Среди распространенных киберугроз, с которыми сталкивается розничная торговля, можно назвать атаки программ-вымогателей, социальную инженерию, проникновение в систему и внутрисистемные угрозы. Сектор розничной торговли ч...
Большая часть самых важных данных о бизнесе и сотрудниках организации проходит через руки сотрудников финансовых и бухгалтерских отделов.
Это одна из основных причин, по которой киберугрозы представляют значительный риск для сотрудников финансовых и бухгалтерских отделов, особенно для небольших бухгалтерских фирм, которые несут прямую ответственность за их безопасность. В этом блоге мы рассмотрим некоторые киберриски, которые относятся исключительно к сотрудникам финансовых и бухгалтерских отделов (финотделов), и то, какую роль может сыграть информационная безопасность в обеспечении защиты сотрудников финотделов и организаций в целом.
Важная роль финансовых и бухгалтерских отделов
Хотя специфика работы финансовых и бухгалтерских отделов зависит от того, где находится организация и к какой отрасли принадлежит, их функция управления финансовой и налоговой информацией компании остается неизменной. Сотрудники финотделов взаимодействуют с рядом внешних и внутренних заинтересованных лиц, чтобы обеспечить точность, соответствие и актуальность финансовой документации.
Их работа имеет решающее значение для грамотного планирования бизнеса и принятия решений. Помимо прочего, в обязанности финотдела входит использование финансовой информации для работы с руководством, советом директоров, инвесторами и регулирующими органами для поддержки корпоративной деятельности, такой как финансирование, соблюдение нормативных требований, слияния и поглощения. Финотдел часто также взаимодействует с сотрудниками внутри компании, например с маркетологами или отделом кадров, согласовывает для них бюджеты, а также следит за окупаемостью инвестиций для эффективного распределения ресурсов.
Данные, которые обрабатываются финансовыми и бухгалтерскими отделами
Для выполнения всех этих задач сотрудники финотделов используют конфиденциальную финансовую информацию. Сюда могут входить следующие данные:
- Номера банковских счетов
- Даты рождения сотрудников, номера социального страхования, информация о налогоплательщиках и информация о заработной плате
- Имена должностных лиц компании
- Корпоративные финансовые и налоговые отчеты
- Интеллектуальная собственность
- Бизнес-планы
- Бизнес-сертификаты
- Аудиты соответствия
- Данные клиентов
Уязвимые учетные данные для входа сотрудников финотдела
Поскольку все вышеперечисленные конфиденциальные финансовые данные отражают прошлое, настоящее и будущее состояние организации, и эта информация, как правило, хранится в бухгалтерских программах, и именно они становятся главной мишенью для злоумышленников. Эта конфиденциальная информация может поступать из различных источников, включая клиентов, сотрудников и третьих лиц, поэтому безопасный и авторизованный доступ является критически важной составляющей безопасности предприятия.
Однако без возможности безопасно хранить и использовать учетные данные сотрудники финансовых и бухгалтерских отделов оставляют свое программное обеспечение и данные без защиты. Хранение паролей в небезопасных местах, например, во встроенном браузерном менеджере паролей, в электронной таблице или на бумаге, открывает конфиденциальные финансовые и налоговые данные для кибератак с подстановкой учетных данных и завладением учетными записями. Когда сотрудникам отдела приходится обмениваться учетными данными, то такие незашифрованные способы, как электронная почта, текстовые сообщения или мгновенные сообщения, делают учетные данные уязвимыми для взлома.
В последние годы взломы популярных бухгалтерских систем привели к тому, что данные организаций и клиентов попали в даркнет. Даже организации, которые сотрудничают с бухгалтерскими фирмами, подвергаются риску кражи их информации.
Поскольку причиной более 80% утечек являются слабые или украденные учетные данные, ИТ-службам следует внедрить решение для корпоративного управления паролями для поддержки финотделов и других подразделений организации.
Угроза со стороны персонала (или подрядчиков)
Сотрудники финотделов хорошо знакомы с механизмами внутреннего контроля за отчетностью, благодаря которым к конфиденциальным данным имеет доступ только уполномоченный персонал, а также обеспечивается достоверность финансовой информации. Как и в случае с внутренним контролем за отчетностью, только ограниченное число сотрудников должно иметь доступ к документам финотдела. При отсутствии соответствующих мер защиты недовольные сотрудники могут получить или использовать доступ к критически важным системам для нанесения ущерба организации.
Несанкционированный доступ сотрудников поставщиков также подвергает риску финансовые данные. Подрядчики или поставщики с неограниченным доступом к критически важной информации создают дополнительный уровень сложности для защиты учетных данных.
Учет общей стоимости кибератак
Злоумышленники могут нанести большой ущерб после утечки информации, открывая мошеннические банковские счета, кредитные линии и продавая украденные данные в даркнете.
Согласно отчету IBM и Ponemon Institute «Стоимость утечки данных в 2022 году», ущерб от утечки данных для организаций может составить в среднем 4,35 млн долларов. В некоторых отраслях, таких как здравоохранение и финансовые услуги, стоимость утечки данных еще выше.
