Kesalahan Kantor Perbendaharaan Keamanan Komputer IRS
2 min read
WASHINGTON – Dua sistem komputer IRS baru yang pada akhirnya akan membebani pembayar pajak hampir $2 miliar telah dioperasikan meskipun diketahui terdapat kerentanan keamanan dan privasi, kata pengawas Departemen Keuangan dalam sebuah laporan yang dikeluarkan Kamis.
Kantor Inspektur Jenderal Perbendaharaan untuk Administrasi Pajak mengatakan bahwa pejabat Dinas Pendapatan Dalam Negeri gagal memastikan bahwa kelemahan yang teridentifikasi telah diatasi sebelum sistem baru tersebut mulai digunakan.
Inspektur Jenderal J. Russell George mengatakan “sangat meresahkan” bahwa IRS “menyadari, dan bahkan mengidentifikasi sendiri, kelemahan-kelemahan ini.”
IRS mengatakan dalam sebuah pernyataan bahwa keamanan data pembayar pajak adalah “yang paling penting” bagi badan tersebut dan, seperti yang ditunjukkan dalam laporan tersebut, mereka telah menerapkan banyak rekomendasinya dan mengambil langkah-langkah untuk meningkatkan keamanan. Ditekankan bahwa tidak ada data pembayar pajak yang dibobol dan sejumlah langkah pengamanan telah dilakukan.
Laporan tersebut berfokus pada Mesin Data Akun Pelanggan, yang akan memberikan landasan untuk mengelola semua akun wajib pajak, dan sistem Layanan Manajemen Akun, yang akan memberikan akses karyawan yang lebih cepat dan lebih baik ke data akun wajib pajak.
Kedua sistem secara bertahap mulai digunakan. CADE, yang diperkirakan menelan biaya lebih dari $1 miliar untuk pengembangan dan pengoperasiannya pada tahun 2012, telah memproses sekitar 20 persen dari 142 miliar pengembalian tahun ini. Sistem layanan manajemen akun, AMS, yang masih dalam tahap awal, akan menelan biaya lebih dari $700 juta untuk pengembangan dan pemeliharaan hingga tahun 2024.
Laporan IG mengatakan organisasi IRS yang bertanggung jawab memberikan lampu hijau untuk penerapan sebagian sistem menyadari masalah keamanan dan privasi tetapi tidak menganggapnya signifikan.
Namun dikatakan bahwa kerentanan ini meningkatkan risiko bahwa orang-orang yang tidak bermoral dapat memperoleh akses terhadap informasi wajib pajak dalam jumlah besar dengan sedikit peluang untuk terdeteksi dan bahwa sistem tidak dapat dipulihkan secara efektif dalam keadaan darurat.
Dikatakan bahwa administrator sistem CADE dapat mengakses, mengubah dan menghapus informasi tanpa terdeteksi, bahwa kontraktor dapat membuat perubahan pada konfigurasi sistem tanpa persetujuan dan bahwa pita cadangan dari fasilitas penyimpanan di luar lokasi belum diuji secara memadai untuk memastikan bahwa data akan dipulihkan tanpa kesalahan atau kehilangan.
Laporan tersebut mengatakan sistem CADE rentan terhadap serangan kode berbahaya seperti virus komputer.
Demikian pula, dikatakan bahwa pengendalian audit untuk sistem AMS tidak cukup untuk memastikan bahwa penelusuran ilegal, perubahan atau pencurian berkas wajib pajak akan terdeteksi.
Laporan tersebut merekomendasikan agar komite yang bertanggung jawab untuk menyetujui penerapan tahapan baru sistem mempertimbangkan semua kerentanan keamanan sebelum memberikan persetujuan tersebut dan agar tindakan sementara diterapkan ketika masalah keamanan yang signifikan teridentifikasi. Dikatakan IRS setuju dengan rekomendasi mereka.
