ملخص
- Desjardins مهمة لأن السجل العام يصف مؤسسة مالية تم فيها نسخ معلومات الأعضاء الحساسة من خلال مسارات عمل كانت شرعية في المظهر ولكنها غير آمنة في التصميم.
- قال مكتب مفوض الخصوصية في كندا إن الاختراق أثر في النهاية على ما يقرب من 9.7 مليون فرد في كندا وخارجها، وقال بيان Desjardins العام الأول إن الاكتشاف الأصلي شمل أكثر من 2.9 مليون عضو تمت مشاركة معلوماتهم خارج المؤسسة.
- سؤال المساءلة هو من كان لديه السيطرة العملية على حقوق وصول الموظفين، وسير العمل على الأقراص المشتركة، وحدود تقليل البيانات، والمراقبة، والتعرض للوسائط القابلة للإزالة، وإشعار الأعضاء، وتكلفة المعالجة، وإثبات أن نفس النوع من النسخ لا يمكن أن يتكرر.
- استجابت Desjardins بمراقبة الائتمان، وحماية الهوية، والالتزامات التنظيمية، والمخصصات المالية العامة، وعملية تسوية الدعوى الجماعية؛ كانت تلك الإجراءات ضرورية، لكنها لم تحل محل الحاجة إلى دليل على أن ظروف حوكمة الوصول قد تغيرت.
- تعتبر هذه المقالة إشعارات Desjardins، ونتائج مفوض الخصوصية الكندي، والتقارير المالية لـ Desjardins، وسجلات التسوية، وقانون الخصوصية، وتوجيهات OSFI، وأطر حوكمة الأمن دليلاً عامًا. لا تدعي الوصول إلى ملفات الشرطة الخاصة، أو سجلات الموظفين الكاملة، أو سجلات خسارة الأعضاء الفردية، أو كل أداة تدقيق داخلي لاحقة.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي Desjardins إلى ملف المخاطر والمساءلة لأن الاختراق لم يكن سردية اقتحام خارجي تقليدية. تصف الأدلة العامة استخراجًا مرتبطًا بالموظف لسجلات الهوية المالية من مؤسسة لم يكن لدى أعضائها طريقة عملية لفحص تصميم الوصول أو ممارسة الاحتفاظ. قال بيان Desjardins العام في 20 يونيو 2019 علىhttps://www.newswire.ca/news-releases/desjardins-statement-concerning-unauthorized-access-to-some-member-information-806079260.htmlإن شرطة لافال اتصلت بـ Desjardins بمعلومات تؤكد أن المعلومات الشخصية لأكثر من 2.9 مليون عضو قد تمت مشاركتها خارج المؤسسة، بما في ذلك 2.7 مليون عضو فردي و173000 عضو تجاري. وعزا البيان الموقف إلى استخدام غير مصرح به وغير قانوني للبيانات الداخلية من قبل موظف تم فصله.
كان ذلك الإفصاح الأول خطيرًا بالفعل. لاحقًا جعله السجل التنظيمي أكبر وأكثر أهمية من الناحية الهيكلية. قالت نتائج مكتب مفوض الخصوصية في كندا علىhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2020/pipeda-2020-005/إن Desjardins أبلغت مكتب الخصوصية الفيدرالي في 27 مايو 2019 عن خرق للضمانات الأمنية أثر في النهاية على ما يقرب من 9.7 مليون فرد في كندا وخارجها. تضمنت المعلومات المخترقة الأسماء، وتواريخ الميلاد، وأرقام التأمين الاجتماعي، وعناوين السكن، وأرقام الهواتف، وعناوين البريد الإلكتروني، وسجلات المعاملات. وقال نفس التقرير إن Desjardins خلصت إلى أن أحد الموظفين كان يقوم بتسريب المعلومات الشخصية على مدى 26 شهرًا على الأقل.
تنتمي القضية هنا لأن تلك الأدلة تغير المشكلة من "موظف ارتكب خطأ" إلى "المؤسسة بنت بيئة بيانات حيث يمكن لموظف واحد أن يخلق خطر هوية جماعيًا." لا يمكن للمؤسسة المالية أن تعامل التعرض الداخلي كاستثناء مفاجئ عندما تنتقل المعلومات الحساسة عبر مستودعات البيانات، ومجلدات التسويق، ومحطات العمل، والوسائط القابلة للإزالة. إذا كانت المؤسسة تخلق سير عمل حيث يمكن لأدوار الموظفين رؤية أو نسخ أو تجميع أو تصدير كميات كبيرة من بيانات هوية الأعضاء، فإن حوكمة الوصول هي رقابة لحماية الأعضاء. إنها ليست تفضيلًا إداريًا.
سؤال المساءلة مباشر: من كان لديه السيطرة العملية على حقوق وصول الموظفين، وحدود تقليل البيانات، والمراقبة، وكشف التسريب، وإشعار الأعضاء، وتكلفة المعالجة، وإثبات عدم إمكانية نسخ بيانات الهوية المالية خارج سير العمل المعتمدة؟ قيادة Desjardins سيطرت على الحوكمة والاستثمار وأولوية ضوابط الخصوصية. وحدات الأعمال سيطرت على ما إذا كانت سير عمل التسويق والتحليل تتطلب ملفات هوية واسعة. فرق التكنولوجيا والأمن سيطرت على توفير الوصول، وهندسة الأقراص المشتركة، ومراقبة نقاط النهاية، والتسجيل، وضوابط الوسائط القابلة للإزالة. فرق الخصوصية والمخاطر سيطرت على سياسات الاحتفاظ، والتدريب، والاستجابة للاختراق، وأدلة الجهات التنظيمية.
