公共会计师事务所现在面临着前所未有的网络安全风险,这些风险威胁着宝贵的客户数据。你应该加强防范
在过去,计算机只不过是账簿和计算工具,从而帮助会计师开展业务。会计师非常信任数字化工具,从实际使用软件到计算机应用程序和协议的设计。很少有病毒会删除硬盘数据并损坏计算机,正如Matthew Broderick在1983年推出的广受好评的电影《战争游戏》(Wargames)中所述,除了五角大楼外,没人会被黑客攻击——直到2000年左右。
互联网革命拉近了我们之间的距离。人们触手可及的信息超出所有人想象,同时我们在互联网上分享的信息数量也是史无前例的。对于许多会计师来说,这就是全部的客户记录,以及职业生涯中所有关键敏感的资料。
我们的信任感很容易被骗子(有时是合法公司)利用,并从中牟利。渐渐发现,有些电子邮件看起来像是来自客户的法律认可请求,但实际上是受病毒感染的PDF文件。
公司会将用户的汇总数据用于广告和政治目的(还记得Cambridge Analytica吗?);犯罪分子利用软件漏洞窃取海量客户个人资料。后来便出现了一些无法掩盖的事件,公开调查接踵而至,罚款也不可避免。
归根结底,还是因为过于信任科技。因此,新立法和法规要求软件公司开展安全尽职调查工作并遵守新安全标准。
对于会计师而言,过去六个月较大的网络进步是在2018年2月颁布了强制性数据泄露报告法。由于会计师持有客户信息,根据新法律,会计师必须在向客户告知泄露事件之前向澳大利亚信息专员办公室报告数据泄露事件。数据泄露是指未经授权访问客户的个人和敏感数据,并潜在会对客户造成严重伤害。数据泄露将被处以高额罚款(若是公司泄露,罚款高达180万美元)。
在颁布这些新法规之前,会计师不需要披露此类事件。现在却不一样了,我们倒想看看新法规的效果。
那么会计师如何保护客户数据呢?
了解你所面临的风险
作为金融服务从业者和企业主,你应当熟悉风险管理条款。网络风险只是风险类管理之一,遗憾的是,会计师对此并不是十分了解。原因是大多数会计师只有吃了亏才知道采取措施,这个时候他们才看得到风险,说直白点,就是遭受了损失。
网络风险远不止互联网问题,更多是关于执业过程中信息数据有效期的持有和管理。
会计师需要考虑在何处以及如何收集、存储、使用和销毁数据。每个阶段面临不同威胁,这会导致未经授权的第三方可以获取你的客户数据。
同时必须了解相关的威胁风险才能有所防范。例如,客户通过电子邮件向你发送敏感信息的风险有哪些?一方面,电子邮件以明文形式发送,这意味着第三方可以在发送过程中阅读/截获你的邮件。你现在不会再让客户通过电子邮件发送税号(TFN)了吧?
了解你的服务提供商
外包服务正成为许多中小企业面临的主要风险因素。这并不是说外包服务带来了无法克服的风险,但在执业过程中不能将有些事情当作理所当然,在与任何服务提供商合作之前应仔细考虑清楚。
中小企业可能会将数据处理和管理外包给云服务提供商。
对于像Office 365这样的大型企业服务提供商,我们无需服务提供商如何管理安全问题。
但会计师在采购时应当使用企业级安全功能。记住:便宜没好货,好货不便宜!
大多数情况我们会寻找外部IT服务提供商(通常称为“IT人员”)来满足IT需求,例如提供计算机和网络管理。
这种做法很好。我不建议改变它。他们擅长这些,并会尽较大努力协助你开展业务。
但IT人员和信息安全专业人员之间有明显的差异。
在信息安全方面,你有必要向经验丰富、有资格的安全专家了解情况,因为他们会专注于提供安全服务。这类似于让电工安装家庭报警系统,虽然他们能够胜任这项工作,但你需要专门的安全公司来监控入侵和管理安全系统。无论如何,你应当聘请专业公司帮你评估整体业务的安全性。
了解你的对手
信息安全的发展非常快,也是变化很多的领域之一。骗子会换着花样欺骗你,威胁形势每年也会有所变化。
每天会出现超过30万新病毒。传统的杀毒软件难以跟上这种趋势。
每天大约会发现40个软件漏洞,许多漏洞可以瞬间变成武器。庆幸的是,有些好人正在采取新防御措施应对很新威胁。
毫无疑问,我们正处于好人与骗子的战争之中。而会计师(和客户)就是战利品。现在很多都是有组织的犯罪。
作为一家会计企业,你必须确保使用很新防御措施。这不仅是单纯地购买很新安全技术,而是要了解威胁及攻击方式(称为“攻击途径”),检查你是否有应对措施。
结论
实际上,每项业务、其工作流程及技术都有所不同,没有一劳永逸的方法。
预测人生成功的很佳方式就是延缓满足感。我相信,你肯定经过艰苦工作,并在生活和事业上做出了很多牺牲,才到达现今的职业高度。令人遗憾的是,在现今数字世界中,只需要在某个地方的服务器上将几个1换成0,就可以让你的一切付诸东流。
只有小心翼翼才能生存。因此,务请小心。即使你非常小心,也未必能够逃过一劫。
只有正确的方法和思维方式才能帮你将风险降低。如果你从未进行过安全评估,那么现在就该这样做了,制定一项网络安全计划来保护你的未来以及客户的未来。
关于云服务的五项安全提示
• 留意免费服务(包括开源软件),因为它们无法提供足够的保护,或需要大量的安装、管理和配置工作
• 使用端到端加密等功能(即使应用程序提供商也无法查看你的数据)
• 双重认证(登录应用程序时不只需要密码)• 调查公司的安全文化是否强大。例如,公司是否有内部安全团队,在信息安全方面投入的资金。如果可能,务必查看很新的完整独立安全评估报告。
• 你还应当调查你是否受“信息安全事件”合同保护(即是否有任何条款可以保护你的数据和权利)。
原载自澳大利亚公共会计师协会《公共会计师》(Publicaccountants)2018年8-9月刊,第42页,《公共会计师》数码港http://pubacct.org.au/.
作者:Julian Plummer Midwinter Financial Services总经理