2023 yılında, Federal Ticaret Komisyonu (FTC), en popüler vergi hazırlama şirketlerinden beşine bir uyarı yayınladı ve tüketicilerden toplanan gizli verileri kullanırlarsa – ilgisiz amaçlar için sivil cezalarla karşılaşabileceklerini belirtti.
Uyarı yayınlanmasından iki yıl sonra, daha da fazla endişe ortaya çıktı – vergi hazırlık şirketlerinin yazılımının bütünlüğü. Gartner, bu yıla kadar dünya çapında kuruluşların% 45’inin yazılım tedarik zincirlerine saldırı yaşayacağını tahmin ediyor. Tahmin edilirse, vergi hazırlığı işletmeleri ve müşterileri için bir yazılım tedarik zinciri saldırısının sonuçları yıkıcı olabilir. Potansiyel tehdit ve hasarlar 15 Nisan vergi son tarihinin çok ötesine uzanacaktır.
Vergi yazılımındaki gizli riskler
Vergi hazırlık yazılımı içindeki hassas veriler, mali durumdan medeni durum ve çocuklar gibi kişisel detaylara ve hatta sağlık detaylarına kadar her şeyi içerir – bunların hepsi siber suçlular için en iyi hedeftir. Rakipler bu bilgileri kimlik hırsızlığı, vergi iadesi ve diğer finansal sahtekarlık biçimleri, hedeflenen kimlik avı saldırıları ve hatta gasp ve şantaj yapmak için kullanabilirler.
Rakiplerin vergi hazırlık şirketlerinin ağlarına nüfuz etmeye çalışmasının en yaygın yollarından biri, yazılımlarındaki güvenlik açıklarından yararlanmaktır. Vergi yazılımı, bugün tüm yazılımların ezici çoğunluğu gibi, açık kaynaklı bileşenlerden oluşur. Ne yazık ki, bu bağımlılıklar genellikle çok sayıda güvenlik zayıflığı getiriyor.
Güvenlik zayıflıklarının neredeyse tamamı (%95’i), bu güvenlik açıklarının yarısı, tüm şiddet seviyelerinde, bilinen hiçbir düzeltme yoktur. Buna ek olarak, açık kaynaklı bileşenlerin yaklaşık dörtte üçü ya zayıf veya artık korunmuyor.
Vergi sezonunun bu kuruluşların geliştiricilerine getirdiği talebi ile, onların ve güvenlik ekiplerinin yazılım tedarik zinciri bakım ve yönetişim ihtiyaçlarına ayak uydurmaları ve tehdit aktörlerinin sızması için geniş açık boşluklar bırakmaları neredeyse imkansızdır. Ayrıca, son IRS’nin güçteki azalması BT güvenlik tehditlerini artırabilir ve siber suçluların daha az çalışan, gecikmiş güvenlik güncellemeleri ve yamaları ve güvenlik tehditleri ve sorgulamaları nedeniyle kırılmasını kolaylaştırabilir.
Vergi yazılımını içten dışa güçlendirmek
Neyse ki, vergi şirketlerinin geliştiricilerinin ve güvenlik ekiplerinin tüm yıl boyunca güvende kalmak için atabilecekleri adımlar var.
- Yazılımınızda ne olduğunu öğrenin: Geliştiriciler ve güvenlik ekipleri X-ışını vizyonuna sahip değildir, bu nedenle vergi şirketlerinin kapsamlı bir yazılım malzeme faturası (SBOM) oluşturabilecek bir çözümü olması gerekir. SBOM’lar, tüm açık kaynaklı, üçüncü taraf ve özel olarak geliştirilen yazılım bileşenlerine görünürlük sağlayabilir, bu da en derin bağımlılık katmanlarının bile mevcut uyumluluk standartlarını karşılamasını ve risk getirmemesini sağlar.
- SBOM’larınızı düzenli tutun: Bazen vergi hazırlık şirketlerinin, yazılımın kökenini doğrulamak, üçüncü taraf için sağlamak veya diğer yazılımlar için bilgi çekmek için bir SBOM’a hızlı bir şekilde erişmesi gerekir. Vergi hazırlık şirketlerinin, gizliliği korurken gerektiğinde SBOM’ları ve güvenlik onaylarını paylaşmak için güvenli bir kanala sahip olması gerekir.
- Üçüncü tarafları yüksek güvenlik standardına sahip olun: Vergi hazırlık şirketleri, e-dosyalama ve ödeme işlemcileri, kimlik doğrulaması ve sahtekarlık önleme şirketleri, bulut ve barındırma sağlayıcıları ve hatta pazarlama ve analitik şirketleri gibi çeşitli üçüncü taraf satıcılarla çalışır. Vergi kuruluşları, üçüncü taraf yazılımın güvenliğini doğrulama ve tüm yazılım ekosisteminin bütünlüğünü sağlamak için SBOM’ları birden fazla ortakta izleme, paylaşma ve yönetme yeteneğine sahip olmalıdır.
- Bir sorun sunmak için bir güvenlik açığının beklemesini beklemeyin: Güvenlik açıklarını belirlemek savaşın sadece yarısıdır. Vergi kuruluşlarının, özellikle bir yama bile olmayan açık kaynaklı kod için hızlı bir şekilde düzeltmek için harekete geçmeleri gerekir. Neyse ki, piyasada geliştiricilerin önce hangi güvenlik açıklarının ele alabileceğini ve bunların nasıl düzeltileceği konusunda rehberlik sağlayacak şekilde öncelik vermelerine yardımcı olabilecek çözümler var.
Vergi şirketlerinin yoğun vergi hazırlığı mevsimi boyunca güvende kalmaları için, çok faktörlü kimlik doğrulaması kullanma, düzenli yazılım güncellemeleri olmasını, güçlü şifreleme protokolleri yapmayı ve güvenlik kullanıcı eğitimi programları sağlama gibi proaktif siber güvenlik önlemlerine odaklanmaları zorunludur.
Tüm bu önlemler kesinlikle yardımcı olsa da, hepsi güçlü, güvenli bir yazılım tedarik zinciri olmadan boşuna. Vergi hazırlık şirketleri, SBOM’ları koruyarak, ortakları sorumlu tutarak ve proaktif olarak güvenlik açıklarını yöneterek kullanıcı verilerini yıl boyunca koruyabilir.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!