中國會計視野訊:Malwarebytes的賈斯汀·多利(Justin Dolly)致力于研究會計師可以采取哪些措施來保護(hù)他們的數(shù)據(jù)并盡可能地降低網(wǎng)絡(luò)安全風(fēng)險。
每當(dāng)談及數(shù)據(jù)泄露,大多數(shù)人通常想到的受害者是醫(yī)院、零售商抑或銀行,但他們有沒有聯(lián)想到會計師事務(wù)所呢?設(shè)想一下,人人都信賴會計師并將個人身份信息交付于您。作為會計師,您掌握著客戶的重要信息:納稅人識別號碼、社會保障號碼以及作為普通消費者他們財務(wù)賬號的諸多登錄密碼等。
更為糟糕的是,一次網(wǎng)絡(luò)攻擊就可能導(dǎo)致一個中小型事務(wù)所倒閉。這些中小型事務(wù)所的資本實力無法與大型事務(wù)所相比,任何違規(guī)行為引發(fā)的打擊都可能致其破產(chǎn)。事實上,美國國土安全部(Department of Homeland Security)的小企業(yè)提示卡顯示,近59%的美國中小企業(yè)沒有制定應(yīng)急計劃。而Hiscox保險集團(tuán)2017年的《網(wǎng)絡(luò)應(yīng)對準(zhǔn)備報告》顯示,小企業(yè)因每次網(wǎng)絡(luò)安全事件而遭受的平均損失為41,000美元。
隨著報稅季的到來和全面展開,網(wǎng)絡(luò)完全事件造成的影響可能更為嚴(yán)重。攻擊者意識到,與銀行類似,會計師事務(wù)所也持有很多有價值的信息,諸如用于辦理退稅直接轉(zhuǎn)存的銀行信息。與此同時,他們也認(rèn)識到,會計師事務(wù)所的安全防范措施通常不如銀行充分。這使得網(wǎng)絡(luò)攻擊者能更為容易地攻擊那些沒有為此做好準(zhǔn)備的事務(wù)所。網(wǎng)絡(luò)攻擊者試圖侵入包含敏感財務(wù)信息的系統(tǒng),這或許會讓事務(wù)所承擔(dān)一項法律責(zé)任,需要告之客戶其機密信息可能被盜。最糟糕的結(jié)果是什么?事務(wù)所會因為缺乏網(wǎng)絡(luò)安全而失去客戶,甚至可能失去全部業(yè)務(wù)。
攻擊者往往可以輕易獲取會計師事務(wù)所持有的此類數(shù)據(jù),而且對于他們而言,其具有[*{3}*]的價值。會計師獲得客戶信任,不僅擁有客戶的財務(wù)數(shù)據(jù),而且對現(xiàn)有客戶以及過去客戶的全部財務(wù)和個人歷史信息都了如指掌。根據(jù)美國財政部稅務(wù)管理總監(jiān)察長(Treasury Inspector General for Tax Administration)的報告,僅在2016年報稅季的前一個半月內(nèi),美國國稅局(IRS)就發(fā)現(xiàn)42,000多項納稅申報存在問題。納稅人的身份盜用正引發(fā)越來越多的擔(dān)憂,在未經(jīng)納稅人本人授權(quán)的情況下,納稅人的個人信息可能被用于虛假納稅申報。這種盜用會帶來嚴(yán)重的后果,特別是在事務(wù)所網(wǎng)絡(luò)安全舉措不夠充分的情況下,黑客可以竊取敏感信息。
安全挑戰(zhàn)
然而幸運的是,現(xiàn)在,中小事務(wù)所可以通過幾種簡單易行的方法來提升自己的網(wǎng)絡(luò)安全。但首先,會計師需要充分了解所面臨的安全挑戰(zhàn),這一點至關(guān)重要。
盡管會計師受到信任并掌握了所有此類敏感數(shù)據(jù),但是會計師或地方性事務(wù)所通常并不具備大型機構(gòu)所采用的安全措施。他們常常需要將大部分預(yù)算用于業(yè)務(wù)開支,不會為了安全性項目而削減其他部分的預(yù)算。
在沒有采取必要的安全防御措施情況下,會計師事務(wù)所很容易成為幾類大規(guī)模攻擊手段的受害者,其中就包括敲詐軟件。敲詐軟件會將文件加密并阻止計算機系統(tǒng)訪問這些文件,然后要求使用者進(jìn)行安全支付來獲得其計算機的控制權(quán)。這可能會對事務(wù)所的業(yè)務(wù)造成破壞,因為即使事務(wù)所通過安全支付方式支付了贖金,也不能保證找回自己的信息。此外,攻擊者雖然可以讓事務(wù)所重新控制計算機,但會截留事務(wù)所及其客戶的數(shù)據(jù),或者將這些數(shù)據(jù)全部刪除。
此外,密碼仍然給會計師事務(wù)所帶來了重大安全隱患,因為密碼可能丟失、被盜或容易猜出。最為重要的是,網(wǎng)絡(luò)釣魚詐騙隨時隨地都可能在事務(wù)所內(nèi)部發(fā)生。特別是在報稅季節(jié),惡意電子郵件以IRS或其他相關(guān)實體的身份來掩蓋自己,讓該行業(yè)每年都飽受其苦。
會計師可以采取什么措施來盡可能地減少風(fēng)險?
