在Equifax电脑泄密事件中,数百万美国人的关键个人信息被盗之后,假定有信用记录的任何人都受到影响可能是正确的。你不是网络犯罪的受害者KrebsonSecurity com十月http bit ly XLX对于专业人士来说,网络安全问题引起了广泛关注,因为各种规模的CPA公司最近都遭到了本地公司的黑客攻击,这些本地公司的客户的社会保险号被用于将客户的IRS退税转移到遭受勒索软件勒索的公司

本文的目的是向非技术专家提供有关Equifax违规和CPA采取的具体步骤的相关信息,并帮助CPA了解基本的网络安全问题以及相关的联邦法律和职业道德规则

造成违反的原因

Equifax漏洞是计算机系统内部控制的一个重大失败,其根本原因和特定于Equifax的特定因素韦恩·拉什Equifax黑客在您的信用历史记录中度过了悠闲时光电子周刊http位ly zJdmdv潜在原因包括以下几种

  • 计算机信息技术IT基础结构的发展,从没有公共Internet链接的集中严格控制的大型机计算机环境,到分散的,通常是全球外包的,具有遍布世界各地的无数互联网连接设备的计算机环境
  • 许多公司的IT文化都发生了相应的转变,从强调内部控制和广泛的系统测试的文化转变为一种创新文化,即迅速推出软件并修正了以后的错误思路,这可能使大多数高级IT管理人员承受着压力,要求他们在节省成本之前将安全性放在首位。
  • 互联网固有的安全性不足,因为它最初是为学术公司和政府研究中心中的受信任用户访问而设计的,但后来仅用于商业目的,从而在初始框架上产生了持续的安全漏洞

Equifax漏洞的公开且已知的特定原因是未能为Apache Struts漏洞安装广为宣传的安全补丁。早期的Equifax漏洞涉及IT系统管理员使用了不符合最佳实践甚至Equifax自己的密码的不安全密码政策

为什么此违规行为与众不同

在过去的十年中,超过十亿人的个人信息被雅虎等电子邮件提供商或目标公司等零售商入侵。Equifax漏洞是其中首个四大个人安全标识符名称地址出生日期和社会保险号被盗的事件这些立即成为用于许多商业和其他目的的安全认证基础。Robert Lemos Identity Verification在Equifax违约事件中变得更加棘手电子周刊http位ly yMVLOu

拥有这些标识符可能会增加身份盗用的两种形式:新帐户欺诈和帐户接管。在新帐户欺诈中,犯罪分子使用标识符以及可能的其他信息以一个人的名字开设新的信用帐户,直到目标者的信用等级才发现在账单未付后被破坏这种类型是伪造的所得税申报表,以窃取退税款。在某些情况下,本地注册会计师事务所的计算机已被破坏,从而使盗贼能够成功地进行此类欺诈

最近,帐户接管已被用来窃取手机号码,这可能会破坏多因素身份验证MFA是重要的网络安全最佳实践。纽约时报八月http nyti ms jws dqMFA需要以与初始身份验证不同的方式提供身份验证信息,例如,某些网站在用户输入密码后会通过文本消息发送第二个验证码,也必须输入该验证码才能登录。另一MFA方法要求发起者进行不幸的是,可以模仿来自预定电话号码的呼叫,无法模仿这样的电话号码,并且使MFA的安全性失效

弱MFA方法可能会使CPA误以为是一种错误的安全感许多会计软件程序都依靠两因素身份验证来登录或重置忘记的密码,并且越来越多的此类程序可以通过银行和投资帐户进行电子转帐考虑到帐户接管数量的上升,明智的做法是重新使用手机短信进行MFA并探索更安全的方法

在以前的重大违规事件中,公众通常将风险视为便利的代价。Equifax违规事件使公众对网络安全薄弱的挫败感达到空前的水平Ron Lieber为什么Equifax违规行为如此糟糕纽约时报9月http nyti ms jvZvkT违反行为开始引起人们普遍的担忧,即支撑电子商务的网络安全不可信任

