Volgens het vorige week gepubliceerde rapport van de Treasury Inspector General for Tax Administration zijn er verschillende kwetsbaarheden aangetroffen in het nieuwe Customer Account Data Engine (CADE)-systeem en een daaraan gekoppeld Account Management Services (AMS)-systeem van de Amerikaanse belastingdienst, de Internal Revenue Service (IRS).

Nieuwe systemen

Het CADE-systeem, waaraan al bijna tien jaar wordt gesleuteld, moet uiteindelijk alle data van Amerikaanse belastingbetalers gaan behandelen en de bestaande systemen vervangen. Ontwikkeling, invoering en onderhoud van CADE zal tot 2012 ruim 1 miljard dollar kosten. Volgens de Inspector General heeft het nieuwe systeem van januari tot april dit jaar al ruim 28 miljoen belastingformulieren afgehandeld, ongeveer een vijfde van het totale aantal.

Het AMS-systeem, waaraan twee jaar is gewerkt en waarin 700 miljoen dollar is geïnvesteerd, moet sneller toegang verschaffen tot de gegevens van belastingplichtigen in de databanken van het CADE-systeem. Volgens de Inspector General ontberen zowel CADE als AMS voldoende toezicht, zodat systeembeheerders en andere gebruikers ongehinderd gegevens van belastingplichtigen kunnen zien, aanpassen en verwijderen. Zelfs leveranciers van de belastingdienst zouden aanpassingen kunnen doen, zonder hiervoor toestemming te hebben.

Kritiek lek

Bij een scan van het systeem waarmee CADE gehost wordt, hebben de onderzoekers tenminste één kritiek lek aangetroffen, waardoor gegevens van belastingbetalers risico lopen. Ook zou persoonlijke informatie over belastingbetalers niet versleuteld worden verzonden tussen computercentra van de belastingdienst en zou bij tests zijn gebruikgemaakt van data van echte personen.

Volgens Chris Wysopal van veiligheidsleverancier Veracode zou de beveiliging van de belastingsystemen niet eens voldoen aan de Payment Card Industry Data Security Standard. En dat terwijl de belastingdienst veel gevoeligere data bezit dan winkelketens, aldus Wysopal.

Onderzoekscentrum identiteitsfraude

De Amerikaanse belastingdienst is al akkoord gegaan met de aanbevelingen van de Inspector General en belooft beterschap. Vorige week wees de Inspector General ook al op kwetsbaarheden in andere computersystemen van de dienst.

Juist ter bescherming van persoonlijke gegevens tegen dataverlies is eerder deze maand het Center for Applied Identity Management Research ( CAIMIR) opgericht. De deelnemers zijn de universiteit van Indiana, de Amerikaanse geheime dienst, LexisNexis, IBM, Cogent Systems, Visa en Intersections. Deze publiek-private onderzoeksgroep zal zich richten op zaken als cybercriminaliteit, security, financiële misdaden, datadiefstal, identiteitsdiefstal en andere soorten fraude.