Selon un rapport du Government Accountability Office publié le jeudi 9 mai, en ce qui concerne la surveillance des fournisseurs de logiciels de fiscalité tiers et des préparateurs de déclarations de revenus payés, l'IRS a une compétence et des contrôles limités Informations des contribuables contre les cyberattaques.
Avec 90% des déclarations de revenus de 2018 produites électroniquement à l’aide de logiciels prépayés ou payants, la plupart des contribuables envoient des informations confidentielles à un tiers avant qu’elles parviennent à l’IRS, mais il n’existe pas d’exigences telles que la FISMA (loi). Modernisation fédérale de la sécurité de l'information) Pour les tiers, les contrôles de sécurité varient.
Bien que l'IRS dispose d'un programme de fournisseur de fichiers électroniques agréé qui définit les exigences de sécurité des logiciels fiscaux, il ne décrit pas un ensemble de normes de sécurité minimales pour les préparateurs rémunérés ou les systèmes des participants au programme. Les responsables de l'IRS ont déclaré qu'ils n'avaient pas le pouvoir d'étendre la réglementation aux systèmes tiers, ce qui a amené le GAO à recommander au Congrès de prendre des mesures à cet égard.
Pour remédier à la situation, l'IRS et l'Institut national des normes et de la technologie (NIST) ont collaboré avec le Security Summit, un groupe volontaire de fournisseurs de logiciels fiscaux, afin de mettre en place 140 contrôles permettant aux entreprises de certifier leur conformité. Cependant, les règles restent volontaires. Le sommet sur la sécurité a choisi de n'adopter que certains des contrôles NIST SP 800-53, et tous les fournisseurs ne les ont pas respectés. Le GAO a recommandé que l’IRS inclue des contrôles de sécurité améliorés pour les fournisseurs de fichiers électroniques autorisés à renforcer l’adoption.
Le programme des fournisseurs de fichiers électroniques a également été examiné pour ne pas avoir mis à jour de manière substantielle les contrôles de sécurité depuis 2010, selon GAO.
"Par exemple, les instructions actuelles de l'IRS font référence à une norme de chiffrement obsolète", indique le rapport. "En conséquence, l'IRS et les contribuables ont une garantie limitée que les données de leurs contribuables sont protégées conformément aux directives du NIST et aux pratiques exemplaires de l'industrie."
Le GAO a recommandé que l'IRS centralise sa surveillance de la cybersécurité, oblige les éditeurs de logiciels à suivre le NIST SP 800-53, examine et met à jour les exigences de sécurité existantes et améliore la surveillance de la cybersécurité lors des examens de conformité des fournisseurs. des fichiers électroniques autorisés.
L'IRS a accepté trois recommandations, dont une visant à revoir et à mettre à jour les exigences pour les éditeurs de logiciels, mais n'était pas d'accord avec la plupart des recommandations, citant "le manque d'autorité claire et explicite nécessaire pour établir les exigences". de la sécurité des systèmes d’information des préparateurs rémunérés et des autres qui déposent des déclarations par voie électronique ".
4.5 percent=97% 355 votes