IRS och Government Accountability Office är låsta i en tvist om datasäkerhet, enligt ett brev som GAO skickade till Charles Rettig, IRS-kommissionär.
På På måndagen sa GAO att man sedan maj 2019 har föreslagit IRS att “utveckla en styrningsstruktur eller styrkommitté för att samordna alla aspekter av IRS: s ansträngningar för att skydda skattebetalarnas information när det gäller tredjepartsleverantörer.”Sedan dess har IRS sagt att de instämmer i rekommendationen men tror inte att den har den “uttryckliga befogenheten att fastställa säkerhetskrav för informationssystem för betalda förberedare och andra som elektroniskt arkiverar”, enligt GAO-rapporten.
“Vi fortsätter att tro att IRS kan genomföra denna rekommendation utan ytterligare lagstadgad myndighet”, sa GAO-brevet. “Utan denna struktur är det oklart hur IRS kommer att anpassa sig till förändrade säkerhetshot i framtiden och se till att dessa hot mildras.”
Jessica Lucas-Judy, en GAO-direktör som övervakar arbetet med IRS, förklarade i brevet att IRS fortsätter att ha denna uppfattning och upprepade sin hållning i januari.
Lucas-Judy tillade att det enda sättet som skattemyndigheterna anser att det skulle kunna upprätta datasäkerhetspolicyer och genomföra strategier som verkställer efterlevnad av dessa riktlinjer skulle vara genom en “centraliserad ledarskapsstruktur” som skulle behöva lagstadgad myndighet tydligt meddela myndigheten av IRS att göra det.
Enligt IRS skulle en förstärkning av datasäkerheten vara “ineffektiv, ineffektiv och kostsam resursanvändning” utan auktoritet från en ledarskapsstruktur.
Men Lucas-Judy sa att IRS har sju kontor över hela byrån som arbetar med informationssäkerhetsrelaterade aktiviteter som “skulle kunna dra nytta av centraliserad tillsyn och samordning.”
“Dessa aktiviteter inkluderar uppdatering av befintliga standarder, övervakning av auktoriserade programleverantörer av e-filleverantörer och spårning av säkerhetsrapporter”, skrev Lucas-Judy.
GAO-rapporten kom bara några dagar efter att Intuit var tvungen att meddela TurboTax-användare om ett brott efter en serie kontovertagningsattacker tidigare denna månad, enligt Bleeping Computer. Angripare fick full tillgång till skattedeklarationerna för ett okänt antal människor och Intuit tvingades inaktivera de komprometterade kontona.
“Genom att komma åt ditt konto kan den obehöriga ha fått information som finns i ett tidigare års skattedeklaration eller din nuvarande skattedeklaration som pågår, såsom ditt namn, personnummer, adress (er), födelsedatum, körkortnummer och ekonomisk information (t.ex. lön och avdrag) och information om andra individer som ingår i skattedeklarationen, säger Intuit i ett meddelande om intrång från TechRadar.
Brottet upptäcktes under en säkerhetsgranskning som planerades regelbundet. Företaget meddelar rutinmässigt användare vars konton har åtkomst “av en tredje part med legitima inloggningsuppgifter som Intuit tror har erhållits från källor utanför företaget.” Intuit bekräftade i detta fall att det inte var ett “systematiskt dataintrång”.
Yaniv Bar-Dayan, VD för Vulcan Cyber, sa att IRS måste vara mer angelägna om att skydda sig mot cyberhot med tanke på regeringen hanterar fortfarande konsekvenserna av SolarWinds-attacken.
“Tyvärr kommer hotaktörer inte att sitta och vänta. Det är inte nödvändigt att skapa en” styrningsstruktur “från grunden”, säger Bar-Dayan.
“IRS bör rycka mot cyberstyrning, risk- och efterlevnadsramar som redan har framgångsrikt implementerats av de största offentliga och privata finansinstitutionerna i världen. Viktigast av allt, ta proaktiva steg nu för att skydda IRS-verksamhet och skattebetalares data och medel genom initiativ för att avhjälpa risker. “
LÄS DETTA
2015: s läskigaste dataintrång: CVS, Anthem, IRS och värre
Uppdaterad: Nästan varje amerikaner har påverkats av åtminstone ett dataintrång i år.
Läs mer
Relaterade ämnen:
Regeringen – US Security TV Data Management CXO-datacenter 