กระบวนการที่ Internal Revenue Service มีอยู่เพื่อตรวจสอบตัวตนของผู้เสียภาษีและป้องกันการฉ้อโกงภาษีไม่เป็นไปตามแนวทางของ National Institute of Standards and Technology ผู้ตรวจการทั่วไปของหน่วยงานพบว่ากรมสรรพากรมีวิธีการรับรองความถูกต้องที่แตกต่างกันมากเกินไปและขาดกลยุทธ์ทั่วทั้งบริการสำหรับแอปพลิเคชันผู้เสียภาษีออนไลน์ที่เพิ่มจำนวนขึ้น เนื่องจาก IRS ให้บริการทางออนไลน์มากขึ้น หน่วยงานจึงประสบปัญหาในการตรวจสอบตัวตนของผู้เสียภาษีเมื่อยื่นแบบแสดงรายการหรือเข้าถึงบัญชีของตน
“การวิเคราะห์กระบวนการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์
ที่ใช้ในการรับรองความถูกต้องของผู้ใช้แอปพลิเคชัน Get Transcript และ IP PIN ของ IRS พบว่าวิธีการตรวจสอบสิทธิ์ให้การรับรองความถูกต้องด้วยปัจจัยเดียวเท่านั้น แม้ว่ามาตรฐาน NIST จะกำหนดให้มีการยืนยันตัวตนแบบหลายปัจจัยสำหรับแอปพลิเคชันที่มีความเสี่ยงสูงดังกล่าวก็ตาม รายงานจากผู้ตรวจการคลังด้านการบริหารภาษีกล่าว
TIGTA ดำเนินการอย่างหนักเป็นพิเศษกับแอปพลิเคชันออนไลน์ของ IRS สองรายการ ได้แก่ กระบวนการ IP PIN และฮับ Get Transcript
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
IRS จะพยายามตรวจสอบตัวตนของผู้ยื่นภาษีก็ต่อเมื่อออก IP PIN ให้กับเหยื่อที่ได้รับการยืนยันหรือมีความเสี่ยงจากการถูกโจรกรรมข้อมูลประจำตัวเท่านั้น TIGTA แนะนำให้หน่วยงานใช้ IP PIN สำหรับทุกคนที่ยื่นเรื่องคืนสินค้า แต่แนะนำให้ IRS ทำการประเมินความเสี่ยงในการรับรองความถูกต้องที่จำเป็นสำหรับแอปพลิเคชันก่อน
“ตามการจัดการของ IRS การประเมินความเสี่ยงไม่เสร็จสมบูรณ์
สำหรับแอปพลิเคชัน IP PIN เนื่องจากกรอบงาน e-Authentication จะให้การรับรองความถูกต้องด้วยหลายปัจจัยเมื่อเสร็จสิ้น อย่างไรก็ตาม กรมสรรพากรไม่ได้คาดหวังว่าจะมีเทคโนโลยีที่สามารถให้การรับรองความถูกต้องด้วยหลายปัจจัยได้ก่อนฤดูร้อนปี 2559”
ปัญหาเกี่ยวกับแอปพลิเคชัน Get Transcript ของ IRS เริ่มคลี่คลายลงในช่วงฤดูร้อน หลังจากแฮ็กเกอร์ขโมยใบคืนภาษีเก่าและข้อมูลส่วนตัวจากผู้คนมากถึง 334,000 คนในระบบของหน่วยงาน
กรมสรรพากรให้ความเสี่ยงในการโจมตีระบบ Get Transcript ต่ำเกินไป TIGTA กล่าว แม้ว่าผู้เสียภาษีจะต้องผ่านหลายขั้นตอนเพื่อยืนยันตัวตนในแอปพลิเคชัน แต่ขั้นตอนเหล่านั้นไม่เป็นไปตามมาตรฐานการรับรองความถูกต้องด้วยหลายปัจจัยของรัฐบาล TIGTA กล่าว
เนื่องจาก IRS ดำเนินการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ช้า กรอบงานการรับรองความถูกต้องทางอิเล็กทรอนิกส์ด้วยปัจจัยเดียวในปัจจุบันของหน่วยงานจึงไม่เป็นไปตามมาตรฐาน NIST เช่นกัน TIGTA พบว่า
หลักเกณฑ์ของ NIST กำหนดให้หน่วยงานเก็บรวบรวมข้อมูลส่วนบุคคลพื้นฐานและหมายเลขประจำตัวประชาชนที่ถูกต้องและเป็นปัจจุบัน เช่น ใบขับขี่หรือหมายเลขหนังสือเดินทาง จากนั้นจึงตรวจสอบว่าข้อมูลส่วนบุคคลในใบสมัครของบุคคลนั้นผ่านการตรวจสอบแล้ว
แต่กรมสรรพากรไม่ได้กำหนดให้ผู้เสียภาษีใช้หมายเลขประจำตัวประชาชน โดยเลือกใช้ชุดคำถามเพื่อความปลอดภัยที่อิงตามความรู้แทน ในที่สุดการปฏิบัติดังกล่าวก็กลายเป็นปัญหาสำหรับ IRS และระบบ Get Transcript เนื่องจากแฮ็กเกอร์ใช้ข้อมูลทั่วไปจากคำถามเหล่านั้นเพื่อเข้าถึงแอปพลิเคชัน
“หาก IRS ต้องการการพิสูจน์ตัวตนแบบหลายปัจจัย บุคคลที่ไร้ยางอายอาจไม่สามารถเข้าถึงข้อมูลการคืนภาษีผ่านแอปพลิเคชัน Get Transcript ได้” รายงานระบุนอกเหนือจากความพยายามของหน่วยงานเพื่อให้เป็นไปตามมาตรฐานการรับรองความถูกต้องของ NIST แล้ว IRS ยังขาดวิสัยทัศน์โดยรวมในการปกป้องลูกค้าของตน TIGTA กล่าว เนื่องจากการสมัครออนไลน์แต่ละรายการต้องมีขั้นตอนที่แตกต่างกันและถามคำถามที่แตกต่างกันของผู้เสียภาษี
TIGTA แนะนำให้ IRS สร้างฟังก์ชันภายในหน่วยงานที่พัฒนาและดูแลกลยุทธ์การรับรองความถูกต้องทั่วทั้งบริการ
Authentication Group ของหน่วยงานซึ่ง IRS Wage and Investment Division ก่อตั้งขึ้นในเดือนมิถุนายน 2014 ควรทำหน้าที่ดังกล่าว
แต่กลุ่มนี้ไม่ได้พัฒนากลยุทธ์การรับรองความถูกต้องทั่วทั้งเอเจนซีใหม่ และไม่ได้มองหาแนวโน้มและแนวปฏิบัติทั่วไปในสาขานี้เพื่อทำการตัดสินใจเหล่านั้น TIGTA กล่าว
และแม้ว่ากลุ่มควรจะมีอำนาจในการกำหนดนโยบายที่กว้างขึ้นดังกล่าว TIGTA กล่าวว่า หน้าที่อื่นๆ ภายใน IRS กำลังก้าวเข้าสู่เท้าของกลุ่มการรับรองความถูกต้อง ตัวอย่างเช่น ฟังก์ชันความปลอดภัยทาง
