GAO Przekazuje IRS do zadań związanych z kontrolą bezpieczeństwa informacji.

Przez Franka Byrta

Mimo że Urząd ds. Rozliczalności Rządu (GAO) stwierdził w sprawozdaniu z marca 2013 r., że “nadal istnieją poważne niedociągnięcia, które mogą mieć wpływ na poufność, integralność i dostępność danych finansowych i wrażliwych danych podatników”.

Raport GAO, Bezpieczeństwo informacji: IRS poprawił kontrolę, ale musi usunąć słabe punkty , opiera się na wynikach audytu lat podatkowych 2011 i 2012 IRS i ocenia skuteczność kluczowych systemów finansowych i przetwarzania podatkowego IRS w zapewnianiu poufności, integralności i dostępności finansowych i wrażliwych informacji o podatnikach. W sprawozdaniu dokonano również przeglądu postępów poczynionych przez system IRS w rozwiązywaniu problemów związanych z bezpieczeństwem zidentyfikowanych podczas poprzedniego audytu GAO.

Chociaż w sprawozdaniu przyznano, że MSZ przeznaczył znaczne środki na usunięcie niedociągnięć w zakresie kontroli bezpieczeństwa informacji, w obszarze tym istnieją utrzymujące się niedociągnięcia, jak również nowe, które zostały zidentyfikowane podczas ostatniego audytu. “Chociaż nie zostały one wspólnie uznane za istotne niedociągnięcia, są one na tyle istotne, że zasługują na uwagę osób odpowiedzialnych za zarządzanie systemem IRS”.

Podstawową przyczyną tych słabości jest fakt, że IRS nie wdrożył skutecznie części swojego własnego programu bezpieczeństwa informacji, jak stwierdzono w raporcie.

Wśród kwestii wymienionych przez GAO jako wymagające uwagi znajdują się identyfikacja i potwierdzenie niedociągnięć w zakresie kontroli, które zapewniają dostęp do systemów i danych. Znaleziono GAO:

  • Kontrole uwierzytelniania dla niektórych baz danych nie zostały ustalone w celu zapobiegania pewnym rodzajom luk.
  • Hasła były przechowywane bez odpowiedniej kontroli, która uniemożliwiałaby ich ujawnienie.
  • Kontrole nad złożonością i wiekiem haseł w niektórych bazach danych nie były wystarczające; czasami istniały hasła, które można było łatwo odgadnąć lub które nie zostały zmienione w ciągu prawie dwóch lat.

W GAO stwierdzono, że luka w systemie została spotęgowana przez fakt, że nieautoryzowany dostęp będzie praktycznie niewykrywalny, ponieważ nie będzie miała miejsca żadna nietypowa aktywność systemu, jeśli nieautoryzowany dostęp będzie realizowany za pomocą ważnej nazwy użytkownika i hasła. “W wyniku tych słabości IRS miał ograniczoną możliwość kontrolowania, kto ma dostęp do jego systemów i danych.

W raporcie GAO stwierdzono, że “dopóki system IRS nie skontroluje odpowiednio dostępu użytkowników do swoich systemów i nie wdroży skutecznie procedur autoryzacji, agencja ma ograniczoną pewność, że jej zasoby informacyjne są chronione przed nieautoryzowanym dostępem, zmianą i ujawnieniem”.

W piśmie z dnia 11 marca 2013 r., w odpowiedzi na raport GAO zmieniony przez pełniącego obowiązki komisarza IRS Stevena T. Millera, Steven T. Miller napisał: “IRS nadal traktuje poprawę bezpieczeństwa jako główny priorytet w roku budżetowym 2012. Cieszymy się, że Biuro Odpowiedzialności Rządu dostrzegło nasze postępy we wzmacnianiu kontroli nad bezpieczeństwem informacji, co doprowadziło do obniżenia poziomu istotnych słabości bezpieczeństwa informacji”.

Dodał”, Dokonamy przeglądu wszystkich zgłoszonych przez GAO zaleceń w celu zapewnienia, że nasze działania obejmują trwałe rozwiązania, które wdrażają odpowiednie kontrole bezpieczeństwa.

Artykuły pokrewne:

  • Nowy raport przedstawia zmieniający środowisko oszustwa
  • IRS ostrzega przygotowujących się do podatków, aby sprawdzili swoje zabezpieczenia dla danych klientów
  • IRS intensyfikuje krajowy system zwalczania kradzieży tożsamości