国税局仍需努力验证纳税人以使用应用程序

现在注册

一系列新的数据泄露导致数十万纳税人窃取个人信息之后,美国国税局(Internal Revenue Service)在改善其在线应用程序的纳税人身份验证流程方面取得了进展,但一份新的报告显示,还有许多工作要做。

报告美国税务总局稽查总署长承认国税局已经建立了“电子认证风险评估合规计划”,这是一项持续的工作,旨在帮助确保国税局面向公众的应用程序的安全。此外,美国国税局(IRS)仍在继续采取措施,以减轻与使用文本消息作为身份验证过程一部分有关的某些风险。

2015年5月,美国国税局(IRS)发现犯罪分子利用从国税局(IRS)外部来源获得的纳税人的个人身份信息来攻击其Get Transcript应用程序,以冒充合法的纳税人,并在Get Transcript应用程序中未经授权访问税信息。 泰格达估计,通过Get Transcript应用程序可能有724,000个未经授权的访问纳税人帐户的信息,从而导致252,400个潜在的欺诈性纳税申报表被提交。 泰格达在2016年发生的另一起涉及身份保护个人识别码或IP PIN应用程序的事件中,TIGTA发现,在2015纳税年度使用IP PIN提交的100,463份纳税申报表中,有23,991(24%)份纳税申报表已要求退款总计2600万美元的潜在欺诈行为。

为了应对这些以及其他网络安全事件,美国国税局一直在为其纳税人和税务专业人员的在线应用程序添加更多身份验证。在分析了其52种面向公众的申请后,截至2018年4月,它已根据国立研究院的旧版电子认证指南,以评估(或更高)的电子认证保证水平获得了14项高风险和8项中度风险的申请标准和技术,或NIST。但是,TIGTA发现其中26个应用程序(占50%)未达到评估的电子认证保证水平,并且不符合旧的联邦标准。其他四个应用程序处于脱机状态或已退休。

美国国税局(IRS)承认,它正在接受其一半面向公众的应用程序未达到必要保证水平的风险。 泰格达根据IRS的交易分析和补偿措施来降低风险,认为IRS将其维持在当前水平的理由是合理的。

泰格达还发现IRS尚未遵守2017年6月发布的面向公众应用的NIST新指南。管理和预算办公室要求在发布后的一年内遵守这些指南。美国国税局(IRS)已着手开发自己的数字身份风险评估流程,以满足新准则的要求,并开始通过其高风险的面向公众的应用之一试行一些新流程。

报告发现,国税局已采取措施减轻与使用短消息服务或文本消息相关的某些风险,这是身份验证过程的一部分。报告指出:“不断演变的威胁媒介已使短消息服务成为认证个人的较不安全的手段。” “智能手机通常用于在身份验证过程中接收验证文本,但这些智能手机容易被盗,而且文本消息的重定向未被检测到。 2017年12月,美国国税局在其IRS2Go移动应用程序中启动了身份验证模块。 国税局2Go移动应用程序为用户进行身份验证提供了一种替代方法,而不是使用短消息服务。除了向用户提供安全令牌之外,使用身份验证应用程序还提供了最佳的身份验证方法。”

泰格达建议IRS确保其面向公众的旧版应用程序符合NIST数字身份准则,并且其实施计划应包括特定的时间表,以实现对旧版应用程序的完全合规性。

美国国税局部分同意TIGTA的建议,并打算通过其数字身份风险评估流程确保其面向公众的旧应用程序符合NIST准则。

国税局首席信息官S. Gina Garza在回应该报告时写道:“在过去的几年中,我们一直致力于加强在线身份证明和身份验证流程,并取得了重大进展。” “我们感到鼓舞的是,报告认识到,基于此次独立审查,IRS维持当前身份证明和认证方法的理由是合理的。我们的目标是确保我们使用适当的安全控制,并在必要时实施有力的缓解措施和补偿措施,以增强在线服务的整体安全性。”

泰格达表示,它部分同意IRS处理其建议的方法,但仍对IRS不包括实施计划表示担忧。最重要的是,TIGTA表示担心,美国国税局(IRS)提议的完成日期将使其不符合NIST准则,直到2023年2月。

对于本文的转载和许可请求, 点击这里.
身份验证 身份盗窃保护 网络安全 国税局 泰格达
今日的更多信息