الأعضاء لم يسيطروا على أي من ذلك تقريبًا. قدموا معلومات الهوية لأن الحياة المالية تطلبت ذلك.
تناسب القضية أيضًا سيادة البيانات والمحلية لأن السجلات كانت عن أفراد كنديين وآخرين تحت إشراف مؤسسة مالية تعاونية في كيبيك تحت إشراف الخصوصية الفيدرالي والإقليمي. تناسب أتمتة الأمان لأن فشل السيطرة كان جزئيًا حول المراقبة، وحركة البيانات الآلية، وما إذا كان يمكن اكتشاف النسخ غير الطبيعي وإيقافه قبل أن يصبح حدثًا على مستوى السكان. تناسب استمرارية القطاع العام لأن سجلات الهوية المالية تربط الأعضاء العاديين بأنظمة الضرائب، والائتمان، والمزايا، والإبلاغ للشرطة، والثقة التنظيمية العامة. يمكن لاختراق تعاوني خاص أن يصبح مشكلة خطر هوية مدنية عندما تتضمن أرقام التأمين الاجتماعي والعناوين وسجلات المعاملات.
كان المشغل المرئي موظفًا، لكن نظام التحكم كان أوسع
من المغري وصف اختراق Desjardins كقصة من الداخل والتوقف عند هذا الحد. سيفوت ذلك جوهر قضية المساءلة. نتائج الخصوصية الكندية حددت بالفعل موظفًا خبيثًا ووصفت نسخ المعلومات الشخصية من الأقراص المشتركة إلى كمبيوتر عمل ثم إلى مفاتيح USB. لكن نفس التقرير وصف سير عمل تجارية وضعت المعلومات الشخصية الحساسة في المجلدات المشتركة في المقام الأول. قال إن الموظفين قاموا بنقل آلي للمعلومات الشخصية من مستودع بيانات الائتمان إلى مجلدات المستخدمين في قرص مشترك لقسم التسويق، وأن موظفين آخرين نسخوا معلومات شخصية سرية من مستودع بيانات بنكي إلى قرص مشترك.
ثم نسخ الموظف الخبيث المعلومات من تلك المواقع المشتركة، بما في ذلك معلومات لم يكن ليتمكن من الوصول إليها عادة في مستودع البيانات البنكي.
هذا مهم لأن الموظف لم يكن بحاجة إلى هزيمة نظام منيع. استغل الموظف نظامًا كان قد جلب بالفعل السجلات الحساسة إلى مواقع عمل قابلة للوصول. من حيث المساءلة، كان على المؤسسة أن تشرح لماذا تم وضع البيانات الحساسة بدرجة كافية لخلق خطر هوية طويل الأمد في مواقع تشغيلية واسعة أو غير محمية بشكل كافٍ. كان عليها أيضًا أن تشرح لماذا لم تقطع ضوابط الكشف والمنع النسخ على مدى فترة طويلة.
عبارة "استخدام غير مصرح به وغير قانوني" دقيقة كمشغل، لكن الحوكمة لا يمكن أن تنتهي بالعبارة. يمكن لداخلي أن ينتهك الثقة في أي مؤسسة. السؤال المسؤول هو ما إذا كانت المؤسسة صممت سير عمل متميزة كما لو كان سوء الاستخدام الداخلي متوقعًا. تعالج المؤسسات المالية أرقام التأمين الاجتماعي، والأسماء، والعناوين، وتواريخ الميلاد، والمعلومات المتعلقة بالحساب، وسجلات المعاملات على وجه التحديد لأنها تدعم علاقات الائتمان والخدمات المصرفية المنظمة.
تخلق تلك الحساسية واجبًا للحد من يمكنه رؤية البيانات، وأين يمكن تخزينها مؤقتًا، ومدة بقائها هناك، وما إذا كان يمكن نسخها إلى نقاط النهاية، وما إذا كان التخزين القابل للإزالة محظورًا، وما إذا كانت الحركة غير العادية تنتج تنبيهات.
لذلك يجب قراءة بيان Desjardins العام ونتائج مفوض الخصوصية معًا. أعطى البيان العام في البداية للأعضاء مشغلًا ومسار طمأنة فوري. سجل الجهة التنظيمية أعطى تشريح السيطرة. العضو الذي يقرأ البيان الأول فقط قد يتخيل موظفًا مارقًا مع وصول غير عادي. قارئ سجل الجهة التنظيمية يرى قضية حوكمة أوسع: حقوق الوصول، وتصميم الأقراص المشتركة، وممارسة نقل البيانات، والاحتفاظ، وتدريب الموظفين، والمراقبة، والتخفيف بعد الاختراق.
هذا هو الفرق بين سرد المسؤولية وسرد السيطرة. سرد المسؤولية يبحث عن الشخص الذي انتهك السياسة. سرد السيطرة يسأل لماذا سمحت بيئة السياسة والتكنولوجيا للانتهاك بالتوسع. كلاهما مهم. كان سلوك الموظف محوريًا للحادث، لكن الأعضاء احتاجوا إلى دليل على أن Desjardins غيرت الظروف التي جعلت السلوك مهمًا على هذا النطاق.