自电子商务开始以来,在快速而无摩擦的交易需求与额外不便的安全步骤之间一直存在着拉锯战。Equifax漏洞可能使钟摆转向安全性。以下各节介绍了应该采取的保护措施。注册会计师事务所及其客户创建适当级别的网络安全

个人现在可以做什么

在Equifax违规事件发生后,个人采取的确切行动仍不确定。这是因为大部分建议依赖通过Equifax网站访问的资源,在撰写本文时,许多专家认为该资源不可靠。 Equifax网站似乎无可救药地崩溃了Equifax违反您应该了解的内容KrebsonSecurity comhttp位ly zXVgEQ同样,在这一点上,没有人知道实际上是谁违反了该网站,以及窃取的信息将用于Maurie Backman,Equifax数据泄露是否会影响您的社会保障福利杂色傻瓜http bit ly mwN n

由于四个被盗标识符仍然是许多商业安全的基石,因此危险可能持续数年,因此最好的建议是避免采取临时步骤并冻结所有四个信用证,而不是经常报告的信用报告机构Equifax Experian Inova和TransunionA。通常会阻止新帐户欺诈,因为它会阻止将任何信用评分或其他信息从信用报告机构发布到完成交易所需的信用卡公司,汽车经销商或其他供应商。冻结信用的过程是高度自动化的,在Equifax违规之后,通常建议通过电话而不是通过网站,尤其是Equifax网站进行此操作。有关信用冻结的全面解释,请参见Brian Krebs的博客文章“我如何学会停止担心并拥抱安全冻结6月”。http bit ly A vAHl

对个人而言,另一种方法是身份盗用保险,可以单独购买,但更常添加到房主或房客的保险中。它不为身份盗用支付实际损失,但可以弥补纽约州修复信贷的许多高成本。的小册子身份盗用消费者指南ny gov ATTuTg上的http拥有有关身份盗用保险的良好信息,保险经纪人可以帮助您进行承保范围排除以及有关特定公司政策的其他详细信息,这些信息可能会大不相同。纽约指南以及社会保障署的帖子Equifax违规博客文章保护您的社会保障Jim Borland 9月http bit ly mwq ez包括许多其他有价值且实用的步骤来保护公司和个人客户

Equifax违规行为也向CPA公司和商业客户发出警告,提醒他们需要审查和维护客户和客户信息的网络安全性。硬件和软件应用程序人力资源策略所需技术顾问的专业知识水平以及适用于特定业务的其他步骤将基于诸如公司的行业规模IT系统基础结构以及系统中存储的信息敏感性等因素

CPA如何帮助客户

尽管据报道,Equifax违规行为影响了美国成年人,但该人数可能几乎接近具有Equifax信用历史记录的CPA公司客户的许多人可能已经担心,看到数十种媒体后,Equifax违规行为可能会对他们产生影响报告通常会结合准确且具有误导性的信息,因为受信任的专业人员CPA可以为个人客户提供他们所需的信息,以保护自己并放轻松

一封适用于个人客户的范本信,将在线上随本文一起提供,其中的信息也可以包含在网站,电子邮件,新闻通讯和其他社交媒体中。该信包含可选语言,邀请客户参加由适当的网络安全专家主持的免费教育课程

在报告了最近发生的CPA公司安全漏洞之后,确保客户和公司的IT系统以及外包服务提供商的IT系统受到网络入侵的保护可能很重要。

如何保护企业

本地CPA公司是黑客的目标丰富环境,他们知道公司系统包含新帐户和帐户接管欺诈所需的客户信息以及可能的其他私人或机密信息,他们还知道,即使只有几百名个人和企业客户的唯一从业人员也可以代表或更多身份被窃取本地公司的违规行为已导致盗用虚假报税表的客户身份的代价高昂的盗窃行为,而且CPA公司还受到勒索软件勒索,犯罪分子对公司的信息进行加密,将合法用户锁定,直到勒索赎金。经常以匿名比特币支付成功的网络入侵不仅成本高昂,而且对公司的声誉和客户关系都会造成灾难性的后果无论公司技术水平如何,了解足够的基本网络安全原则以理解承诺都是至关重要的确保个人安全所必需惯常客户的机密信息这些原则是财务内部控制原则的表亲,自从专业开始以来,这些原则已在所有CPA中根深蒂固

