中國會(huì)計(jì)視野訊:Malwarebytes的賈斯汀·多利(Justin Dolly)致力于研究會(huì)計(jì)師可以采取哪些措施來保護(hù)他們的數(shù)據(jù)并盡可能地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
每當(dāng)談及數(shù)據(jù)泄露,大多數(shù)人通常想到的受害者是醫(yī)院、零售商抑或銀行,但他們有沒有聯(lián)想到會(huì)計(jì)師事務(wù)所呢?設(shè)想一下,人人都信賴會(huì)計(jì)師并將個(gè)人身份信息交付于您。作為會(huì)計(jì)師,您掌握著客戶的重要信息:納稅人識別號碼、社會(huì)保障號碼以及作為普通消費(fèi)者他們財(cái)務(wù)賬號的諸多登錄密碼等。
更為糟糕的是,一次網(wǎng)絡(luò)攻擊就可能導(dǎo)致一個(gè)中小型事務(wù)所倒閉。這些中小型事務(wù)所的資本實(shí)力無法與大型事務(wù)所相比,任何違規(guī)行為引發(fā)的打擊都可能致其破產(chǎn)。事實(shí)上,美國國土安全部(Department of Homeland Security)的小企業(yè)提示卡顯示,近59%的美國中小企業(yè)沒有制定應(yīng)急計(jì)劃。而Hiscox保險(xiǎn)集團(tuán)2017年的《網(wǎng)絡(luò)應(yīng)對準(zhǔn)備報(bào)告》顯示,小企業(yè)因每次網(wǎng)絡(luò)安全事件而遭受的平均損失為41,000美元。
隨著報(bào)稅季的到來和全面展開,網(wǎng)絡(luò)完全事件造成的影響可能更為嚴(yán)重。攻擊者意識到,與銀行類似,會(huì)計(jì)師事務(wù)所也持有很多有價(jià)值的信息,諸如用于辦理退稅直接轉(zhuǎn)存的銀行信息。與此同時(shí),他們也認(rèn)識到,會(huì)計(jì)師事務(wù)所的安全防范措施通常不如銀行充分。這使得網(wǎng)絡(luò)攻擊者能更為容易地攻擊那些沒有為此做好準(zhǔn)備的事務(wù)所。網(wǎng)絡(luò)攻擊者試圖侵入包含敏感財(cái)務(wù)信息的系統(tǒng),這或許會(huì)讓事務(wù)所承擔(dān)一項(xiàng)法律責(zé)任,需要告之客戶其機(jī)密信息可能被盜。最糟糕的結(jié)果是什么?事務(wù)所會(huì)因?yàn)槿狈W(wǎng)絡(luò)安全而失去客戶,甚至可能失去全部業(yè)務(wù)。
攻擊者往往可以輕易獲取會(huì)計(jì)師事務(wù)所持有的此類數(shù)據(jù),而且對于他們而言,其具有[*{3}*]的價(jià)值。會(huì)計(jì)師獲得客戶信任,不僅擁有客戶的財(cái)務(wù)數(shù)據(jù),而且對現(xiàn)有客戶以及過去客戶的全部財(cái)務(wù)和個(gè)人歷史信息都了如指掌。根據(jù)美國財(cái)政部稅務(wù)管理總監(jiān)察長(Treasury Inspector General for Tax Administration)的報(bào)告,僅在2016年報(bào)稅季的前一個(gè)半月內(nèi),美國國稅局(IRS)就發(fā)現(xiàn)42,000多項(xiàng)納稅申報(bào)存在問題。納稅人的身份盜用正引發(fā)越來越多的擔(dān)憂,在未經(jīng)納稅人本人授權(quán)的情況下,納稅人的個(gè)人信息可能被用于虛假納稅申報(bào)。這種盜用會(huì)帶來嚴(yán)重的后果,特別是在事務(wù)所網(wǎng)絡(luò)安全舉措不夠充分的情況下,黑客可以竊取敏感信息。
安全挑戰(zhàn)
然而幸運(yùn)的是,現(xiàn)在,中小事務(wù)所可以通過幾種簡單易行的方法來提升自己的網(wǎng)絡(luò)安全。但首先,會(huì)計(jì)師需要充分了解所面臨的安全挑戰(zhàn),這一點(diǎn)至關(guān)重要。
盡管會(huì)計(jì)師受到信任并掌握了所有此類敏感數(shù)據(jù),但是會(huì)計(jì)師或地方性事務(wù)所通常并不具備大型機(jī)構(gòu)所采用的安全措施。他們常常需要將大部分預(yù)算用于業(yè)務(wù)開支,不會(huì)為了安全性項(xiàng)目而削減其他部分的預(yù)算。
在沒有采取必要的安全防御措施情況下,會(huì)計(jì)師事務(wù)所很容易成為幾類大規(guī)模攻擊手段的受害者,其中就包括敲詐軟件。敲詐軟件會(huì)將文件加密并阻止計(jì)算機(jī)系統(tǒng)訪問這些文件,然后要求使用者進(jìn)行安全支付來獲得其計(jì)算機(jī)的控制權(quán)。這可能會(huì)對事務(wù)所的業(yè)務(wù)造成破壞,因?yàn)榧词故聞?wù)所通過安全支付方式支付了贖金,也不能保證找回自己的信息。此外,攻擊者雖然可以讓事務(wù)所重新控制計(jì)算機(jī),但會(huì)截留事務(wù)所及其客戶的數(shù)據(jù),或者將這些數(shù)據(jù)全部刪除。
此外,密碼仍然給會(huì)計(jì)師事務(wù)所帶來了重大安全隱患,因?yàn)槊艽a可能丟失、被盜或容易猜出。最為重要的是,網(wǎng)絡(luò)釣魚詐騙隨時(shí)隨地都可能在事務(wù)所內(nèi)部發(fā)生。特別是在報(bào)稅季節(jié),惡意電子郵件以IRS或其他相關(guān)實(shí)體的身份來掩蓋自己,讓該行業(yè)每年都飽受其苦。
會(huì)計(jì)師可以采取什么措施來盡可能地減少風(fēng)險(xiǎn)?
