Бухгалтери мають доступ до цінної корпоративної інформації, тому часто стають жертвами кіберзлочинців. Існують основні правила кібербезпеки для бухгалтера, які слід дотримуватися.
Чому і як кіберзлочинці атакують бухгалтерські системи
Більшість даних про бізнес проходять через співробітників бухгалтерії. Бухгалтери мають доступ до такої важливої облікової та конфіденційної інформації, як банківські реквізити, фінансові звіти, номери соціального страхування працівників, заробітна плата, дані підрядників та інше. Якщо ця інформація потрапить до рук злочинців, це може призвести не лише до фінансових втрат, а й до репутаційних — втрати довіри клієнтів або навіть юридичних наслідків. Згідно зі звітом IBM Cost of a data breach («Вартість витоку даних»), у 2023 році збитки від витоку даних для опитуваних організацій склали майже 4,45 млн. доларів США.
У деяких галузях, таких як охорона здоров’я та фінансові послуги, вартість витоку даних ще вища. У цю цифру входять великі штрафи та витрати на судові розслідування через порушення законів про захист даних (в Америці це GDPR, CCPA) та непередбачуване розкриття інформації. Деякі організації підвищують ціни на свої послуги та продукти через витік даних. Але атаки шкідливих програм та вірусів-вимагачів, навіть без урахування вартості викупу, обходяться дорожче, ніж витік даних. Точні витрати складно оцінити, але, як каже дослідження, 60% малих та середніх компаній протягом 6 місяців після кібератаки закривають діяльність.
Один із найгучніших випадків
В Україні один із найгучніших випадків стався наприкінці червня 2017 року. Коли вірус-вимагач Petya.A заблокував комп’ютерні системи низки компаній, а саме доступ до бухгалтерської інформації, і вимагав 300 доларів у биткойнах за її відновлення. Вірус атакував комп’ютери державних установ, компаній, банків, редакцій медіахолдингів та навіть Чорнобильської АЕС. Зараження комп’ютерів відбувалося кілька етапів через використання популярної бухгалтерської програми. Що призвело до серйозних проблем — компанії втратили доступ до своїх операційних систем на кілька днів, що зупинило частину економіки України та завдало збитків у понад 400 мільйонів доларів.
Минулого року урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) знову зафіксувала кілька хвиль кібератак на бухгалтерські системи. Хакери, так зване угруповання UAC-0006, розсилали вірус в електронних листах під виглядом «рахунки-фактури». Відкриття файлу призводило до завантаження та запуску шкідливої програми SmokeLoader, яка вражала комп’ютери бухгалтерів. Після цього хакери могли отримати доступ до систем дистанційного банківського обслуговування, викрасти автентифікаційні дані (логін, пароль, ключ/сертифікат) та створювати несанкціоновані платежі. Але інформація, з якою працюють бухгалтери, може надходити не лише з інтернету, а й з інших джерел, включаючи клієнтів та співробітників, що також становить загрозу та ускладнює захист облікових даних. Тому як окремому спеціалісту, так і всьому підприємству потрібно піклуватися про безпечний та авторизований доступ до комп’ютерних систем. А також розуміти, звідки і як може виникнути небезпека.
Які є види кіберзагроз для бухгалтерів
Існують різні види вірусів і кібератак, але зазвичай їхня мета однакова: отримання важливих даних, крадіжка грошей або шантаж. Але хакерів не завжди цікавлять гроші. Іноді вони готують масові кібератаки для дестабілізації ситуації як у окремій компанії, і у всій країні. Саме такою була кібератака на оператора зв’язку «Київстар» наприкінці 2023 року, коли у мільйонів абонентів зник мобільний зв’язок та інтернет, що призвело до серйозних збитків та соціального розголосу.
Які види кібератак зазвичай застосовують шахраї за допомогою бухгалтерських систем та з якою метою?
Ось кілька найпоширеніших типів:
Віруси та шкідливе програмне забезпечення – заражають комп’ютери, щоб заблокувати доступ до важливих файлів або отримати доступ до цінної інформації. Зазвичай ці віруси та програми потрапляють у систему під час розкриття чи завантаження шкідливих файлів. Шахрайство з електронною поштою та фішинг – це коли хакери “вивужують” особисті дані у користувачів через розсилку листів або повідомлень, де пропонується перевірити авторизацію на сайті, “відписатися” від спаму, сплатити рахунок і т.д. Особливість таких кібератак полягає в тому, що користувачі самі повинні розкрити свої особисті дані: номери телефонів, номери банківських карток або логіни, паролі від електронної пошти.
У 2023 році відбулася подібна атака на користувачів поштового сервісу Ukr.net . Шахраї розсилали фейкові листи від імені технічної підтримки сервісу. Люди переходили з листа на сайт-копію сервісу, авторизувалися там і тим самим передавали шахраям свій логін та пароль від поштової скриньки. А це могло призвести до зламування інших особистих і робочих акаунтів, наприклад, соцмереж або месенджерів, і викликати витік даних.
