<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.16414" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><STRONG><FONT size=5>IRS Found Lax in Protecting Taxpayer 
Data<BR></FONT></STRONG>
<P><FONT size=-1>By Kathleen Day<BR>Washington Post Staff Writer<BR>Thursday, 
April 5, 2007; D01<BR></FONT></P>
<P></P>
<P>Thousands of taxpayers could be at risk of identity theft or other financial 
fraud because the Internal Revenue Service has failed to adequately protect 
information on its 52,000 laptop computers and other storage systems, a new 
government report concludes.</P>
<P>The IRS did not begin to adequately correct the security problems until the 
second half of 2006, despite being warned about them in 2003 and again in 
February 2006, according to a report by the inspector general of the IRS, J. 
Russell George.</P>
<P>"If taxpayers don't feel their personal information is protected, that could 
make them less likely to voluntarily file their taxes," said assistant inspector 
general Margaret E. Begg, whose auditing office studied IRS security policies 
and practices in place from January 2003 through mid-June 2006.</P>
<P>Nearly 500 IRS laptops were lost or stolen during that 3 1/2 -year period, 
many from the homes or cars of IRS workers but a significant number -- 111 -- 
from IRS offices, the report found. The IRS says one laptop typically contains 
information on 10 to 25 tax cases.</P>
<P>Although the missing laptops could not be examined, the inspector general's 
staff tested 100 laptops currently used by IRS employees and found 44 had 
"unencrypted sensitive data, including taxpayer data and employee personnel 
data," leading investigators to conclude "it is very likely a large number of 
the lost or stolen IRS computers contained similar unencrypted data."</P>
<P>No report of identity theft has been linked to the missing laptops, and no 
taxpayers have been alerted to the potential security breaches, IRS officials 
say.</P>
<P>In previous reports in 2003 and 2006, the IRS inspector general's office 
found that agency employees often failed to encrypt information on laptops and 
that passwords and other access codes were often easy to bypass. The new report, 
released yesterday, found not only that the laptop problems persisted through 
much of 2006 but identified for the first time similar security holes in backup 
systems at IRS field and processing offices around the country.</P>
<P>In one instance, "an employee wrote user account names and passwords to the 
computer and various systems to which the employee has access on a piece of 
paper that was taped to the laptop," the report says.</P>
<P>The report attributes the newly identified shortcomings at IRS offices "to a 
lack of emphasis by management."</P>
<P>The security lapses described by the report are the latest instance of 
personal information being put at risk in recent years by a federal agency, even 
as identity theft has become one of the fastest-growing white-collar crimes. 
Last May, the Department of Veterans Affairs reported the theft of a computer 
hard-drive that contained personal information on more than 26 million people. A 
year ago, the Commerce Department reported that more than a thousand of its 
laptops were missing, including many containing sensitive information about 
individuals.</P>
<P>The government's missteps are mirrored in the private sector, where such 
companies as CardSystems Solutions and the owner of retail chains T.J. Maxx and 
Marshalls have had high-profile breaches of credit card information on millions 
of consumers. The Privacy Rights Clearinghouse, a nonprofit research and 
advocacy group in San Diego, says more than 100 million records of U.S. 
residents have been exposed by security breaches since February 2005.</P>
<P>The inspector general's report said that in at least two instances the IRS 
said it had implemented recommendations from the 2003 and 2006 reports, 
including reminding employees to encrypt information and to reset security codes 
after laptops were serviced. But the new report says the inspector general's 
staff members "were unable to find any supporting documentation" that these 
remedies had been made and that, in any case, the IRS responses "have not been 
effective."</P>
<P>In an e-mailed statement, IRS Commissioner Mark W. Everson said the agency 
has had no reports of identity theft or other fraud resulting from the missing 
laptops but that mistakes were made that need correcting.</P>
<P>He said "protection of taxpayer data is a top priority" for the IRS and that 
the agency has "moved aggressively" since late summer to remedy security flaws. 
Historically, the agency treated missing laptops as lost hardware rather than as 
a possible loss of taxpayers' personal information.</P>
<P>"Clearly, this was not the proper response," he said.</P>
<P>An IRS spokesman said that since last fall, the agency's 100,000 employees 
have been trained in computer security, that nearly all laptops have been 
installed with automatic encryption software and that locks have been issued for 
all laptops.</P>
<P>Two powerful senators on the Senate Finance Committee, which oversees the 
IRS, said they are troubled by the report.</P>
<P>Committee Chairman Max Baucus (D-Mont.) said "sloppy security" can't be 
tolerated. The committee's ranking Republican, Charles E. Grassley of Iowa, 
agreed, saying "it's hard to see why this is still a problem when the IRS knew 
about it more than three years ago."</P></DIV></BODY></HTML>