Denetçi: IRS, Cyberaudit Kayıtlarını Kontrol Etmiyor

ABD İç Gelir Servisi'nin BT personeli, bu hafta ajansın müfettiş yardımcısı tarafından yayınlanan bir rapora göre, siber güvenlik denetim kayıtlarını düzenli olarak kontrol etmedi.

IRS, Internet ağ geçitlerinde saldırı tespit sistemlerini etkin bir şekilde devreye aldı. ve güvenlik duvarları ve yönlendiriciler için erişim denetimleri kullandı, raporun Temmuz ayında tamamlandığını ancak Pazartesi günü yayınlandığını söyledi. Ancak ajansın BT personeli her zaman sistem denetim kayıtlarını kaydetmiyor ya da gözden geçirmiyordu ve bazı güvenlik duvarları ve yönlendiricilerdeki saat ayarları IRS kurallarına uymuyordu. Raporda şöyle belirtiliyor.

"Bu zayıflıklar İnternet'ten gelen davetsiz misafirlerin olasılığını artırıyor. IRS ağında bulunan hassas vergi mükelleflerine, tespit edilmeden erişim sağlayın, "rapor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bir IRS çalışanı, yönlendiriciler için veritabanı yöneticisi Raporda, IRS kuralları, yönlendiricilerden sorumlu olan BT personelinin dışındaki bağımsız çalışanların bağımsız incelemeye erişim sahibi olmasını gerektirmesine rağmen, yönlendirici denetim günlüklerine erişim olduğunu belirtti. Buna ek olarak, IRS BT personeli, IRS yönergelerinde önerilen şekilde iki ayrı sunucuda denetim günlüklerini kaydetmedi.

Rapor, büyük parçaların yeniden düzenlenmesiyle birlikte IRS'nin denetim günlüklerinin bağımsız incelemesine izin vermesini ve denetim günlüklerini kaydetmek için prosedürler oluşturmasını önerir. Ayrıca, IRS'nin standart güvenlik konfigürasyonlarına uyum sağlamak için Internet ağ geçitlerini düzenli olarak test etmesini tavsiye etti. IRS önerilere iki haftada bir uyumluluk testi yapmayı planladığını söyledi.

Raporda ayrıca, IRS'nin yönlendiriciler üzerinde gereksiz hizmetlere izin verildiği de belirtildi, ancak raporun kamuya açık sürümü bu hizmetlerin ne olduğunu söylemedi.

"Raporunuzda özetlenen bulguların çoğunu düzelttik ve internet ağ geçitlerimizi daha fazla korumak için ek değişiklikler yapıyoruz," diyen IRS CIO raporuna yanıt olarak yazdı. "Önerilen önerileriniz, güvenlik duruşumuzu daha da artıracak standartlara bağlı kalıyor."

IRS'in ana ajansı, Hazine Bakanlığı, Mayıs ayında yayınlanan bir rapor kartına göre 2007 siber güvenlik çabaları için başarısız bir not aldı.. ABD Kongresi tarafından yayınlanan yıllık rapor, federal kurumların Federal Bilgi Güvenliği Yönetimi Yasası veya FISMA ile uyumluluğunu not ediyor.

IRS incelemesi, IRS Bilgisayar Güvenliği Olayı Müdahale Merkezinde yapıldı ve 2007 yılının Şubat ayına kadar olan dönemi kapsadı. Bu yılın martı.