Несанкціонований доступ до систем — коли зловмисники намагаються зламати доступ до комп’ютерних систем або мереж, щоб вкрасти конфіденційну інформацію. Сюди також і комп’ютерний саботаж, коли зламують комп’ютерну систему, щоб завдати шкоди — стерти дані чи пошкодити програми. Зломи бухгалтерських систем призводять до того, що дані організацій та їх клієнтів потрапляють у даркнет .
Ось основні причини, через які може статися витік даних:
Недостатня захищеність облікових даних – це понад 80% випадків. У разі збереження паролів у вбудованому менеджері паролів браузера або в електронній таблиці. Під час кібератак це робить доступними фінансові та податкові системи, хакери змінюють облікові дані та захоплюють облікові записи. Або коли співробітники діляться обліковими даними електронною поштою та текстовими повідомленнями, це також робить дані вразливими для злому.
Несвоєчасне оновлення програм.
Самі бухгалтери чи системні адміністратори повинні вчасно встановлювати оновлення бухгалтерського програмного забезпечення, щоб усунути вразливість коду. Загроза з боку персоналу чи підрядників. Співробітники фінвідділів добре знайомі з механізмами внутрішнього контролю звітності, тому лише обмежена кількість працівників повинна мати доступ до бухгалтерських та фінансових документів. Якщо не буде відповідного захисту, звільнені або скривджені співробітники зможуть легко отримати доступ до критично важливих систем та завдати шкоди організації. Спільна робота в документах із підрядниками також часто призводить до того, що доступ до файлів або робочих папок отримують випадкові люди. Через цей необмежений доступ зловмисники можуть завдати великих збитків — відкрити кредит чи шахрайський банківський рахунок, чи продати викрадені дані в даркнеті.
Основні правила кібербезпеки для бухгалтерів
Щоб захистити облікову інформацію, потрібно спочатку встановити надійні антивірусні програми, які допомагають виявляти і блокувати шкідливі програми. Також слід запровадити різні рівні доступу до бухгалтерської системи та файлів. Хоча у багатьох бухгалтерських програмах вже існує розмежування доступу до функцій чи окремих ділянок обліку. А також часто застосовуються механізми підзвітності, які дозволяють бачити, хто працює в системі і що саме робить. Окрім захисту у самому програмному забезпеченні, у компанії має бути передбачено низку адміністративних заходів, наприклад, спостереження за відсутністю пристроїв для прослуховування та проведення періодичного IT-аудиту. За даними того ж звіту IBM , 51% організацій планують збільшити інвестиції саме в такі засоби захисту для виявлення погроз та своєчасного реагування на них, а також вкласти гроші у навчання співробітників. Але більшістю технічних питань у компанії найчастіше займаються IT-фахівці.
Правила кібербезпеки на робочому місці
Що стосується бухгалтерів, то вони повинні дотримуватися правил кібербезпеки на робочому місці. Використовувати складні паролі, які важко вгадати. Для кожного облікового запису потрібно придумати пароль, довжиною не менше 12 символів, що складається з букв, цифр та спецсимволів. Або можна використовувати генератори паролів. Регулярно оновлювати програмне забезпечення — встановити автоматичне оновлення програм або періодично оновлювати всі програми та операційні системи для зниження вразливостей. Використовувати двофакторну аутентифікацію (2FA) для всіх облікових записів. Двофакторна автентифікація – це додатковий метод захисту доступу до ресурсів та даних, крім звичайних паролів або PIN-кодів. Він вимагає дві форми ідентифікації, тому називається двофакторним, наприклад, пропонує ввести додатковий код або використовувати мобільний пристрій для підтвердження входу.
Акуратно скористатися електронною поштою. Не відкривати листи, що містять підозрілі посилання або вкладення, а також перевіряти адреси відправників. Резервне копіювання даних — постійно створювати резервні копії важливих даних та зберігати їх у окремому безпечному місці. Не використовуйте спільні доступи та не залишайте важливі файли на спільних пристроях або інших локальних місцях. Шифрувати файли для зберігання або передачі через мережу. Це можна зробити в документах Microsoft Office або за допомогою вбудованого в Windows інструменту EFS для шифрування окремих файлів та папок. Або за допомогою спеціальних програм, як VeraCrypt.
Чого точно не можна робити:
І найголовніше. Потрібно навчитися розпізнавати фішингові атаки та інші можливі кіберзагрози. Пройти курси з кібербезпеки та навчати співробітників, щоб підвищити рівень кібергігієни у бухгалтерії. Чого точно не можна робити: встановлювати неліцензійне програмне забезпечення, непотрібне до роботи; використовувати паролі за промовчанням або запам’ятовування пароля у вікнах введення; працювати з конфіденційними документами у місцях публічного доступу; повідомляти по телефону будь-які дані про обліковий запис, логіни, паролі; переходити за незнайомими посиланнями; виносити робочий ноутбук за межі компанії, якщо це забороняється корпоративною політикою.