Tilitoimiston johtaminen, Tietoturva

Miten hoidan tilitoimistoni tontin tietoturvaan liittyen

12.09.2023

Erilaiset väärinkäytökset ovat yleisiä - kaikki eivät nouse otsikoihin tai edes asiakasviestintään. Ne aiheuttavat kuitenkin riskin liiketoiminnalle, niin maineen, kuin varojen menetyksen näkökulmasta. Riski voi tulla niin yrityksen ulkopuolelta kuin sisäpuoleltakin.

Tietoturvaan panostamalla näitä riskejä voidaan kuitenkin välttää merkittävästi. Tässä artikkelissa avaammekin keinoja, joilla tilitoimistosi voi suojautua kyberrikollisuudelta ja väärinkäytöksiltä.

Tunnista erilaiset tietoturvaan liittyvät uhkat

Jotta oma tontti voidaan pitää tietoturvan kannalta kunnossa, on tärkeää ensin tiedostaa millaisia keinoja kyberrikolliset käyttävät ja millaisia sisäisiä ja ulkoisia uhkia tietoturvaan liittyen on olemassa. Listaamme yleisimmät tietoturvariskien ilmenemismuodot ja keinot sille miten suojaat tilitoimistoasi kutakin uhkaa vastaan.

Huomaathan: jotta suojautuminen on tehokasta, on tärkeää jalkauttaa suojautumiskeinot myös kaikille tilitoimistosi työntekijöille.

1. Tietojen kalastelu

Tietojen kalastelussa pyritään saamaan henkilö paljastamaan käyttäjätunnuksensa ja salasanansa palveluun. Tunnusten saamisen jälkeen kirjaudutaan palveluun ja tehdään välittömästi haittaa yritykselle.

Kalastelu on nykyisin erittäin taitavaa, eikä kukaan ole immuuni kohde. Kalastelijan sähköpostiviestit tai tekstiviestit voivat olla parhaimmillaan virheetöntä suomen kieltä ja nettisivut voivat näyttää hyvinkin aidoilta ja oikeaa palvelua vastaavilta.

Miten suojaan tilitoimistoni tietojen kalastelulta?

  • Älä koskaan luovuta tunnuksiasi tai salasanaasi toiselle henkilölle mihinkään palveluun.

  • Älä koskaan käytä yhteiskäyttöisiä tunnuksia missään kriittisessä palvelussa.

  • Tarkasta aina sisäänkirjautumisessa palvelun virallisen osoitteen näkyminen selaimen osoiterivillä.

2. Heikot salasanakäytännöt

Salasanojen osalta on kolme huonoa tapaa, joilla helpotetaan kyberrikollisten työtä merkittävästi ja tarpeettomasti:

  1. Käytetään helpointa kirjautumistapaa, eli yksivaiheista kirjautumista (vakiosalasana).

  2. Käytetään samaa tai lähes samaa salasanaa useissa eri palveluissa.

  3. Käytetään heikkolaatuisia, helposti murrettavia salasanoja.

Miten suojaan tilitoimistoni salasanojen näkökulmasta?

  • Ota aina käyttöön kaksivaiheinen tunnistautuminen kaikissa palveluissa, jotka sitä tukevat. Pelkkä vakiosalasana ei tämän jälkeen enää riitä palveluun pääsemisen ja kyberrikollisen tie nousee hyvin todennäköisesti pystyyn. Kaksivaiheinen tunnistaminen kysyy sinulta omasta mobiililaitteestasi vaihtuvan avainluvun, jota rikollinen ei voi mitenkään saada tietoonsa tietoverkon kautta.

  • Ota käyttöön salasanojen hallintaohjelma. Ohjelma luo puolestasi vahvat ja omat salasanat jokaiseen palveluun, eikä niitä tarvitse muistaa ulkoa. Tämän myötä minkään yhden palvelun murtaminen ei vaaranna muihin palveluihin pääsyä sinun tunnuksellasi.

3. Käytettävien palveluiden haavoittuvuudet

Jokainen pilvipalvelu käyttää lukuisia valmiita ohjelmistokomponentteja, joista voi löytyä milloin tahansa uusi tietoturva-aukko. Ohjelmistotoimittajien omakin tuotekehitys voi tehdä epähuomiossa tietoturva-aukkoja.

Miten suojaan tilitoimistoni palveluiden haavoittuvuuksien näkökulmasta?

Varmista, että käyttämäsi palveluntarjoaja:

  • seuraa järjestelmällisesti mahdollisia haavoittuvuuksia

  • toteuttaa tietoturvatestaukset säännöllisesti ja toimittaa pyydettäessä riippumattoman tahon tekemän todistuksen palvelun tietoturvallisuudesta.

4. Ihmisiin liittyvät uhkat

Heikoin lenkki tietoturvassa on usein ihminen. Ei ole kyse siitä, että olisimme naiiveja, vaan siitä, että rikolliset ovat hioneet taitojaan ja tietävät tarkasti miten kannattaa toimia ja mistä naruista vetää. Ihmisiin liittyvät riskit voidaan jäsennellä sen mukaan onko tekijä itse tietoinen tekemästään vai ei:

  1. Ulkopuolelta tuleva petos. Pyritään esimerkiksi saamaan henkilö maksamaan huijauslasku, antamaan tietoja, tai muuttamaan toimittajan pankkitilin tai toimitusosoitteen tietoja. Kiiretilanteet heikentävät kontrollia merkittävästi. Silloin asioita ei aina tarkasteta niin perusteellisesti, kuin pitäisi. Tällöin, mikäli yrityksellä on heikot kontrollit laskujen tai maksujen hyväksynnässä, tällaiset maksut saatetaan päästää huomaamatta läpi.