Атаки программ-вымогателей, которые обходятся в среднем в 4,62 млн долларов за инцидент, даже без учета стоимости выкупа, обходятся дороже, чем утечка данных.
В 2023 году средняя стоимость утечки данных, скорее всего, превысит отметку в 5 млн долларов. Эта цифра включает в себя растущие расходы на штрафы и судебные разбирательства в случае нарушения законодательства. GDPR, CCPA и аналогичные законы о защите данных предусматривают крупные штрафы за нарушения и непреднамеренное раскрытие информации.
Помимо прямых экономических и административных издержек, ущерб для репутации и потеря бизнеса еще больше увеличивают стоимость кибератаки, будь то программы-вымогатели или утечка. Точные затраты оценить сложно, но результаты говорят сами за себя. Спустя 6 месяцев после кибератаки 60% предприятий малого и среднего бизнеса закрываются.
Разделение обязанностей соответствует нормам контроля доступа на основе ролей
Между фидуциарной обязанностью бухгалтеров и ответственностью специалистов по кибербезопасности за защиту критически важной информации и систем есть сходство. Это общее мышление находит практический отклик в отделах управления рисками и соответствия требованиям (GRC) многих организаций.
Например, разделение обязанностей (SOD) подразумевает распределение важнейших обязанностей в области финансов и бухгалтерского учета, чтобы предотвратить конфликт интересов и не допустить чрезмерного влияния на процесс учета.
Управление доступом на основе ролей (RBAC) в Keeper Password Manager обеспечивает совместимость доступа пользователей с разделением обязанностей для организации, а также для финансовой или бухгалтерской службы.
Если для функционирования финотдела и отдела управления рисками и соответствия требованиям необходимо ограничить определенным пользователям доступ к информации, Keeper предлагает административные функции для разрешений ограниченного доступа. Применение политик RBAC, установленных в Keeper, таких как многофакторная аутентификация (MFA) или IP-листинг, гарантирует, что только проверенные и авторизованные пользователи могут получить доступ к критически важной учетной информации.
ИТ-администраторы, а также назначенные администраторы общего доступа для отдельных подразделений также могут адаптировать меры контроля входа в систему в зависимости от обязанностей всей группы или отдельных сотрудников. RBAC также применяется к доступу пользователей к конфиденциальным файлам или данным, тем самым обеспечивая, чтобы только те лица, которым необходимо получить доступ к информации, имели на это право.
Как Keeper помогает финансовым и бухгалтерским отделам?
RBAC — это всего лишь одна ценная для финансовых и бухгалтерских отделов функция Keeper Password Manager.
Несмотря на то, что стоимость обращений в службу поддержки, связанных с паролями, часто является болевой точкой ИТ-бюджета, контролирующие лица могут рассчитывать на то, что Keeper эффективно обеспечит работу их ИТ-отдела и повысит производительность остальных сотрудников организации.
Пользователям нужно запомнить только один пароль — мастер-пароль. После проверки пользователей с помощью каких-либо политик правоприменения, например MFA, Keeper позаботится об остальном.
- Расширение для браузера KeeperFill® автоматически заполняет учетные данные на любом устройстве, что позволяет повысить производительность пользователей без ущерба для безопасности.
- Обмен данными между хранилищами позволяет сотрудникам финансовых и бухгалтерских отделов безопасно отправлять и получать учетные данные для критически важного программного обеспечения, включая системы расчета заработной платы, средства выставления счетов, а также ПО для планирования ресурсов предприятия (ERP).
- One-Time Share — это особенно популярный инструмент, который позволяет сотрудникам финансовых и бухгалтерских отделов обмениваться зашифрованными записями, не требуя от получателя наличия Keeper.
- Безопасное хранилище файлов использует методы шифрования с нулевым разглашением, благодаря которым доступ к файлам хранилища и их расшифровка возможны только для пользователя. Финансовые и бухгалтерские отделы используют эту функцию для защиты и хранения финансовой отчетности, налоговых документов, критически важных бизнес-планов, выписок по банковским счетам и других конфиденциальных документов.
- Отчеты о соответствии упрощают отчетность о соответствии требованиям HIPAA, Sarbanes-Oxley (SOX), PCI DSS и других нормативных актов, в которых требуется мониторинг контроля доступа и аудита событий. В сочетании с модулем расширенной отчетности и предупреждений (ARAM) администраторы InfoSec и сотрудники GRC могут отслеживать подозрительную активность пользователей.
Попробуйте Keeper Password Manager бесплатно
Независимо от того, являетесь ли вы специалистом в области финансов и бухгалтерского учета, которому требуется простое и безопасное управление паролями в компании, или ИТ-администратором, который выбирает менеджер паролей для финотдела, у Keeper есть решения для защиты важных паролей, секретов и информации вашей организации.
Мы будем рады связать вас с одним из наших экспертов по кибербезопасности. Вы также можете попробовать Keeper бесплатно в течение 14 дней.