IR-2022-209,2022 年 11 月 30 日 华府 — 随着税收季节的临近,美国国税局和安全峰会(英文)合作伙伴今天敦促税务专业人士继续关注安全问题,并检查他们可用的资源,包括样本安全计划和清单。 美国国税局、州税务机构以及税务软件和税务专业社区的安全峰会合作伙伴在全国税务安全意识周期间,致力于突出数据安全并提供诈骗预防技巧,安全意识周至今已经是第七个年头,。峰会的部分重心在于关注税务专业人士(包括小型税务公司)如何保护自己和保护客户信息。这个特别周的第三天,高度关注税务界需要牢记的几个重要方面。 "纳税人信息可能是身份窃贼的金矿。近年来,随着安全峰会合作伙伴加强内部防御,我们已经看到身份窃贼将他们的注意力转移到税务专业社区及其客户信息上。"国税局代理局长Doug O'Donnell 说, "特定的纳税人信息可以帮助诈骗者准备更真实的税表,因此税务专业人员保持强大的安全性,这是为自己、为客户和为国家税务系统建筑的重要防线。" 书面信息安全计划 (WISP) 美国国税局和安全峰会合作伙伴提醒税务专业人士,联邦法律要求他们制定书面信息安全计划。今年早些时候,峰会的税务专业团队成员制定了一份特殊文件,让从业者能够快速制定自己的书面安全计划。 该示例文档是一份书面信息安全计划 WISP(英文) PDF,可根据公司的规模、活动范围、复杂性及所处理的客户数据的敏感度。不存在适合所有情况的WISP。例如,与由10位合伙人组成的会计师事务所相比,个体经营者可以使用更精简和简化的计划,这在安全峰会小组的新样本WISP中有所体现。 在报税行业想要成功经营,涉及方方面面,包括查阅税法变化、了解软件更新以及管理和培训员工。而一个经常被忽视但却很重要的部分就是创建WISP。 "任何经营税务业务的人都无法绕过它。制定书面安全计划是一个良好的行业惯例,而且是法律要求的,"峰会税务专业团队的联合负责人兼电子税务管理咨询委员会 (ETAAC) 的新任主席、来自Drake软件公司的Jared Bellew表示。 "该样本为您制定计划提供一个出发点,考虑了有效计划中需包含的风险因素,并提供了在发生安全事件、数据丢失和盗窃时可采用的行动蓝图。" 税务专业人士所面临的安全问题可能是令人生畏的。峰会团队尽可能地努力使这个文件易于使用,这就包括了帮助税务专业人士获取所需信息的特殊版块。 以下是针对税务专家的一些 WISP 考虑因素: 将 WISP 保存为其他人可以轻松访问和阅读的格式,例如 PDF 或 Word 文档。 让所有员工都可以使用 WISP 进行培训。 在发生事故或自然灾害时,将副本存储在异地或云中。 "税收-安全-共同"清单 不幸的是,税务专业人士仍然是网络犯罪分子的高价值目标,网络犯罪分子通过他们窃取敏感税务信息。考虑到这一点,安全峰会创建了"税收-安全-共同"清单(英文),以帮助税务专业人员确定要实施的基本网络安全措施。 这六个简单的步骤可以对税务专业人士和纳税人的信息保护产生重大影响: 使用防病毒软件并将其设置为自动更新以确保系统安全。这包括所有数码产品、电脑和手机。 使用防火墙。防火墙有助于保护计算机免受外部攻击,但无法在用户不当心下载了恶意软件(例如网络钓鱼电子邮件诈骗)的情况下保护系统。 使用多重身份验证来保护所有在线帐户,尤其是税务产品、云软件提供商、电子邮件提供商和社交媒体。 备份敏感文件,尤其是客户数据,以保护外部资源,例如外部硬盘驱动器或云存储。 加密数据。税务专业人士应考虑将驱动器加密产品用于全驱动器加密。这将加密所有数据。 使用虚拟专用网络(VPN) 产品。随着越来越多的从业者在大流行期间远程工作,VPN 对于安全连接至关重要。 有关如何保护客户信息的更多信息,税务专业人士应参阅出版物 4557《保护纳税人数据》(英文) PDF。 网络钓鱼诈骗、恶意软件和勒索软件存在风险 对于税务专业人士和纳税人而言,网络钓鱼电子邮件通常包含紧急消息,并试图将用户引导至看似官方的链接或附件。但该链接可能会将用户带到一个伪造的网站,该网站看起来像一个可信来源,要求用户名和密码。该附件还可能包含恶意软件,它会秘密下载软件后跟踪键盘击键,使小偷最终窃取税务专业人士所有的密码。 一些小偷还冒充潜在客户,并与税务专业人士反复互动,然后发送一封电子邮件,其中的附件声称包含他们的税务信息。附件可能包含恶意软件,使小偷能够跟踪击键并最终窃取所有密码或接管计算机系统的控制权。 国税局警告税务专业人士不要采取此类电子邮件中要求的任何步骤,并删除该电子邮件。 收件人如果收到与国税局相关的诈骗,可以向 phishing@irs.gov 举报。 有时,网络钓鱼诈骗是勒索软件计划(英文),窃贼获得税务专业人员计算机系统的控制权并扣押数据,直到支付赎金。联邦调查局 (FBI) 警告不要支付赎金,因为小偷通常会将数据加密。 安全计划要求和推荐的防止数据窃取计划 税务专业人员除了所需的信息安全计划外,还应考虑在遇到违规和数据盗窃时制定应急响应计划。这个节省时间的步骤应该包括联系国税局公共事务联络处(英文)的联系信息,他们是向国税局和各州报告税务专业数据盗窃的第一联系人。 国税局出版物 5293《税务专业人士数据安全资源指南》(英文) PDF,提供了国税局官网 IRS.gov 上可用的数据盗窃信息的汇编,包括报告流程。 除了查看国税局第4557号出版物,保护纳税人数据(英文) PDF,税务专业人士还可以通过查看美国国家标准与技术研究院的《小企业信息安全:基础知识》(英文) PDF来获得有关安全建议的帮助。国税局身份盗窃中心页面也为税务专业人士、个人和企业,提供了重要的资讯。 雇主可以与其员工和客户分享出版物 4524《纳税人的安全意识》,税务专业人士可以与客户分享。 有关全国税收安全意识周的更多详细信息,请访问 IRS.gov/securitysummit(英文)。