L'IRS e il Government Accountability Office sono impegnati in una disputa sulla sicurezza dei dati, secondo una lettera inviata dal GAO a Charles Rettig, commissario dell'IRS.
Su Lunedì, il GAO ha affermato che dal maggio 2019 ha suggerito all'IRS di “sviluppare una struttura di governance o un comitato direttivo per coordinare tutti gli aspetti degli sforzi dell'IRS per proteggere le informazioni dei contribuenti mentre si trova presso fornitori di terze parti”.
Da allora, l'IRS ha affermato di essere d'accordo con la raccomandazione, ma non crede di avere “l'autorità esplicita per stabilire i requisiti di sicurezza per i sistemi informativi dei preparatori pagati e di altri che archiviano elettronicamente”, secondo il rapporto del GAO.
“Continuiamo a credere che l'IRS potrebbe attuare questa raccomandazione senza ulteriore autorità statutaria”, affermava la lettera del GAO. “Senza questa struttura, non è chiaro come l'IRS si adatterà alle mutevoli minacce alla sicurezza in futuro e assicurerà che tali minacce siano mitigate.”
Jessica Lucas-Judy, una direttrice del GAO che supervisiona il lavoro sull'IRS, ha spiegato nella lettera che l'IRS continua a mantenere questo punto di vista e ha ribadito la propria posizione a gennaio.
Lucas-Judy ha aggiunto che l'unico modo in cui l'IRS ritiene di poter stabilire politiche di protezione dei dati e attuare strategie per far rispettare tali politiche sarebbe attraverso una “struttura di leadership centralizzata” che richiederebbe un'autorità statutaria che comunichi chiaramente l'autorità dell'IRS per farlo.
Secondo l'IRS, rafforzare la sicurezza dei dati sarebbe “un uso inefficiente, inefficace e costoso delle risorse” senza l'autorità di una struttura di leadership.
Ma Lucas-Judy ha affermato che l'IRS ha sette diversi uffici in tutta l'agenzia che lavorano su attività relative alla sicurezza delle informazioni che “potrebbero trarre vantaggio da una supervisione e un coordinamento centralizzati”.
“Queste attività includono l'aggiornamento degli standard esistenti, il monitoraggio della conformità al programma del provider di file elettronici autorizzato e il monitoraggio dei rapporti sugli incidenti di sicurezza”, ha scritto Lucas-Judy.
Il rapporto GAO è arrivato pochi giorni dopo che Intuit è stata costretta a notificare agli utenti TurboTax una violazione a seguito di una serie di attacchi di acquisizione di account all'inizio di questo mese, secondo Bleeping Computer. Gli aggressori hanno ottenuto pieno accesso alle dichiarazioni dei redditi di un numero sconosciuto di persone e Intuit è stata costretta a disabilitare gli account compromessi.
“Accedendo al tuo account, la parte non autorizzata potrebbe aver ottenuto informazioni contenute in una dichiarazione dei redditi dell'anno precedente o nella tua attuale dichiarazione dei redditi in corso, come il tuo nome, numero di previdenza sociale, indirizzo/i, data di nascita, numero di patente di guida e informazioni finanziarie (ad es. stipendio e detrazioni) e informazioni di altre persone contenute nella dichiarazione dei redditi”, ha affermato Intuit in una lettera di notifica di violazione ottenuta da TechRadar.
La violazione è stata scoperta durante una revisione della sicurezza regolarmente pianificata. La società informa regolarmente gli utenti i cui account sono accessibili “da una terza parte utilizzando credenziali di accesso legittime che Intuit ritiene siano state ottenute da fonti esterne all'azienda”. Intuit ha confermato in questo caso che non si trattava di una “violazione sistemica dei dati”.
Yaniv Bar-Dayan, CEO di Vulcan Cyber, ha affermato che l'IRS doveva essere più urgente nel proteggersi dalle minacce informatiche considerando il governo sta ancora affrontando le conseguenze dell'attacco SolarWinds.
“Sfortunatamente gli attori delle minacce non staranno seduti ad aspettare. La creazione di una 'struttura di governance' da zero non è necessaria”, ha affermato Bar-Dayan.
“L'IRS dovrebbe cavalcare le code dei quadri di governance informatica, rischio e conformità che sono già stati implementati con successo dalle più grandi istituzioni finanziarie pubbliche e private del mondo. Soprattutto, adottare misure proattive ora per proteggere le operazioni dell'IRS e i dati e i fondi dei contribuenti attraverso iniziative di bonifica dei rischi.”
LEGGI QUESTO
Le violazioni dei dati più spaventose del 2015: CVS, Anthem, IRS e peggio
Aggiornato: quasi ogni americano è stato colpito da almeno una violazione dei dati quest'anno.
Ulteriori informazioni
Argomenti correlati:
Governo – Dati TV sulla sicurezza degli Stati Uniti Gestione CXO Data Center 