Двофакторна автентифікація: посібник для бухгалтерської справи

Чому двофакторна автентифікація є необхідною в бухгалтерській справі

Бухгалтерські кабінети щодня обробляють дуже конфіденційні фінансові дані: податкові звіти, балансові листи, розрахункові листки, банківські реквізити сотень клієнтів-компаній. За 2025 рік, згідно з річним звітом ANSSI, напади з фішингом на регульовані професії зросли на 37 % за рік. Перед цією загрозою двофакторна автентифікація (2FA) — також називається багатофакторною автентифікацією (MFA) — становить першу лінію рекомендованого технічного захисту.

Двофакторна автентифікація працює на простому принципі: щоб отримати доступ до системи, користувач повинен підтвердити свою особистість двома різними елементами. Перший — це зазвичай «щось, що ви знаєте» (пароль), другий — «щось, що ви маєте» (смартфон, фізичний ключ) або «щось, чим ви є» (біометричні дані). Цей механізм робить атаки на основі крадіжки тільки пароля практично неможливими, які все ще становлять 81 % порушень даних, за даними звіту Verizon DBIR 2024.

Для бухгалтерів дотримання вимог регламенту eIDAS та його вимог сильної ідентифікації більше не є опцією: це нормативна та етична необхідність. Ця стаття розповідає вам, крок за кроком, як налаштувати 2FA у вашому кабінеті, які інструменти вибрати та як супроводжувати колег у цьому переході.

---

Методи двофакторної автентифікації, адаптовані до бухгалтерського сектору

Застосунки автентифікації (TOTP)

Найпоширеніший метод у бухгалтерських кабінетах — використання застосунків, що генерують тимчасові коди (TOTP — Time-based One-Time Password). Рішення, як-то Google Authenticator, Microsoft Authenticator або Authy, генерують 6-значний код, який оновлюється кожні 30 секунд. Цей код пов'язаний із спільним секретом, збереженим у застосунку під час фази реєстрації (сканування QR-коду).

Переваги для кабінетів: розгортання без додаткових витрат, працює без з'єднання, сумісний з майже всіма бухгалтерськими програмами (Sage, Cegid, ACD, MyUnisoft). Недолік: якщо колега втратив смартфон, процедуру відновлення слід передбачити заздалегідь (коди для відновлення зберігати у безпечному місці).

Фізичні ключі безпеки (FIDO2/WebAuthn)

Для кабінетів, що обробляють великі обсяги конфіденційних даних або підлягають частим аудитам, апаратні ключі безпеки (тип YubiKey або Feitian) забезпечують найвищий рівень захисту. Засновані на стандартах FIDO2 та WebAuthn, вони стійкі до фішингу за конструкцією: ключ криптографічно перевіряє домен сайту перед автентифікацією, що нейтралізує атаки типу «людина посередині».

Все більше фіскальних порталів та платформ обов'язкового депозиту (DGFiP, infogreffe) прагнуть приймати ці стандарти. Кабінет, що керує сотнею мандатів, може окупити покупку ключів (приблизно 50-80 € за одиницю) за кілька тижнів завдяки скороченню часу управління інцидентами безпеки.

SMS OTP: чого уникати для конфіденційних даних

Хоча коди, відправлені по SMS, залишаються опцією у багатьох системах, американський NIST (National Institute of Standards and Technology) їх переклав у 2016 році з категорії методів сильної автентифікації. Атаки через SIM-свопінг (шахрайське передання номера телефону на SIM-карту, якою володіє зловмисник) вже торкнулися кількох французьких бухгалтерських кабінетів. Для доступу до податкових даних або інструментів електронного підпису для юридичних та бухгалтерських кабінетів SMS OTP слід розглядати лише як крайній засіб.

---

Як налаштувати двофакторну автентифікацію: поетапний посібник

Крок 1 — Опис застосунків та визначення ділянки

Перед будь-яким технічним розгортанням складіть повний список усіх застосунків, які використовуються у вашому кабінеті:

• Бухгалтерські програми: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Поштові скриньки та колаборативні інструменти: Microsoft 365, Google Workspace, Slack
• Інструменти керування документами та підпису: платформи депозиту, інструменти робочого процесу
• Віддалені доступи: VPN, RDP, віртуальні робочі столи
• Клієнтські портали: простори обміну документами з клієнтами

Для кожного застосунку перевірте, чи доступна 2FA (розділ «Безпека» параметрів) та який метод підтримується (TOTP, FIDO2, SMS). Класифікуйте застосунки за критичністю залежно від чутливості доступних даних.