盡管該行業(yè)面臨諸多不利因素,但會計師可以采取一些重要且所費不多的舉措來保護(hù)自己和事務(wù)所。
部署端點保護(hù)
如果尚未實施這一保護(hù)舉措,事務(wù)所可以考慮那些能夠?qū)嵤┻h(yuǎn)程部署并通過中央位置進(jìn)行管理的端點保護(hù)平臺。此外,端點保護(hù)平臺還應(yīng)該包含功能強大的防攻擊組件,以屏蔽未修補的程序或遺留系統(tǒng)。
為員工提供相關(guān)教育和培訓(xùn)
關(guān)于安全性的一種常見誤解是,想要采取任何措施來防止網(wǎng)絡(luò)攻擊,您必須成為這方面的專家。這種觀點顯然不正確。這項工作的關(guān)鍵是提供教育和培訓(xùn)并制定紀(jì)律。事務(wù)所應(yīng)該讓所有員工和合伙人了解網(wǎng)絡(luò)攻擊的隱患和網(wǎng)絡(luò)安全的現(xiàn)狀,讓他們能夠掌握培訓(xùn)內(nèi)容,并能夠及時發(fā)現(xiàn)可疑活動。能接觸到客戶個人信息的每個員工都需要謹(jǐn)慎對待所獲得的信息,在訪問相關(guān)網(wǎng)站以及允許非事務(wù)所員工使用電腦時,也要保持謹(jǐn)慎。通過讓員工接受適當(dāng)?shù)陌踩珔f(xié)議方面的教育,事務(wù)所能讓員工成為安全大使。
頻繁備份
不要低估備份作為一種安全手段的重要性,事務(wù)所不僅僅是在硬盤驅(qū)動器出現(xiàn)問題時才需要相關(guān)備份。所以,確保做好備份工作,*4是在工作系統(tǒng)之外留有備份。外部驅(qū)動器、DVD或云是最常見的選擇。雖然制作備份的程序會不斷耗費資源,但它們能讓您無需時刻牢記自行備份。
加密通信
由于我們經(jīng)常通過電子郵件發(fā)送文檔或敏感信息,因此使用安全電子郵件程序來加密郵件就顯得十分關(guān)鍵。例如,基于云的應(yīng)用程序可以提供這種類型的安全。
最后一點建議
若想保護(hù)事務(wù)所免受網(wǎng)絡(luò)攻擊,您需要時刻保持警惕。雖然不能像大型公司一樣擁有諸多資源,例如IT部門或供應(yīng)商,但這并不意味著您不能保護(hù)自己、事務(wù)所和客戶。認(rèn)識到自身所處的高風(fēng)險狀態(tài),實施新的安全解決方案,為員工提供相關(guān)教育并完成全面的安全評估,借此,您可以在確保安全性方面取得長足進(jìn)步。這些簡單的步驟將提高整個事務(wù)所的安全意識,讓網(wǎng)絡(luò)安全成為運營活動的重要組成部分,讓您的業(yè)務(wù)安全,讓您的客戶放心。
校對:張翔
中國會計視野2017年4月18日20:02發(fā)布,轉(zhuǎn)載請注明來源和作者。
原文鏈接:Why an accountant is a cybercriminal’s favourite target