Proces e-uwierzytelniania IRS nie odstrasza przestępców, TIGTA znajduje

IRS musi zwiększyć bezpieczeństwo procesu e-uwierzytelniania, aby uniknąć naruszeń, takich jak atak na aplikację agencji “Get Transcript” w zeszłym roku, kiedy to cyberprzestępcy uzyskali dostęp do ponad 700.000 kont podatników, według nowego raportu Generalnego Inspektora Skarbu Państwa dla Administracji Podatkowej (TIGTA).

W przeciwnym razie, już powszechnie znane problemy IRS z kradzieżą tożsamości będą się tylko zwiększać, a co za tym idzie, opóźniać przetwarzanie deklaracji podatkowych.

Prawie po raz pierwszy TIGTA znalazła problemy związane z nadzorem lub oprogramowaniem systemów elektronicznych IRS, które prowadzą do naruszenia bezpieczeństwa. Istotą wszystkich tych problemów jest to, że agencja stara się uzyskać dużą część swoich usług online i dostęp do nich drogą elektroniczną, ale brakuje jej odpowiedniego personelu i odpowiednio przeszkolonych pracowników do monitorowania wszystkiego. A budżet agencji został obcięty – o czym często wspominają urzędnicy IRS odpowiadając na ustalenia TIGTA.

Audyt TIGTA został zainicjowany przez odkrycie w maju 2015 r., że cyberprzestępcy wykorzystali dane osobowe skradzione osobom trzecim w celu uzyskania dostępu do narzędzia Get Transcript w procesie e-uwierzytelniania.

Kiepska komunikacja pomiędzy IRS a jego wykonawcą doprowadziła do braku pełnej wiedzy agencji na temat tego, jakie informacje są sprawdzane w “Zintegrowanym Portalu Enterprise”. Oznacza to, że IRS nie wiedział o słabościach w wykrywaniu automatycznych ataków lub o narzędziach potrzebnych do ich przeprowadzenia – stwierdza raport. Co więcej, IRS nie sprecyzował, które osoby, w tym jego oddziały i wykonawcy, miały wykrywać ataki automatyczne i im zapobiegać.

Kiedy w zeszłym roku zdarzył się incydent Get Transcript, raporty z dziennika kontroli nie były odpowiednio monitorowane, raport stwierdza. Mniej więcej rok przed wykrytym atakiem użytkownik próbował uzyskać dostęp za pomocą eAuthentication 902 razy w ciągu jednego dnia, co było czymś więcej niż tylko wyzwalaniem “nietypowej aktywności”.

W IRS brakowało “rutynowego sposobu” korelowania informacji z rejestrów audytów w różnych repozytoriach, jak podaje raport. Podczas audytu TIGTA, IRS dostarczył wymagane raporty, ale zamiast podsumowań, które mogły zidentyfikować trendy, wymieniał tylko transakcje. Audytorzy stwierdzili również, że niektóre użyteczne informacje o transakcjach nie zostały ujęte w dziennikach e-uwierzytelniania.

IRS nie dał również odpowiedzialnym pracownikom narzędzi i szkoleń potrzebnych do monitorowania i analizowania dużych ilości informacji z dzienników kontroli, stwierdza raport.

TIGTA chce, aby dyrektor ds. informacji w IRS (CIO):

  • Wyjaśnienie obowiązków agencji i jej wykonawców w celu zapobiegania atakom cybernetycznym.
  • Monitorowanie kontroli na miejscu w celu wykrywania i zapobiegania atakom.
  • Zapewnienie, że kierownictwo wdraża politykę IRS w celu monitorowania ścieżek audytu.
  • Zapewnić specjalistom ds. bezpieczeństwa odpowiednie narzędzia i szkolenia.
  • Usprawnienie analizy dziennika kontroli.
  • Podawaj okresowe podsumowania wolumenu e-uwierzytelniania i zdarzeń wyzwalających nietypową aktywność.
  • Upewnij się, że ścieżki audytu wskazują aplikacje, do których oszuści chcieli uzyskać dostęp po użyciu e-uwierzytelnienia.

W odpowiedzi na raport TIGTA, IRS CIO S. Gina Garza powiedział, że wiele z tych zaleceń zostało ukończonych lub jest w trakcie realizacji. Ponadto, specjaliści ds. bezpieczeństwa mają teraz narzędzia do monitorowania planów audytu. Rozpoczęły się dodatkowe szkolenia, które zostaną ukończone do 31 marca 2017 r., napisała Gina Garza.

Garza zauważył również, że pracownicy ochrony cybernetycznej agencji będą dostarczać miesięczne raporty zawierające wyzwalacze transakcji o nietypowej aktywności. Oczekuje się, że zostanie on wprowadzony w życie do 15 grudnia 2017 r.

Określając, która aplikacja była celem oszustów po użyciu e-uwierzytelniania, Garza powiedział, że oprogramowanie będzie określać dowód tożsamości, kody bezpieczeństwa i informacje o aplikacji docelowej. Proces ten ma zostać wdrożony do 15 lutego 2017 roku.

W czerwcu zeszłego roku IRS powiedział, że przyjął dwuczynnikowe uwierzytelnianie dla Get Transcript, po tym jak agencja ponownie uruchomiła narzędzie online rok po naruszeniu. Po zarejestrowaniu się użytkowników i każdorazowym powrocie do Get Transcript będą oni musieli wprowadzić swoją nazwę użytkownika i hasło oraz kod bezpieczeństwa, który zostanie wysłany jako wiadomość tekstowa na ich telefon komórkowy. Same nazwy użytkowników i hasła nie wystarczą już do wejścia do systemu.

Powiązany artykuł:

IRS dodaje dodatkowe zabezpieczenia do narzędzia online “Get Transcript”