Вирус - есть, мошенничества - нет

Александра Коваль Александра Коваль Директор Клуба Россия-ОЭСР опубликовано Налоги
Вирус - есть, мошенничества - нет

В период COVID-19 налоговые органы принимают беспрецедентные меры для снижения нагрузки на население и бизнес: отсрочка и отмена налоговых платежей, приостановление проверок, отмена штрафов и пр.

Однако скорость, с которой эти меры реализуются, а также изменения в работе самих органов из-за карантина могут привести к существенным рискам нарушения конфиденциальности и мошенничества.

26 мая 2020 г. Секретариат Форума ОЭСР по налоговому администрированию (FTA) опубликовал отчет «Налоговое администрирование: неприкосновенность частной жизни, раскрытие информации и риски мошенничества, связанные с COVID-19», в рамках которого исследуются ключевые проблемы налоговых администраций в период COVID-19.

Вероятность мошенничества во время пандемии возрастает ввиду быстро меняющихся правил, рисков дезинформации или путаницы, роста угроз конфиденциальности и раскрытия информации и др.

ОЭСР выделяет следующие риски мошенничества в период пандемии:

1. риски мошенничества с идентификацией. Во многих странах приняты меры поддержки в связи с COVID-19. Более того, многие налоговые органы непосредственно занимаются администрированием распределения такой помощи. Это может побудить злоумышленников совершить кражу личных или корпоративных данных для получения денежных выплат. ОЭСР рекомендует налоговым службам сотрудничать с другими гос. органами для проверки адреса налогоплательщика и информации об его учетной записи на основе государственных реестров, использовать многофакторную аутентификацию для физических или юридических лиц для доступа к платежам и применять риск-ориентированный подход.

Существует также риск мошенничества с телефонными звонками (письмами, визитами), когда звонящие утверждают, что являются налоговыми инспекторами и запрашивают личные данные (например, под предлогом проверки банковского счета налогоплательщика) или деньги. Налоговым службам необходимо обеспечить ясность в отношении форм официальных сообщений и взаимодействий, предоставить информацию об основных признаках потенциального мошенничества, развивать сотрудничество с компетентными органами и интернет-провайдерами для закрытия мошеннических веб-сайтов и др.

2. риски налогового мошенничества с целью уменьшения налоговых платежей или получения налоговых возвратов. Существует риск создания новых компаний для доступа к прямым выплатам в рамках мер поддержки или получения налоговых возвратов. Поэтому ОЭСР рекомендует уделять особое внимание платежам с использованием новых банковских счетов, определять красные флажки для проведения расширенных процедур проверки (недавно созданные предприятия; налогоплательщики, недавно зарегистрировавшиеся в налоговом органе или ранее не подававшие документы; недавние изменения банковских реквизитов или адресов), сотрудничать с банками, проводить дистанционные проверки или, где возможно, физические проверки, когда есть веские основания подозревать мошенничество.

3. внутренние риски мошенничества в налоговых органах. Усиление финансового давления в сочетании с быстрыми изменениями и развертыванием программ поддержки, а также иногда ограниченным надзором в результате удаленной работы, может создать почву для совершения мошенничества внутри налогового органа. ОЭСР рекомендует проводить внутреннюю оценку рисков мошенничества, использовать инструменты самооценки и др.

С точки зрения неприкосновенности частной жизни и раскрытия информации ОЭСР выделяет 3 ключевых группы рисков:

1. риски, связанные с переходом налоговой службы на удаленную работу

Несанкционированный доступ в административные помещения. Раньше взломы и кражи офисов налогового органа могли быть проблемой в ночное время. Теперь риски возрастают и в дневное время с учетом того, что многие сотрудники работают из дома. Для минимизации рисков ОЭСР рекомендует усилить проверки на входе в офис налоговых служб, принять руководство для персонала в отношении повышенных угроз безопасности, например, о важности блокировки компьютеров и удаления конфиденциальных документов, когда они находятся вне своих рабочих мест, обеспечить блокировку незанятых офисов и помещений, неиспользуемых компьютеров, проводить осмотр вещей на выходе и др.

