Такие риски усиливаются еще и в связи с широким распространением ведения налогового и бухучета «на удаленке»: когда компании нанимают для оказания услуг сотрудников «со стороны», заключают договор на обслуживание, дают им доступ к финансовым данным и в свои информационные системы.
Но так ли это все надежно с точки зрения информационной безопасности? Как обеим сторонам доверять друг другу? Как сделать этот процесс максимально прозрачным? Как гарантировать защиту бухгалтерской информации и обеспечить ее сохранность? Своим мнением на этот счет поделился эксперт, руководитель отдела развития продуктов компании «АйТи Бастион» Константин Родин.
Очевидно, что безопасность данных играет ключевую роль в сфере уплаты налогов, бухучета и автоматизации учета. Она направлена на защиту конфиденциальных данных, предотвращение кибератак и обеспечение бесперебойной работы информационных систем.
Важно понимать, что утечка или утрата данных в этих областях может иметь серьезные последствия для предприятия, включая финансовые убытки, утрату доверия со стороны клиентов и партнеров, государственных органов и регуляторов.
Какие последствия будут для подрядчика, через которого «взломают» компанию, можно придумать самостоятельно, репутационные здесь — наименее тяжелые.
Какими могут быть киберриски
Интернет и цифровые технологии позволяют людям оплачивать налоги онлайн, ускоряя и упрощая процесс для налогоплательщиков. Наличие внештатного бухгалтера «в дистанционном формате» помогает бизнесу (а особенно — бизнесу небольших размеров) экономить, не тратясь на штатных сотрудников, и облегчает стандартное ведение бухучета. Сами компании-аутсорсеры имеют возможность работать с клиентами в режиме «онлайн» и поддерживать свою деятельность.
Однако с такими преимуществами приходит и растущий риск кибератак, утечек информации и других угроз. Какими они могут быть? Назовем ключевые.
Кибератаки. Хакеры могут пытаться проникнуть в системы учета и налогообложения с целью кражи конфиденциальных данных, включая финансовые данные и личные сведения налогоплательщиков.
Распространение вредоносного ПО. Такие программы, например, вирусы и «троянские кони», могут использоваться для атак на бухгалтерские системы и системы учета.
Социальная инженерия. Кибернападения могут осуществляться путем манипуляции сотрудников компаний и предприятий с целью получения доступа к системам.
Какие меры нужно предпринимать
Сфера налогового и бухгалтерского учета является критически важной для любой компании. Здесь обрабатывается и хранится максимально чувствительная информация, связанная с финансовой деятельностью. Разумеется, такие данные должны быть надежно защищены в рамках общей ИБ–стратегии предприятия.
Безопасность финансовой информации является приоритетом для бизнеса. От которой, к слову, зависит успешное выполнение налоговых обязательств: насколько надежно и эффективно компания занимается вопросами кибербезопасности.
Внедрение современных технологий и инструментов в сочетании с обучением сотрудников — внештатных, кстати, тоже — позволяет минимизировать риски утечек и поддерживать устойчивость бизнеса.
Какие же меры для обеспечения информационной безопасности в сфере налогообложения и бухучета необходимо предпринимать?
Шифрование данных. Серьезным аспектом кибербезопасности в сфере налогообложения является защита финансовых данных.
Налоговые учреждения и компании хранят огромное количество чувствительной информации, включая налоговые декларации и финансовые сведения налогоплательщиков, бухгалтерскую отчетность предприятий. Эти данные должны быть зашифрованы и надежно защищены от несанкционированного доступа.
Сетевая безопасность. Очевидно, что системы, используемые для уплаты налогов и обработки налоговых и бухгалтерских данных, подвергаются риску кибератак. Они могут включать в себя DDoS-атаки, вредоносное ПО и многие другие угрозы. Для борьбы с этими рисками необходимы современные методы сетевой безопасности, регулярные аудиты и тестирование на проникновение.
Многофакторная аутентификация. Нужно использовать многофакторную аутентификацию для обеспечения дополнительного уровня безопасности при доступе к системам.
Регулярное обновление ПО. Необходимо всегда поддерживать программное обеспечение и системы в актуальном состоянии, чтобы устранять известные уязвимости.
Резервное копирование и восстановление данных. Создание резервных копий финансовых данных и их оперативное восстановление являются неотъемлемой частью информационной безопасности. Это позволяет быстро «реанимировать» информацию в случае сбоя или атаки.
Контроль доступа пользователей в ИТ-системы. Необходимо использовать современные средства защиты для контроля действий штатных сотрудников и тех, кто оказывает услуги по аутсорсингу. Это особенно важно для сферы уплаты налогов и бухучета, потому как многие компании работают с подрядчиками «со стороны». Также это важно и для самих подрядчиков, которые в случае инцидентов могут доказать свою невиновность и иметь «железное алиби» непричастности к ним.