幸运的是,这里有大量可用资源,包括AICPA的网络安全资源中心和CPA网络安全简介http bit ly ATeTMn以及IRS出版物保护纳税人数据您的业务指南http bit ly fQs K其中清楚地概述了使用清单和最佳实践来保护客户端数据所需的要素,以帮助建立必要的保障框架。互联网安全中心(Cisco Center for Internet Security)备受推崇的顶级CIS控件是另外两个出色的资源http位ly hxpNPe和国家标准技术研究所Baldrige网络安全卓越构建器http位ly ATgGRx后者的基本问题与各种规模的企业都息息相关,而有些则更适用于大公司

另一个重要的保护措施是为各种CPA公司网络风险提供网络保险覆盖范围Daniel Hudson和Joseph Brunsman CPA需要了解哪些网络保险注册会计师游行http bit ly A EOUs对于面临网络安全事件的公司,汤森路透社的文章《您的公司被黑客入侵》是立即采取的行动Jon Baron Mayhttp tmsnrt rs YO WU提供有关如何采取行动以及如何保护公司免受网络入侵的出色建议

公司的法律和道德责任是什么

格莱姆·布莱奇法案(GLBA)包括要求金融机构广泛保护客户客户信息的规定,这是许多CPA所不知道的,GLBA对金融机构的广泛定义中包含了纳税申报人,而这些机构均由FTC监管,而CPA和税务律师则被豁免根据GLBA的隐私声明要求,它们仍受保护客户信息的规则的约束。《保障规则》请参见侧栏,要求税务准备者制定实施并维护全面的书面信息安全计划,以描述其公司的程序,以保护适合公司的客户信息。规模和复杂性,其活动的性质和范围以及相关客户信息的敏感性在Equifax违规行为公开之前,FTC于8月加强了与税务实践有关的执法,它与非CPA纳税申报准备书签订了执法协议。 irm Taxslayer未能遵循《保障规则》的多个要素,并指出进一步的失职将导致严厉的处罚

纽约州金融服务部DFS拥有全面的新规则,该规则已于今年生效,并且超出了《保障规则》的要求,对小公司具有豁免权ny gov hvjbkz上的http该法律特别要求实体拥有首席信息官,首席信息官应向董事会提交详细的网络安全报告,以超越传统的IT部门的职责,并向董事会发出特定的受托通知。此外,特别需要MFA。该法律还包括扩展的报告要求当确实发生违规时

由于纽约在金融服务领域的地位,该法律的影响可能会超出州以外的地区违反并窃取了客户的机密信息,以通知客户指定的政府机构,包括执法部门,在某些情况下还通知信用报告机构

《国内税收法》 IRC部分和《美国注册会计师协会专业行为守则》对客户的保密性有具体要求,以补充更广泛的《保障措施规则》。税务顾问二月http位ly mwBRFN一般而言,在将个人机密信息透露给第三方之前,需要获得美国国税局的许可,而美国国税局对这种许可的形式规定了严格的规则。根据《专业行为守则》,当税务专业人员将退货准备服务外包给第三方公司时,他们必须披露该事实与客户签订合同或与外包服务提供商签订合同,其中包括与客户机密性相关的条款。此外,《保障规则》要求CPA监督提供商对客户信息的处理

尽管越来越多的CPA公司根据AICPA专业标准提供专业的网络安全服务,但在该职业道德领域,律师在CPA专业方面遥遥领先。5月,美国律师协会ABA发布了正式意见,保护受保护客户信息的传播http bit ly zL bBg它比CPA道德规范更强,更具体地与网络安全相关。在律师的职责范围内,律师应了解法律及其实践的变化,包括与相关技术相关的收益和风险。律师应了解法律的本质。网络安全威胁了解如何传输客户机密信息以及将其存储在何处,并了解并使用合理的电子安全措施确定应如何保护有关客户事务的电子通信,培训技术和信息安全方面的律师和非律师助理,并对提供通信技术的供应商进行尽职调查扩展AICPA有关外包供应商的规则后,ABA规则规定律师应考虑尽职调查和监督职责因素,例如参考检查和供应商凭证供应商的安全策略和协议供应商的雇用实践使用保密协议以及法律论坛的可用性和可访问性,以针对违反供应商协议的行为提供法律救济