لم يكن تقليل البيانات مبدأ خصوصية مجردًا
غالبًا ما يتم التعامل مع تقليل البيانات كلغة قانونية. في هذه الحالة كان حدًا أمنيًا عمليًا. يمكن للمؤسسة المالية فقط أن تخسر أو تسرب ما تجمعه وتحتفظ به وتنسخه وتخزنه وتجعله قابلاً للوصول. قالت نتائج الخصوصية الكندية إن عمر بعض المعلومات المخترقة دفع OPC لمراجعة ممارسات تدمير البيانات لدى Desjardins. وجد التقرير انتهاكات تتعلق بالمساءلة وفترات الاحتفاظ والضمانات الأمنية. وذكر أيضًا أن Desjardins لم يكن لديها إجراءات لتدمير المعلومات الشخصية في نهاية دورة حياتها وكانت لا تزال غير قادرة، بعد أشهر من الحادث، على تحديد فترة الاحتفاظ للحسابات غير النشطة المخترقة.
هذه نقطة مساءلة حاسمة. سياسة الاحتفاظ ليست قضية جانبية لإدارة السجلات عندما تتضمن السجلات معلومات هوية يمكن استخدامها للاحتيال بعد سنوات. أرقام التأمين الاجتماعي وتواريخ الميلاد لا تصبح غير ضارة لأن الحساب غير نشط. يمكن استخدام العناوين وأرقام الهواتف وعناوين البريد الإلكتروني وسجلات المعاملات لبناء محاولات انتحال مقنعة. كلما طالت مدة بقاء المعلومات في الأنظمة القابلة للوصول بعد انتهاء غرضها، كلما زاد سطح الاختراق.
يوفر قانون حماية المعلومات الشخصية والوثائق الإلكترونية علىhttps://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.htmlالإطار الفيدرالي لقانون الخصوصية للتعامل مع المعلومات الشخصية في القطاع الخاص في كندا. طبقت نتائج Desjardins مبادئ المساءلة والضمانات والاحتفاظ من ذلك القانون على الاختراق. الدرس العملي المهم هو أن قانون الخصوصية وهندسة الأمان يلتقيان داخل ضوابط دورة الحياة. إذا لم تعد البيانات ضرورية، يجب ألا تظل متاحة ليتم نسخها من موقع مشترك. إذا كان سير عمل التسويق يحتاج إلى تحليل إجمالي، يجب ألا يتلقى تلقائيًا سجلات هوية كاملة ما لم يكن حالة الاستخدام تتطلبها وتتناسب الضمانات مع الخطر. إذا كان مجلد المستخدم يحتوي على مقتطفات حساسة، فإن هذا المجلد ليس مخبأ راحة؛ إنه مخزن بيانات منظم.
تغير تقليل البيانات أيضًا نموذج التكلفة. بعد الاختراق، قد تدفع المؤسسة لمراقبة الائتمان، وحماية الهوية، والاتصالات، والعملية القانونية، والتدقيق الخارجي، والإصلاح التشغيلي. اعترف التقرير المالي لـ Desjardins للربع الثاني من 2019 علىhttps://www.desjardins.com/ressources/pdf/d50-rapport-trimestriel-mcd-2019-2-e.pdf?resver=1565631033000بمصروفات ومخصصات كبيرة للحماية بعد اختراق الخصوصية. ربط تقريرها السنوي لعام 2019 علىhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-mcd-2019-t4-e.pdf?resVer=1583954841000والبيانات المالية ذات الصلة علىhttps://www.desjardins.com/ressources/pdf/d50-etat-financier-mcd-2019-e.pdf?resVer=1583166109000الاستجابة للاختراق بتكلفة مالية مادية. تظهر تلك التكاليف لماذا التقليل ليس مجرد تفضيل للامتثال. تصبح البيانات المحتفظ بها الزائدة التزامًا ممولًا عندما تفشل الضوابط.
لذلك فإن اختبار الإصلاح المسؤول ليس "هل كتبت المؤسسة سياسة احتفاظ؟" إنه "هل يمكن للمؤسسة إثبات أن المعلومات الحساسة القديمة وغير الضرورية لم تعد قابلة للوصول من قبل الموظفين العاديين، أو المجلدات المشتركة، أو أجهزة الكمبيوتر المحمولة، أو سير عمل التحليلات، أو الوسائط القابلة للإزالة؟" سياسة بدون دليل تدمير هي وعد. إجراء حذف بدون مراقبة هو أمل. احتاج الأعضاء إلى دليل على أن تقليل البيانات أصبح تشغيليًا.
فشلت حوكمة الوصول حيث التقت راحة الأعمال بالسجلات الحساسة
حوكمة الوصول هي قلب القضية. في العديد من المؤسسات المالية، تحتاج فرق الأعمال بشكل مشروع إلى البيانات لإدارة المنتجات، والتسويق، ونمذجة المخاطر، ومنع الاحتيال، والعمليات، والتقارير، وتحسين الخدمة. يمكن أن تكون تلك الاحتياجات حقيقية. لكن حقيقة أن الاستخدام مشروع لا تعني أنه يجب نسخ كل سجل إلى مناطق عمل واسعة. وصفت نتائج الخصوصية معلومات حساسة تنتقل من مستودعات البيانات إلى الأقراص المشتركة ومجلدات المستخدمين، حيث يمكن للموظف الخبيث نسخها حتى عندما لم يكن ليتمكن عادة من الوصول إلى المستودع البنكي الأصلي. هذا هو انقلاب كلاسيكي في حوكمة الوصول: يمكن أن يصبح المصدر المحمي أقل حماية بعد استخراج تجاري.
