Audytor: IRS nie sprawdza dzienników Cyberaudit

Pracownicy IT Urzędu Skarbowego USA nie rutynowo sprawdzali dzienników audytu bezpieczeństwa cybernetycznego, wynika z raportu opublikowanego w tym tygodniu przez biuro inspektora generalnego agencji.

IRS skutecznie wdrożył systemy wykrywania włamań w swoich bramach internetowych, i zastosował kontrolę dostępu dla zapór ogniowych i routerów, powiedział raport, zakończony w lipcu, ale wydany w poniedziałek. Jednak personel IT agencji nie zawsze zapisywał lub przeglądał logi audytu systemu, a ustawienia zegara w niektórych zaporach i routerach nie były zgodne z regułami IRS.

"Te słabości zwiększają prawdopodobieństwo, że intruzi z Internetu mogą uzyskają dostęp do poufnych danych podatników znajdujących się w sieci IRS bez ich wykrycia ", czytamy w raporcie.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Jeden pracownik IRS, administrator bazy danych routerów, miał dostęp do dzienników audytu routera, mimo że reguły IRS wymagają, aby pracownik spoza bezpośredniego personelu IT odpowiedzialnego za routery miał dostęp do niezależnej recenzji, stwierdza raport. Ponadto, personel IRS IT nie zapisywał dzienników kontroli na dwóch oddzielnych serwerach, zgodnie z zaleceniami IRS.

Raport, z dużymi fragmentami zredagowanymi, zaleca, aby IRS zezwalał na niezależny przegląd dzienników kontroli i ustanawiał procedury zapisywania dzienników kontroli. Zalecono również, aby IRS regularnie sprawdzał swoje bramki internetowe pod kątem zgodności ze standardowymi konfiguracjami zabezpieczeń. IRS zgodził się z zaleceniami, mówiąc, że planuje przeprowadzać dwutygodniowe testy zgodności.

W raporcie napisano również, że IRS miał niepotrzebne usługi włączone na routerach, chociaż publiczna wersja raportu nie mówi, jakie usługi były.

"Poprawiliśmy wiele z wyników opisanych w raporcie i agresywnie wdrażamy dodatkowe zmiany, aby dodatkowo chronić nasze bramki internetowe" - napisał w odpowiedzi na to Arthur Gonzalez, IRS CIO. "Twoje sugerowane rekomendacje są zgodne ze standardami, które jeszcze bardziej poprawią naszą postawę bezpieczeństwa."

Agencja macierzysta IRS, Departament Skarbu, otrzymała ocenę za niepowodzenie za działania cyberbezpieczeństwa w 2007 r., Wynika z karty raportu wydanej w maju. Raport roczny wydany przez Kongres USA ocenia zgodność agencji federalnych z Federalną Ustawą o Zarządzaniu Bezpieczeństwem Informacji (FISMA)

Przegląd IRS został przeprowadzony w IRS Computer Security Incident Response Center i obejmował okres od lutego 2007 do Marzec tego roku.