Những phân tích về lý do tại sao các công ty kế toán nhỏ cũng trở thành đối tượng của tội phạm mạng
Không có công ty kế toán nào có thể miễn nhiễm đối với tội phạm mạng hoặc thiệt hại mà nó có thể gây ra. Và kế hoạch thực hiện Vi phạm dữ liệu phải khai báo (Notifiable Data Breach - NDB) mới được triển khai gần đây bắt đầu áp dụng những hình phạt đáng kể cho những sai phạm trong việc báo cáo các vi phạm an ninh mạng.
Bài viết của Tiến sỹ Michael Axelsen FCPA (Aust.)
Ngày nay, các kế toán viên là những cố vấn đáng tin cậy sử dụng nhiều công nghệ trực tuyến và đám mây - phần mềm đồng bộ hóa, gói kế toán trực tuyến và các công cụ truyền thông xã hội – nhằm giúp khách hàng thành công.
Các kế toán viên làm việc chặt chẽ hơn với khách hàng và biết nhiều thông tin về công việc kinh doanh của họ hơn bao giờ hết, nhưng trong một thế giới cơ sở dữ liệu và email có liên kết với nhau, và trong thế giới đó thông tin dễ bị tấn công bởi tội phạm mạng.
Một số công ty có thể tranh luận rằng công ty họ quá nhỏ và không có gì quan trọng, rằng sẽ không ai quan tâm đến các thông tin của họ. Tuy những lời nói này có thể giúp trấn an các công ty, trên thực tế tình hình lại không phải như vậy.
Phần thưởng cho tội phạm mạng có được từ việc truy cập vào hồ sơ của khách hàng có thể là đáng kể, chi phí cho việc thực hiện các cuộc tấn công tuy không là bao nhưng có thể để lại hậu quả to lớn cho các kế toán viên và khách hàng của họ.
Tại sao các công ty kế toán nhỏ cũng trở thành đối tượng của tội phạm mạng.
Kể cả các công ty làm dịch vụ kế toán nhỏ cũng có những khách hàng lớn và có giá trị. Thật vậy, một công ty nhỏ thường có cơ sở dữ liệu khách hàng trị giá hàng triệu đô la - một mục tiêu vô cùng hấp dẫn đối với tội phạm trực tuyến.
Dữ liệu thuế, địa chỉ, ngày sinh và chi tiết tài khoản ngân hàng tạo thành một kho tàng thông tin có thể được sử dụng để đánh cắp danh tính của khách hàng. Sau đó, các thông tin này có thể được bán trên các trang mạng đen tối, nhằm phục vụ cho mục đích gian lận bằng cách sử dụng tài liệu giả mạo để có được khoản vay thực.
Đối với lập luận rằng quy mô công ty nhỏ và không đáng để tội phạm mạng phải tốn công sức để tấn công thì trên thực tế, việc này cũng không hề khiến chúng cảm thấy phiền hà. Trái ngược với hiện trạng bảo mật CNTT lỏng lẻo tại một số công ty kế toán, tội phạm trực tuyến ngày càng tinh vi. Thật vậy, một công ty có thể không ý thức được rằng an ninh của họ đang bị xâm phạm cho đến khi thông tin khách hàng của họ bị sử dụng công khai. Ngoài ra, do giá trị thông tin mà các công ty nắm giữ, tội phạm trực tuyến đã nhắm đến các mục tiêu hấp dẫn với các cuộc tấn công bằng phần mềm độc hại được thiết kế để chặn truy cập vào một hệ thống máy tính (mã hóa tất cả các tệp tin trong hệ thống máy tính cho đến khi công ty trả tiền chuộc), một hình thức đơn giản, hiệu quả mà lại không tốn nhiều chi phí.