Крок 2 — Технічне розгортання та реєстрація колег

Для Microsoft 365 налаштування здійснюється через портал Azure Active Directory (Entra ID). Активуйте «Security Defaults» або для кабінетів з більш ніж 10 колегами налаштуйте політики умовного доступу (доступні від ліцензії Business Premium). Ці політики дозволяють вимагати 2FA лише за певних умов: доступ ззовні офісу, вхід з невідомого пристрою, незвичайна час.

Для бухгалтерських програм процедура різниться залежно від виробника:

• Cegid Loop: параметри безпеки > активувати подвійну автентифікацію > генерувати QR-коди для кожного користувача
• MyUnisoft: адміністрування > безпека > сильна автентифікація > примусово 2FA для всіх профілів
• Sage 100 Cloud: зв'яжіться з адміністратором Sage або вашим торговим посередником для активації модуля MFA

Передбачте сеанс реєстрації з кожним колегою (15-20 хвилин на людину). Розповсюдьте кожному користувачеві довідковий лист із його кодами відновлення, який зберігати у безпечному фізичному місці (сейф кабінету, наприклад).

Крок 3 — Політика управління та процедури надзвичайної ситуації

Технічна реалізація — це лише половина роботи. Задокументована політика безпеки повинна визначити:

• Хто може тимчасово деактивувати 2FA (лише системний адміністратор, ніколи сам колега)
• Процедура втрати пристрою: негайна блокування облікового запису, регенерація кодів відновлення, контрольована переореєстрація
• Частота перевірки: піврічний аудит доступів та методів автентифікації
• Управління уходу: негайна відмова в доступі та секретам 2FA при будь-якому відході колеги

Ця політика природно інтегрується у ваш план безперервності діяльності (BCP) та у реєстр обробки даних відповідно до GDPR. Консультація з центром допомоги Certyneo може надати вам шаблони політик, адаптовані для малих та середніх структур.

---

Інтеграція 2FA з інструментами електронного підпису

Розширена або кваліфікована електронна підпис, як визначено регламентом eIDAS, вимагає сильної ідентифікації підписанта. На практиці, коли ваш кабінет передає лист про мандат або контракт про послуги на підпис клієнту, платформа підпису повинна надійно перевірити особистість підписанта. Саме тут вступає в гру 2FA.

На платформах підпису, сумісних з eIDAS (розширеним або кваліфікованим рівнем), підписант отримує посилання електронною поштою, а потім повинен підтвердити свою особистість через другий канал (SMS, застосунок автентифікації або кваліфікований сертифікат). Цей процес створює дорожку аудиту з позначкою часу та криптографічно перевірену, що становить беззаперечний доказ у разі суперечки — критичне питання для бухгалтерів, які беруть на себе професійну цивільну відповідальність за кожну місію.

Щоб розуміти різні рівні підпису та вибрати той, що підходить для ваших документопотоків, рекомендується прочитання повного посібника з електронного підпису. Кабінети, які використовують Certyneo, мають на користь нативної інтеграції 2FA у процес підпису, що зменшує тертя для підписанта, зберігаючи необхідний рівень відповідності.

Особлива увага повинна приділятися листам про мандат (обов'язкові за професійним стандартом 2400 OEC) та звітам комісарів з аудиту: ці документи беруть на себе особисту відповідальність професіонала і потребують бездоганної трасуваності автентифікації. Ви також можете використати генератор контрактів на основі AI для автоматизації створення цих документів, одночасно інтегруючи вимоги сильної автентифікації з самого початку.

---

Навчання та повідомлення колег: людський фактор

Найстрогіше технічне розгортання стає неефективним, якщо колеги не розуміють ставок або обходять dispositifs de sécurité. У бухгалтерській справі команди часто складаються з різних профілів: старші партнери, молоді колеги, стажери, помічниці направління. Навчання повинно бути адаптовано до кожного профілю.

