahteve MFA.

Scenarij 2 — Pisarna, posebna za zakonski revizijo manjšega podjetja

Pisarna za komisijsko nabiranje računov, ki upravlja šestdeset revizijskih mandatov, se je soočila s specifično zahtevo: vse več njenih strank zahteva dokaz skladnosti GDPR pri obnovi nalog. Pisarna je izbrala fizične varnostne ključe FIDO2 za partnerje (dostop do najbolj občutljivih map) in TOTP aplikacije za starejše sodelavce, čeprav je ohranila SMS OTP le za dostope z nizko občutljivostjo.

Hkrati je pisarna integrirala napredni elektronski podpis v svoje delovne tokove poročil nadzornika s sistematično močno avtentifikacijo podpisnika. Zahvaljujoč ustvarjenim revidijskim sledom se je dva eventualna spora s strankami, ki sta dvigovali račun iz učinkovitosti dostave poročila, lahko rešila v korist pisarne z razkritjem horodatiranih dnevnikov avtentifikacije. Zmanjšanje zamude za podpisovanje poročil (s povprečnih 5 dni na manj kot 24 ur) je tudi omogočilo tekoče podpisovanje in izboljšalo gotovino pisarne za približno 15 %.

Scenarij 3 — Pisarna v fazi eksterne rasti

Regionalno omrežje pisarn za revizijo, ki je v dveh letih vpilo tri neodvisne strukture, se je znašlo s precejšnjo heterogenostjo sistemov: nekatere vpite pisarne niso imele nikakršne 2FA politike, druge so uporabljale SMS OTP. Skupina je to integracijo izkoriščena za usklajevanje na enotni rešitvi za upravljanje istovetnosti (IAM — Identity and Access Management) z obvezno 2FA.

Začetna naložba (licence IAM, usposabljanje, spremljanje) je bila ocenjena na približno 8.000 € za celotno skupino (približno 45 sodelavcev). V zameno je bila zmanjšanja stroškov, povezanih z varnostnimi incidenti (posege storitve IT, upravljanje kriz), ocenjena na 15.000-20.000 € v prvem letu. Skupina je tudi lahko pogajala za zmanjšanje svoje cyber varnostne premije za približno 20 % z zagotovitvijo svojemu zavarovalcu dokumentacije uvedbe 2FA.

Zaključek

Dvofaktorska avtentifikacija ni več luksuz, ki je rezerviran le za velike strukture: to je imperativ varnosti in skladnosti za vsako pisarno za revizijo, ne glede na velikost. Med zahtevami GDPR, priporočili ANSSI, obveznostmi eIDAS za elektronski podpis in naraščajočim pritiskom strank na varnostne standarde svojih ponudnikov je 2FA postal neizogibni standard v sektorju.

Dobra novica: uvedba je danes dostopna, hitra in malo stane. Če sledite korakom, opisanim v tem članku — inventar aplikacij, izbira prilagojene metode, vpis sodelavcev, redakcija dokumentirane politike — lahko vaša pisarna v nekaj tednih doseže robusten varnostni nivo.

Certyneo je rodno integrira močno avtentifikacijo v njegove delovne tokove elektronskega podpisovanja, kar vam omogoča kombinacijo skladnosti eIDAS in varnosti MFA brez dodatne kompleksnosti. Odkrijte naše ponudbe in cene ali kontaktirajte naš tim za osebno podporo pri skladnosti vaše pisarne.