Регулярные аудиты и мониторинг. Нужно проводить аудиты и мониторинг систем, чтобы выявлять аномалии, несанкционированные действия в формате «здесь и сейчас». Это помогает оперативно реагировать на киберугрозы и предотвращать утечки информации. Опять же — с помощью надежных систем по отслеживанию и контролю действий пользователей в ИТ-системах.
Обучение персонала. Сотрудники, работающие в сфере уплаты налогов, должны быть обучены в области кибербезопасности, чтобы уменьшить риск социальной инженерии и других атак, связанных с «человеческим фактором».
Важно контролировать доступ в ИТ-системы
Обеспечить информационную безопасность в сфере налогообложения и ведения бухгалтерии непросто, но эта задача критически важна для защиты финансовых интересов бизнеса. Это помогает предотвратить финансовые риски и сохранить деловую репутацию.
В мире, где данные являются одним из самых ценных активов, кибербезопасность в сфере налогового учета и бухгалтерии должна быть на первом месте.
Выше мы упоминали о необходимости контроля доступа пользователей в информационные системы предприятий. Этот аспект можно назвать одним из ключевых в выстраивании «здоровой» и понятной ИБ–политики.
Контролировать действия администраторов 1С, бухгалтеров, финансистов или аутсорсеров критически важно.
На первый взгляд может показаться, что доверие к профессиональным и ответственным сотрудникам должно быть достаточным для обеспечения кибербезопасности. Однако на практике даже самые надежные специалисты не застрахованы от ошибок (пусть даже допущенных неспециально или, что хуже, — сознательно), а их действия могут иметь непредвиденные и даже негативные последствия. Поэтому только на доверие полагаться, увы, нельзя. Нужно проверять.
Как уже было сказано, внедряя цифровые технологии, бизнес, с одной стороны, получает возможность для увеличения скорости, эффективности работы и контроля над всеми процессами, а с другой — становится мишенью для кибератак из-за появления дополнительных точек уязвимости, которые связаны с переходов «в цифру». Киберриски растут, если новые ИТ-системы никто не контролирует.
На сегодня существует много инструментов, которые помогают делать это максимально эффективно и успешно.
Среди них особенно выделяются решения класса PAM (Privileged Access Management), применяемые для обеспечения комплексной информационной защиты бизнеса любой формы.
Такие системы контролируют внедрение, настройку и обслуживание нового ПО, мониторят уже существующие системы во избежание утечек и нарушения работоспособности инфраструктуры, контролируют все действия пользователей в ИТ-системах. И тут важно учитывать: любая операция администрирования, изменения конфигурации, связанная с высоким уровнем привилегий, может привести к остановке всех бизнес-процессов, утечкам, компрометации данных, шифрованию информации и другим киберугрозам.
Это особенно важно в ситуациях, когда финансовые процессы компании «закрываются» руками наемных специалистов — поставщиков бухгалтерских услуг: программистов или администраторов.
Зачастую доступ в системы им предоставляется бесконтрольный, а штатный бухгалтер не может «говорить с ними на одном языке» и предвидеть все возможные риски. А внедренные в инфраструктуру предприятия РАМ-решения — могут. Всесторонний регулярный контроль — вот то, что не всегда удается сделать человеку. Поэтому на помощь приходят технологии.
Кстати, системы класса РАМ помогают в работе и самим компаниям-аутсорсерами: по сути, они защищают не только ИТ-периметр заказчиков, но и самих поставщиков услуг. Тщательно фиксируя все свои действия, в случае киберинцидентов они смогут доказать свою непричастность к ним: потому что делали все правильно, по утвержденному регламенту и этому есть объективное подтверждение в виде отчетов в системе.
Иными словами, выбор решений для обеспечения информационной безопасности зависит от многих факторов: размера компании, наличия критических данных, целей бизнеса. Однако никакое средство ИБ не имеет смысла без работы со специалистами в периметре и во вне его.
РАМ-системыберут на себя контроль доступа, и показывают, что и как делают специалисты в инфраструктуре. Но стоит помнить о том, что РАМ, как и любая другая система, должна идти в комплексе с работой персонала, где каждый сотрудник понимает важность защиты данных и сохранения репутации компании.
P.S.
Сфера уплаты налогов и бухучета становится все более зависимой от цифровых технологий. Обеспечение кибербезопасности в ней нужно для защиты конфиденциальности и надежности данных. Соблюдение современных ИБ-стандартов и постоянное обновление мер безопасности помогут предотвратить угрозы и обеспечить успешное функционирование этих систем для бизнеса.
Начать дискуссию