Kala pemerintah tengah melayani pembayaran pajak yang memasuki masa puncaknya, dimana miliaran dolar dan data-data pribadi dalam jumlah masif di relai dari dan ke pemerintah, sangat tak enak terdengar di telinga bahwa kantor Internal Revenue Service (IRS) masih terus berkutat untuk memperbaiki keamanan data pribadi wajib pajak yang sangat sensitif.
Kantor Akuntabilitas Pemerintah atau Government Accountability Office (GAO) telah mengeluarkan sebuah laporan pada Jumat (19/3/2010) lalu yang mengungkapkan 69% kantor-kantor pelayanan pajak tercatat memiliki celah-celah keamanan yang hingga kini belum terkoreksi dan terus menjadi ancaman keamanan terhadap kerahasiaan, integeritas, dan keteraksesan sistem IRS.
Serangkaian masalah telah menempatkan IRS dalam bahaya yang terus meningkat, yaitu pengaksesan data yang tak terotorisasi, modifikasi data, atau penghancuran inforamsi finansial dan data pembayar pajak, demikian kesimpulan GAO dilansir NetworkWorld.com.
Government Office Accountability mengungkapkan sejumlah kelemahan penerapan teknologi yang masih terjadi kantor IRS yaitu:
1. Menggunakan Password yang sederhana/tidak kompleks
2. Penghapusan akun-akun bekas pegawai yang tidak efektif secara waktu
3. Mengizinkan adanya file dan direktori pegawai dalam jumlah sangat besar
4. Mengizinkan transmisi data oleh user dan data login adminstrator yang tak terenkripsi
5. Menginstalasi peningkatan proteksi keamanan dengan tidak terjadwal.
1. Menggunakan Password yang sederhana/tidak kompleks
2. Penghapusan akun-akun bekas pegawai yang tidak efektif secara waktu
3. Mengizinkan adanya file dan direktori pegawai dalam jumlah sangat besar
4. Mengizinkan transmisi data oleh user dan data login adminstrator yang tak terenkripsi
5. Menginstalasi peningkatan proteksi keamanan dengan tidak terjadwal.
Lebih spesifik lagi, GAO menyatakan IRS kerap tidak menerapkan otentifikasi dan identifikasi yang kuat. Sebagai contoh, password adminsistrator untuk 2 server terletak di di satu IRS Center tidak memenuhi persyaratan yang ditetapkan di dalam kebijakan usia password. Pada kedua instansi usia password administrator ditentukan maksimal 118 hari, melampaui ketetapan resmi IRS :58 hari. Kosekuensinya, risiko yang meningkat membayangi semua password milik administrator, memberi peluang digunakan oleh pengakses gelap untuk jangka waktu lama mengakses semua data yang ada di server, ungkap GAO.
Semua pegawai IRS masih menggunakan password untuk mengakses sistem-sistem UNIX di dua IRS Center dan menyimpan teks-teks password lengkap pada skrip-skrip program komputer di IRS Center lainnya, ungkap temuan GAO. IRS juga tidak memberikan proteksi yang layak selama transmisi. Sebagai contoh, IRS menerapkan protokol-protokol otentifikasi yang lemah pada semua Log on Network. Sepuluh server termasuk kontroler-kontroler domain yang berlokasi di lima situs yang dikonfigurasi untuk menerima sebuah protokol otentifikasi yang sangat rawan terhadap serangan cyber yang bertujuan mencuri semua password pengguna. Akibatnya, kondisi berisiko semacam ini memberi ruang besar bagi individu-individu yang berniat jahat untuk mencuri semua password dan menggunakannya untuk melakukan akses tak terotorisasi ke semua sistem IRS, ungkap GAO
Internal Revenue Service pun menggunakan router-router untuk menjalankan protokol yang mengizinkan transmisi data informasi sensitif yang tak terenkripsi. Sebagai contoh, 18 router yang ditinjau oleh GAO di tiga pusat komputasi yang dimanfaatkan sebuah protokol yang dikonfigurasi untuk mengotentifikasi informasi hanya dengan teks saja. IRS juga tercatat tidak menerapkan enkripsi untuk mendistribusikan tabel-tabel pesan dari 6 router yang ada di dua pusat IRS. Menerapkan enkripsi pada distribusi tabel-tabel pesan membantu pencegahan upaya seseorang untuk melakukan router tak terorisasi ke Network dan merusak tabel-tabel routing atau upaya melancarkan serangan Denial of Service Attacks, ungkap GAO.
Laporan GAO bukanlah gambaran yang sepenuhnya skeptik, sejauh ini IRS telah melakukan koreksi terhadap 28 kelemahan kontrol keamanan yang teleh teridentifikasi sebelumnya. IRS juga setuju untuk membuat sebuah Action Plan untuk melakukan koreksi secara terinci untuk menyelesaikan setiap masalah yang diungkapkan oleh GAO.
GAO pun mengakui bahwa tidak mudah bagi IRS untuk dengan serta merta mengatasi permasalahan keamanan yang ada sebab beban tugas yang sangat besar dalam mengumpulkan pajak,dan memastikan tegaknya undang-undang pajak di seluruh negeri. Kinerja IRS sepenuhnya bergantung pada sistem-sistem komputer yang menunjang proses finansial dan misi terkait fungsi IRS. Badan Pajak Amerika Serikat berhasil mengumpulkan USD2,t triliun dari pajak masyarakat pada tahun fiskal 2008 dan 2007, memproses ratusan juta proses pajak dan informasi, dan membayarkan kembali ke pembayar pajak sebesar USD426 miliar dan USD292 miliar sebagai refund.
(NetworkWorld.com | Martin Simamora)
Tidak ada komentar:
Posting Komentar