Otrzymywanie powiadomień o próbie logowania, zmiany danych konta, wzrost liczby podejrzanych wiadomości lub problemy z zalogowaniem na konto są oznakami zhakowania konta na Facebooku. W przypadku zhakowania konta na
Większość najbardziej krytycznych danych biznesowych i danych pracowników przechodzi przez ręce specjalistów ds. finansów i księgowości.
Jest to jeden z głównych powodów, dla których cyberzagrożenia stanowią poważne ryzyko dla zespołów finansowych i księgowych – zwłaszcza w przypadku małych firm księgowych, które są bezpośrednio odpowiedzialne za bezpieczeństwo tych danych. W tym blogu przyjrzymy się niektórym zagrożeniom cybernetycznym charakterystycznym dla zespołów finansowych i księgowości (F&A) oraz roli, jaką bezpieczeństwo informacji może odegrać w umożliwianiu zachowania bezpieczeństwa zespołom F&A i organizacjom jako całości.
Kluczowa rola działu finansowego i księgowego
Chociaż lokalizacja organizacji i branża mają wpływ na sposób działania działu finansowego i księgowego, jej misja polegająca na zarządzaniu firmowymi danymi finansowymi i podatkowymi pozostaje taka sama. F&A współpracuje z szeregiem zewnętrznych i wewnętrznych interesariuszy, aby zapewnić dokładność, zgodność i aktualność danych finansowych.
Ich praca ma kluczowe znaczenie dla umożliwienia wnikliwego planowania biznesowego i podejmowania decyzji. Oprócz innych obowiązków F&A wykorzystuje informacje finansowe do współpracy z kierownictwem, zarządem, inwestorami i organami regulacyjnymi do wspierania działalności korporacyjnej, takiej jak finansowanie, zgodność z przepisami oraz fuzje i przejęcia. F&A często współpracuje również z zespołami wewnętrznymi i ustala budżety na ich działania – marketingowe lub kadrowe – oraz monitoruje zwrot z inwestycji, zapewniając właściwą alokację zasobów.
Dane przetwarzane przez zespoły finansowe i księgowe
Aby zrealizować wszystkie te działania, F&A opiera się na poufnych informacjach finansowych. Mogą to być następujące dane:
- Numery kont bankowych
- Daty urodzenia pracowników (DOB), numery PESEL, informacje o podatnikach i dane płacowe
- Nazwiska członków zarządu
- Korporacyjne rejestry finansowe i podatkowe
- Własność intelektualna
- Plany biznesowe
- Certyfikaty biznesowe
- Audyty zgodności
- Dane klientów
Luki w zabezpieczeniach dla zespołów F&A
Ponieważ wszystkie powyższe poufne dane finansowe odzwierciedlają przeszłość, obecny i przyszły stan organizacji, a informacje te są regularnie przechowywane w oprogramowaniu księgowym, oprogramowanie to staje się głównym celem cyberprzestępców. Te poufne informacje mogą pochodzić z różnych źródeł, w tym od klientów, pracowników i stron trzecich, co sprawia, że bezpieczny i uwierzytelniony dostęp jest kluczowym elementem bezpieczeństwa przedsiębiorstwa.
Jednak bez bezpiecznego przechowywania i korzystania z danych uwierzytelniających zespoły finansowe i księgowe pozostawiają oprogramowanie i dane bez ochrony. Przechowywanie haseł w niezabezpieczonych lokalizacjach – takich jak wbudowany menedżer haseł w przeglądarce, w arkuszu kalkulacyjnym lub na papierze – otwiera poufne dane finansowe i podatkowe na cyberataki polegające na wypychaniu danych uwierzytelniających i przejmowaniu kont. Gdy członkowie zespołu muszą udostępniać dane uwierzytelniające, niezaszyfrowane metody, takie jak wiadomości e-mail, wiadomości tekstowe lub wiadomości błyskawiczne, wystawiają dane uwierzytelniające na ryzyko naruszenia.