قضية المساءلة ليست أن أقسام التسويق يجب ألا تستخدم بيانات الأعضاء أبدًا. إنه أن الوصول يجب أن يتبع الحاجة والغرض والحساسية وإمكانية التتبع في كل مرحلة. إذا غادر مستخرج مستودعًا، يجب أن يرث الضوابط. إذا تلقى مجلد مستخدم بيانات حساسة، يجب أن تكون صلاحياته ضيقة، واستخدامه مسجل، واحتفاظه قصير، ومسارات التصدير خاضعة للرقابة. إذا تم استخدام قرص مشترك كمساحة عمل وسيطة، يجب ألا يصبح مستودع بيانات ظل طويل الأمد. إذا لم تكن حقول الهوية مطلوبة، يجب إزالتها أو ترميزها قبل أن يغادر المستخرج الأنظمة الخاضعة للرقابة.
أتمتة الأمان ذات صلة لأن السياسة اليدوية لا يمكنها مراقبة كل نسخة. بيئة ناضجة ستبحث عن نقل غير عادي، وتصدير متكرر للأعمدة الحساسة، ونسخ من الأقراص المشتركة إلى نقاط النهاية، واستخدام التخزين القابل للإزالة، وأنماط الوصول التي لا تتوافق مع الدور أو الغرض. ستصنف أيضًا الملفات حسب الحساسية بحيث يتم التعامل مع جدول بيانات أو مستخرج بيانات يحتوي على أرقام التأمين الاجتماعي وسجلات المعاملات بشكل مختلف عن محتوى الأعمال العادي. يجب أن تجعل ضوابط نقطة النهاية من الصعب نسخ بيانات الهوية المالية المنظمة إلى أجهزة USB دون موافقة وتسجيل.
يمكن أن تكون أدوات منع فقدان البيانات غير كاملة، لكن غياب أو ضعف هذه المراقبة يغير العبء على الأعضاء الذين لا يستطيعون حماية أنفسهم من التصدير الداخلي.
توجيهات OSFI بشأن إدارة مخاطر التكنولوجيا والأمن السيبراني علىhttps://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-managementليست نتيجة بأثر رجعي حول ضوابط Desjardins لعام 2019. إنها مفيدة لأنها تعبر عن التوقع الحديث للقطاع المالي بأن تتم إدارة مخاطر التكنولوجيا والأمن السيبراني ومراقبتها وجعلها مرنة بما يتناسب مع المخاطر المؤسسية. تقع حركة البيانات الداخلية ضمن هذا الإطار. إنها ليست مجرد حدث خصوصية. إنها حدث خطر تشغيلي حيث يتقاطع الأشخاص والعمليات والتكنولوجيا وحوكمة البيانات.
كان لفشل حوكمة الوصول أيضًا بعد ثقة مؤسسية. Desjardins هي مجموعة مالية تعاونية. الأعضاء ليسوا مجرد حاملي حسابات تجزئة في نظام بعيد؛ إنهم جزء من علاقة تعاونية تعتمد على الثقة والمحلية وهوية العضوية. لذلك فإن الاختراق الذي يتضمن موظفًا موثوقًا يضرب العقد الاجتماعي للمؤسسة. لا يمكن اختصار الإصلاح إلى "الموظف رحل." يجب على المؤسسة أن تظهر أن ثقة الأعضاء لم تعد تعتمد على افتراض أن كل موظف لديه وصول مناسب سيتصرف بشكل صحيح إلى الأبد.
تأخير الكشف غير شكل المساءلة
توقيت الكشف مهم لأن ضرر بيانات الهوية ينمو بهدوء. يمكن استبدال بطاقة الدفع المسروقة. يظل رقم التأمين الاجتماعي وتاريخ الميلاد مفيدين للاحتيال المستقبلي والانتحال والهندسة الاجتماعية. قالت نتائج الخصوصية إن التسريب المرتبط بالموظف حدث على مدى 26 شهرًا على الأقل. تلك الفترة الطويلة مركزية للمساءلة لأنها تشير إلى أن نظام التحكم لم يلاحظ أو يوقف النسخ المتكرر للمعلومات الحساسة على مدى فترة كافية لتضاعف الخطر.
السجل العام لا يكشف عن كل سجل مراقبة أو تنبيه داخلي متاح لـ Desjardins، لذلك لا يجب للمقالة اختراع تفاصيل. الأدلة تدعم استنتاجًا أضيق: أظهر سجل الكشف والإفصاح النهائي أن الضمانات الحالية لم تكن كافية لمنع التعرض على نطاق سكاني. وصف البيان الصحفي لـ OPC علىhttps://www.priv.gc.ca/en/opc-news/news-and-announcements/2020/nr-c_201214/مزيجًا من نقاط الضعف الإدارية والتكنولوجية. قال بيان المفوض علىhttps://www.priv.gc.ca/en/opc-news/speeches-and-statements/2020/s-d_20201214/إن Desjardins لم تظهر المستوى المناسب من الاهتمام المطلوب لحماية المعلومات الشخصية الحساسة، مع الإشارة أيضًا إلى أن المؤسسة استجابت بشكل جيد بعد معرفتها بالاختراق.
