Biura rachunkowe i doradcy podatkowi

Jeden przejęty mail wystarczy, by przekierować następny przelew Twojego klienta.

Biura rachunkowe są skarbcem cyfrowych diamentów w postaci kompletnych danych finansowych klientów - numery kont, NIP-y, podpisane deklaracje, dostęp do ERP. Jedna przejęta skrzynka, jeden udostępniony folder, jedno wyciekłe hasło do ERP - i naruszenie nie dotyczy już jednej firmy. Dotyczy dziesiątek Twoich klientów. Znajdujemy te luki zanim zrobią to atakujący.

Zamów bezpłatny pre-skan

Szczerze do bólu

Dlaczego biura rachunkowe są celem o najwyższym ROI cyberataków

To nie nasza opinia - to, co zgodnie pokazują roczny raport FBI IC35 i Verizon DBIR4: małe firmy usług profesjonalnych obsługujące pieniądze i dane klientów to najbardziej dochodowe cele zarówno dla operatorów BEC, jak i ransomware.

01

W dowolnym tygodniu masz dziesiątki przelewów w toku.

Business Email Compromise (BEC) to najbardziej zyskowny atak na małe firmy usług profesjonalnych - raporty Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) mierzą straty w setkach milionów złotych rocznie, z których duża część pochodzi z przekierowań przelewów. Twoja skrzynka e-mail to bankomat: jeden podrobiony wątek w trakcie transakcji i płatność klienta trafia na konto atakującego.

02

Twoje dane logowania odblokowują dostęp do systemów klientów.

Masz dostęp delegowany do portali bankowych, systemów ERP (Comarch, Symfonia, Optima, SAP) i portali skarbowych każdego klienta. Jedno sphishowane hasło nie narusza jednej firmy - narusza każdą, której obsługę prowadzisz.

03

Sezon podatkowy to termin, który atakujący wykorzystują najczęściej.

Ransomware w marcu - kiedy jest najgorętszy sezon przygotowywania sprawozdań finansowych - to kryzys dla każdego biura niezależnie od wielkości. Atakujący o tym wiedzą, odpowiednio ustalają moment żądania okupu i kalkulują jego wysokość na podstawie obrotu firmy i ilości klientów.

04

Z zewnątrz wyglądacie jak łatwy cel.

Większość małych i średnich biur rachunkowych używa serwera plików lub NAS z wieloletnimi danymi klientów, jakiegoś rozwiązania zdalnego dostępu dla wspólników i portali ERP w przeglądarce - zwykle bez poważnego działu SOC (Security Operations Center). Dla atakującego skanującego Internet, wybór między Twoim biurem a dużym fintechem jest prosty.

Zakres oceny

Co sprawdzamy w Twoim biurze

Ekspozycja SMB / NAS

Systemy do wgrywania plików na stronie lub urządzenia NAS z plikami podatkowymi klientów i historycznymi danymi dostępne z Internetu. Jeden udostępniony zasób to katastrofalne ryzyko - a skaner może go znaleźć w kilka minut.

Dane do ERP i bankowości w wyciekach

Hasła pracowników do Comarch, Symfonii, Optimy, SAP lub bankowości elektronicznej, które pojawiły się w bazach wycieków dark-webowych. Bezpośrednia ścieżka do przejęcia systemów finansowych - zwykle z hasła używanego również gdzie indziej.

Konfiguracja BEC / poczty

Audytujemy SPF, DKIM i DMARC Twojej domeny. Brakujące lub zbyt liberalne rekordy pozwalają atakującym wysyłać maile z Twojej nazwy firmy, które przechodzą wszystkie kontrole - otwarcie prawie każdego oszustwa przelewowego.

Bezpieczeństwo VPN i zdalnego dostępu

Bramki zdalnego pulpitu, VPN, portale Citrix - sprawdzamy znane podatności CVE, domyślne i słabe hasła oraz ekspozycję na brute-force. Te trzy drogi dają atakującym większość ransomware w MŚP.

Ekspozycja chmury

Źle skonfigurowane foldery OneDrive, SharePoint, Google Drive lub Dropbox udostępniające deklaracje klientów, umowy albo zeznania podatkowe do każdego-z-linkiem. Sprawdzamy, co jest indeksowalne, i zgłaszamy to zanim nazwisko klienta trafi do bazy wycieków.

Domeny lookalike i podszywanie

Szukamy niedawno zarejestrowanych domen podobnych do Twojej (twoja-firma-pl.com, twojafirma.co itp.) - standardowy pierwszy krok w budowie infrastruktury do ukierunkowanej kampanii BEC przeciwko Twoim klientom.

Realne koszty

Ile naprawdę kosztuje naruszenie

Ryzyko utraty licencji1

Sankcje regulacyjne i zawodowe

Naruszenie danych finansowych klientów uruchamia postępowanie UODO - a w przypadku biura rachunkowego równoległe ryzyko sankcji ze strony SKwP / KRBR. Licencja doradcy podatkowego jest zagrożona. Maksymalna kara to 20 mln € lub 4% obrotu (art. 83 RODO). Plus przegląd licencji.

