Двофакторна аутентификација: водич за рачуноводство

Зашто је двофакторна аутентификација неопходна у експертском рачуноводству

Канцеларије експертског рачуноводства дневно обрађују веома поверљиве финансијске податке: пореске исправе, билансе стања, плаћаљке, банковне реквизите стотина клијентских компанија. У 2025. години, према годишњем извештају ANSSI, напади путем фишинга усмерени на регулисане професије повећани су за 37% у односу на годину раније. Суочена са том претњом, двофакторна аутентификација (2FA) — позната и као вишефакторска аутентификација (MFA) — представља препоручену прву линију техничке одбране.

Двофакторна аутентификација почива на једноставном принципу: да бисте приступили систему, корисник мора да докаже свој идентитет кроз два различита елемента. Први је обично „нешто што знаш" (лозинка), други је „нешто што имаш" (паметни телефон, физички кључ) или „нешто што јеси" (биометријски подаци). Овај механизам чини скоро немогућим нападе кроз крађу саме лозинке, која још увек чини 81% кршења безбедности према извештају Verizon DBIR 2024.

За експертске рачуновође, усклађивање са eIDAS регулативом и њеним захтевима за јаку идентификацију није више опција: то је регулаторна и етичка неопходност. Овај чланак вам објашњава, корак по корак, како конфигурирати 2FA у својој канцеларији, које алате одабрати и како пратити своје сараднике кроз ову транзицију.

---

Методе двофакторне аутентификације прилагођене рачуноводствено-експертском сектору

Апликације за аутентификацију (TOTP)

Најраспрострањенија метода у рачуноводственим канцеларијама је употреба апликације која генерише временски код (TOTP — Time-based One-Time Password). Решења као Google Authenticator, Microsoft Authenticator или Authy генеришу код од 6 цифара који се обнавља сваких 30 секунди. Овај код је повезан са заједничком тајном похрањеном у апликацији током фазе регистрације (скенирање QR кода).

Предности за канцеларије: развој без додатних трошкова, функционише без интернета, компатибилно са скоро свим рачуноводственим софтверима (Sage, Cegid, ACD, MyUnisoft). Недостатак: ако сарадник изгуби телефон, процедура опоравка мора бити предвиђена унапред (кодови за спасавање чувани на безбедном месту).

Физички безбедносни кључеви (FIDO2/WebAuthn)

За канцеларије које обрађују велике количине осетљивих података или су подложне честим ревизијама, материјални безбедносни кључеви (типа YubiKey или Feitian) пружају највиши ниво заштите. Засновани на стандардима FIDO2 и WebAuthn, отпорни су на фишинг по замисли: кључ криптографски верификује домену веб-сајта пре аутентификације, што неутралише нападе „мушкарац-у-средини".

Све већи број пореских портала и платформи за обавезни депозит (DGFiP, infogreffe) почиње да прихвата ове стандарде. Канцеларија која управља стотину мандата може да обезбеди повраћај улагања за куповину кључева (око 50-80 € по јединици) за неколико недеља захваљујући смањењу времена управљања безбедносним инцидентима.

SMS OTP: избегавати за осетљиве податке

Иако кодови послани путем SMS остају опција у многим системима, NIST америчка агенција (National Institute of Standards and Technology) их је 2016. деклесирана из категорије јаких метода аутентификације. Напади путем SIM замене (преношење телефонског броја на SIM картицу коју контролише нападач) захватили су неколико француских рачуноводствених канцеларија у последњим годинама. За приступ пореским подацима или алатима за електронско потписивање за правне и рачуноводствене канцеларије, SMS OTP треба разматрати само као решење последње инстанце.