يجب الاحتفاظ بهاتين النقطتين معًا. الاستجابة القوية بعد الاكتشاف مهمة. يمكن أن تقلل من ضرر الأعضاء، وتدعم الجهات التنظيمية، وتمول المعالجة، وتحسن الضوابط. لكن الاستجابة القوية بعد الاكتشاف الخارجي لا تمحو وضع الكشف الضعيف قبل الاكتشاف. بالنسبة للأعضاء، لم يكن الخطر ذا الصلة فقط ما إذا كانت Desjardins تصرفت بمجرد وصول معلومات الشرطة. كان ما إذا كانت Desjardins يمكنها اكتشاف النسخ غير الطبيعي دون انتظار إشارات خارجية.
الكشف ليس عنصر تحكم واحد. يشمل مراجعات الوصول، وتصنيف البيانات، وفحص المجلدات المشتركة، وقياس عن بعد لنقاط النهاية، ومراقبة الوسائط القابلة للإزالة، وتحليلات المستخدمين المتميزين، والاستثناءات القائمة على الدور، وتوجيه التنبيهات، وقواعد التصعيد. يتضمن أيضًا سلطة إيقاف العمليات التجارية الواسعة جدًا. إذا قام قسم ببناء مستخرجات متكررة تضع بيانات حساسة في الأقراص المشتركة، يجب على الكشف أن يسأل لماذا يوجد هذا النمط، وما إذا كان معتمدًا، وما إذا كان لا يزال مطلوبًا، وما إذا كان يمكن قمع الحقول الحساسة. المراقبة التي تسجل الأحداث فقط دون مراجعة الحوكمة هي دليل ضعيف.
النافذة الطويلة تغير أيضًا إشعار الأعضاء. إذا كانت البيانات قد غادرت المؤسسة على مدى أشهر عديدة، لا يمكن للأعضاء معرفة خطر الاحتيال المستقبلي بالضبط. يجب على المؤسسة التواصل بعدم اليقين بأمانة. يجب أن تحدد فئات المعلومات المعنية، ومن قد يتأثر، وما هي الخدمات الوقائية المتاحة، وما هي عمليات إنفاذ القانون والجهات التنظيمية الجارية، وما ستفعله المؤسسة إذا ظهرت سرقة الهوية لاحقًا. الإشعار ليس مجرد خطوة قانونية. إنه نقل المعرفة القابلة للتنفيذ إلى الأشخاص الذين لم يسيطروا على الاختراق.
أظهرت تكلفة المعالجة أن خطر الهوية يعيش بعد الحادث
سجل معالجة Desjardins هو جزء مفيد من ملف الأدلة لأنه يظهر أن المؤسسة تعاملت مع خطر الهوية على أنه طويل الأمد. تصف حماية هوية Desjardins علىhttps://www.desjardins.com/en/security/desjardins-identity-protection.htmlالحماية من الاحتيال، ودعم سرقة الهوية، وسداد نفقات استعادة الهوية، وميزات مراقبة الائتمان. اعترفت التقارير المالية لـ Desjardins بالتكاليف والمخصصات المرتبطة بحماية الاختراق، وناقش التقرير السنوي للاتحاد لعام 2019 علىhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-fcdq-2019-t4-e.pdf?resVer=1583953623000المصروفات لتنفيذ حماية هوية Desjardins بعد اختراق الخصوصية.
تلك الاستجابة مهمة لأن بيانات الهوية دائمة. مراقبة الائتمان لفترة قصيرة يمكن أن تساعد، لكن المعرفات المخترقة قد تستخدم لاحقًا. قد يواجه العضو محاولات احتيال بعد سنوات من الحدث، خاصة إذا تم دمج البيانات مع مصادر أخرى. اعترف عرض Desjardins لحماية هوية أوسع وسداد النفقات بأن نموذج الضرر يمكن أن يستمر بعد دورة الأخبار.
يضيف سجل تسوية الدعوى الجماعية بُعدًا آخر. إعلان تسوية Desjardins في فبراير 2022 علىhttps://www.desjardins.com/en/news/desjardins-settlement-agreement.htmlقال إنه تم إبرام اتفاق تسوية مع المدعين في الدعاوى الجماعية المتعلقة باختراق الخصوصية. إعلان يونيو 2022 علىhttps://www.desjardins.com/en/news/privacy-breach-settlement-agreement.htmlقال إن المحكمة العليا في كيبيك وافقت على تسوية تسمح بدفع حد أقصى قدره 200,852,500 دولار كتعويض فردي للأفراد المؤهلين الذين قدموا مطالبات. موقع التسوية علىhttps://desjardinssettlement.com/ومواد محامي الفصل علىhttps://www.siskinds.com/class-action/desjardins-privacy-breach/أصبحت جزءًا من خريطة المعالجة العامة.
التسوية ليست نفس النتيجة الفنية. لم تكن Desjardins بحاجة إلى الاعتراف بكل ادعاء من أجل التسوية. لكن التسوية هي دليل مساءلة لأنها تظهر كيف انتقلت تكلفة الاختراق من فشل السيطرة إلى تعويض الأعضاء، وإدارة المطالبات، والإفراج القانوني، والمصروف المؤسسي. تظهر أيضًا حدود المال بعد الاختراق. العضو الذي يتلقى تعويضًا لا يزال يتعين عليه التعايش مع حقيقة أن بيانات الهوية لا يمكن استرجاعها. أقوى إصلاح هو الوقاية وتحسين السيطرة القابل للتحقق، وليس فقط السداد بعد التعرض.
