С 2020 года зафиксировано более 42,000 случаев несанкционированного доступа к личным кабинетам налогоплательщиков в Канадском налоговом агентстве (CRA). Об этом говорится в специальном докладе уполномоченного по защите персональных данных Филиппа Дюфрена.

По данным самого агентства, злоумышленники, как правило, использовали украденные или утечённые учётные данные из внешних источников, чтобы получить доступ к аккаунтам налогоплательщиков.

«Мошенники используют реальные данные налогоплательщиков, чтобы подавать фиктивные декларации, переводить причитающиеся выплаты на свои счета и незаконно получать государственные льготы», — говорится в докладе.

«Некоторые мошенники действуют ещё проще: звонят на горячую линию CRA, представляются владельцем аккаунта, отвечают на проверочные вопросы — и меняют данные без какого-либо взлома».

Дюфрен раскритиковал агентство за слабую защиту данных: по его словам, CRA недостаточно эффективно предотвращает утечки, выявляет угрозы и реагирует на инциденты. В частности, агентство не внедрило обязательную двухфакторную аутентификацию в установленные сроки и не придерживалось общепринятых стандартов безопасности. При этом CRA зачастую не могло объяснить, каким образом злоумышленники успешно проходили процедуру проверки личности. Из-за ограничений в системах отслеживания и большого количества инцидентов агентство также не смогло предоставить детальную информацию по каждому подтверждённому случаю.

Комиссар сформулировал девять рекомендаций по устранению выявленных недостатков. Восемь из них агентство приняло в полном объёме, одну — частично.

В заявлении, опубликованном в четверг, агентство приняло к сведению выводы доклада и пообещало обеспечить надёжную защиту персональных данных налогоплательщиков.

«Защита информации налогоплательщиков является для CRA приоритетом. В условиях растущей цифровизации агентство постоянно совершенствует меры защиты от всё более изощрённых угроз», — говорится в заявлении.

Агентство также сообщило, что регулярно проводит оценку уязвимостей и анализ рисков. Подозрительная активность выявляется как с помощью автоматизированных систем мониторинга, так и благодаря обращениям самих налогоплательщиков, заметивших несанкционированные действия со своими аккаунтами. 

Подписывайтесь на наш Telegram-канал, чтобы всегда оставаться в курсе событий.