---

Како конфигурирати двофакторну аутентификацију: водич корак по корак

Корак 1 — Попис апликација и дефиниција опсега

Пре било какве техничке имплементације, направите комплетан попис свих апликација које се користе у вашој канцеларији:

• Рачуноводствени софтвер: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Поштанске кутије и алати за сарадњу: Microsoft 365, Google Workspace, Slack
• Алати за управљање документима и потписивање: платформе депозита, алати за радни ток
• Удаљени приступ: VPN, RDP, виртуелне канцеларије
• Клијентски портали: простори за размену докумената са клијентима

За сваку апликацију, проверите да ли је 2FA доступна (одељак „Безбедност" у подешавањима) и која метода је подржана (TOTP, FIDO2, SMS). Класификујте апликације по критичности у зависности од осетљивости доступних података.

Корак 2 — Техничка имплементација и регистрација сарадника

За Microsoft 365, конфигурација се врши кроз портал Azure Active Directory (Entra ID). Активирајте „Security Defaults" или, за канцеларије са више од 10 сарадника, конфигурирајте политике условног приступа (доступне од лиценце Business Premium). Ове политике дозвољавају захтевање 2FA само под одређеним условима: приступ са краја канцеларије, пријава са непознатог уређаја, необично време.

За рачуноводствени софтвер, процедура варира у зависности од издавача:

• Cegid Loop: подешавања безбедности > активирање двоструке аутентификације > генерисање QR кодова за сваког корисника
• MyUnisoft: администрација > безбедност > јака аутентификација > наметање 2FA за све профиле
• Sage 100 Cloud: контактирајте администратора Sage или вашег препродавца да активирате MFA модул

Предвидите сесију регистрације са сваким сарадником (15-20 минута по особи). Раздели сваком кориснику листу са својим кодовима опоравка, за чување на безбедном физичком месту (канцеларијски сейф, на пример).

Корак 3 — Политика управљања и процедуре хитности

Техничка имплементација је само половина посла. Документована политика безбедности мора да одреди:

• Ко може привремено деактивирати 2FA (само администратор система, никад сам сарадник)
• Процедура за губитак уређаја: одмах блокирање налога, поново генерисање кодова за спасавање, супервизирана поновна регистрација
• Учесталост прегледа: полугодишња ревизија приступа и метода аутентификације
• Управљање одласцима: одмах повлачење приступа и 2FA тајних при било каквом одласку сарадника

Ова политика природно се интегрише у ваш план континуитета пословања (PCA) и у регистар обраде podataka у смислу GDPR. Консултовање центра за помоћ Certyneo може вам дати моделе политика прилагођене малим и средњим структурама.

---

Интеграција 2FA са алатима за електронско потписивање

Напредно или квалификовано електронско потписивање, како је дефинисано eIDAS регулативом, захтева јаку идентификацију потписника. Конкретно, када ваша канцеларија пошаље писмо од намере или уговор о услугама на потписивање клијенту, платформа за потписивање мора да верификује идентитет потписника на робустан начин. То је управо где долази до 2FA.

На платформама за потписивање које су у складу са eIDAS (напредни или квалификовани ниво), потписник добија везу путем имејла, затим мора да потврди идентитет кроз други канал (SMS, апликација за аутентификацију или квалификовани сертификат). Овај процес ствара пут пратеће ревизије са временским жигом и криптографски верификуем, што представља неспорни доказ у случају спора — критично питање за експертске рачуновође који умањују своју професионалну одговорност на сваку мисију.

Да бисте разумели различите нивое потписивања и одабрали оно прилагођено вашим токовима документа, препоручује се читање комплетног водича електронског потписивања. Канцеларије које користе Certyneo имају корист од уородене интеграције 2FA у путању потписивања, што смањује трење за потписника док одржава захтевани ниво усклађености.

Посебна пажња мора бити обраћена писмима од намере (обавезна према професионалном стандарду 2400 OEC) и извештајима о дужностима комисара: ови докумената ангажују личну одговорност стручњака и захтевају неупредљиву пратњу аутентификације. Можете чак користити генератор уговора помоћу AI да аутоматизујете израду ових докумената док интегришете захтеве јаке аутентификације од самог почетка.