لذلك يجب أن يسأل ملف المعالجة ما إذا كانت الأموال والخدمات متطابقة مع دليل السيطرة. هل تم تضييق حقوق الوصول؟ هل تم إعادة تصميم سير عمل الأقراص المشتركة؟ هل تم تصنيف المستخرجات الحساسة وتحديدها زمنيًا؟ هل تم تعزيز ضوابط USB؟ هل تم تحسين تنبيهات المراقبة؟ هل تم تنفيذ إجراءات الاحتفاظ والتدمير؟ هل طُلب من المدققين الخارجيين التصديق على الأمور الصحيحة؟ هل كانت تقارير تقدم الجهات التنظيمية ذات مغزى كافٍ لإثبات التغيير؟ يقول سجل الخصوصية العام إن Desjardins وافقت على التوصيات وإعداد التقارير للتدقيق الخارجي. لا يزال الأعضاء بحاجة إلى الضمان العملي بأن المسارات القديمة قد أغلقت.
حولت توصيات الجهات التنظيمية القضية إلى اختبار أدلة
نتائج الخصوصية الكندية قيمة لأنها لم تؤطر الاختراق كلغز. حددت نقاط الضعف وقدمت توصيات. قالت OPC إن Desjardins وافقت على تحسين برامج حماية المعلومات الشخصية وأمن المعلومات، وتقديم تقارير مرحلية كل ستة أشهر، وإشراك مدققين خارجيين، وتقديم تقارير التقييم. قال البيان الصحفي لـ OPC أيضًا إن Desjardins وافقت على توصيات تتعلق بممارسات تدمير البيانات وتحسين البرامج.
هذا هو محور المساءلة. توصية الجهة التنظيمية ليست مجرد توبيخ. إنها تخلق معيارًا للأدلة. كان على Desjardins أن تظهر أن الضوابط تم تنفيذها، وأن المدققين الخارجيين فحصوا البرامج ذات الصلة، وأن المخاطر المتبقية تم تحديدها. أدرجت نتائج OPC موضوعات التقييم مثل الحوكمة، والموارد، والمنصات المستخدمة لتخزين المعلومات الشخصية، وحساسية المعلومات المخزنة في كل موقع، والضمانات، والاحتفاظ، والتدمير، وإزالة الهوية، والمخاطر المتبقية. هذه هي الفئات الصحيحة لأن الاختراق عبر حدود تخزين البيانات والوصول ونقطة النهاية والاحتفاظ والحوكمة.
إرشادات مكتب مفوض الخصوصية للاختراقات للشركات علىhttps://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/gd_pb_201810/هي مفردات تحكم مفيدة للاستجابة وحفظ السجلات. تعزز أن المؤسسات يجب أن تقيم الخطر الحقيقي للضرر الكبير، وتُبلغ عن بعض الاختراقات، وتُعلم الأفراد المتضررين، وتحتفظ بالسجلات، وتتخذ خطوات لتقليل الضرر. في قضية Desjardins، لم يكن التحدي مجرد تلبية آليات الإشعار. كان إثبات أن الضمانات أصبحت مناسبة لحساسية وحجم البيانات.
إطار الأمن السيبراني من NIST علىhttps://www.nist.gov/cyberframeworkومواد التصميم الآمن من CISA علىhttps://www.cisa.gov/resources-tools/resources/secure-by-designهي مراجع أوسع، وليست نتائج خاصة بـ Desjardins. لا تزال ذات صلة لأنها تعبر عن حلقة التحكم التي كشفها هذا الحادث. تحديد البيانات الحساسة والعمليات التجارية. حماية الوصول وتحديد الحركة. اكتشاف النسخ غير الطبيعي. الاستجابة بإشعار واضح ومعالجة. استعادة الثقة من خلال إصلاح تم اختباره. حوكمة النظام بأكمله من خلال مسؤولية مسماة وأدلة. لمسة قضية Desjardins كل جزء من تلك الحلقة.
يظهر عنصر استمرارية القطاع العام هنا. أصبح منظمي الخصوصية، والشرطة، والمحاكم، والمشرفين الماليين، ووكالات الائتمان، والمستجيبين لسرقة الهوية، ومسؤولي الدعوى الجماعية جميعًا جزءًا من نظام الاستجابة البيئي. لا يبقى اختراق الهوية المالية الكبير داخل حدود المؤسسة. المؤسسات العامة يجب أن تستوعب الشكاوى والتحقيقات والإبلاغ عن الاحتيال والعملية القانونية وعمل الثقة العامة. المؤسسة التي جمعت البيانات تتحكم في ضمانات الدرجة الأولى؛ القطاع العام يساعد في تحمل عواقب الدرجة الثانية.
يجب أن تظل حدود الأدلة مرئية
يدعم السجل العام نتائج قوية، لكن له حدود. يدعم أن Desjardins كشفت عن مشاركة مرتبطة بالموظف لمعلومات الأعضاء خارج المؤسسة، وأن الاختراق أثر في النهاية على ما يقرب من 9.7 مليون فرد وفقًا لنتائج الخصوصية الفيدرالية، وأن فئات البيانات الحساسة تضمنت الأسماء وتواريخ الميلاد وأرقام التأمين الاجتماعي والعناوين ومعلومات الاتصال وسجلات المعاملات، وأن OPC وجدت إخفاقات تتعلق بالمساءلة والاحتفاظ والضمانات. يدعم أن Desjardins مولت إجراءات حماية الهوية ودخلت لاحقًا في عملية تسوية معتمدة من المحكمة.
