IRS Wezwany przez TIGTA do usunięcia słabych punktów w zabezpieczeniach systemów

autorstwa Jasona Bramwella, Staff Writer

W swoim sprawozdaniu Poprawa kontroli jest konieczna, aby zapewnić, że wszystkie planowane działania naprawcze dotyczące słabych punktów bezpieczeństwa są w pełni wdrożone w celu ochrony danych podatników , Generalny Inspektor Skarbowy w Administracji Podatkowej (TIGTA) stwierdził, że IRS musi zwiększyć swoje wysiłki w zakresie śledzenia, aby wyeliminować słabe punkty bezpieczeństwa systemów dotyczących danych podatników.

Departament Skarbu USA wdrożył System Zarządzania Wspólnym Audytem Przedsiębiorstw (JAMES) do wykorzystania przez wszystkie biura, w tym IRS, w celu śledzenia, monitorowania i raportowania stanu wyników audytu kontroli wewnętrznej. JAMES śledzi konkretne informacje na temat kwestii, ustaleń, zaleceń i planowanych działań naprawczych (PCA) na podstawie sprawozdań z audytu wydawanych przez Government Accountability Office (GAO), TIGTA oraz Biuro Skarbowe Inspektora Generalnego.

Dodatkowo, Departament Skarbu wykorzystuje te informacje do oceny skuteczności i postępów biur w korygowaniu niedociągnięć kontroli wewnętrznej i wdrażaniu zaleceń audytu.

W swoim sprawozdaniu TIGTA zbadała, czy zamknięte działania naprawcze dotyczące niedociągnięć w zakresie bezpieczeństwa oraz ustalenia, które wcześniej zalecała IRS, zostały w pełni wdrożone, zatwierdzone i udokumentowane jako zrealizowane.

TIGTA stwierdziła, że osiem (42%) z dziewiętnastu umów o partnerstwie i współpracy, które zostały zatwierdzone i zamknięte jako w pełni wdrożone w celu usunięcia zgłoszonych słabych punktów bezpieczeństwa z wcześniejszych audytów TIGTA, zostało wdrożonych tylko częściowo. Zgodnie z TIGTA te umowy o partnerstwie i współpracy dotyczyły systemów zawierających dane podatników.

“Przykłady działań naprawczych, które nie zostały w pełni wdrożone, obejmują serwery, które nie są skanowane w poszukiwaniu krytycznych i poważnych luk, takich jak hasła domyślne i puste, bazy danych bez najnowszych aktualizacji oprogramowania oraz konta użytkowników z długimi okresami braku aktywności, które nie zostały zablokowane”, TIGTA odnotowała w raporcie. “Przyczyny tych stanów to m.in. zmiana przez IRS narzędzia skanującego dla swoich systemów, która wymagała dodatkowego czasu na zatwierdzenie organizacyjne i konieczność zapewnienia, że narzędzia te wygenerują użyteczne informacje, ograniczenia w rozwoju systemów oraz konieczność zminimalizowania przez IRS wpływu zmian systemowych na użytkowników”.

TIGTA zauważyła, że w rezultacie IRS zwiększa swoje narażenie na ryzyko dla złośliwych użytkowników wykorzystujących konta z domyślnymi lub pustymi hasłami do kradzieży tożsamości podatników i realizujących schematy oszustw.

“IRS zwiększa również swoją podatność na słabe strony wydajności i bezpieczeństwa związane ze starszymi wersjami oprogramowania, narażenie danych podatników na nieautoryzowane ujawnienie oraz narażenie na zakłócenia w funkcjonowaniu systemu”, stwierdzono w raporcie.

Ponadto dokumenty nie uzasadniały zamknięcia UPW, a dokumenty uzupełniające nie zawsze były umieszczane na JAMES i nie były łatwo dostępne. Według TIGTA, Biuro Kontroli Wewnętrznej Dyrektora Finansowego IRS (OIC), które administruje programem kontroli zarządzania agencji, jest odpowiedzialne za kontrolowanie IRS PCA w celu zapewnienia, że są one realizowane; nie przeprowadziło jednak tych kontroli.

“Gdy nie stosuje się odpowiedniego stopnia staranności w zakresie bezpieczeństwa w odniesieniu do systemów, niezadowolone osoby mające dostęp do informacji poufnych lub złośliwe osoby z zewnątrz mogą wykorzystać słabości bezpieczeństwa w celu uzyskania nieuprawnionego dostępu”, powiedział J. Russell George, Generalny Inspektor Skarbowy ds. Administracji Podatkowej, w pisemnym oświadczeniu.

TIGTA wydała sześć zaleceń dla IRS, w tym cztery poniższe:

  • Doradzanie IRS w celu wzmocnienia kontroli zarządzania w celu spełnienia wymagań kontroli wewnętrznej
  • Prowadzenie szkoleń odświeżających dla pracowników zaangażowanych w przesyłanie danych na JAMES
  • Audyt działań naprawczych w zakresie zamkniętych umów o partnerstwie i współpracy
  • Zmiana statusu zamkniętych umów o partnerstwie i współpracy na otwarte dla tych, które zostały wdrożone częściowo.

Kierownictwo IRS zgodziło się z pięcioma z sześciu zaleceń TIGTA i planuje wydać wytyczne dotyczące wymogów kontroli wewnętrznej, zapewnić szkolenie pracowników i dokonać przeglądu procedur w celu poprawy kontroli zarządzania IRS w zakresie umów o partnerstwie i współpracy.

Jednakże IRS częściowo zgodził się z szóstym zaleceniem, aby przesyłać dokumentację dotyczącą uprzednio zamkniętych UPW, w oczekiwaniu na zakończenie analizy kosztów i korzyści oraz podejścia opartego na ryzyku. TIGTA uważa, że IRS powinien uzupełnić szóste zalecenie, jak stwierdzono, w celu zapewnienia wdrożenia wszystkich UPW dotyczących słabych punktów w zakresie bezpieczeństwa.

“Będziemy kontynuować współpracę z jednostkami biznesowymi IRS, aby zapewnić, że zamknięcia działań naprawczych są odpowiednio udokumentowane”, napisała Pamela LaRue, Dyrektor Finansowy IRS, w odpowiedzi na raport. “Ponadto, OIC opracuje program audytu zakończonych działań w celu zapewnienia, że zalecenia agencji audytowych zostały w pełni zrealizowane”.

Artykuły pokrewne:

  • Raport TIGTA: Potrzeby IRS w zakresie zwiększenia bezpieczeństwa serwerów wirtualnych
  • TIGTA chce, aby IRS udoskonalił ocenę ryzyka związanego z bezpieczeństwem