Rõ ràng là rủi ro đối với uy tín của một công ty và khả năng đối mặt với trách nhiệm pháp lý là rất lớn. Warren Buffet cũng đã từng có một câu hỏi nổi tiếng rằng, phải mất 20 năm để xây dựng một danh tiếng và năm phút để hủy hoại nó. Một công ty khi đã có tiếng xấu về việc bị vi phạm an ninh thì sẽ gặp khó khăn trong việc thu hút và giữ chân khách hàng, đây là lý do khiến nhiều công ty ngần ngại trong việc tiết lộ về thỏa hiệp với tội phạm mạng.
Kế hoạch thực hiện Vi phạm dữ liệu phải khai báo (Notifiable Data Breach - NDB) có hiệu lực
Kế hoạch thực hiện Vi phạm dữ liệu phải khai báo (NDB) mới được triển khai từ ngày 22 tháng 2 2018 tại Úc nhằm chấm dứt tình trạng trên bằng việc áp dụng mức phạt đáng kể với các công ty không thực hiện báo cáo dữ liệu bị vi phạm.
Thay đổi mới này trong đạo luật Bảo mật đòi hỏi các công ty phải báo cáo các vi phạm an ninh cần thiết. Một vi phạm cần được báo cáo là khi thông tin mang tính cá nhân và/ hoặc nhạy cảm bị đánh cắp và điều này mang lại hậu quả nghiêm trọng đối với một cá nhân. Công ty phải báo cáo việc vi phạm tới Văn phòng Cố vấn thông tin Úc hoặc có hoặc có nguy cơ chịu mức phạt dân sự trị giá 2,1 triệu đô la.
Mặc dù NDB chỉ áp dụng cho các doanh nghiệp có doanh thu hơn 3 triệu đô la, các công ty thực hiện dịch vụ kế toán cần tuân thủ đạo luật Bảo mật, ít nhất là với những nội dung có liên quan đến các thông tin thuế cá nhân.
Ba bước để cải thiện an ninh mạng của công ty bạn
Đầu tiên các công ty kế toán cần xác định các thông tin cá nhân và/ hoặc nhạy cảm mà họ nắm giữ, và nếu các thông tin đó không cần thiết, hãy hủy/ xử lý các thông tin đó một cách có trách nhiệm.
Thứ hai, các công ty này cũng cần có những biện pháp hợp lý để giảm bớt rủi ro của các sự cố an ninh mạng.
Tổng cục Tín hiệu Australia (ASD) đã xây dựng các chiến lược giảm nhẹ được ưu tiên. Bốn chiến lược hàng đầu của họ là:
• xây dựng danh sách “trắng” ứng dụng (để bảo vệ chống lại phần mềm độc hại)
• rà soát và sửa lỗi các ứng dụng
• rà soát và sửa lỗi các hệ điều hành
• hạn chế các đặc quyền hành chính/ quản trị.
Cuối cùng, điều quan trọng là khả năng phát hiện việc vi phạm bảo mật nếu điều này xảy ra và cách thức xử lý tình huống – các công ty có thể làm được việc này bằng cách thiết lập kế hoạch phản ứng chính thức đối với sự cố vi phạm dữ liệu.
Tiến sỹ Michael Axelsen FCPA là giảng viên, hệ thống thông tin kinh doanh, Đại học Queensland
Bài viết này được đăng lần đầu tiên trên tạp chí INTHEBLACK của CPA Australia. Bạn đọc có thể tìm hiểu thêm tại intheblack.com
Để biết thêm thông tin về sự kiện và CPA Australia, vui lòng liên hệ:
Văn phòng Đại diện CPA Australia - Hà Nội
Phòng 1201A, Tầng 12, Tháp A, tòa nhà Handi Resco
521 Kim Mã, quận Ba Đình, Hà Nội
P: 84 24 6263 4320
E: hanoi@cpaaustralia.com.au
W: https://www.cpaaustralia.com.au/
Văn phòng Đại diện CPA Australia - TP Hồ Chí Minh
Phòng 501, tầng 5, tòa nhà Metropolitan,
235 Đồng Khởi, quận 1, tp Hồ Chí Minh
P: +84 28 3520 8338
E: hochiminh@cpaaustralia.com.au
W: https://www.cpaaustralia.com.au/