لا يدعم السجل العام الادعاء بأن كل فرد متأثر تعرض لسرقة الهوية. لا يثبت الاستخدام النهائي الدقيق لكل سجل. لا يكشف عن كل أدلة الشرطة، أو كل سجلات محطات عمل الموظفين، أو كل أحداث USB، أو كل مراجعات الوصول الداخلي، أو كل تقديمات الجهات التنظيمية، أو كل قطعة تدقيق خارجي. لا يدعم التكهن بشأن كل موظف أو قسم في Desjardins. يجب على ملف المساءلة الجاد أن يبقي تلك الحدود مرئية لأن المبالغة تضعف التحليل.
الاستنتاج الصحيح هو أضيق وأقوى: المؤسسة المالية التي تحتفظ ببيانات هوية دائمة يجب ألا تدع مسارات العمل العادية تصبح مسارات تصدير جماعي. سوء الاستخدام الداخلي متوقع. الأقراص المشتركة متوقعة. الوسائط القابلة للإزالة متوقعة. مستخرجات البيانات للتسويق أو التحليل متوقعة. انجراف الاحتفاظ متوقع. معيار المساءلة ليس معرفة كاملة بكل موظف مستقبلي. إنه دليل على أن النظام يحد من ما يمكن لدور واحد نسخه، ويكتشف الحركة غير العادية، ويحتفظ فقط بما هو مطلوب، ويعطي الأشخاص المتضررين حماية ذات معنى عندما تفشل الضوابط.
يجب أيضًا عدم استخدام القضية للادعاء بأن المؤسسات المالية يمكنها القضاء على جميع المخاطر الداخلية. لا يمكنها ذلك. تحتاج البنوك والاتحادات الائتمانية وشركات التأمين وشركات الدفع إلى موظفين ومقاولين للتعامل مع المعلومات الحساسة لأسباب مشروعة. المعيار الواقعي هو السيطرة المتناسبة. يجب أن تتطلب البيانات شديدة الحساسية صلاحيات أقوى، وحقول أضيق، وربط الغرض، ومسارات التدقيق، والتجزئة، وضمانات نقطة النهاية، وانضباط الاحتفاظ. كلما كان المعرف أكثر ديمومة، قل التسامح مع النسخ العارض.
التمييز مهم للعدالة. تضمنت استجابة Desjardins العامة حماية الأعضاء والتعاون مع الجهات التنظيمية. تلك الاستجابة تنتمي إلى السجل. لا تنفي إخفاقات السيطرة. يجب على ملف المساءلة تقييم كليهما: إصلاح المؤسسة بعد الاكتشاف والظروف قبل الاكتشاف التي سمحت للاختراق بالتوسع.
ما يتطلبه الإصلاح القابل للتحقق
يبدأ اختبار الإصلاح الدائم لـ Desjardins بحقوق الوصول. يجب أن يكون لكل نقل متكرر للمعلومات الشخصية الحساسة من مستودع خاضع للرقابة إلى مجلد مستخدم أو قرص مشترك أو مساحة عمل تحليلات أو نقطة نهاية غرض تجاري مسمى، وموافقة مالك البيانات، وتقليل الحقول، وحد احتفاظ، وتسجيل، وتاريخ مراجعة. إذا كان يمكن تحقيق الغرض ببيانات مجمعة أو مميزة، يجب ألا تنتقل حقول الهوية. إذا كان يجب أن تنتقل حقول الهوية، يجب معاملة الموقع المتلقي كمخزن بيانات عالي الخطورة، وليس مجلد قسم عادي.
الاختبار الثاني هو تحكم دورة الحياة. كانت Desjardins بحاجة إلى معرفة المعلومات الشخصية التي تحتفظ بها، ولماذا تحتفظ بها، وأين يتم تخزينها، ومدة بقائها، وكيف سيتم تدميرها أو إزالة هويتها عندما لا تكون هناك حاجة إليها. هذا ليس سهلاً في مجموعة مالية تعاونية كبيرة مع أنظمة قديمة ومستودعات بيانات ومنتجات أعضاء وأنشطة تأمين وبطاقات وعملاء تجاريين ووظائف تحليلات. الصعوبة هي بالضبط لماذا يجب حوكمة السيطرة. جدول الاحتفاظ الذي لا يمكن تعيينه إلى المستودعات الفعلية ليس كافيًا.
الاختبار الثالث هو كشف حركة البيانات. يجب على المؤسسة المالية الحديثة أن تولد أدلة عندما يتم نسخ البيانات الحساسة بكميات، أو نقلها إلى مجلد مشترك، أو تنزيلها إلى محطة عمل، أو كتابتها إلى وسائط قابلة للإزالة، أو ضغطها، أو إرسالها بالبريد الإلكتروني خارجيًا، أو الوصول إليها خارج أنماط الدور العادية. يجب توجيه التنبيهات إلى أشخاص لديهم سلطة التحقيق. يجب أن تنتهي الاستثناءات. يجب مراجعة العمليات التجارية المتكررة التي تنشئ مستخرجات حساسة كبيرة من قبل الخصوصية والأمن ومالك البيانات، وليس اعتيادها لأنها موجودة دائمًا.
