Rideau Hallin kybertapahtuma todettiin sisäisten sähköpostien mukaan “monimutkaiseksi kybertapahtumaksi”

Viimeisin päivitys kesä 28, 2023

Uusi paljastus Rideau Hallin tietoturvaloukkauksesta paljastui viime vuonna. Hallituksen korkeille virkamiehille kerrottiin, että kyseessä oli " hienotettu kybertapahtuma " vain muutama päivä ennen kuin he ilmoittivat siitä yleisölle.

Kanadan lehdistö sai käsiinsä hallituksen sisäiset sähköpostit Access of Information Actin kautta. Viranomaisten mukaan "[he] eivät pystyneet vahvistamaan käsiksi saatujen tietojen koko laajuutta."

Juuri tästä syystä kansliapäällikön kanslia on tutkinut luottovalvontapalvelujen saamista työntekijöiden saataville, sillä työntekijät olivat erittäin huolissaan siitä, että tiettyjä luottamuksellisia tietoja on saatettu varastettua.

17 marraskuuta 2021 julkaistun luonnoksen mukaan, joka jaettiin Rideau Hallin työntekijöiden kanssa, kaikkia johtajia kannustettiin "pohtimaan yksiköissään hallinnoimiaan tietotiloja" ja ottamaan huomioon mahdolliset huolenaiheensa.

Ilmeisesti sanottu ilmoitus tehtiin korkeille viranomaisille lähes kaksi viikkoa ennen kuin uutinen vuodosta julkistettiin.

Pääkuvernöörin sihteerin toimisto sanoi 2. joulukuuta julkaistun lehdistötiedotteen perusteella, että sen sisäiseen verkkoon oli luvaton pääsy. Myös Kanadan kyberturvallisuuskeskus tutkii rikkomusta. He ilmoittivat, että tietokoneverkon turvallisuutta pyritään parantamaan, mukaan lukien neuvottelut liittovaltion tietosuojavaltuutetun toimiston kanssa.

Sihteerin toimiston tiedottaja Ciara Trudeau sanoi, että uutiset rikkomisesta välitettiin Rideau Hallin työntekijöille sekä "ulkoisille kumppaneille, joihin tapaus on saattanut vaikuttaa".

Hän ei kuitenkaan ollut avoin tietomurron yksityiskohdista, kuten siitä, miten ja miksi loukkaus tapahtui tai varsinkaan millaisia tietoja on käsitelty. Hän ei myöskään suostunut kommentoimaan työntekijöiden luottovalvontapalvelujen hankintaa.

The Canadian Pressin saamien sisäisten sähköpostiviestien sisällön perusteella on osoitettu, että monet Privy Council Officen johtavat virkamiehet tiesivät rikkomuksesta kaksi viikkoa ennen kuin yleisö sai tiedon siitä. Privy Council Officen tiedottaja kieltäytyi kommentoimasta tapausta.

Communications Security Establishmentin tiedottaja Evan Koronewski sanoi, että CSE ja kyberkeskus eivät voi keskustella tietomurron yksityiskohdista. Vaikka hän sanoikin: "Voin kertoa teille, että jatkamme ahkerasti työtä (pääkuvernöörin sihteerin toimiston kanssa) varmistaaksemme, että heillä on käytössä vankat järjestelmät ja työkalut mahdollisten uusien uhkien seurantaan, havaitsemiseen ja tutkimiseen. ,"

Hän lisäsi lisäksi, että CSE tarjoaisi aktiivisesti kyberpuolustuspalveluja Office of Secretarylle yhdessä Shared Services Canadan kanssa kumppaneina.

Chantal Bernier, Kanadan entinen väliaikainen tietosuojavaltuutettu, jakoi havaintojaan siitä, että kyberrikolliset ovat pitäneet tietopankkeihin murtautumista erittäin houkuttelevana. "Se on riskitöntä, erittäin halpaa ja erittäin kannattavaa", hän mainitsi. "Valitettavasti on myös paljon valtion tukemaa hakkerointia."

Bernier arvosti tapaa, jolla Rideau Hall käsitteli koko tilanteen. Hän uskoi, että he soittivat oikean puhelun ilmoittamalla nopeasti CSE:lle tietomurrosta, etsimällä tapoja suojella työntekijöitä ja jopa ottamalla yhteyttä tietosuojavaltuutetun toimistoon huolimatta siitä, että sihteerin toimisto ei ole vastuussa tietosuojalaista.

Hänen mukaansa tämä loukkaus korostaa sitä, miten komissaarilla pitäisi saada enemmän oikeuksia tasoittaa yksilöiden henkilötietoja säilyttävien organisaatioiden ja yksilöiden itsensä välistä vallan epätasapainoa. Tarkista myös ero ennakoivan ja reaktiivisen kyberturvallisuuden välillä .

Hän sanoi myös: "Se on nyt niin monimutkaista. Emmekä voi jokainen meistä erikseen pitää organisaatioita vastuullisina – se on meidän rajoissamme.”

Tällä hetkellä Bernier käsittelee tietosuojaa ja kyberturvallisuutta koskevaa tapausta Dentosin tulipalossa ja toteaa: "Rikkomusten ja seurausten suuruus on niin suuri, että meillä on oltava riittävän vahva sääntelyviranomainen, jotta kaikki organisaatiot, jotka pitävät tietojamme vastuullisina."