Wiem, że księgowość to przede wszystkim terminowość, zgodność z prawem i zaufanie. Cyberbezpieczeństwo to dziś ten trzeci, najczęściej pomijany element. Wasze dane – dane klientów, ich finanse, numery PESEL, a nawet historie medyczne – to najcenniejszy i najwrażliwszy cel dla cyberprzestępców.
Z perspektywy hakera to złoty interes. Złamanie ochrony małego biura rachunkowego bywa prostsze niż próba ataku na dużą korporację. A zyski mogą być ogromne – od kradzieży pieniędzy z konta po sprzedaż danych w darknecie.
Pracowałem z IT w wielu firmach, widzę powtarzające się scenariusze. Wiele biur księgowych działa na zasadzie „jakoś to będzie”, a ich zabezpieczenia opierają się na wierze, a nie na architekturze bezpieczeństwa. To musi się zmienić.
Poniżej przedstawiam najgroźniejsze i najczęściej spotykane błędy w branży księgowości ale również w biurach projektowych, małych firmach transportowych, które najczęściej spotykam.
1. Hasła w Excelu i notatnikach
Jedna z najczęściej spotykanych praktyk to plik „hasła.txt” zapisany na pulpicie na skrzynce mailowej. W środku loginy do systemów bankowych, PUE ZUS, programu księgowego i e-Deklaracji. Zdarza się nawet, że ktoś dopisze numery PESEL i hasła klientów. Wystarczy, że ktoś włamie się do skrzynki mailowej pracownika albo skopiuje dane z pendrive’a i cały biznes jest otwarty.
Technicznie wygląda to tak: po przejęciu konta mailowego atakujący pobiera załączniki i pliki synchronizowane przez OneDrive czy Google Drive.
Jak to naprawić? Menedżer haseł (np. KeePass, Bitwarden, LastPass) przechowuje dane w zaszyfrowanym sejfie. Hasła są generowane losowo, nie powtarzają się i są dużo trudniejsze do złamania. Koszt? Są darmowe wersje. Płatne to kilkadziesiąt złotych na osobę rocznie. Potencjalna strata – setki tysięcy.
2. Dokumenty przesyłane zwykłym mailem
Mail bez szyfrowania działa trochę jak pocztówka, każdy serwer po drodze może zajrzeć do treści. W księgowości oznacza to faktury z danymi kontrahentów, pliki JPK z pełnymi rejestrami VAT czy PIT-11 z PESEL-ami i adresami pracowników.
Widziałem sytuację, w której atakujący przejął pocztę, kontynuował konwersację z klientem i podmienił numer konta bankowego na fakturze. Klient zapłacił 40 tys. zł nie tam, gdzie trzeba. Da się to zrobić, jeżeli poczta nie jest odpowiednio zabezpieczona.
Jak to rozwiązać? Najlepiej korzystać z bezpiecznej chmury z logowaniem dwuskładnikowym. Do tego zasada: żadnych haseł w tym samym mailu, tylko osobnym kanałem (np. SMS). Przy większej skali warto zainwestować w system wymiany dokumentów z klientem, gdzie każdy ma swoje konto i dostęp tylko do swoich plików.
3. Stare systemy i brak aktualizacji
Program księgowy sprzed 10 lat działa? Działa. Tyle że działa na Windowsie 7, a ten system od 2020 roku nie ma poprawek bezpieczeństwa.
W praktyce wygląda to tak: przychodzi mail z fałszywą fakturą, kliknięcie otwiera makro w Excelu, które pobiera ransomware. Jeżeli system jest aktualny, antywirus i Windows Defender często to blokują. Jeżeli nie wszystkie urządzenia w biurze zostają zaszyfrowane. Odzyskanie danych bez backupu kosztuje dziesiątki/setki tysięcy.
Rozwiązanie: regularne aktualizacje systemów i oprogramowania. Nawet jeżeli program księgowy wymaga starszego środowiska, można to rozdzielić – system do pracy biurowej aktualny, a stary program izolowany w maszynie wirtualnej bez dostępu do internetu.
4. Kopie zapasowe, które nie istnieją
Wielu przedsiębiorców mówi „my mamy kopie zapasowe”. Pytam: kiedy ostatnio sprawdzaliście, czy da się coś odzyskać? Zapada cisza.
Najczęstsze błędy:
- backup jest na tym samym dysku, który ulega awarii
- kopia robi się raz na kilka tygodni zamiast codziennie, lub kilka razy dziennie
- nikt nie testuje odtwarzania danych
- kopie są w biurze i giną przy pożarze lub włamaniu
Prawidłowy model to tzw. zasada 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą. Może to być dysk zewnętrzny w sejfie plus backup w chmurze biznesowej. Najważniejsze: sprawdzać odtwarzanie co jakiś czas, bo backup, którego nie da się użyć, jest wart tyle co nic.
