EY_Cybertax: Cum sa cresti protectia datelor si a informatiilor fiscale, in sapte pasi |
Digitalizarea in Constructii & Industrie Publicat de Stelian DINCA 08 Oct 2021 15:51 |
La fiecare 39 de secunde, undeva, pe net, se petrece un atac informatic. In fiecare zi, mai bine de 30.000 de site-uri sunt sparte, in conditiile in care lockdown-ul a crescut cu peste 600% rata de cybercrime. Iar atacul poate veni de acolo de unde te astepti mai putin, de exemplu: cinci din cele sapte milioane de bulgari aflati in baza de date a Fiscului din tara vecina s-au trezit in 2019 cu datele furate dupa un atac al hackerilor; Serviciul de Taxe si Impozite Tulcea a fost blocat vreme de doua zile din cauza unui atac informatic; in timpul perioadei de declarare a impozitelor din 2018, IRS (fiscul american) a primit 234 de rapoarte despre posibile furturi de date, in crestere cu 29% fata de numarul celor primite in acelasi interval cu un an inainte. Desi considerat poate de multi ca anost, domeniul fiscal este o sursa de date interesante, vulnerabil la atacurile informatice.
Exista diverse tipuri de companii care produc sau gestioneaza informatii legate de impozite, care sunt expuse riscului: banci, companii ipotecare, firmele de investitii si valori mobiliare, cu alte cuvinte, orice companie platitoare de salarii si beneficii catre angajati. Cum statisticile globale din IT arata ca doar 5% din totalul fisierelor utilizate in cadrul unei companii sunt complet securizate, nu putem ignora ca tocmai unul dintre cele mai importante departamente, care detine unele dintre cele mai sensibile si vitale informatii, ar putea fi vizat de hackeri.
Cand se poate petrece un atac informatic in zona taxelor si impozitelor? Practic, cam tot timpul: si cand iti indeplinesti obligatiile de raportare, si cand iti evaluezi situatia fiscala in timpul unei tranzactii, si cand iti analizezi documentele fiscale, pentru a depista potentialele riscuri, ba chiar si atunci cand completezi declaratiile cerute de organismele internationale, in numar din ce in ce mai mare. Mai mult, poate ar trebui sa ne dea de gandit faptul ca transparenta va fi noua norma in fiscalitate, cu un volum in crestere de date de comunicat institutiilor internationale sau locale, ceea ce pentru hackeri ar putea insemna un numar sporit de ocazii.
O cifra schimbata, si balanta arata diferit. Eventuale modificari in contul de profit si pierdere, si ai un rezultat fiscal denaturat, pentru care poti sa ajungi sa platesti un impozit mai mic sau, dimpotriva, mai mare. Dar, un impozit micsorat, cu suma diminuata printr-un atac informatic te poate duce departe, chiar si pana in zona evaziunii fiscale. La fel si o tranzactie nedeclarata, ”omisa” din vina denaturarii unui fisier. Cu alte cuvinte, o modificare banala a unor date si informatii fiscale te poate plasa intr-o zona de risc fiscal si reputational.
Cum 2021 a venit cu versiuni mai evoluate de atacuri cibernetice, cu scopul principal de a ”infecta” nise specifice ale industriei, recomandam companiilor sapte pasi prin care si-ar putea creste nivelul de protectie:
1. Implementarea de controale tehnice sporite de securitate: ex. Firewall, IPS (Intrusion Prevention System), MFA (Multi Factor Authentication), AV (Antivirus).
2. Traininguri de “Cyber Security Awareness” pentru a creste vigilenta angajatilor in fata diverselor tipuri de atac utilizate si de a nu cadea usor prada celei mai comune metode - Phishing-ul.
3. Crearea unor praguri minime de complexitate a parolelor pentru angajati (folosirea de caractere speciale, atat litere, cat si numere, o anumita lungime a parolei), dar si implementarea unei politici de schimbare a parolelor cat mai frecventa care sa nu permita totodata refolosirea aceleiasi parole pentru o perioada mai indelungata de timp.
4. Upgradare si patching al tuturor dispozitivelor si sistemelor (patching de vulnerabilitati).
5. Folosirea unei solutii centralizate de stocare a datelor, de exemplu “Cloud storage”, si mentinerea unui backup al datelor.
6. Cresterea securitatii in ceea ce priveste utilizarea unei conexiuni de tip VPN (Virtual Private Network) prin adaugarea unor straturi suplimentare in metoda de autentificare a angajatului la reteaua interna (ex. MFA - Multi Factor Authentication).
7. Folosirea unor software-uri de criptare pentru a proteja datele companiei si a restrictiona accesul utilizatorilor neautorizati.
Poate parea complicat, dar este un demers necesar avand in vedere impactul negativ pe care l-ar putea avea, din punct de vedere fiscal, pentru contribuabili. Iar statisticile globale arata ca, daca pana acum nu ai fost victima unui atac informatic, inseamna ca nu ai aflat inca de el.
In concluzie, cum pericolele pot proveni din intern, cat si din extern, ele trebuie combatute printr-o strategie bine pusa la punct, care sa implice oameni, procese si tehnologie. In plus, experienta ne-a aratat ca daca rolurile sunt segregate, iar angajatii sunt tinuti la curent cu noutatile din zona pericolelor cibernetice, conform unor politici clare de securitate ale companiei, atat dispozitivele, cat si sistemele de perimetru sau reteaua sunt protejate corespunzator. In acest fel, activitatile din retea sunt inregistrate si monitorizate, deci probabilitatea de a deveni o victima a acestor atacuri cibernetice va fi redusa semnificativ si potentialul impact fiscal negativ va fi evitat.
Un material de Andra Casu, Partener Asociat, Liderul Departamentului de Consultanta Fiscala in Impozite Directe, EY Romania si Razvan Tufis, Manager, Servicii de Investigatie si Analiza Criminalistica Cibernetica, EY Romania
|