Згідно з внутрішніми електронними листами, кіберінцидент у Rideau Hall визнано «витонченим кіберінцидентом»

Останнє оновлення Чер 28, 2023

Минулого року стало відомо про порушення безпеки в Rideau Hall. Високопоставленим урядовцям повідомили, що це був « витончений кіберінцидент » лише за кілька днів до того, як оголосити про це громадськості.

Канадська преса потрапила до внутрішніх урядових електронних листів через Закон про доступ до інформації. За словами чиновників, «[вони] не змогли підтвердити повний обсяг інформації, до якої вони отримали доступ».

Саме з цієї причини Офіс секретаря генерал-губернатора намагався зробити послуги моніторингу кредитів доступними для співробітників, оскільки співробітники були дуже стурбовані тим, що певна конфіденційна інформація могла бути вкрадена.

Згідно з проектом від 17 листопада 2021 року, яким було ознайомлено з працівниками Rideau Hall, всім керівникам було запропоновано «подумати над інформаційними фондами, якими вони керують у своїх відповідних підрозділах», і вирішувати свої проблеми, якщо такі є.

Очевидно, зазначене оголошення було зроблено для вищих посадових осіб майже за два тижні до того, як новина про витік інформації була оприлюднена громадськості.

Виходячи з випуску новин від 2 грудня, Офіс генерального секретаря генерал-губернатора заявив про «несанкціонований доступ до внутрішньої мережі». Злом також розслідувався Канадським центром кібербезпеки. Вони повідомили, що будуть докладені зусилля для покращення безпеки комп'ютерної мережі, включаючи консультації з офісом федерального уповноваженого з питань конфіденційності.

Сіара Трюдо, прес-секретар Офісу секретаря, сказала, що новина про порушення була повідомлена співробітникам Rideau Hall, а також "зовнішнім партнерам, які могли постраждати від інциденту".

Однак вона не повідомляла подробиць, пов’язаних із порушенням, наприклад, як і чому відбулося порушення або тим більше, яка інформація була доступна. Вона також відмовилася коментувати придбання послуг кредитного моніторингу для співробітників.

На основі вмісту внутрішніх електронних листів, які перевіряла Canadian Press, було зазначено, що багато високопоставлених посадових осіб Офісу Таємної ради знали про порушення за два тижні до того, як громадськість дізналася про це. Речник офісу Таємної ради відмовився коментувати інцидент.

Еван Короневський, речник Communications Security Establishment, сказав, що CSE і кіберцентр не мають права обговорювати конкретні деталі порушення. Хоча він сказав: «Я можу вам сказати, що ми продовжуємо старанно працювати з (Офісом секретаря генерал-губернатора), щоб забезпечити їх надійні системи та інструменти для моніторингу, виявлення та розслідування будь-яких нових потенційних загроз. ,"

Він також додав, що CSE буде активно надавати послуги кіберзахисту Офісу секретаря разом із Shared Services Canada як партнерами.

Шанталь Берньє, колишній тимчасовий уповноважений з питань конфіденційності Канади, поділилася своїми спостереженнями про те, що кіберзлочинці вважають злом банків даних надзвичайно привабливим. «Це безризикове, дуже дешеве і дуже прибуткове», – зазначила вона. «На жаль, існує також багато хакерських дій за підтримки держави».

Берньє оцінив те, як Рідо Хол впорався з усією ситуацією. Вона вважала, що вони зробили правильний дзвінок, негайно повідомивши CSE про порушення, шукали способи захисту співробітників і навіть зв’язалися з офісом уповноваженого з питань конфіденційності, незважаючи на те, що офіс секретаря не несе відповідальності за Закон про конфіденційність.

За її словами, вона вважає, що це порушення підкреслює, як уповноважений повинен отримати більше прав для згладжування дисбалансу повноважень між організаціями, які зберігають особисту інформацію окремих осіб, і самими особами. Також перевірте різницю між проактивною та реактивною кібербезпекою.

Вона також сказала: «Зараз все так складно. І ми не можемо, кожен з нас окремо, притягувати організації до відповідальності — це поза нами».

Наразі Берньє веде справу щодо конфіденційності та кібербезпеки під час пожежі Dentos і стверджує: «Масштаб порушень і наслідків такі, що нам потрібно мати достатньо сильного регулятора, щоб притягнути до відповідальності всі організації, які притягують наші дані до відповідальності».