IRS, TIGTA Disagree on Access to New Return-Related Data Elements (Spór o dostęp do nowych elementów danych dotyczących zwrotu)

IRS i Generalny Inspektor Administracji Podatkowej (TIGTA) mają wątpliwości, czy urząd skarbowy powinien skrobać kody danych i modele oprogramowania ze swojej publicznej strony internetowej, aby zmniejszyć liczbę przypadków kradzieży tożsamości związanej z podatkami i oszustw związanych ze zwrotami.

W niedawnym raporcie TIGTA stwierdziła, że powodem przeprowadzenia audytu był przegląd sposobu, w jaki IRS przeprowadził wprowadzenie nowych kodów związanych ze zwrotem podatku (zdefiniowanych jako elementy danych, “najmniejszy wymieniony element danych, który przekazuje istotne informacje lub skraca długi opis do krótkiego kodu”) na podstawie zeszłorocznego Security Summit, Protecting Taxpayers from Identity Theft Tax Refund Fraud .

Te elementy danych pomagają zapewnić, że podatnicy są tymi, za których się podają, i wykrywać oszustwa związane ze zwrotem podatku w momencie składania wniosków drogą elektroniczną, stwierdza się w sprawozdaniu.

W zeszłym roku IRS dodał 23 nowe elementy danych do swoich filtrów systemu komputerowego w celu wykrycia podejrzeń o oszustwa związane ze zwrotem podatku, i rzeczywiście, agencja wykryła 4,1 miliarda dolarów podejrzeń o oszustwo. Z tej kwoty, 72 miliony dolarów obejmujące 21.000 zeznań podatkowych zostało złapanych przez trzy elementy danych. Ale agencja zamieściła również informacje o tych tajnych kodach na swojej publicznej stronie internetowej przed ich usunięciem, stwierdza raport.

Podczas gdy IRS i TIGTA zgadzają się, że elementy danych powinny być poufne, TIGTA odkryła modele oprogramowania (zdefiniowane jako schematy lub dokumenty z rozszerzalnym językiem znaczników, które określają elementy danych, strukturę i reguły dla każdego formularza, harmonogramu, dokumentu i załącznika), które zawierają niektóre z nowych elementów danych. IRS usunął oprogramowanie, ale TIGTA znalazła inne.

IRS stwierdził, że przed umieszczeniem elementów danych na swojej stronie internetowej we wrześniu 2015 r., omówił sposób udostępnienia modeli oprogramowania, lub schematów, dla twórców oprogramowania podatkowego.

“Pion Usług Plikowych w ramach Pionu Płac i Inwestycji IRS publikuje na swojej publicznej stronie internetowej schematy niezbędne do składania deklaracji podatkowych, ponieważ twórcy oprogramowania muszą mieć dostęp do tych schematów, aby opracować swoje oprogramowanie do przygotowywania deklaracji podatkowych”, stwierdza raport. “Ponieważ IRS zawsze zapewniał publiczny dostęp do wszystkich swoich schematów i uważał, że wykonalne rozwiązanie zapewniające bezpieczny dostęp nie może być wdrożone na czas przed sezonem składania deklaracji w 2016 r., IRS zdecydował się zaakceptować ryzyko biznesowe i upublicznić schematy, które zawierały elementy danych”.

Chociaż IRS przyznał, że elementy danych można znaleźć podczas wyszukiwania w Internecie, agencja uważa, że są one poufne i trudne do znalezienia, stwierdza w raporcie. Jednak cyberprzestępcy, którzy wiedzą, że istnieją kody, mogą z nich korzystać; IRS nie uważa jednak, że same kody zwiększają ryzyko oszustw.

Co więcej, IRS nie ma kontroli nad schematami po ich udostępnieniu poza swoim systemem.

“Dostarczanie ogółowi społeczeństwa schematów i publikacji, które zawierają elementy danych wykorzystywane przez IRS do wykrywania oszustw związanych z kradzieżą tożsamości, jest sprzeczne z deklarowanym przez IRS zamiarem zachowania poufności elementów danych”, stwierdza raport. “Informacje o elementach danych są klasyfikowane jako informacje “wrażliwe, ale nieujawnione”, które mają pomóc w zapobieganiu oszustwom związanym ze zwrotem podatku. Upublicznienie informacji o elementach danych mogłoby pozwolić przestępcom na wykorzystanie tych informacji do udaremnienia zamierzonego wykorzystania elementów danych przez IRS i pozwolić złodziejom tożsamości na obejście wdrożonych zabezpieczeń”.

Rezultat? Oto, co TIGTA chce, żeby zrobił IRS i co IRS o tym sądzi.

Trwałe usunięcie elementów danych z publicznego dostępu. IRS częściowo się zgadza, stwierdzając, że schematy, które odnoszą się do elementów danych, są już usunięte. Agencja wprowadza nowe zabezpieczenia w celu uwierzytelnienia informacji o elementach danych na sezon składania danych 2017. Jednak IRS nie wierzy, że może zachować kontrolę nad schematami po ich udostępnieniu na zewnątrz.

Dokonaj szczegółowej oceny publicznych stron internetowych i publikacji agencji, aby sprawdzić, czy inne elementy danych są dostępne dla opinii publicznej i usunąć je. MRS częściowo się zgadza. Usunął on już schemat plików elektronicznych, który zawiera definicję danych dotyczących elementów mających na celu zwalczanie oszustw i kradzieży tożsamości. Jednak usunięcie wszystkich elementów danych obciąża agencję i jej partnerów branżowych, którzy potrzebują dostępu do informacji, które mogą zawierać odniesienia do elementów danych lub nie.

Poza tym IRS twierdzi, że elementy te nie są kwestią bezpieczeństwa, lecz raczej szczegółowe informacje techniczne dotyczące sposobu, w jaki elementy te są wykorzystywane do zwalczania nadużyć finansowych. Tak więc IRS zdecyduje, czy elementy danych pozostaną na jego publicznej stronie internetowej w oparciu o ryzyko.

TIGTA’s Office of Audit miało to do powiedzenia: “Utrzymujemy, że eksponowanie elementów danych na publicznej stronie internetowej IRS oraz w publikacjach zwiększa ryzyko oszustw. Uważamy, że należy podjąć działania naprawcze w celu usunięcia informacji o elementach danych z publicznej strony internetowej IRS i publikacji, aby zminimalizować potencjalne nadużycia”.

Wprowadzić bezpieczną metodę, która umożliwi dostęp do elementów danych “ważnym stronom”, takim jak twórcy oprogramowania, nadajniki i użytkownicy stanu. IRS wyraża zgodę. Schematy i inne informacje są dostępne dla dostawców oprogramowania od sierpnia 2016 r. za pośrednictwem wyznaczonego portalu.

Powiązany artykuł:

IRS Beefs Up Safeguards to Prevent Refund Fraud