ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงกรมสรรพากร ผู้ตรวจการทั่วไปและผู้เชี่ยวชาญด้านความปลอดภัยส่วนตัวกล่าวกับวุฒิสภาเมื่อวันอังคารว่าความปลอดภัยทางไซเบอร์ขั้นพื้นฐานปกป้องหน่วยงานที่ใช้สำหรับเว็บพอร์ทัลที่เกี่ยวข้องกับการปล้นข้อมูลผู้เสียภาษีจำนวนมหาศาลอาจอยู่ได้นานกว่าประโยชน์ของพวกเขาเมื่อมองย้อนกลับไป การประเมินนั้นอาจดูเหมือนชัดเจนในตัวเอง เนื่องจากข้อเท็จจริงที่ว่ากลุ่มอาชญากรที่จัดตั้งขึ้นได้เลี่ยงด่านตรวจและขโมยข้อมูลจากผู้เสียภาษี 104,000 ราย
แต่มันทำให้เอเจนซีต้องครุ่นคิดถึงคำถามมากมายเกี่ยว
กับสิ่งที่ต้องทำต่อไป รวมถึงวิธีที่จะสามารถให้บริการออนไลน์ที่ปลอดภัยโดยไม่ต้องทำขั้นตอนการลงทะเบียนให้ยุ่งยากจนไม่มีการใช้งาน วิธีตรวจสอบตัวตนของผู้เสียภาษีโดยไม่ต้องรวบรวมและจัดเก็บข้อมูล ซึ่งจะก่อให้เกิดการคัดค้านจากสมาชิกสภาคองเกรสที่สงสัย IRS อยู่แล้ว และวิธีนำเสนอประสบการณ์ออนไลน์ที่ดีผ่านระบบข้อมูลที่สร้างขึ้นเมื่อหลายสิบปีก่อน
การขโมยข้อมูลผู้เสียภาษีที่กรมสรรพากรเปิดเผยครั้งแรกเมื่อสัปดาห์ที่แล้วเกี่ยวข้องกับเว็บพอร์ทัล Get Transcript ซึ่งใช้ข้อมูล “out of wallet” ซึ่งบางครั้งเรียกว่าการพิสูจน์ตัวตนด้วยความรู้ (KBA)
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
ในกรณีนี้ ผู้เข้าชมถูกท้าทายด้วยคำถามแบบปรนัยที่พัฒนาและจัดทำขึ้นภายใต้สัญญาบริการผ่านสำนักงานสินเชื่อรายใหญ่ ตัวอย่างเช่น พวกเขามีบัตรเครดิตจากธนาคารหรือไม่ หรือเคยอาศัยอยู่บนถนนสายใดสายหนึ่งในอดีตหรือไม่ ไม่ว่าตัวเลขสี่หลักสุดท้ายในรายการหมายเลขโทรศัพท์จะเป็นตัวเลขที่เคยใช้ในอดีตหรือจบการศึกษาจากโรงเรียนมัธยมแห่งใด
แต่เนื่องจากผู้ที่ตกเป็นเหยื่อทั้งหมดถูกขโมยข้อมูลประจำตัวของตนผ่านแหล่งอื่นแล้ว ข้อมูลส่วนใหญ่จึงเป็นที่รู้จักของแฮ็กเกอร์หรือสามารถสรุปได้ง่ายจากเครื่องมือค้นหา ทำให้พวกเขาตกเป็นเป้าหมายของการฉ้อโกงขอคืนภาษีได้ง่าย
“กรมสรรพากรเผชิญกับภารกิจที่น่ากลัวในการปกป้องข้อมูล
และสภาพแวดล้อมด้านไอทีจากโลกของแฮ็กเกอร์ที่เปลี่ยนแปลงตลอดเวลาและมีการพัฒนาอย่างรวดเร็ว” รัสเซลล์ จอร์จ ผู้ตรวจการคลังด้านการบริหารภาษีกล่าว “เหตุการณ์นี้เป็นเครื่องเตือนใจอย่างชัดเจนว่าการควบคุมความปลอดภัยที่เคยเพียงพอในอดีตสามารถเอาชนะได้โดยแฮ็กเกอร์ที่ไม่เปิดเผยตัวตน ดื้อรั้น และสามารถเข้าถึงข้อมูลส่วนตัวและความรู้จำนวนมหาศาลได้”
จอร์จกล่าวว่าสำนักงานของเขาได้ให้คำแนะนำกับ IRS หลายประการว่าหากดำเนินการแล้วจะทำให้งานของแฮ็กเกอร์ “ยากขึ้น” แต่ไม่สามารถระบุมาตรการเฉพาะใดๆ ที่จะป้องกันการเล็ดลอดเป็นเวลานานหลายเดือนได้
John Koskinen กรรมาธิการ IRS ได้นำระบบ Get Transcript ออฟไลน์เมื่อสัปดาห์ที่แล้ว จนกว่าหน่วยงานจะคิดค้นวิธีที่ปลอดภัยยิ่งขึ้นสำหรับผู้เสียภาษีในการเข้าถึงข้อมูลของพวกเขา
เขาย้ำว่าข้อมูลทั้งหมดที่เครือข่ายอาชญากรใช้ในการเข้าถึงระบบ IRS นั้นเคยถูกขโมยมาจากแหล่งอื่น แต่กล่าวว่าค่าความปลอดภัยของกลไกการตรวจสอบสิทธิ์ตาม KPA ที่หน่วยงานของเขา สถาบันของรัฐและบริษัทเอกชนอื่น ๆ ใช้สำหรับการจัดการข้อมูลประจำตัวนั้น ลดน้อยลงเมื่อแฮ็กเกอร์สร้างฐานข้อมูลขนาดใหญ่ของข้อมูลส่วนบุคคลของตนเอง
“มีการละเมิดในภาคเอกชนทุกวัน และข้อมูลทั้งหมดนั้นถูกรวบรวมโดยอาชญากรในเว็บมืด ซึ่งเกินจำนวนข้อมูลปกติที่เราเข้าถึงได้” เขากล่าว “เราต้องโจมตีปัญหานี้อย่างต่อเนื่อง เป็นความท้าทายที่ซับซ้อนมากขึ้นเรื่อยๆ สิ่งที่ได้ผลในปีที่แล้วไม่ได้ผลอีกต่อไปในวันนี้ ปัญหาเกี่ยวกับกระบวนการรับรองความถูกต้องสำหรับเว็บไซต์ของเราคือสิ่งที่เคยเป็นทางออกที่ดีอย่างสมบูรณ์แบบสำหรับบริษัทเอกชนและบริษัทอื่นๆ ได้ถูกครอบงำด้วยเหตุการณ์ต่างๆ”
ในคำให้การของวุฒิสภาเมื่อวันอังคาร ผู้เชี่ยวชาญด้านความปลอดภัยส่วนบุคคลเรียกร้องให้ IRS และหน่วยงานอื่น ๆ เปลี่ยนจากวิธีการตรวจสอบความถูกต้องที่อาศัยคำตอบของผู้ใช้ทั้งหมดสำหรับคำถามที่พวกเขาเท่านั้นควรรู้ เนื่องจากความรู้นั้นสามารถถูกขโมยและส่งต่อไปทั่วโลกได้อย่างง่ายดายในทันที — โดยเฉพาะอย่างยิ่งเมื่อข้อมูลนั้นประกอบด้วยข้อมูลทางการเงินที่ตรงเป้าหมายโดยผู้ขโมยข้อมูลประจำตัวและแลกเปลี่ยนเป็นประจำในมุมมืดของเว็บ
