中國會計視野訊:Malwarebytes的賈斯汀·多利(Justin Dolly)致力于研究會計師可以采取哪些措施來保護他們的數(shù)據(jù)并盡可能地降低網絡安全風險。
每當談及數(shù)據(jù)泄露,大多數(shù)人通常想到的受害者是醫(yī)院、零售商抑或銀行,但他們有沒有聯(lián)想到會計師事務所呢?設想一下,人人都信賴會計師并將個人身份信息交付于您。作為會計師,您掌握著客戶的重要信息:納稅人識別號碼、社會保障號碼以及作為普通消費者他們財務賬號的諸多登錄密碼等。
更為糟糕的是,一次網絡攻擊就可能導致一個中小型事務所倒閉。這些中小型事務所的資本實力無法與大型事務所相比,任何違規(guī)行為引發(fā)的打擊都可能致其破產。事實上,美國國土安全部(Department of Homeland Security)的小企業(yè)提示卡顯示,近59%的美國中小企業(yè)沒有制定應急計劃。而Hiscox保險集團2017年的《網絡應對準備報告》顯示,小企業(yè)因每次網絡安全事件而遭受的平均損失為41,000美元。
隨著報稅季的到來和全面展開,網絡完全事件造成的影響可能更為嚴重。攻擊者意識到,與銀行類似,會計師事務所也持有很多有價值的信息,諸如用于辦理退稅直接轉存的銀行信息。與此同時,他們也認識到,會計師事務所的安全防范措施通常不如銀行充分。這使得網絡攻擊者能更為容易地攻擊那些沒有為此做好準備的事務所。網絡攻擊者試圖侵入包含敏感財務信息的系統(tǒng),這或許會讓事務所承擔一項法律責任,需要告之客戶其機密信息可能被盜。最糟糕的結果是什么?事務所會因為缺乏網絡安全而失去客戶,甚至可能失去全部業(yè)務。
攻擊者往往可以輕易獲取會計師事務所持有的此類數(shù)據(jù),而且對于他們而言,其具有[*{3}*]的價值。會計師獲得客戶信任,不僅擁有客戶的財務數(shù)據(jù),而且對現(xiàn)有客戶以及過去客戶的全部財務和個人歷史信息都了如指掌。根據(jù)美國財政部稅務管理總監(jiān)察長(Treasury Inspector General for Tax Administration)的報告,僅在2016年報稅季的前一個半月內,美國國稅局(IRS)就發(fā)現(xiàn)42,000多項納稅申報存在問題。納稅人的身份盜用正引發(fā)越來越多的擔憂,在未經納稅人本人授權的情況下,納稅人的個人信息可能被用于虛假納稅申報。這種盜用會帶來嚴重的后果,特別是在事務所網絡安全舉措不夠充分的情況下,黑客可以竊取敏感信息。
安全挑戰(zhàn)
然而幸運的是,現(xiàn)在,中小事務所可以通過幾種簡單易行的方法來提升自己的網絡安全。但首先,會計師需要充分了解所面臨的安全挑戰(zhàn),這一點至關重要。
盡管會計師受到信任并掌握了所有此類敏感數(shù)據(jù),但是會計師或地方性事務所通常并不具備大型機構所采用的安全措施。他們常常需要將大部分預算用于業(yè)務開支,不會為了安全性項目而削減其他部分的預算。
在沒有采取必要的安全防御措施情況下,會計師事務所很容易成為幾類大規(guī)模攻擊手段的受害者,其中就包括敲詐軟件。敲詐軟件會將文件加密并阻止計算機系統(tǒng)訪問這些文件,然后要求使用者進行安全支付來獲得其計算機的控制權。這可能會對事務所的業(yè)務造成破壞,因為即使事務所通過安全支付方式支付了贖金,也不能保證找回自己的信息。此外,攻擊者雖然可以讓事務所重新控制計算機,但會截留事務所及其客戶的數(shù)據(jù),或者將這些數(shù)據(jù)全部刪除。
此外,密碼仍然給會計師事務所帶來了重大安全隱患,因為密碼可能丟失、被盜或容易猜出。最為重要的是,網絡釣魚詐騙隨時隨地都可能在事務所內部發(fā)生。特別是在報稅季節(jié),惡意電子郵件以IRS或其他相關實體的身份來掩蓋自己,讓該行業(yè)每年都飽受其苦。
會計師可以采取什么措施來盡可能地減少風險?
盡管該行業(yè)面臨諸多不利因素,但會計師可以采取一些重要且所費不多的舉措來保護自己和事務所。
部署端點保護
如果尚未實施這一保護舉措,事務所可以考慮那些能夠實施遠程部署并通過中央位置進行管理的端點保護平臺。此外,端點保護平臺還應該包含功能強大的防攻擊組件,以屏蔽未修補的程序或遺留系統(tǒng)。
為員工提供相關教育和培訓
關于安全性的一種常見誤解是,想要采取任何措施來防止網絡攻擊,您必須成為這方面的專家。這種觀點顯然不正確。這項工作的關鍵是提供教育和培訓并制定紀律。事務所應該讓所有員工和合伙人了解網絡攻擊的隱患和網絡安全的現(xiàn)狀,讓他們能夠掌握培訓內容,并能夠及時發(fā)現(xiàn)可疑活動。能接觸到客戶個人信息的每個員工都需要謹慎對待所獲得的信息,在訪問相關網站以及允許非事務所員工使用電腦時,也要保持謹慎。通過讓員工接受適當?shù)陌踩珔f(xié)議方面的教育,事務所能讓員工成為安全大使。
頻繁備份
不要低估備份作為一種安全手段的重要性,事務所不僅僅是在硬盤驅動器出現(xiàn)問題時才需要相關備份。所以,確保做好備份工作,*4是在工作系統(tǒng)之外留有備份。外部驅動器、DVD或云是最常見的選擇。雖然制作備份的程序會不斷耗費資源,但它們能讓您無需時刻牢記自行備份。
加密通信
由于我們經常通過電子郵件發(fā)送文檔或敏感信息,因此使用安全電子郵件程序來加密郵件就顯得十分關鍵。例如,基于云的應用程序可以提供這種類型的安全。
最后一點建議
若想保護事務所免受網絡攻擊,您需要時刻保持警惕。雖然不能像大型公司一樣擁有諸多資源,例如IT部門或供應商,但這并不意味著您不能保護自己、事務所和客戶。認識到自身所處的高風險狀態(tài),實施新的安全解決方案,為員工提供相關教育并完成全面的安全評估,借此,您可以在確保安全性方面取得長足進步。這些簡單的步驟將提高整個事務所的安全意識,讓網絡安全成為運營活動的重要組成部分,讓您的業(yè)務安全,讓您的客戶放心。
校對:張翔
中國會計視野2017年4月18日20:02發(fā)布,轉載請注明來源和作者。
原文鏈接:Why an accountant is a cybercriminal’s favourite target