Рекомендована програма інформування для кабінету з 5 до 30 осіб:

1. Сеанс запуску (1 година): представлення конкретних ризиків (приклади реальних інцидентів, анонімізовані у секторі), живу демонстрацію налаштування, запитання/відповіді
2. Короткі відеоуроки (3-5 хвилин кожен): один урок на критичний застосунок, доступний в інтранеті кабінету
3. Моделювання фішингу: відправлення поддельного фішинг-листа через 3 місяці після розгортання для виміру реальної пильності та виявлення колег, котрим потрібна додаткова підтримка
4. Інтеграція у введення: кожен новий колега налаштовує свою 2FA в перший день, з призначеним довідником

Орден Бухгалтерів (OEC) також пропонує ресурси постійного навчання з кібербезпеки у рамках обов'язків щорічного навчання (40 годин для бухгалтерів, занесених до реєстру). Ці навчання можуть бути оцінені у вашому підході до якості, якщо ваш кабінет сертифікований ISO 9001 або прагне сертифікації кібербезпеки (лейбл ExpertCyber ANSSI, наприклад).

Правова база, що застосовується до сильної автентифікації в бухгалтерській справі

Впровадження двофакторної автентифікації в кабінет бухгалтерської справи вписується в щільну нормативну базу, побудовану навколо кількох фундаментальних текстів.

Регламент eIDAS №910/2014 та його переглядання eIDAS 2.0 (Регламент ЄС 2024/1183) становить основну базу для всього, що стосується електронної ідентифікації в Європі. Стаття 8 визначає три рівні впевненості для засобів електронної ідентифікації: низький, істотний та високий. Для актів, що беруть на себе професійну відповідальність бухгалтера (підпис звітів, валідація податкових звітів в інтернеті), потрібен рівень впевненості «істотний» або «високий», що обов'язково означає багатофакторну автентифікацію.

GDPR (Регламент ЄС 2016/679), в своій статті 32, зобов'язує обробників даних впровадити «належні технічні та організаційні заходи» для забезпечення безпеки персональних даних. Кабінет бухгалтерської справи обробляє конфіденційні персональні дані (фінансові дані, дані про здоров'я через розрахункові листки з хворобами тощо). Відсутність 2FA на доступах до бухгалтерських програм, ймовірно, становить порушення цієї статті, підраховуючи кабінет до санкцій, які можуть досягти 4% річного світового обороту (стаття 83 GDPR).

Цивільний кодекс, статті 1366 та 1367, регулюють правову цінність електронного підпису. Стаття 1367 уточнює, що «надійність процесу електронного підпису вважається, до доказу протилежного, коли цей процес застосовує кваліфіковану електронну підпис». Сильна автентифікація є істотним компонентом цієї презумпції надійності.

Директива NIS2 (Директива ЄС 2022/2555), трансльована у французьке право законом №2024-449 від 21 травня 2024 року та його декретами про застосування, розширює зобов'язання щодо кібербезпеки на широкий спектр суб'єктів. Хоча кабінети бухгалтерської справи не перелічені безпосередньо як суттєві суб'єкти, ті, що надають цифрові послуги суттєвим або важливим суб'єктам (установи охорони здоров'я, місцеві органи влади, компанії критичної інфраструктури), можуть піддаватися зобов'язанням опосередковано через контракти надання послуг.

Професійний стандарт 2400 Ордену Бухгалтерів крім того накладає посилене зобов'язання засобів щодо безпеки інформаційних систем для кабінетів, що обробляють юридичні місії. ANSSI в своєму посібнику «Безпека інформаційних систем для МСП» (видання 2024) явно рекомендує MFA як мінімальний захід.

Професійна цивільна відповідальність: у разі порушення даних клієнтів через відсутність 2FA страховик RCP кабінету може посилатися на обґрунтовану вину, щоб зменшити або відмовити у своїй гарантії. Наполегливо рекомендується зберігати документацію технічного розгортання 2FA як доказ прилежності.