Случайные нарушения конфиденциальности сотрудниками call-центра, нагрузка на которых существенно возросла в период пандемии. ОЭСР рекомендует подготовить расширенные руководства для персонала о важности соблюдения требований проверки и информационной безопасности, четкие протоколы для неопытного персонала относительно количества полученных вызовов, переадресации вызовов, создать условия предварительной проверки вызовов с учетом их сложности и др.

Хранение и обработка почтовых сообщений. До сих пор налоговые службы имеют дело с почтовыми сообщениями, некоторые из которых могут носить общий характер, а некоторые могут быть связаны с платежами и возвратами и носить срочный характер. Безусловно, переход на удаленную работу части сотрудников создает сложности в работе с такими документами. ОЭСР рекомендует переход на электронное взаимодействие, классификацию писем на срочные (их приоритезация) и несрочные, информирование налогоплательщиков и налоговых консультантов о повторной отправке важных документов с соответствующей маркировкой на конверте, прием электронных сообщений (скан по емейлу или факс) вместо бумажных и др.

Процедуры направления налоговой информации. Рост числа случаев доставки налоговых документов, в т.ч. бесконтактной, увеличивает риски нарушения конфиденциальности. Поэтому ОЭСР рекомендует максимально поощрять использование электронных каналов связи, а также прибегать только к надежным службам доставки.

Поведение сотрудников и рабочее место дома. Может возникнуть повышенный риск раскрытия налоговой информации членам семьи или посетителям. Домашние голосовые помощники также увеличивают риск непреднамеренного раскрытия информации о налогоплательщиках. ОЭСР рекомендует обучать сотрудников вопросам конфиденциальности и безопасности, подготовить для них контрольные списки для оценки рисков места удаленной работы (использование таймера блокировки экрана, когда сотрудник находится далеко от компьютера; использование надежных паролей и их регулярное обновление, хранение конфиденциальных документов в закрытых контейнерах и др.) и т. д.

Хранение IT-оборудования и записей. В период пандемии сотрудников быстро переводят на удаленную работу, а их домашние ПК могут быть не такими безопасными, как в офисе налоговой службы. Положительный шаг – подготовка рекомендаций о том, как оборудование и записи могут храниться более безопасно в домашней обстановке, как использовать программное обеспечение для шифрования.

2. риски, связанные с IT-инфраструктурой

Использование ПК. Налоговые инспекторы в ходе работы на дому пользуются IT-оборудованием налогового органа с установленными мерами безопасности, которые могут помешать использовать личные устройства (принтеры, сканеры) для выполнения рабочих задач. Персонал может испытывать желание обойти эти правила, передавая информацию о налогоплательщиках по незащищенным каналам для облегчения работы в домашних условиях, например, по незашифрованной электронной почте. Учитывая риски использования вредоносного ПО налоговые данные впоследствии могут будут украдены. ОЭСР рекомендует устанавливать на компьютеры налоговой службы ПО, которое обнаруживает подключение неутвержденного IT-оборудования, предотвращает распространение конфиденциальной информации на неподтвержденные адреса электронной почты и др.

Фишинг. Информационная активность налоговых служб в период COVID-19 существенно повышает риск того, что фишинговые сообщения будут приняты за официальные сообщения. ОЭСР рекомендует сформировать стандарты, руководствуясь которыми налогоплательщики могут определить, являются ли письма подлинными, попросить сотрудников и налогоплательщиков сообщать о подозрительных электронных письмах, сотрудничать с интернет-провайдерами для выявления спама и др.

Небезопасные сети и приложения. Использование домашних и, особенно, общедоступных сетей может увеличить риск взлома устройств и доступа к информации посторонних лиц. ОЭСР предлагает предостерегать сотрудников от использования общедоступных сетей, попросить персонал усилить пароли и, по возможности, перейти к двухфакторной аутентификации, рассмотреть варианты удаленной установки системы обнаружения вторжений в сеть (возможно, в сотрудничестве с поставщиками интернет-услуг) и др.

3. риски, связанные с человеческим фактором.

ОЭСР отмечает сложности, которые могут возникнуть в связи с выходом на пенсию или увольнением сотрудников налогового органа в период удаленной работы, подчеркивая необходимость наличия эффективных политик для ограничения доступа увольняющихся сотрудников. ОЭСР также призывает стремиться обеспечить баланс между личными правами сотрудников, заразившимися COVID-19, и безопасностью других сотрудников и налогоплательщиков.