De IRS en het Government Accountability Office zijn verwikkeld in een geschil over gegevensbeveiliging, volgens een brief van de GAO aan Charles Rettig, commissaris van de IRS.
Op Maandag zei de GAO dat het sinds mei 2019 de IRS heeft voorgesteld “een bestuursstructuur of stuurgroep te ontwikkelen om alle aspecten van de inspanningen van de IRS om informatie van belastingbetalers te beschermen bij externe providers te coördineren.”
Sindsdien heeft de IRS gezegd dat het akkoord gaat met de aanbeveling, maar gelooft niet dat het de “expliciete bevoegdheid heeft om beveiligingsvereisten vast te stellen voor de informatiesystemen van betaalde opstellers en anderen die elektronisch bestanden indienen”, aldus het GAO-rapport.
“We blijven van mening dat de IRS deze aanbeveling zou kunnen uitvoeren zonder aanvullende wettelijke bevoegdheid”, aldus de GAO-brief. “Zonder deze structuur is het onduidelijk hoe IRS zich in de toekomst zal aanpassen aan veranderende veiligheidsbedreigingen en ervoor zal zorgen dat die bedreigingen worden beperkt.”
Jessica Lucas-Judy, een GAO-directeur die toezicht houdt op het werk aan de IRS, legde in de brief uit dat de IRS deze mening blijft vasthouden en herhaalde hun standpunt in januari.
Lucas-Judy voegde eraan toe dat de enige manier waarop de IRS denkt dat het beleid voor gegevensbescherming kan vaststellen en strategieën kan implementeren om naleving van dat beleid af te dwingen, zou zijn door middel van een “gecentraliseerde leiderschapsstructuur” waarvoor wettelijke autoriteit nodig is om de autoriteit duidelijk te communiceren van de Belastingdienst om dit te doen.
Volgens de IRS zou het verbeteren van de gegevensbeveiliging “inefficiënt, ineffectief en kostbaar gebruik van middelen” zijn zonder de autoriteit van een leiderschapsstructuur.
Maar Lucas-Judy zei dat de IRS zeven verschillende kantoren heeft in het hele agentschap die werken aan informatiebeveiligingsgerelateerde activiteiten die “kunnen profiteren van gecentraliseerd toezicht en coördinatie.”
“Deze activiteiten omvatten het bijwerken van bestaande standaarden, het controleren van de naleving van het programma van Authorized e-file Providers en het volgen van rapporten over beveiligingsincidenten”, schreef Lucas-Judy.
Het GAO-rapport kwam slechts enkele dagen nadat Intuit werd gedwongen om TurboTax-gebruikers op de hoogte te stellen van een inbreuk na een reeks aanvallen op accountovernames eerder deze maand, aldus Bleeping Computer. Aanvallers kregen volledige toegang tot de belastingaangiften van een onbekend aantal mensen en Intuit werd gedwongen de gecompromitteerde accounts uit te schakelen.
“Door toegang te krijgen tot uw account, kan de onbevoegde partij informatie hebben verkregen uit de belastingaangifte van een vorig jaar of uw huidige belastingaangifte, zoals uw naam, burgerservicenummer, adres(sen), geboortedatum, rijbewijsnummer en financiële informatie (bijv. salaris en inhoudingen) en informatie van andere personen in de belastingaangifte', zei Intuit in een door TechRadar verkregen kennisgeving van inbreuk.
De inbreuk werd ontdekt tijdens een beveiligingsonderzoek dat regelmatig werd gepland. Het bedrijf stelt gebruikers wier accounts worden geopend “door een derde partij met legitieme inloggegevens die volgens Intuit van bronnen buiten het bedrijf zijn verkregen”, regelmatig op de hoogte. Intuit bevestigde in dit geval dat het geen “systemische datalek” was.
Yaniv Bar-Dayan, CEO van Vulcan Cyber, zei dat de IRS dringender moest zijn om zichzelf te beschermen tegen cyberdreigingen gezien de overheid heeft nog steeds te maken met de gevolgen van de SolarWinds-aanval.
“Helaas zullen dreigingsactoren niet blijven zitten wachten. Het is niet nodig om van de grond af een 'governance-structuur' op te zetten,” zei Bar-Dayan.
“De IRS moet de staartjes van cybergovernance, risico- en nalevingskaders volgen die al met succes zijn geïmplementeerd door de grootste openbare en particuliere financiële instellingen ter wereld. Het belangrijkste is dat u nu proactieve stappen neemt om IRS-activiteiten en gegevens en fondsen van belastingbetalers te beschermen door risicosaneringsinitiatieven.”
LEES DIT
De engste datalekken van 2015: CVS, Anthem, IRS en erger
Bijgewerkt: Bijna elke Amerikaan is dit jaar getroffen door ten minste één datalek.
Lees meer
Verwante onderwerpen:
Overheid – US Security TV Data Beheer CXO-datacenters 