Nieograniczone roszczenia

Odpowiedzialność cywilna wobec klientów

Klienci, których dane finansowe, NIP-y i numery kont wyciekną, mogą dochodzić odszkodowań cywilnych. Ponieważ jedno naruszenie w biurze wystawia wszystkich klientów naraz, zagregowana odpowiedzialność potrafi przekroczyć sumę ubezpieczenia biura nawet kilka razy.

3,31 mln USD średnio2

Koszt incydentu

Dane IBM 2024 dla firm do 500 pracowników. Dla biura uderzonego w sezonie podatkowym praktyczny koszt bywa niższy na papierze, ale znacznie wyższy zaliczając utratę klientów - przekroczone terminy, odsetki i umowy przeniesione gdzie indziej w kolejnym kwartale.

Zobacz, jak wygląda prawdziwy raport

Tak wygląda raport pre-skanu dla biura rachunkowego

Zmieniona nazwa firmy i domena. Reszta to prawdziwy wynik - znaleziska, werdykt BEC / bezpieczeństwa poczty, lista wycieków danych logowania i priorytetyzowany plan działania, który Twój wspólnik zarządzający może przekazać informatykowi tego samego dnia.

Pobierz przykładowy raport (PDF) …albo pomiń i zamów własny pre-skan w 24 h

Dostarczamy

Co otrzymujesz

Każde biuro, które zamawia pełną ocenę, dostaje podobny w strukturze ale znacznie obszerniejszy raport.

  • Raport PDF w przystępnym języku (wersja angielska na życzenie) - gotowy dla zarządu
  • Pełna lista podatności z wynikami CVSS i prawdopodobieństwem eksploitacji
  • Audyt konfiguracji BEC / poczty: SPF, DKIM, DMARC i ryzyko podszywania pod domenę
  • Raport o wyciekach danych logowania skonfrontowany z bazami dark-webowymi
  • Mapa ekspozycji SMB, NAS i chmury - każdy folder, który widzi Internet
  • Priorytetyzowany plan naprawczy, który Twój informatyk lub firma IT wdroży bezpośrednio
  • 30-minutowa rozmowa podsumowująca - omawiamy znaleziska i odpowiadamy na pytania zarządu lub działu IT

Pytania od wspólników zarządzających

Najczęstsze pytania biur, odpowiedzi wprost

„Nasz informatyk mówi, że jest OK - po co druga opinia?”
Z tego samego powodu, dla którego księgi prowadzi jedna firma, a audyt robi inna. Twój informatyk konfiguruje i utrzymuje systemy - nie jest niezależnym audytorem własnej pracy. Assessment pokazuje, co widzi atakujący z zewnątrz i jak może dostać się do Twoich pieniędzy - co niekoniecznie musi być specjalizacją każdego informatyka.
„Obsługujemy dane klientów - czy da się to zrobić bez ich dotykania?”
Tak. Zarówno Pre-skan jak i standardowy Vulnerability Assessment są wyłącznie zewnętrzne: pracujemy na informacjach publicznych i Twojej domenie. Nie logujemy się do Waszych systemów, nie dotykamy plików klientów i do startu nie potrzebujemy NDA (choć chętnie je podpiszemy, jeśli wolisz). Jeśli zaangażowanie się rozszerzy, podpisujemy pełną dokumentację poufności przed jakimkolwiek dostępem wewnętrznym.
„Kiedy najlepiej to zrobić - przed sezonem czy po?”
Zdecydowanie przed. Po sezonie może być już za późno. VA w mniej gorących miesiącach (maj-wrzesień, listopad-luty) daje Twojemu informatykowi czas na naprawę bez ryzyka przekroczenia czyjegoś terminu.

Zamów bezpłatny pre-skan dla swojego biura

Wysyłasz nam tylko nazwę domeny. W 24 godziny powiemy, co widzi atakujący. Jeśli nic poważnego - zatrzymujesz raport i znikamy. Jeśli znajdziemy coś poważnego - dostajesz propozycję pełnego assessmentu w 3 wariantach cenowych. Pełna elastyczność, bez presji, bez abonamentu.

Zamów bezpłatny pre-skan

NDA dostępne przed rozpoczęciem. Bez dostępu do Twoich systemów na żadnym etapie.

Źródła

  1. 1RODO art. 83 - kary administracyjne (eur-lex.europa.eu)
  2. 2IBM Cost of a Data Breach Report 2024 (ibm.com/reports/data-breach)
  3. 3RODO art. 33 - 72-godzinne zgłoszenie naruszenia (eur-lex.europa.eu)
  4. 4Verizon Data Breach Investigations Report 2024 (verizon.com/dbir)
  5. 5FBI Internet Crime Complaint Center (IC3) Annual Report (ic3.gov)