Налоговая база полна уязвимостей, внедрение продолжается
20.10.2008
Внутренняя налоговая служба США (IRS) продолжает развертывание двух компьютерных систем несмотря на то, что осведомлена о наличии в них уязвимостей в системе безопасности. Такой вывод содержится в отчете Генерального инспектора министерства финансов по налоговому управлению (TIGTA).
По данным Генеральной инспекции, запущенная в этом году база данных налогоплательщиков Customer Account Data Engine (CADE) содержит дыры, о которых самой IRS было прекрасно известно, но, тем не менее, она все-таки запустила базу в эксплуатацию. CADE обошлась Налоговой службе в 1 млрд. долларов, она является ключевым элементом развернутой в этой организации программы компьютерной модернизации и, по данным Associated Press, оперирует примерно двадцатью процентами всех проходящих через IRC средств налогоплательщиков.
CADE содержит уязвимости, которые могут привести к получению административных прав доступа к системе, атакам вредоносного ПО и неавторизованному доступу к системе и хранящимся в ней данным. Среди прочих минусов называются недостаточность средств конфигурирования, ресурсов хранения и методик восстановления после сбоев, а также отсутствие единого плана по включению этой системы в общую с другими правительственными агентствами сеть. Данные налогоплательщиков, которыми CADE обменивается с процессинговым центром, пересылаются в незашифрованном виде, а резервные копии не защищены.
В TIGTA не располагают сведениями о подтвержденных случаях кражи данных, но они, по мнению агентства, все равно подвержены такому риску.
