中国高顿讯:Malwarebytes的贾斯汀·多利(Justin Dolly)致力于研究会计师可以采取哪些措施来保护他们的数据并尽可能地降低网络安全风险。
每当谈及数据泄露,大多数人通常想到的受害者是医院、零售商抑或银行,但他们有没有联想到会计师事务所呢?设想一下,人人都信赖会计师并将个人身份信息交付于您。作为会计师,您掌握着客户的重要信息:纳税人识别号码、社会保障号码以及作为普通消费者他们财务账号的诸多登录密码等。
更为糟糕的是,一次网络攻击就可能导致一个中小型事务所倒闭。这些中小型事务所的资本实力无法与大型事务所相比,任何违规行为引发的打击都可能致其破产。事实上,美国国土安全部(Department of Homeland Security)的小企业提示卡显示,近59%的美国中小企业没有制定应急计划。而Hiscox保险集团2017年的《网络应对准备报告》显示,小企业因每次网络安全事件而遭受的平均损失为41,000美元。
随着报税季的到来和全面展开,网络完全事件造成的影响可能更为严重。攻击者意识到,与银行类似,会计师事务所也持有很多有价值的信息,诸如用于办理退税直接转存的银行信息。与此同时,他们也认识到,会计师事务所的安全防范措施通常不如银行充分。这使得网络攻击者能更为容易地攻击那些没有为此做好准备的事务所。网络攻击者试图侵入包含敏感财务信息的系统,这或许会让事务所承担一项法律责任,需要告之客户其机密信息可能被盗。最糟糕的结果是什么?事务所会因为缺乏网络安全而失去客户,甚至可能失去全部业务。
攻击者往往可以轻易获取会计师事务所持有的此类数据,而且对于他们而言,其具有[*{3}*]的价值。会计师获得客户信任,不仅拥有客户的财务数据,而且对现有客户以及过去客户的全部财务和个人历史信息都了如指掌。根据美国财政部税务管理总监察长(Treasury Inspector General for Tax Administration)的报告,仅在2016年报税季的前一个半月内,美国国税局(IRS)就发现42,000多项纳税申报存在问题。纳税人的身份盗用正引发越来越多的担忧,在未经纳税人本人授权的情况下,纳税人的个人信息可能被用于虚假纳税申报。这种盗用会带来严重的后果,特别是在事务所网络安全举措不够充分的情况下,黑客可以窃取敏感信息。
安全挑战
然而幸运的是,现在,中小事务所可以通过几种简单易行的方法来提升自己的网络安全。但首先,会计师需要充分了解所面临的安全挑战,这一点至关重要。
尽管会计师受到信任并掌握了所有此类敏感数据,但是会计师或地方性事务所通常并不具备大型机构所采用的安全措施。他们常常需要将大部分预算用于业务开支,不会为了安全性项目而削减其他部分的预算。
在没有采取必要的安全防御措施情况下,会计师事务所很容易成为几类大规模攻击手段的受害者,其中就包括敲诈软件。敲诈软件会将文件加密并阻止计算机系统访问这些文件,然后要求使用者进行安全支付来获得其计算机的控制权。这可能会对事务所的业务造成破坏,因为即使事务所通过安全支付方式支付了赎金,也不能保证找回自己的信息。此外,攻击者虽然可以让事务所重新控制计算机,但会截留事务所及其客户的数据,或者将这些数据全部删除。
此外,密码仍然给会计师事务所带来了重大安全隐患,因为密码可能丢失、被盗或容易猜出。最为重要的是,网络钓鱼诈骗随时随地都可能在事务所内部发生。特别是在报税季节,恶意电子邮件以IRS或其他相关实体的身份来掩盖自己,让该行业每年都饱受其苦。
会计师可以采取什么措施来尽可能地减少风险?
尽管该行业面临诸多不利因素,但会计师可以采取一些重要且所费不多的举措来保护自己和事务所。
部署端点保护
如果尚未实施这一保护举措,事务所可以考虑那些能够实施远程部署并通过中央位置进行管理的端点保护平台。此外,端点保护平台还应该包含功能强大的防攻击组件,以屏蔽未修补的程序或遗留系统。
为员工提供相关教育和培训
关于安全性的一种常见误解是,想要采取任何措施来防止网络攻击,您必须成为这方面的专家。这种观点显然不正确。这项工作的关键是提供教育和培训并制定纪律。事务所应该让所有员工和合伙人了解网络攻击的隐患和网络安全的现状,让他们能够掌握培训内容,并能够及时发现可疑活动。能接触到客户个人信息的每个员工都需要谨慎对待所获得的信息,在访问相关网站以及允许非事务所员工使用电脑时,也要保持谨慎。通过让员工接受适当的安全协议方面的教育,事务所能让员工成为安全大使。
频繁备份
不要低估备份作为一种安全手段的重要性,事务所不仅仅是在硬盘驱动器出现问题时才需要相关备份。所以,确保做好备份工作,*4是在工作系统之外留有备份。外部驱动器、DVD或云是最常见的选择。虽然制作备份的程序会不断耗费资源,但它们能让您无需时刻牢记自行备份。
加密通信
由于我们经常通过电子邮件发送文档或敏感信息,因此使用安全电子邮件程序来加密邮件就显得十分关键。例如,基于云的应用程序可以提供这种类型的安全。
最后一点建议
若想保护事务所免受网络攻击,您需要时刻保持警惕。虽然不能像大型公司一样拥有诸多资源,例如IT部门或供应商,但这并不意味着您不能保护自己、事务所和客户。认识到自身所处的高风险状态,实施新的安全解决方案,为员工提供相关教育并完成全面的安全评估,借此,您可以在确保安全性方面取得长足进步。这些简单的步骤将提高整个事务所的安全意识,让网络安全成为运营活动的重要组成部分,让您的业务安全,让您的客户放心。
校对:张翔
中国高顿2017年4月18日20:02发布,转载请注明来源和作者。
原文链接:Why an accountant is a cybercriminal’s favourite target