IRS og Government Accountability Office er låst i en tvist om datasikkerhet, ifølge et brev sendt av GAO til Charles Rettig, IRS-kommisjonær.
On Mandag sa GAO at det siden mai 2019 har foreslått IRS “å utvikle en styringsstruktur eller styringskomité for å koordinere alle aspekter av IRSs arbeid for å beskytte skattebetalers informasjon mens de er hos tredjepartsleverandører.”Siden den gang har skattemyndighetene sagt at de er enige i anbefalingen, men tror ikke de har “eksplisitt myndighet til å etablere sikkerhetskrav til informasjonssystemene til betalte forberedere og andre som elektronisk arkiverer”, ifølge GAO-rapporten.
“Vi fortsetter å tro at IRS kan implementere denne anbefalingen uten ytterligere lovpålagt myndighet,” sa GAO-brevet. “Uten denne strukturen er det uklart hvordan IRS vil tilpasse seg endrede sikkerhetstrusler i fremtiden og sikre at disse truslene blir dempet.”
Jessica Lucas-Judy, en GAO-direktør som overvåker arbeidet med IRS, forklarte i brevet at IRS fortsetter å ha dette synet og gjentok sin holdning i januar.
Lucas-Judy la til at den eneste måten skattemyndighetene føler at de kan etablere datasikringspolitikk og implementere strategier som håndhever overholdelse av disse retningslinjene, vil være gjennom en “sentralisert ledelsesstruktur” som vil trenge lovbestemt myndighet som tydelig kommuniserer myndigheten av skattemyndighetene å gjøre det.
I følge skattemyndighetene ville det være “ineffektiv, ineffektiv og kostbar ressursbruk” å styrke datasikkerheten uten autoritet fra en lederstruktur.
Men Lucas-Judy sa at IRS har syv forskjellige kontorer over hele byrået som jobber med informasjonssikkerhetsrelaterte aktiviteter som “kan ha nytte av sentralisert tilsyn og koordinering.”
“Disse aktivitetene inkluderer oppdatering av eksisterende standarder, overvåking av autoriserte programleverandører av e-filleverandører og sporing av rapporter om sikkerhetshendelser,” skrev Lucas-Judy.
GAO-rapporten kom bare noen dager etter at Intuit ble tvunget til å varsle TurboTax-brukere om brudd etter en rekke kontoovertakelsesangrep tidligere denne måneden, ifølge Bleeping Computer. Angripere fikk full tilgang til selvangivelsen til et ukjent antall mennesker og Intuit ble tvunget til å deaktivere de kompromitterte kontoene.
“Ved å få tilgang til kontoen din, kan den uautoriserte parten ha innhentet informasjon i et tidligere års selvangivelse eller din nåværende selvangivelse som pågår, for eksempel navn, personnummer, adresse (r), fødselsdato, førerkortnummer og finansiell informasjon (f.eks. lønn og fradrag) og informasjon om andre personer som inngår i selvangivelsen, “sa Intuit i et varslingsbrev som ble innhentet av TechRadar.
Bruddet ble oppdaget under en sikkerhetsgjennomgang som var regelmessig planlagt. Selskapet varsler rutinemessig brukere hvis kontoer er tilgjengelige “av en tredjepart ved bruk av legitime påloggingsopplysninger som Intuit mener ble hentet fra kilder utenfor selskapet.” Intuit bekreftet i dette tilfellet at det ikke var et “systemisk brudd på dataene.” har fortsatt å gjøre med forgreningene av SolarWinds-angrepet.
“Dessverre kommer ikke trusselaktører til å sitte og vente. Det er ikke nødvendig å opprette en” styringsstruktur “fra bunnen av,” sa Bar-Dayan.
“Skattemyndighetene skal kjøre mot rammene for cyberstyring, risiko og overholdelse som allerede er vellykket implementert av de største offentlige og private finansinstitusjoner i verden. Viktigst av alt, ta proaktive skritt nå for å beskytte IRS-operasjoner og skattebetalers data og midler gjennom risikosaneringsinitiativer. “
LES DETTE
2015s skumleste datainnbrudd: CVS, Anthem, IRS, og verre
Oppdatert: Nesten hver amerikaner har blitt rammet av minst ett datakontroll i år.
Les mer
Beslektede emner:
Regjeringen – US Security TV Data Management CXO Data Centers 