ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneสำนักงานความรับผิดชอบของรัฐบาลกล่าวว่าIRS มีจุดอ่อนด้านความปลอดภัยทางไซเบอร์ที่สำคัญมากกว่า 100 จุดซึ่งทำให้เสี่ยงต่อการถูกโจมตีและการโจรกรรมข้อมูล ปัญหากำลังเกิดขึ้นเร็วกว่ากรมสรรพากรกำลังตอกย้ำพวกเขา Vijay D’Souza ผู้อำนวยการฝ่ายเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ของ GAO เข้าร่วมFederal Drive กับ Tom Teminสำหรับรายละเอียดล่าสุด
เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทค
โนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
Tom Temin:คุณ D’Souza ดีใจที่คุณกลับมา
Vijay D’Souza: ขอบคุณ มันดีมากที่ได้มาที่นี่
Tom Temin: นี่เป็นรายงานที่ค่อนข้างยาก แม้แต่จาก GAO ด้วยซ้ำ เพราะคุณเพิ่งมีการสวดภาวนาเกี่ยวกับสิ่งที่ไม่ได้รับการแก้ไข เพื่อให้เราภาพรวมที่นี่ คุณพบอะไรที่นี่ในข้อมูลล่าสุดของ IRS
Vijay D’Souza:ในแต่ละปี เราตรวจสอบงบการเงินของกรมสรรพากร ดังนั้นข้อดีอย่างหนึ่งของการทำงานที่ GAO คือเราสามารถพูดได้ว่าเราเป็นหนึ่งในไม่กี่องค์กรที่สามารถตรวจสอบ IRS ได้ แต่งานนั้นมีความสำคัญเพราะช่วยให้มั่นใจว่าระบบข้อมูลของ IRS และการควบคุมทางการเงินมีความปลอดภัย คุณประมวลผลเงินกว่า 3 ล้านล้านดอลลาร์ที่พวกเขาจัดการในแต่ละปี ดังนั้น ในส่วนหนึ่งของการตรวจสอบเหล่านี้ เราทำการตรวจสอบทางบัญชี และเป็นส่วนย่อยของการตรวจสอบนั้น เราพิจารณาที่ความปลอดภัย และทุกปีเรามองหาจุดอ่อน เราพบบางอย่าง แต่เรายังพิจารณาถึงความสามารถของ IRS ในการแก้ไขจุดอ่อนที่เราพบในปีก่อนๆ สรุปสำหรับปีนี้ เราระบุประเด็น 11 ประเด็นและให้คำแนะนำ 18 ข้อ แต่ IRS สามารถปิดคำแนะนำ 13 ข้อจากปีก่อนหน้าได้
Tom Temin:แต่รายชื่อที่ฉันกำลังดูอยู่นั้นบอกว่าโดยรวมแล้วมีคำแนะนำที่ยังเปิดอยู่อีก 132 รายการ ดังนั้นคำแนะนำเหล่านี้จึงสะสมเร็วกว่าที่คุณจะกำจัดทิ้งได้
Vijay D’Souza:คุณรู้ไหม มีจุดอ่อนทุกปี แต่ฉันคิดว่าสิ่งสำคัญ
คือต้องรับทราบว่า IRS พยายามแก้ไขปัญหาเหล่านี้ สิ่งหนึ่งที่เราทราบดีคือ IRS มีความซับซ้อนมากมายที่ต้องจัดการจากมุมมองด้านไอที และใช่ คุณพูดถูก เรายังคงค้นหาจุดอ่อนต่อไป แต่ประเด็นหนึ่งที่เราแจ้งไปยัง IRS คือเราต้องการให้พวกเขาพยายามมุ่งเน้นไปที่ปัญหาเชิงระบบ แนวคิดคือการจับจุดอ่อนก่อนที่จะจับได้ เมื่อพวกเขากำลังตั้งค่าระบบหรือทำการอัพเกรดเพื่อไล่ตามพวกเขาในขณะนั้น
Tom Temin:ดูเหมือนว่าปัญหาส่วนใหญ่เกี่ยวข้องกับการควบคุมการเข้าถึง มีคำแนะนำเปิดอยู่ 92 ข้อ การควบคุมการเข้าถึงหมายถึงอะไรและความหมายของมันคืออะไร?
