Jeśli nie jesteś technologicznym Ludditą, który rezygnuje z jakiegokolwiek urządzenia online, rosnące obawy o bezpieczeństwo cybernetyczne są nie do uniknięcia. A ponieważ do końca pracowitego sezonu jest jeszcze miesiąc, co jest lepszym momentem niż teraz, aby zbadać, w jaki sposób 13 bezpłatnych dostawców e-papierosów IRS pobiera opłaty w dziale bezpieczeństwa?
Online Trust Alliance zlecił w lutym audyt 13 stron internetowych, porównując je z witrynami kandydatów na prezydenta w 2016 r., 100 najlepszymi bankami ubezpieczonymi przez FDIC oraz 500 najlepszymi stronami e-commerce. W ramach audytu sprawdzono również zgodność ze środkami bezpieczeństwa IRS e-file.
Kontrakty IRS z 13 twórcami oprogramowania wymagają od nich dostarczenia bezpłatnego przygotowania podatkowego i składania zgłoszeń drogą elektroniczną dla podatników o skorygowanym dochodzie brutto nie większym niż $62,000. Według Online Trust Alliance, IRS ustanowił w 2009 r. minimalne wymogi bezpieczeństwa dla stron z plikami elektronicznymi.
Badanie 2016 IRS Free e-File Audit & Honor Roll wykazało, że siedem z 13 stron wypadło dobrze (80 procent lub więcej), a sześć nie.
Siedem z nich zawierało: eSmart Tax, ezTaxReturn.com, FreeTaxUSA, H&R Block Free File, TaxAct, TaxSlayer oraz TurboTax Free File. Sześć, które nie zawierały: 1040.com, 1040Now.net, FileYourTaxes.com, Free1040TaxReturn.com, Jackson Hewitt Online, oraz Online Taxes na OLT.com.
Jednak choć 13 stron dobrze poradziło sobie z kwestiami prywatności, badanie wskazuje, że miały one ponadprzeciętny wskaźnik awaryjności w zakresie ochrony konsumentów (brak uwierzytelniania e-maili, który mógłby narażać podatników na fałszywe e-maile rzekomo pochodzące z wolnych stron) i bezpieczeństwa stron (dane ujawnione za pomocą słabych szyfrów lub protokołów).
I mimo że oceny prywatności były ogólnie dobre, badanie wskazuje na to, że strony udostępniały osobom trzecim więcej niż oczekiwano. Sojusz stwierdził, że jest «zaskoczony, gdy obserwuje się, jak dane użytkowników są udostępniane stronom trzecim w celach re-targetingu i marketingu partnerskiego, które wydają się koncentrować na usługach podatkowych, oprogramowaniu podatkowym, raportach kredytowych, doradztwie kredytowym i usługach monitorowania kradzieży tożsamości». Sugeruje to, że wolne strony mogą być przynajmniej częściowo finansowane przez dane osób trzecich, a «wyniki sugerują potrzebę dalszego nadzoru», stwierdza badanie.
Podczas gdy 46 procentowy wskaźnik awaryjności 13 bezpłatnych stron z plikami elektronicznymi jest przeciętny w porównaniu z innymi wymienionymi stronami, to jednak «jest to rozczarowujące, biorąc pod uwagę charakter działalności stron z plikami elektronicznymi i powinno być niepokojące dla potencjalnych klientów», stwierdza badanie.
Studium oferuje te osiem możliwości w zakresie praktyk podatkowych:
1. Bezpieczeństwo i prywatność muszą ewoluować. Sprawdź, jak dane są przechowywane i zarządzane. Szyfrowanie jest podstawowym wymogiem; brak tego wymogu jest często przywoływany w działaniach regulacyjnych i prawnych. Co miesiąc należy testować konfigurację Secure Sockets Layer (SSL) serwerów.
2. Egzekwowanie skutecznego zarządzania hasłami. Ataki na dane uwierzytelniające użytkownika, w tym spear phishing, brute force, sniffing, dostęp oparty na hostach i kradzież baz haseł, pozostają bardzo silnymi metodami ataku. Używaj wieloczynnikowego uwierzytelniania, aby uzyskać dostęp do kont.
3. Wymaga uwierzytelnienia e-mailem. Pomoże to udaremnić złośliwe wiadomości e-mail, phishing włóczni i spoofed e-mail. Uwierzytelniać przychodzące i wychodzące wiadomości e-mail.
4. Autoryzuj, które urządzenia bezprzewodowe mają się łączyć z Twoją siecią. Szyfruj ruch w komunikacji bezprzewodowej i urządzeniach bezprzewodowych, takich jak routery, drukarki, terminale w punktach sprzedaży i czytniki kart kredytowych. Zachowaj dostęp do sieci «guest» na oddzielnych serwerach. Używaj silnego szyfrowania na urządzeniach dostępowych, w tym urządzeniach osobistych i telefonach używanych przez pracowników.
5. Używaj protokołu Always-On SSL (AOSSL) dla wszystkich serwerów wymagających logowania i zbierania danych. AOSSL pomaga zapobiegać «wąchaniu» danych przesyłanych między urządzeniami klienckimi, bezprzewodowymi punktami dostępowymi i pośrednikami.
6. Poznaj swoje domeny. Zabezpieczyć rekordy WHOIS i przejrzeć certyfikaty serwerów, aby określić ryzyko porwania twoich domen. W badaniu stwierdzono: «Atakujący skupili się na certyfikatach SSL «Domain Validated», aby podszywać się pod strony internetowe i oszukiwać konsumentów». Aktualizacja do certyfikatów EVSSL (z ang. «Organizationally Validated» lub «Extended Validation» SSL). Certyfikaty EVSSL oferują najwyższy poziom uwierzytelnienia, dając pewność, że właściciel strony jest tym, kim rzekomo jest, przedstawiając użytkownikowi zielony wskaźnik zaufania».
7. Ocena dostawców i usług w chmurze. Praktyki muszą na bieżąco dokonywać oceny ryzyka swoich dostawców. Oceniający powinni dokonać przeglądu praktyk dostawców usług internetowych w zakresie bezpieczeństwa i ochrony danych, potwierdzając dostosowanie do standardów praktyki, wymogów regulacyjnych i polityk.
8. Przygotuj się i bądź gotowy. Przeprowadzić rutynowe testy i reagować na naruszenia. Gdy dane lub technologia ulegają zmianie, należy zmienić plan naruszenia.
Sojusz wskazuje, że podzielił się swoimi ustaleniami z IRS i zaoferował pomoc, ale nie został wysłuchany do 21 lutego. IRS nie odpowiedział również na prośbę AccountingWEB o komentarz na temat badania.