W ostatnich latach naruszenia popularnych systemów księgowych ujawniły dane organizacyjne i dane klientów w Dark Webie. Nawet organizacje współpracujące z firmami księgowymi ryzykują kradzież informacji.
Ponieważ ponad 80% naruszeń wynika z tego, że dane uwierzytelniające są słabe lub zostały skradzione, zespoły IT powinny przyjąć rozwiązanie do zarządzania hasłami dla przedsiębiorstw, aby wspierać dział F&A i resztę organizacji.
Zagrożenie wewnętrzne (lub ze strony wykonawcy)
Zespoły F&A są przyzwyczajone do wewnętrznych kontroli księgowych, które gwarantują, że dostęp do danych poufnych ma tylko upoważniony personel oraz że informacje finansowe są prawidłowe. Podobnie jak w przypadku wewnętrznych kontroli księgowych, zespoły F&A potrzebują sposobu na ograniczenie dostępu do niezbędnego personelu. Jeśli nie ma zabezpieczeń, nieuprawnieni pracownicy mogą uzyskać dostęp do krytycznych systemów lub zwiększyć poziom dostępu, aby wyrządzić szkody firmie.
Nieautoryzowany dostęp dla pracowników zewnętrznych również naraża dane finansowe na ryzyko. Podwykonawcy lub dostawcy z nieograniczonym dostępem do krytycznych informacji dodają kolejną warstwę złożoności do ochrony danych uwierzytelniających.
Rozliczanie całkowitych kosztów cyberataków
Hakerzy mogą spowodować poważne straty w następstwie naruszenia danych, otwierając fałszywe konta bankowe i linie kredytowe oraz sprzedając skradzione dane w Dark Webie.
Według raportu IBM i Ponemon Institute „Koszty naruszenia danych w 2022 r” organizacje mogą w następstwie naruszenia spodziewać się strat w wysokości średnio 4,35 mln USD. W niektórych branżach, takich jak służba zdrowia i usługi finansowe, koszty naruszenia danych są jeszcze wyższe.
Ataki oprogramowaniem szantażującym kosztują średnio 4,62 mln USD na incydent, jeszcze przed zapłaceniem okupu, a więc są jeszcze bardziej kosztowne niż naruszenie danych.
W 2023 r. średni koszt naruszenia danych prawdopodobnie przekroczy 5 mln USD. Ta liczba obejmuje rosnące koszty kar i sporów sądowych w następstwie naruszenia przepisów. RODO, CCPA i podobne przepisy dotyczące ochrony danych nakładają wysokie kary za naruszenia i niezamierzone ujawnienie.
Oprócz bezpośrednich kosztów biznesowych i kosztów regulacyjnych, straty na skutek cyberataku – zarówno za pomocą oprogramowania wymuszającego okup, jak i naruszenia danych – mogą objąć utratę reputacji, a nawet firmy. Dokładne koszty trudno oszacować, ale wyniki mówią same za siebie. W ciągu 6 miesięcy od cyberataku 60% małych i średnich firm (MSP) kończy działalność.
Segregacja obowiązków spełnia wymogi kontroli dostępu opartej na rolach
Istnieją podobieństwa między obowiązkiem powierniczym księgowych a odpowiedzialnością specjalistów ds. cyberbezpieczeństwa za ochronę krytycznych informacji i systemów. Wspólne podejście znajduje praktyczny oddźwięk w wielu działach z zakresu zarządzania, ryzyka i zgodności w wielu organizacjach.
Na przykład segregacja obowiązków (SOD) rozdziela kluczowe obowiązki w zakresie finansów i księgowości, aby zapobiegać konfliktom interesów i wywieraniu nadmiernego wpływu na proces księgowy przez jeden podmiot.
Kontrola dostępu oparta na rolach (RBAC) w menedżerze haseł Keeper umożliwia organizacji oraz zespołowi finansowemu, a w szczególności zespołowi księgowemu, zagwarantowanie zgodności dostępu użytkowników z SOD.