---

Обука и осветљавање сарадника: људски фактор

Најригорознија техничка имплементација је учињена неефикасном ако сарадници не разумеју проблеме или заобилазе безбедносне мере. У експертском рачуноводству, тимови су често сачињени од веома различитих профила: старији друштници, млађи сарадници, стажисти, секретарице. Обука мора бити прилагођена сваком профилу.

Препоручени програм осветљавања за канцеларију од 5 до 30 особа:

1. Сесија покретања (1ч): презентација конкретних ризика (примери стварних инцидената анонимно у сектору), жива демонстрација конфигурације, питања/одговори
2. Кратки видео туторијали (3-5 минута сваки): једна обука по апликацији критична, доступна у интранету канцеларије
3. Симулирана вежба фишинга: слање лажног фишинг имејла за 3 месеца од развоја како би се мерила стварна будност и идентификовали сарадници који захтевају додатну помоћ
4. Интеграција у онбординг: сваки нови сарадник конфигурира своју 2FA првог дана, са намењеним референцом

Ред експертских рачуновођа (OEC) такође нуди ресурсе за континуирану обуку о кибербезбедности као део обавезе континуиране обуке (40 сати за експертске рачуновође уписане у табелу). Ова обука може бити вреднована у вашој стратегији квалитета ако је ваша канцеларија сертификована ISO 9001 или жели сертификацију кибербезбедности (ExpertCyber лабела ANSSI, на пример).

Законски оквир применљив на јаку аутентификацију у експертском рачуноводству

Успостављање двофакторне аутентификације у канцеларији експертског рачуноводства спада у густ регулаторни оквир, артикулисан око неколико основних текстова.

Регулатива eIDAS бр. 910/2014 и њена ревизија eIDAS 2.0 (Регулатива ЕУ 2024/1183) чине основу за све што се тиче електронске идентификације у Европи. Члан 8 дефинише три нивоа уверења за средства електронске идентификације: нисак, суштински и висок. За поступке који ангажују одговорност експертског рачуновође (потписивање извештаја, валидација пореских исправа на интернету), захтевају се нивои уверења „суштински" или „висок", што неопходно подразумева вишефакторску аутентификацију.

GDPR (Регулатива ЕУ 2016/679), у члану 32, обавезује одговорне за обраду да спроведу „одговарајуће техничке и организационе мере" да осигурају безбедност личних података. Канцеларија експертског рачуноводства обрађује осетљиве личне податке (финансијске податке, податке о здрављу кроз плаћаљке са болничким одсуствима итд.). Одсуство 2FA на приступу рачуноводственом софтверу врло вероватно представља кршење овог члана, излажући канцеларију казнама од 4% од укупног годишњег приходаа света (члан 83 GDPR).

Грађански кодекс, чланови 1366 и 1367, регулишу правну вредност електронског потписа. Члан 1367 наводи да се „поузданост поступка електронског потписа претпоставља, до доказа супротног, када такав поступак примени квалификовани електронски потпис". Јака аутентификација је суштински компонент ове претпоставке поузданости.

Директива NIS2 (Директива ЕУ 2022/2555), транспозирана у француско право закон бр. 2024-449 од 21. маја 2024. и њеним декретима примене, проширује обавезе кибербезбедности на широко спектра ентитета. Иако канцеларије експертског рачуноводства нису директно наведене као суштински ентитети, оне које пружају дигиталне услуге суштинским или важним ентитетима (здравствене установе, јаке заједнице, предузећа критичне инфраструктуре) могу бити подложне обавезама косвено преко својих уговора о пружању услуга.

Професионални стандард 2400 Реда експертских рачуновођа такође намеће повишену обавезу средстава у смислу безбедности информационих система за канцеларије које обављају законске мисије. ANSSI изричито препоручује MFA као минималну меру у својој води „Безбедност информационих система за TPE/PME" (издање 2024).

Професионална грађанска одговорност: у случају кршења безбедности клијентских데이터 која проистиче из одсуства 2FA, осигуравач RCP канцеларије може позвати карактеризовану кривицу да смањи или одбије своју гарантију. Веома се препоручује да чувате техничку документацију развоја 2FA као доказ дужности.