5. Brak dwuskładnikowego logowania
Login i hasło do banku to już za mało. Atakujący, który przejmie skrzynkę mailową, bez problemu resetuje hasło i loguje się do systemu. Jeżeli nie ma dodatkowego potwierdzenia kluczem sprzętowym lub aplikacji mobilnej, droga jest otwarta.
Dziś większość banków i systemów księgowych obsługuje uwierzytelnianie dwuskładnikowe. Warto je wymusić dla wszystkich użytkowników. Nawet w małym biurze rachunkowym różnica w poziomie bezpieczeństwa jest gigantyczna.
6. Pendrive’y i prywatne urządzenia
Pendrive używany w domu, podpięty do komputera dzieci, a potem wpięty do laptopa księgowej w pracy to klasyczny sposób na pozyskanie wirusa. Do tego dochodzą prywatne laptopy czy telefony używane do pracy bez żadnych zabezpieczeń.
Firmy powinny mieć jasną politykę: dane księgowe tylko na służbowych urządzeniach. Nośniki przenośne szyfrowane, kontrola podłączanych urządzeń USB. To nie jest fanaberia ale to prosty sposób, żeby nie pozwolić złośliwemu oprogramowaniu na rozprzestrzenianie.
7. Brak kontroli nad dostępami
Przychodzi nowa księgowa, dostaje dostęp do wszystkich klientów. Odchodzi i nikt nie usuwa konta. Po pół roku były pracownik nadal może się logować. To się dzieje naprawdę.
Rozwiązanie to zarządzanie dostępami według zasady najmniejszych uprawnień: każdy ma tylko to, czego potrzebuje. Dodatkowo audyt kont raz na miesiąc lub kwartał sprawdzamy, kto ma dostęp, kto nie powinien już mieć. W większych firmach warto wdrożyć system do centralnego zarządzania uprawnieniami.
8. Brak procedur reagowania na incydenty
Co zrobić, gdy nagle komputer wyświetla żądanie okupu? Albo ktoś zauważył przelew na obce konto? W wielu biurach reakcja jest chaotyczna. Każdy dzwoni gdzie indziej, ktoś wyłącza komputer, ktoś inny próbuje formatować dysk.
Procedura reagowania powinna być ustalona wcześniej: kto odpowiada, kogo powiadamiamy, jakie kroki podejmujemy w pierwszej godzinie. Wtedy zamiast paniki jest konkretne działanie: odcięcie sieci, powiadomienie banku, zebranie logów. To różnica między kontrolowanym incydentem a katastrofą.
9. Phishing i brak szkoleń
Mail z „fakturą z Allegro” czy „rozliczeniem z ZUS” może w praktyce zawierać złośliwy załącznik. Pracownicy księgowości dostają takie wiadomości codziennie. Bez szkolenia i świadomości ryzyko kliknięcia jest ogromne.
Skuteczny model to krótkie szkolenia raz w roku plus testy phishingowe – wysyłamy pracownikom kontrolowane, fałszywe maile i sprawdzamy, kto kliknie. To działa dużo lepiej niż suche regulaminy, bo daje realne doświadczenie.
10. Zła konfiguracja poczty
Wiele firm nie ma poprawnie skonfigurowanych rekordów SPF, DKIM i DMARC. Efekt? Każdy może wysłać maila wyglądającego jakby pochodził od nas. Wyobraź sobie maila do klienta z prośbą o przelanie pieniędzy na „nowy rachunek” – wszystko wygląda jak prawdziwa korespondencja.
To zadanie dla działu IT albo firmy zewnętrznej, ale warto wiedzieć, że to jeden z podstawowych elementów ochrony reputacji i bezpieczeństwa komunikacji.
Czas Przestać Ryzykować
Nie ma co się oszukiwać. Prowadzenie biura księgowego czy MŚP bez kompleksowej strategii cyberbezpieczeństwa nie jest dobrym pomysłem. Utrata danych w tej branży to często koniec działalności lub ogromne kary RODO.
Jeżeli po przeczytaniu tego tekstu uświadomiliście sobie, że Wasze biuro popełnia jeden lub więcej z tych błędów, to jest to najlepszy moment, żeby zareagować.
Właśnie dlatego stworzyliśmy w cloudcomp.pl pakiety usług, które są szyte na miarę dla biur księgowych. Oferujemy nie tylko bezpieczne środowisko w chmurze, ale też weryfikację i audyt Waszych obecnych zabezpieczeń. Chcemy, żebyście zajmowali się finansami klientów, a my zajmiemy się Waszym bezpieczeństwem.
Skontaktuj się z nami. Omówimy Waszą obecną sytuację i wskażemy, od czego zacząć, żeby Wasza firma przeszła z trybu „jakoś to będzie” do „jest bezpiecznie”.