Gdy zespół F&A lub GRC musi wykluczyć niektórych użytkowników z możliwości dostępu do informacji, Keeper oferuje funkcje administracyjne umożliwiające ograniczenie uprawnień dostępu. Egzekwowanie zasad RBAC określonych w Keeper, takich jak uwierzytelnianie wieloskładnikowe (MFA) lub lista adresów IP, gwarantuje, że tylko zweryfikowani upoważnieni użytkownicy mogą uzyskać dostęp do krytycznych informacji księgowych.
Administratorzy IT, a także delegowani administratorzy udostępniania dla poszczególnych zespołów, mogą również dostosować egzekwowanie logowania do własnych potrzeb w oparciu o obowiązki zespołu i poszczególnych współpracowników. RBAC ma również zastosowanie do dostępu użytkowników do poufnych plików lub danych, gwarantując, że tylko osoby potrzebujące dostępu do informacji są do tego uprawnione.
Jak Keeper pomaga zespołom finansowym i księgowym?
RBAC to tylko jedna z funkcji menedżera haseł Keeper, którą zespoły finansowe i księgowe uważają za wartościową.
Chociaż koszt obsługi przez dział pomocy technicznej zgłoszeń dotyczących haseł stanowi często bolesny punkt budżetu IT, administrator może liczyć na rozwiązanie Keeper w zakresie skutecznego włączenia zespołu IT i zwiększenia produktywności reszty organizacji.
Użytkownik musi pamiętać tylko jedno hasło – swoje hasło główne. Po zweryfikowaniu użytkownika za pomocą wszelkich zasad egzekwowania, takich jak MFA, Keeper zajmuje się resztą.
- Rozszerzenie do przeglądarki, KeeperFill®, automatycznie wypełnia dane uwierzytelniające na dowolnym urządzeniu, zapewniając użytkownikowi produktywność bez uszczerbku dla bezpieczeństwa.
- Udostępnianie danych pomiędzy magazynami umożliwia zespołom finansowym i księgowym bezpieczne wysyłanie i odbieranie danych uwierzytelniających do krytycznego oprogramowania, w tym do systemów płac, narzędzi rozliczeniowych i fakturowych oraz oprogramowania do planowania zasobów przedsiębiorstwa (ERP).
- One-Time Share to szczególnie popularne narzędzie, które umożliwia zespołom finansowym i księgowym udostępnianie zaszyfrowanych danych bez konieczności korzystania przez odbiorcę z usługi Keeper.
- Secure File Storage wykorzystuje metody szyfrowania Zero-Knowledge, które zapewniają dostęp i odszyfrowywanie plików pamięci masowej tylko użytkownikowi. Zespoły finansowe i księgowe wykorzystują tę funkcję do ochrony i przechowywania danych finansowych, dokumentów podatkowych, krytycznych planów biznesowych, wyciągów z kont bankowych i innych poufnych dokumentów.
- Raporty zgodności usprawniają sprawozdawczość w zakresie zgodności z przepisami HIPAA, Sarbanes-Oxley (SOX), PCI DSS i innymi, które wymagają monitorowania kontroli dostępu i audytu zdarzeń. W połączeniu z zaawansowanym modułem raportowania i alertów (ARAM) administratorzy InfoSec i personel GRC mogą monitorować podejrzaną aktywność użytkowników.
Wypróbuj menedżera haseł Keeper za darmo
Niezależnie od tego, czy jesteś specjalistą ds. finansów i księgowości i szukasz prostego i bezpiecznego rozwiązania do zarządzania hasłami dla swojej firmy, czy administratorem IT oceniającym menedżery haseł dla działu F&A, Keeper oferuje rozwiązania do ochrony krytycznych haseł, tajnych plików i informacji w firmie.
Z przyjemnością skontaktujemy się z Tobą za pośrednictwem jednego z naszych ekspertów ds. cyberbezpieczeństwa. Możesz również wypróbować aplikację Keeper za darmo przez 14 dni.