盡管該行業(yè)面臨諸多不利因素,但會(huì)計(jì)師可以采取一些重要且所費(fèi)不多的舉措來保護(hù)自己和事務(wù)所。
部署端點(diǎn)保護(hù)
如果尚未實(shí)施這一保護(hù)舉措,事務(wù)所可以考慮那些能夠?qū)嵤┻h(yuǎn)程部署并通過中央位置進(jìn)行管理的端點(diǎn)保護(hù)平臺。此外,端點(diǎn)保護(hù)平臺還應(yīng)該包含功能強(qiáng)大的防攻擊組件,以屏蔽未修補(bǔ)的程序或遺留系統(tǒng)。
為員工提供相關(guān)教育和培訓(xùn)
關(guān)于安全性的一種常見誤解是,想要采取任何措施來防止網(wǎng)絡(luò)攻擊,您必須成為這方面的專家。這種觀點(diǎn)顯然不正確。這項(xiàng)工作的關(guān)鍵是提供教育和培訓(xùn)并制定紀(jì)律。事務(wù)所應(yīng)該讓所有員工和合伙人了解網(wǎng)絡(luò)攻擊的隱患和網(wǎng)絡(luò)安全的現(xiàn)狀,讓他們能夠掌握培訓(xùn)內(nèi)容,并能夠及時(shí)發(fā)現(xiàn)可疑活動(dòng)。能接觸到客戶個(gè)人信息的每個(gè)員工都需要謹(jǐn)慎對待所獲得的信息,在訪問相關(guān)網(wǎng)站以及允許非事務(wù)所員工使用電腦時(shí),也要保持謹(jǐn)慎。通過讓員工接受適當(dāng)?shù)陌踩珔f(xié)議方面的教育,事務(wù)所能讓員工成為安全大使。
頻繁備份
不要低估備份作為一種安全手段的重要性,事務(wù)所不僅僅是在硬盤驅(qū)動(dòng)器出現(xiàn)問題時(shí)才需要相關(guān)備份。所以,確保做好備份工作,*4是在工作系統(tǒng)之外留有備份。外部驅(qū)動(dòng)器、DVD或云是最常見的選擇。雖然制作備份的程序會(huì)不斷耗費(fèi)資源,但它們能讓您無需時(shí)刻牢記自行備份。
加密通信
由于我們經(jīng)常通過電子郵件發(fā)送文檔或敏感信息,因此使用安全電子郵件程序來加密郵件就顯得十分關(guān)鍵。例如,基于云的應(yīng)用程序可以提供這種類型的安全。
最后一點(diǎn)建議
若想保護(hù)事務(wù)所免受網(wǎng)絡(luò)攻擊,您需要時(shí)刻保持警惕。雖然不能像大型公司一樣擁有諸多資源,例如IT部門或供應(yīng)商,但這并不意味著您不能保護(hù)自己、事務(wù)所和客戶。認(rèn)識到自身所處的高風(fēng)險(xiǎn)狀態(tài),實(shí)施新的安全解決方案,為員工提供相關(guān)教育并完成全面的安全評估,借此,您可以在確保安全性方面取得長足進(jìn)步。這些簡單的步驟將提高整個(gè)事務(wù)所的安全意識,讓網(wǎng)絡(luò)安全成為運(yùn)營活動(dòng)的重要組成部分,讓您的業(yè)務(wù)安全,讓您的客戶放心。
校對:張翔
中國會(huì)計(jì)視野2017年4月18日20:02發(fā)布,轉(zhuǎn)載請注明來源和作者。
原文鏈接:Why an accountant is a cybercriminal’s favourite target