Сценарії використання: 2FA на практиці у бухгалтерських кабінетах

Сценарій 1 — Кабінет бухгалтерської справи середнього розміру

Кабінет, що об'єднує близько п'ятнадцяти колег і керує близько 400 активних мандатів, вирішив розгорнути 2FA на всіх своїх інструментах після інциденту фішингу, який чи не скомпрометував доступ до своєї програми розрахунків. Керівництво вибрало Microsoft Authenticator на Microsoft 365 (пошта, SharePoint, Teams) та програми TOTP, вбудовані в свою хмарну бухгалтерську програму.

Розгортання було здійснено за три тижні: один тиждень інвентаризації та налаштування, один тиждень реєстрації колег групами по п'ять, один тиждень спостереження та виправлення проблем. Результат: нульові інциденти скомпрометування облікового запису за 12 місяців, проти двох інцидентів попередного року. Час управління інцидентами безпеки було скорочено приблизно на 70%. Кабінет також зміг довести декільком клієнтам великих компаній (включаючи промислову МСП-клієнта, яка нав'язує хартію безпеки постачальників), що його системи відповідають вимогам MFA.

Сценарій 2 — Кабінет, спеціалізований на юридичному аудиті МСП

Кабінет комісарів з аудиту, що керує близько шістдесяти мандатами юридичного аудиту, зіткнувся зі специфічною вимогою: його клієнти все частіше просять доказ відповідності GDPR при поновленні контрактів. Кабінет вибрав розгортання ключів безпеки FIDO2 для партнерів (доступ до найбільш чутливих справ) та застосунків TOTP для старших колег, одночасно зберігаючи SMS OTP лише для доступів низької чутливості.

Паралельно кабінет інтегрував розширену електронну підпис у своїх робочих процесах звітів комісарів, з систематичною сильною автентифікацією підписанта. Завдяки залишеній дорожці аудиту, два потенційні спори з клієнтами, які оспорювали дату фактичної передачі звіту, змогли бути вирішені на користь кабінету шляхом представлення журналів автентифікації з позначкою часу. Скорочення часу підпису звітів (з 5 днів у середньому до менше ніж 24 години) також дозволило покращити робочі процеси підпису та поліпшити касу кабінету приблизно на 15%.

Сценарій 3 — Кабінет у фазі зовнішнього зростання

Регіональна мережа бухгалтерських кабінетів, яка поглинула три незалежні структури за два роки, опинилась з значною гетерогенністю систем: деякі поглинені кабінети взагалі не мали політики 2FA, інші використовували SMS OTP. Група скористалась цією інтеграцією для гармонізації на єдиному рішенні керування ідентичністю (IAM — Identity and Access Management) з обов'язковою 2FA.

Первісна інвестиція (ліцензії IAM, навчання, супровід) була оцінена приблизно в 8 000 € для всієї групи (близько 45 колег). На противагу цьому, скорочення витрат, пов'язаних з інцидентами безпеки (втручання постачальника IT, управління кризою), було оцінено в 15 000-20 000 € на першому році. Група також змогла домовитися про скорочення страхового внеску кібернетики на близько 20%, надавши своєму страховику документацію розгортання 2FA.

Висновок

Двофакторна автентифікація більше не є люксом, зарізервованим для великих структур: це імперативна безпека та вимога відповідності для будь-якого кабінету бухгалтерської справи, незалежно від його розміру. Між вимогами GDPR, рекомендаціями ANSSI, зобов'язаннями eIDAS для електронного підпису та зростаючим тиском клієнтів щодо норм безпеки їхніх постачальників, 2FA став невідворотним стандартом сектору.

Хороша новина: розгортання сьогодні доступне, швидке і низьковартісне. Дотримуючись кроків, описаних у цій статті — опис застосунків, вибір адаптованого методу, реєстрація колег, написання задокументованої політики — ваш кабінет може досягти надійного рівня безпеки за кілька тижнів.

Certyneo нативно інтегрує сильну автентифікацію у свої робочі процеси електронного підпису, дозволяючи вам поєднати відповідність eIDAS та безпеку MFA без додаткової складності. Дізнайтеся наші пропозиції та ціни або зв'яжіться з нашою командою для персоналізованого супроводу під час приведення вашого кабінету до відповідності.