Als reactie op een datalek waarbij de persoonlijke informatie van miljoenen belastingbetalers openbaar werd gemaakt, onderzoekt het Amerikaanse Congres hoe criminelen belastinggegevens van de Internal Revenue Service (IRS) konden stelen. De IRS heeft onlangs toegegeven dat er een aanzienlijk datalek heeft plaatsgevonden, waardoor de persoonlijke gegevens van meer dan 100.000 belastingbetalers in gevaar zijn gekomen.

Een cruciaal doel van het congresonderzoek is om erachter te komen hoe de dieven in de systemen van de IRS konden binnendringen en de persoonlijke informatie van belastingbetalers konden bemachtigen. Het datalek was volgens de IRS het resultaat van een ‘geavanceerde cyberaanval’, maar de details zijn nog onbekend. Wetgevers in het Congres willen graag meer weten over hoe de aanval plaatsvond, zodat ze kunnen voorkomen dat soortgelijke incidenten zich opnieuw voordoen.

Andere doelstellingen van het onderzoek zijn onder meer:

Gegevensbeveiligingsmaatregelen van de IRS:Het Congres onderzoekt de systemen en procedures die de IRS heeft ingevoerd om gevoelige gegevens te beschermen. Het congres wil ervoor zorgen dat de IRS best practices op het gebied van beveiliging toepast en dat er geen gaten of zwakke punten in de gegevensbescherming zitten die het voor aanvallers mogelijk hebben gemaakt om binnen te komen.

Betrokkenheid van derden:Het congresonderzoek onderzoekt ook of er derden betrokken waren bij het datalek. Om erachter te komen wie er achter de aanval zat en hen verantwoordelijk te houden, onderzoekt het Congres of werknemers, aannemers of externe organisaties over voorkennis beschikten of de aanvallers hielpen.

Impact van de inbreuk:Het Congres onderzoekt ook hoe de datalek de belastingbetalers heeft getroffen. De omvang van de schade en de acties die de IRS onderneemt om de getroffen belastingbetalers te helpen, zijn van belang voor wetgevers.

Gegevensversleuteling en tweefactorauthenticatie zijn cruciale beveiligingsmaatregelen die gevoelige gegevens beschermen en het voor ongeautoriseerde gebruikers moeilijker maken om er toegang toe te krijgen. Helaas was de IRS niet op de hoogte van deze beveiligingsmaatregelen, waardoor het voor de hackers gemakkelijker werd om de gegevens te bemachtigen.

De inbreuk heeft ernstige gevolgen, waaronder:Identiteitsdiefstal:De gevoelige informatie die door de datalek is aangetast, omvatte namen, burgerservicenummers en geboortedata, die identiteitsdieven allemaal kunnen gebruiken om identiteitsfraude te plegen. Belastingfraude:Bij belastingfraude gebruiken criminelen de persoonlijke gegevens van belastingbetalers om valse belastingaangiften in te dienen en zo valse teruggaven te ontvangen of onverdiende belastingvoordelen te claimen. Financiële fraude is een vorm van fraude waarbij criminelen gestolen persoonlijke informatie gebruiken om allerlei financiële transacties uit te voeren, zoals het openen van rekeningen op naam van slachtoffers of het doen van frauduleuze aankopen.

Reputatieschade:De reputatie van de IRS heeft geleden als gevolg van het datalek, waardoor het vertrouwen tussen belastingbetalers en de instantie die verantwoordelijk is voor het innen van belastingen is geschaad.

Maatregelen ter voorkoming van datalekken:De IRS heeft naar aanleiding van het datalek een aantal maatregelen genomen om te voorkomen dat soortgelijke incidenten zich opnieuw voordoen.

Verbeteringen op het gebied van cyberbeveiliging:Om zijn verdediging tegen cyberaanvallen te versterken, investeert de IRS in nieuwe beveiligingstechnologieën en -praktijken.

Meer voorlichting:De IRS leidt haar medewerkers op over de beste praktijken op het gebied van cyberbeveiliging en verhoogt de opleiding van haar medewerkers om hun bewustzijn op het gebied van cyberbeveiliging te vergroten.

Samenwerking met andere overheidsorganisaties en de particuliere sector zal het vermogen van de IRS vergroten om bedreigingen te identificeren, inlichtingen te delen en effectiever op cyberaanvallen te reageren.

Publiek bewustzijn:De IRS maakt het publiek bewust van de gevaren van identiteitsdiefstal en dringt er bij belastingbetalers op aan voorzorgsmaatregelen te nemen om hun persoonlijke gegevens te beschermen.

De pogingen van de IRS om het datalek aan te pakken, hebben enkele beperkingen die het vermogen van de IRS om het probleem volledig op te lossen kunnen belemmeren:

De IRS heeft moeite met de communicatie met belastingbetalers omdat het een omvangrijke en complexe organisatie is. Vanwege deze uitdaging kan het een uitdaging zijn om alle getroffen belastingbetalers op de juiste manier te waarschuwen en ervoor te zorgen dat ze de hulp krijgen die ze nodig hebben.

De IRS heeft mogelijk meer middelen en financiering nodig om zijn cyberbeveiligingsinfrastructuur te versterken en de beste beveiligingspraktijken toe te passen.