Бухгалтерські фірми регулярно збирають конфіденційну інформацію як від клієнтів, так і від співробітників. Ці дані часто містять особисту інформацію (PII), як, наприклад: номери соціального страхування, національні ідентифікаційні номери та адреси, а також фінансові дані, такі як інформація про банківський рахунок та номери кредитних карток. Ці категорії конфіденційних даних можуть привернути небажану увагу з боку хакерів і зловмисних інсайдерів, тому вони захищені згідно з правилами захисту інформації у всьому світі.
Щодо інформації про власників карток, стандарт безпеки даних індустрії платіжних карток (PCI DSS) регулює його захист у всьому світі. Тому, компаніям, які не дотримуються визначених стандартів, загрожують штрафи до 100 000 доларів США на місяць і збільшення комісії за транзакції. Що стосується PII, згідно до GDPR, ЄС може оштрафувати компанії на суму до 23 мільйонів доларів США або 4% їх річного світового обороту, залежно від того, що більше, за недотримання основних принципів захисту даних.
Бухгалтерські компанії дуже ризикують через чутливу природу даних, які вони збирають та обробляють. Вони можуть зазнати серйозного удару по репутації внаслідок порушення конфіденційності даних, що може призвести до втрати довіри клієнтів та відвернути нових клієнтів, які ще в процесі підписання угод. Тому для бухгалтерських компаній дуже важливо мати заходи безпеки для захисту інформації та даних клієнтів.
Фізична безпека
Почніть з основ: обмеження доступу до фізичного простору, де розташована інформація клієнта. Використання карток-ключів співробітників, журналів відвідувачів, бейджів і камер безпеки може гарантувати, що сторонні особи не зможуть зайти в бухгалтерію та викрасти пристрої або інформацію, що на них зберігається.
В нових реаліях, бухгалтерські компанії повинні також гарантувати, що пристрої, які співробітники беруть із собою додому, також фізично захищені. Це означає встановлення політики віддаленої роботи, яка обмежує доступ третіх сторін до робочих пристроїв.
Бухгалтерські компанії також повинні впровадити обов’язкове апаратне шифрування для всіх робочих пристроїв і активізувати функції віддаленого видалення, щоб гарантувати, що в разі втрати або викрадення пристрою дані на ньому не можна отримати без ключа шифрування.
Основні заходи кібербезпеки
Щоб запобігти кібератакам, бухгалтерські компанії повинні захистити свою мережу за допомогою firewall та переконатися, що він оновлений до останньої версії. Використання антивірусу може допомогти запобігти атакам зловмисного програмного забезпечення та відкриття потенційно небезпечних файлів або шкідливих вебсайтів.
Реалізація архітектури Zero Trust також може допомогти бухгалтерським компаніям запобігти кібератакам, які вплинуть на всю їх мережу, коли вони відбуваються. Використовуючи правила з найменшими привілеями під час доступу до надійних ресурсів, Zero Trust гарантує, що всі користувачі, пристрої та мережевий трафік перевіряються.
Контроль передачі конфіденційних даних
Компанії можуть використовувати рішення для запобігання втрати даних (DLP) для моніторингу та контролю передачі облікової інформації. Технологія DLP використовує визначення конфіденційних даних, таких як PII та фінансова інформація, для пошуку їх у сотнях типів файлів за допомогою контекстного сканування та перевірки вмісту. Таким чином, бухгалтерські компанії можуть ідентифікувати та контролювати рух усіх файлів, що містять дані, визначені як конфіденційні.
Вони також можуть застосовувати політики, які контролюють передачу певних файлів. DLP-рішення (наприклад, Endpoint Protector) можуть блокувати передачу конфіденційних даних через Інтернет, будь то електронна пошта, популярні програми для обміну повідомленнями або служби обміну файлами. Вони можуть запобігти завантаженню конфіденційних даних у служби хмарного сховища або копіювання в текст електронних листів. Таким чином, компанії можуть захиститися від недбалості співробітників, яка є однією з найбільших причин злому даних.
Захист знімних пристроїв
Іншим способом витоку або втрати облікової інформації є знімні пристрої. Співробітники можуть копіювати бухгалтерські дані на USB-флешки або знімні жорсткі диски, а потім виносити їх за периметр системи безпеки компанії. USB-флешки, зокрема, легко втратити та вкрасти, і за останнє десятиліття це призвело до низки великих витоків даних.
Інструменти DLP також можуть допомогти з цією проблемою. Більшість із них пропонують функції керування пристроями, які дозволяють компаніям блокувати використання периферійних портів та портів USB, а також з’єднання Bluetooth або обмежувати їх використання за потреби.
Деякі рішення, як Endpoint Protector, роблять ще один крок вперед і пропонують примусове шифрування даних, яке гарантує, що будь-які файли, скопійовані на USB, автоматично шифруються за допомогою затвердженого стандарту 256-бітного шифрування в режимі AES CBC. Паролі можна скинути, якщо вони були зламані, а USB можна стерти віддалено, скинувши пристрій. Таким чином, бухгалтерські компанії можуть гарантувати, що будь-який вкрадений або втрачений USB накопичувач не буде доступний третім особам.
Навчання працівників
Нарешті, однією з найбільших загроз безпеки є фішингові атаки, спрямовані безпосередньо на співробітників. Обманом змусивши їх перейти за шкідливим посиланням або завантажити заражені файли чи архіви, хакери можуть вкрасти облікові дані або розгорнути шкідливе програмне забезпечення всередині мережі компанії. Атаки програм-вимагачів часто здійснюються через фішинг.
Архітектура Zero Trust, можливості Trusted Platform Module (TPM) та рішення для захисту від шкідливих програм можуть запобігти атакам, що здійснюються через фішинг. Однак, варто звернути увагу і на навчання співробітників, яке може мати не менш корисний ефект.
