IRS og Government Accountability Office er låst i en tvist om datasikkerhed, ifølge et brev sendt af GAO til Charles Rettig, IRS-kommissær.
On Mandag sagde GAO, at det siden maj 2019 har foreslået, at IRS “udvikler en styringsstruktur eller styringskomité for at koordinere alle aspekter af IRS 'bestræbelser på at beskytte skatteydernes information, mens de er hos tredjepartsudbydere.”
Siden da har IRS sagt, at den er enig i anbefalingen, men mener ikke, at den har den “eksplicitte myndighed til at etablere sikkerhedskrav til informationssystemerne for betalte forberedere og andre, der elektronisk arkiverer”, ifølge GAO-rapporten.
“Vi fortsætter med at tro, at IRS kunne gennemføre denne anbefaling uden yderligere lovbestemt myndighed,” sagde GAO-brevet. “Uden denne struktur er det uklart, hvordan IRS vil tilpasse sig skiftende sikkerhedstrusler i fremtiden og sikre, at disse trusler mindskes.”
Jessica Lucas-Judy, en GAO-direktør, der fører tilsyn med arbejdet med IRS, forklarede i brevet, at IRS fortsat holder denne opfattelse og gentog deres holdning i januar.
Lucas-Judy tilføjede, at den eneste måde, som IRS føler, at den kunne etablere databeskyttelsespolitikker og implementere strategier, der håndhæver overholdelse af disse politikker, ville være gennem en “central ledelsesstruktur”, der ville have brug for lovbestemt myndighed, der klart skulle kommunikere autoriteten af IRS at gøre det.
Ifølge IRS ville en forbedring af datasikkerheden være “ineffektiv, ineffektiv og dyr ressourceudnyttelse” uden autoritet fra en ledelsesstruktur.
Men Lucas-Judy sagde, at IRS har syv forskellige kontorer på tværs af agenturet, der arbejder med informationssikkerhedsrelaterede aktiviteter, som “kunne drage fordel af centraliseret tilsyn og koordinering.”
“Disse aktiviteter inkluderer opdatering af eksisterende standarder, overvågning af autoriseret e-filudbyderes programoverholdelse og sporing af rapporter om sikkerhedshændelser,” skrev Lucas-Judy.
GAO-rapporten kom kun få dage efter, at Intuit blev tvunget til at underrette TurboTax-brugere om et brud efter en række kontoovertagelsesangreb tidligere på denne måned, ifølge Bleeping Computer. Angribere fik fuld adgang til selvangivelsen for et ukendt antal mennesker, og Intuit blev tvunget til at deaktivere de kompromitterede konti.
“Ved at få adgang til din konto kan den uautoriserede part muligvis have fået oplysninger indeholdt i et tidligere års selvangivelse eller din nuværende selvangivelse, der er i gang, såsom dit navn, personnummer, adresse, fødselsdato, kørekortnummer økonomiske oplysninger (f.eks. løn og fradrag) og information om andre personer indeholdt i selvangivelsen, “sagde Intuit i et brev til overtrædelsesmeddelelse opnået af TechRadar.
Overtrædelsen blev opdaget under en sikkerhedsanmeldelse, der blev planlagt regelmæssigt. Virksomheden underretter rutinemæssigt brugere, hvis konti er tilgængelige “af en tredjepart ved hjælp af legitime loginoplysninger, som Intuit mener blev hentet fra kilder uden for virksomheden.” Intuit bekræftede i dette tilfælde, at det ikke var et “systemisk databrud.”
Yaniv Bar-Dayan, administrerende direktør for Vulcan Cyber, sagde, at IRS skulle være mere presserende med hensyn til at beskytte sig mod cybertrusler i betragtning af regeringen har stadig at gøre med forgreningerne af SolarWinds-angrebet.
“Desværre vil ikke trusselsaktører sidde og vente. Oprettelse af en 'styringsstruktur' fra bunden er ikke nødvendig,” sagde Bar-Dayan.
“IRS skal køre på coattails af cyberstyring, risiko- og compliance-rammer, der allerede er implementeret med succes af de største offentlige og private finansielle institutioner i verden. Vigtigst af alt skal du tage proaktive skridt nu for at beskytte IRS-operationer og skatteydernes data og midler gennem initiativer til risikoafhjælpning. “
LÆS DETTE
2015's mest skræmmende databrud: CVS, Anthem, IRS og værre
Opdateret: Næsten hver amerikaner er blevet ramt af mindst et databrud i år.
Læs mere
Relaterede emner:
Government – US Security TV Data Management CXO-datacentre 