  2. Kavallukset, jotka voivat johtua esimerkiksi ulkoa tulevasta painostuksesta tai henkilön velkaantumisesta tai muusta epätoivoisesta tilanteesta, jota yritetään myös ratkaista epätoivoisin keinoin. Veloitetaan tekaistuja kuluja, väärennetään laskuja palauttamalla jo arkistoitu lasku käsittelyyn ja maksamalla se eri tilille, ostetaan omaan käyttöön asioita, ostetaan lähipiiriltä ylihintaan, myydään lähipiirille alihintaan, vääristellään taloustietoja parempien palkkioiden toivossa, jätetään myyntiä tulouttamatta, ohjataan hyvitykset omalle tilille, väärennetään tositteita ja maksatustietoja.

Miten suojaan tilitoimistoni ihmisiin liittyvien uhkien näkökulmasta?

  • Tee taustaselvitys kaikille uusille työntekijöille.

  • Jos kaikilla asiakasyrityksilläsi ei vielä ole sähköistä taloushallintoa, ota sellainen heille käyttöön. Se helpottaa tehokkaamman sisäisen valvonnan luomista – rahaliikenteestä tulee läpinäkyvää ja kaikesta jää jälki reaaliajassa.

  • Sovi selkeä työnjako sekä sisäisesti, että asiakkaan kanssa ja ylläpidä siitä ajantasaista dokumenttia: kuka antaa ja millä perusteella käyttöoikeuksia, kuka hoitaa mitäkin.

  • Muista poistaa kaikki käyttöoikeudet niiltä käyttäjiltä, jotka ovat poistuneet tilitoimistosi tai asiakkaasi palveluksesta.

  • Ota käyttöön laskujen tarkistus- ja hyväksymiskierto ja sopikaa laskujen tarkastamiseen liittyvistä prosesseista, esim. varmistetaan, että tilattu tuote tai palvelu on toimitettu ja laskutettu summa on sovitun mukainen. Myös palkat, matka- ja kululaskut, sekä tilisiirrot tarkastetaan ja hyväksytään tarvittaessa erikseen eri henkilön toimesta.

  • Kontrolloi maksuja myös jälkikäteen.

  • Huomioi kontrolliprosesseissa myös poikkeustilanteet.

  • Seuraa taloudellista raportointia. Selvitä aina katevaihtelut ja poikkeamat.

  • Hyödynnä taloushallintojärjestelmää myynnissä: tee toimituksista ja laskun lähetyksestä aukotonta.

  • Tutustu asiakkaaseesi ja hänen liiketoimintaansa.

  • Vie tietoturvaan liittyviä kontrollointiprosesseja myös asiakasyrityksillesi. Tilitoimiston asiantuntemus on avainasemassa, jotta pk-yritysten kontrolliympäristöä saadaan kehitettyä.

  • Tarjoa henkilökunnallesi tietoturvakoulutusta.

  • Havainnoi toimintaympäristöäsi, keskustele tiimisi jäsenten kanssa ja tue heitä erilaisissa elämän kriiseissä.

Hyödynnä taloushallinnon järjestelmän mahdollisuudet uhkien ehkäisyssä

Kuten huomaat, tietoturvaan liittyy niin ulkoisia kuin sisäisiäkin tekijöitä. Siihen liittyy tahallisuutta ja tahattomuutta. Asiaa ei helpota se, että toimintaympäristö ja yritysten ja tilitoimistojen toiminta kehittyy jatkuvasti, mikä antaa uusia mahdollisuuksia väärinkäytöksille.

Tietoturvaan liittyvä työ vaatii tilitoimistolta ja asiakasyritykseltä monenlaista asioiden huomioimista, mutta sähköinen taloushallintajärjestelmä helpottaa työtä.

  1. Audit trail ja jälki syntyy kaikista tapahtumista heti, kun käyttäjät niitä ohjelmistoissa tekevät.

    • Yhteiskäyttöisyys asiakkaan kanssa tuo läpinäkyvyyttä tekemiseen.

    • Reaaliaikainen käyttäjäkohtainen jälki kaikista muutoksista tarkoittaa suoraan nopeinta mahdollisuutta havaita poikkeuksetkin.

    • Käyttöoikeudet on määriteltävissä tarkasti.

  2. Älä koskaan anna pääkäyttäjäoikeuksia kaikille käyttäjille, tutustu käyttöoikeustasoihin ja mieti riittävät oikeudet asiakkaasi kanssa yhdessä.

  3. Ota kaksivaiheinen tunnistus aina käyttöön – etenkin pääkäyttäjille.

  4. Laita hyväksymiskäytännöt laskuissa kuntoon.

  5. Ota pankkimaksuissa tarvittaessa käyttöön neljän silmän periaate.

 

© 2023 Fennoa Oy – Fennoa on rekisteröity tavaramerkki