Vijay D’Souza:การควบคุมการเข้าถึงจึงเป็นประเภทหนึ่งของการรักษาความปลอดภัยข้อมูล และโดยพื้นฐานแล้ว สิ่งที่กล่าวไปนั้นจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน ดังนั้น นี่อาจเป็นปัญหาที่เกี่ยวข้องกับตัวอย่างเช่น รหัสผ่าน หรือวิธีที่คุณตรวจสอบให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนถูกจำกัดอย่างเหมาะสม
Tom Temin:โอเค และฉันเดาว่าหมวดหมู่ที่ใหญ่ที่สุดรองลงมาคือ..
Vijay D’Souza: …คือการจัดการการกำหนดค่า ดังนั้นการจัดการการกำหนดค่าจึงเป็นเรื่องที่ยุ่งยาก เพื่อให้แน่ใจว่าการตั้งค่าต่างๆ ทั้งหมดบนฮาร์ดแวร์และซอฟต์แวร์นั้นได้รับการตั้งค่าอย่างปลอดภัยที่สุดเท่าที่จะเป็นไปได้ หนึ่งในความท้าทายก็คือ หากคุณเป็นองค์กรขนาดใหญ่อย่าง IRS คุณจะแน่ใจได้อย่างไรว่าทุกอย่างได้รับการกำหนดค่าอย่างปลอดภัย แต่ไม่ปลอดภัยจนทำให้สิ่งต่างๆ เสียหายได้ คุณรู้ไหมว่านั่นเป็นปัญหาเสมอ สิ่งอื่นที่อาจท้าทายคือเมื่อระบบได้รับการอัปเกรดหรือเปลี่ยน คุณจะแน่ใจได้อย่างไรว่าได้รับการกำหนดค่าอย่างปลอดภัย เนื่องจากการกำหนดค่าเริ่มต้น 10 รายการที่ให้มามักจะไม่ใช่การกำหนดค่าที่ปลอดภัยที่สุด
Tom Temin:และดูภาพรวมที่นี่พร้อมคำแนะนำทั้งหมดสำหรับการกำหนดค่าการควบคุมการเข้าถึง สิ่งนี้เกี่ยวข้องกับแอปพลิเคชันจำนวนมากที่ยังคงเป็นรุ่นเก่าและทำงานบนรหัสดั้งเดิมสำหรับ IRS หรือไม่
Vijay D’Souza:แน่นอน คุณรู้ไหมว่าหนึ่งในความท้าทายที่ IRS เผชิญคือการใช้มาตรฐานความปลอดภัยสมัยใหม่กับซอฟต์แวร์รุ่นเก่า ตอนนี้พวกเขามีวิธีการทำสิ่งนี้แล้ว แต่มันไม่ง่ายเหมือนกับว่าพวกเขาเริ่มต้นใหม่จากศูนย์ด้วยแพลตฟอร์มที่ทันสมัยอย่างสมบูรณ์ IRS ใช้จ่ายหลายร้อยล้านดอลลาร์ต่อปีในการปรับปรุงระบบไอทีให้ทันสมัย แต่ก็มักจะตามไม่ทัน และพยายามคัดแยกและจัดลำดับความสำคัญของระบบที่สำคัญที่สุดสำหรับการอัปเดตและอัปเกรดอยู่เสมอ
Tom Temin:บอกเราหน่อยว่าความปลอดภัยในโลกไซเบอร์และความทันสมัยของพวกเขา ซึ่งเป็นคำถามคลาสสิก — ทั้งหมดนี้มารวมกันในแนวทางที่น่าทึ่งที่สุด สำหรับ IRS จริงๆ