Účetní kanceláře zpracovávají citlivá data ve velkém rozsahu – od účetních dokladů přes mzdy až po osobní údaje zaměstnanců svých klientů. Jakýkoli bezpečnostní incident proto může mít okamžitý dopad nejen na provoz firmy, ale také na vztahy s klienty.
Cloudové služby samy o sobě nejsou zázračným řešením, ale když budou správně nastaveny a používány, mohou řadu hlavních rizik výrazně omezit. A která z nich jsou pro účetní firmy nejdůležitější?
Nešikovnost, nebo zlý úmysl?
Za únikem nebo ztrátou dat nestojí vždy útočník zvenčí. Často jde o zaměstnance – někdy nespokojeného nebo neopatrného, jindy pouze unaveného a nepozorného. Úmyslné zneužití přístupu k účetním datům, stažení databáze klientů před odchodem ke konkurenci nebo nechtěné odeslání citlivých údajů špatnému adresátovi patří mezi typické problémy.
Cloud v tomto případě pomáhá zejména centralizací přístupů a detailním nastavením uživatelských oprávnění. Přístupy konkrétních osob lze přesně omezit na potřebné systémy a klienty, veškeré aktivity se zaznamenávají a účet bývalého zaměstnance lze rychle zablokovat. Je pak mnohem snazší předejít úmyslnému zneužití i nechtěným chybám.
Ransomware – když se data stanou rukojmím
Podstatou ransomwarových útoků je zašifrování (a dnes stále častěji také odcizení) dat prostřednictvím škodlivého softwaru. Ransomware přitom cílí i na malé firmy, včetně účetních kanceláří. Škodlivý kód obvykle pronikne do firmy prostřednictvím přílohy e-mailu nebo škodlivých webových stránek a zašifruje data na počítačích a serverech. Útočníci pak požadují výkupné za zpřístupnění dat a současně hrozí jejich zveřejněním.
Cloud výrazně snižuje dopad ransomwarových útoků. Pokud si zvolíte schopného a spolehlivého poskytovatele služeb, budou data vašich klientů bezpečně uložena v datovém centru a pravidelně zálohována – včetně kopie uložené zcela mimo síť, a tedy chráněné vůči jakýmkoli změnám (i zašifrování). I když budou vaše počítače napadeny ransomwarem, váš účetní systém a veškerá data v cloudu zůstanou bezpečně chráněny.
Phishing – odoláte podvodným e-mailům?
Phishing cílí na zaměstnance prostřednictvím velmi věrohodně podvržených e-mailů, odeslaných jménem banky, dodavatele nebo třeba kolegy. Cílem je vylákat přihlašovací údaje nebo přimět uživatele k otevření přílohy se škodlivým obsahem. Pro účetní firmy jsou typické falešné faktury, výzvy k úhradě nebo podvržené žádosti o zaslání exportu účetnictví.
Pokud budete používat e-mailové služby v cloudu, máte velkou šanci, že phishingové zprávy rozpoznají a zablokují pokročilé filtry. Jinak ovšem cloud sám o sobě nemůže zabránit vyzrazení citlivých dat nebo kompromitování počítače, když dojde k oklamání uživatele phishingem.
Cloud ale nabízí technická opatření, která dopady phishingu zmírňují. Patří k nim zejména vícefaktorové ověřování, jaké známe například z bankovnictví. I když útočník získá heslo, bez druhého faktoru (jednorázového kódu nebo potvrzení v ověřovací aplikaci) se do systému nedostane. K tomu se přidává také možnost monitorovat neobvyklé přístupy a rychle zablokovat kompromitovaný účet. Zásadní ale stále zůstává průběžné školení zaměstnanců v rozpoznávání phishingu.
Slabá hesla – nejslabší článek ochrany
Když mluvíme o phishingu, nemůžeme se nezastavit ještě u hesel. Jednoduchá a opakovaně používaná hesla jsou totiž jednou z nejčastějších příčin úspěšných útoků. Problémem nejsou jen triviální kombinace typu „heslo123“, ale i používání stejného hesla pro firemní i soukromé účty. Velmi často totiž dochází k únikům hesel z veřejných internetových služeb a útočníci pak tato hesla zkoušejí i na dalších místech.
Váš poskytovatel cloudu by měl pomocí pravidel používání slabých hesel zabránit. Hesla by měla mít určenou minimální délku, kombinovat různé typy znaků a všechna by se měla ověřovat proti databázím uniklých přihlašovacích údajů. V kombinaci s dvoufaktorovým ověřováním se tak výrazně snižuje pravděpodobnost útoku kvůli slabému heslu.
Splňujete všechny regulace?
Kybernetická rizika mají ještě jeden důležitý rozměr. Narušení bezpečnosti a odcizení dat může znamenat nejen reputační problém, ale také porušení GDPR a dalších regulací. Právě účetní firmy podléhají vysokým nárokům na ochranu osobních údajů a citlivých dat. Klienti od nich oprávněně očekávají, že jim mohou svěřit kompletní finanční agendu bez obav, že se dostane do nepovolaných rukou.
Cloudové služby pomáhají naplňovat tyto požadavky prostřednictvím technického a organizačního zázemí, které by si menší firma jen těžko vybudovala sama. Patří k němu šifrování dat umístěných v profesionálním datovém centru, pravidelné zálohy, evidence přístupů i jasně definované role poskytovatele jako zpracovatele osobních údajů. Účetní kancelář tak může vůči klientům i dozorovým orgánům doložit, kde se citlivá data nacházejí a jak jsou chráněna.
Řešení, které funguje v praxi
Cloud účetním firmám nezaručí bezpečnost automaticky, ale poskytuje prostředí a nástroje, se kterými lze bezpečnostní rizika lépe řídit a splnit očekávání klientů i požadavky regulace.
AppOn.cloud představuje profesionální cloudovou službu s podporou v češtině a znalostí potřeb českých účetních firem. Místo starostí s údržbou vlastního serveru, instalacemi záplat a obavami z výpadků se můžete soustředit na kvalitní služby pro vaše klienty. Vaše data budou chráněna na úrovni profesionálního datového centra, a vy budete mít jistotu, že splňujete všechny bezpečnostní a regulatorní požadavky.
Zjistěte, jak může AppOn.cloud posílit bezpečnost vaší firmy – domluvte si nezávaznou konzultaci a nechte si připravit řešení přesně podle vašich potřeb.