Сценарији коришћења: 2FA у пракси у рачуноводственим канцеларијама

Сценарио 1 — Канцеларија експертског рачуноводства средње величине

Канцеларија која окупља петнаест сарадника и управља око 400 активних мандата одлучила је да развије 2FA на све своје алате након инцидента фишинга који је скоро компромитовао приступ својој софтверу за плаће. Управљање је одабрало Microsoft Authenticator на Microsoft 365 (порезна порезна, SharePoint, Teams) и уродене TOTP апликације свог облачног рачуноводственог софтвера.

Развој је спроведен у три недеље: једну недељу попис и конфигурација, једна недеља регистрације сарадника у групама од пет, једна недеља пратиће и исправљања проблема. Резултат: нула инцидената компромитације налога у наредних 12 месеци, у поређењу са два инцидента годину раније. Време управљања безбедносним инцидентима смањено је за око 70%. Канцеларија је такође могла да оправда неколико великих клијената (укључујући малу индустријску компанију која је клијент и која намеће повер безбедности) да његови системи поштују MFA захтеве.

Сценарио 2 — Канцеларија специјализована за ревизију закона малих предузећа

Канцеларија дужностника за ревизију која управља шездесет активних мандата ревизије закона суочена је са специфичним захтевом: у вишим броју клијената захтева доказ GDPR усклађености при обновљењу мисија. Канцеларија је одабрала безбедносне кључеве FIDO2 за партнере (приступ најосетљивијим папирима) и TOTP апликације за старше сараднике, док је задржала SMS OTP само за приступе ниске осетљивости.

Паралелно, канцеларија је интегрисала напредно електронско потписивање у своје токове извештаја о дужностима, са јаком аутентификацијом потписника по систему. Захваљујући ревизијској пути која је генерисана, два потенцијална спора са клијентима који су оспоравали ефективни датум достављања извештаја могла су бити решена у корист канцеларије производњом хронологизованих аутентификацијских логова. Смањење времена потписивања извештаја (са просека од 5 дана на мање од 24 сата) такође је позволило да се флуидизира фактурирање и побољша ликвидност канцеларије за око 15%.

Сценарио 3 — Канцеларија у фази спољног раста

Регионална мрежа рачуноводствених канцеларија која је апсорбовала три независне структуре у две године суочена се са важном хетеротерогеношћу: неке апсорбоване канцеларије нису имале никакву политику 2FA, друге су користиле SMS OTP. Група је искористила ову интеграцију да усклади јединствено решење управљања идентитетима (IAM — Identity and Access Management) са обавезном 2FA.

Почетна инвестиција (IAM лиценце, обука, помоћь) процењена је на око 8.000 € за целу групу (око 45 сарадника). Као замена, смањење трошкова повезаних са безбедносним инцидентима (интервенције IT пружаоца услуга, управљање кризом) процењено је на 15.000-20.000 € у првој години. Група је такође могла да преговара о смањењу своје премије кибер осигурања од око 20% достављањем осигурачу документацију развоја 2FA.

Закључак

Двофакторна аутентификација више није луксуз резервисан за велике структуре: то је императив безбедности и усклађености за сваку канцеларију експертског рачуноводства, без обзира на величину. Између захтева GDPR, препорука ANSSI, eIDAS обавеза за електронско потписивање и растуће притиске клијената на безбедносне норме својих пружаоца услуга, 2FA је постала неспоран стандард у сектору.

Добра вест: развој је данас доступан, брз и јефтин. Следећи кораке описане у овом чланку — попис апликација, избор прилагођене методе, регистрација сарадника, редакција документоване политике — ваша канцеларија може постићи робусан ниво безбедности за неколико недеља.

Certyneo природно интегрише јаку аутентификацију у своје токове електронског потписивања, омогућавајући вам да комбинујете eIDAS усклађеност и MFA безбедност без додатне комплексности. Откријте наше понуде и цене или контактирајте наш тим за személyzovani pratilac на усклађеност ваше канцеларије.