在Equifax违规之后,遵守这些法律和专业操守规则的重要性不断提高如果发生CPA公司违规并被起诉的公司,则重大合规性失败可能会使公司难以自我辩护且代价昂贵

在哪里可以了解有关网络安全的更多信息

希望了解有关网络安全技术标准和实践的更多知识的读者可以参考该领域专业人员使用的关键资源,其中包括

  • 互联网安全中心http www cisecurity org参与网络安全最佳实践,持续进行网络威胁监控并维护相关的网络安全专家社区
  • SANS研究所http www sans org提供广泛的网络安全培训
  • 全球信息保障认证http www giac org认证为网络安全专业人员提供了备受推崇的网络安全证书
  • 美国商务部国家标准技术研究院http www nist gov其“标准和最佳做法”部分列出了几种网络安全资源

此外,该领域的领先博客和网站是http www krebsonsecurity com由前《华盛顿邮报》记者布赖恩·克雷布斯(Brian Krebs)维护http www安全手表pcmag comPC杂志安全部分http www csoonline com以及新闻文章,安全产品评论和其他资源,以及http www infosecurity杂志com杂乱无章的网络安全主题

一些注册会计师事务所通常会拥有较大的客户,并且具有必要的网络安全专业知识和证书,会根据AICPA专业认证标准提供与网络安全相关的服务。AICPA的网络安全资源中心有一个小节讨论这些服务http bit ly zL bBg审查标准可以使各种规模的公司的注册会计师更好地了解该领域涉及的技术复杂性

进一步阅读资源

优秀设计中的缺陷华盛顿邮报Net of Insecurity系列,探讨互联网从一开始就缺乏安全性的原因http wapo st inVP

FTC的《保护客户信息的监管标准》要求纳税申报单编制者保持书面程序,以解决公司规模对客户数据的适当管理技术和物理保护措施http bit ly im Ijm

FTC的咨询出版物《金融机构和客户信息,符合保障规则》http bit ly zI p l

Equifax违反您应该知道的布莱恩·克雷布斯(Brian Krebs)https krebsonsecurity com违反Equifax的知识

您必须始终打开的安全性设置William Rothman华尔街日报wsj com hyslwL上的http

纽约总检察长对该州《信息安全违规和通知法》的摘要https ag ny gov互联网数据泄露

国家标准技术研究所改善关键基础设施网络安全的框架由专业人员用来帮助组织管理网络安全http位ly zId rr

美国注册会计师协会管理层的描述标准实体网络安全风险管理计划的描述其网络安全专业认证标准的示例http bit ly zMB XP

恢复警惕

自从Internet诞生以来,无摩擦电子商务的发展促进了无障碍电子商务的发展,其重要性通常超过了可能阻碍其发展的安全性。政策制定者向IT创新文化压力施加压力,使其转向关注网络安全的问题,而不再关注速度和低成本

同时,对于CPA而言,至少要学习网络安全基础知识并致力于合理地保护其客户和公司,这一点很重要这是道德上和法律上需要做的事情

Walter Primoff CPA PFS CGMA是CPA和其他专业公司的网络安全顾问,并且是PrimGroup Cos Cob Conn的首席执行官。他是NYSSCPA的前副执行董事,《 CPA Journal》的前特约编辑
Sidney Kess JD LLM CPA是Kostelanetz Fink的法律顾问,以及Citrin Cooperman Co LLP的高级顾问。他是NYSSCPA名人堂成员,并于5月被授予协会杰出的CPA教育奖。注册会计师期刊编辑顾问委员会