الاختبار الرابع هو التحكم في نقطة النهاية والوسائط القابلة للإزالة. وصفت النتائج العامة النسخ من قرص مشترك إلى كمبيوتر عمل ثم إلى مفاتيح USB. يجب أن تثبت الاستجابة المسؤولة أنه لا يمكن تصدير المعلومات الشخصية عالية الخطورة بشكل عرضي إلى وسائط قابلة للإزالة، أو أن أي تصدير معتمد يتم التحكم فيه بشدة، ومسجل، ومشفّر، ومحدد زمنيًا، ومرتبط بتذكرة عمل مشروعة. يجب أن تغطي الضوابط أيضًا الطباعة، وإعادة توجيه البريد الإلكتروني، والمزامنة السحابية، والأجهزة الشخصية، ومسارات التسريب العملية الأخرى.
الاختبار الخامس هو التخفيف المواجه للعضو. يمكن لخدمات حماية الهوية والسداد ودعم الاحتيال ومراقبة الائتمان والتعويض أن تقلل الضرر، لكن يجب أن تكون مرتبطة بشرح واضح لفئات البيانات والخطر المستقبلي. يجب ألا يضطر الأعضاء إلى تحليل المستندات القانونية لمعرفة ما حدث، وما يجب أن يراقبوه، وما المساعدة المتاحة إذا ظهرت سرقة الهوية لاحقًا.
الاختبار السادس هو الأدلة الخارجية. عندما تطلب جهة تنظيمية تقارير مرحلية وعمليات تدقيق خارجية، يجب أن تكون الأدلة محددة بما يكفي لإظهار أن حوكمة الوصول تغيرت. بيان عام بأن السياسات تحسنت لا يجيب على الاختراق. يجب أن تظهر الأدلة تقدم جرد البيانات، وتنظيف أدوار الوصول، وتقليل الأقراص المشتركة، وتنفيذ الاحتفاظ، ومقاييس المراقبة، وتحسينات الاستجابة للحوادث، والمخاطر المتبقية غير المحلولة. قد لا تنشر الجهات التنظيمية كل التفاصيل، لكن يجب أن تكون المؤسسة قادرة على إظهار الجوهر.
ما يجب أن تتعلمه المؤسسات المالية الأخرى
قضية Desjardins لها درس عام للمؤسسات المالية والاتحادات الائتمانية وشركات التأمين والشركات المالية التقنية ومعالجي البيانات: التعرض الداخلي للبيانات ليس فئة نادرة خارج الحوكمة العادية. إنه نمط الفشل الطبيعي للوصول الواسع والمستخرجات غير المدارة والاحتفاظ الطويل وضعف ضوابط نقطة النهاية والمراقبة المحدودة. يمكن للموظف الخبيث فقط إنشاء خطر هوية على مستوى السكان إذا كانت البيئة تمنح ذلك الموظف مسارًا لبيانات على مستوى السكان.
يجب على مجالس الإدارة أن تطلب أدلة، وليس راحة. كم عدد الموظفين الذين يمكنهم الوصول إلى حقول الهوية الخام؟ كم عدد المستخرجات المتكررة التي تتضمن أرقام التأمين الاجتماعي وتواريخ الميلاد والعناوين أو سجلات المعاملات؟ أين تهبط تلك المستخرجات؟ كم من الوقت تبقى؟ هل يمكن نسخها إلى أجهزة الكمبيوتر المحمولة أو الوسائط القابلة للإزالة؟ أي التنبيهات ستنطلق إذا قام مستخدم بنسخ مئات الآلاف من السجلات؟ من يراجع حقوق الوصول لأدوار التسويق والتحليلات والمنتجات والاحتيال والدعم والعمليات؟ كيف يتم إزالة الاستثناءات بسرعة؟ كيف يتم تدمير بيانات الأعضاء القديمة؟ ما الاختبار المستقل الذي يثبت الإجابة؟
يجب على فرق الأمن مقاومة العبارة الضيقة "التهديد الداخلي" إذا أصبحت طريقة لإضفاء الطابع الفردي على مشكلة التصميم. إدارة المخاطر الداخلية هي حوكمة الوصول، وتصنيف البيانات، والتحكم في الاحتفاظ، والمراقبة، وتصميم نقطة النهاية، والتدريب، وسير عمل التحقيق، وإعادة تصميم العملية التجارية. إنها ليست حملة ملصقات تطلب من الموظفين أن يكونوا جديرين بالثقة. يجب تدريب الموظفين، لكن التدريب لا يمكن أن يحل محل الحد من كمية البيانات الحساسة التي يمكن لشخص واحد نسخها.
يجب على فرق الخصوصية معاملة تقليل البيانات كهندسة أمنية. عندما يتم الاحتفاظ بسجلات الخصوصية لفترة طويلة جدًا أو نسخها على نطاق واسع جدًا، يرث فريق الأمن نصف قطر انفجار أكبر. عندما تتجاهل مراقبة الأمن المستخرجات التجارية لأنها مرخصة رسميًا، يرث فريق الخصوصية دورة حياة غير خاضعة للرقابة. يلتقي التخصصان في مسألة ما إذا كانت البيانات الحساسة موجودة حيث يجب، للمدة التي يجب، تحت ضوابط تتناسب مع ضررها المستقبلي.
يجب على الأعضاء والعملاء أن يسألوا المؤسسات كيف تتم حماية بيانات الهوية بعد أن تغادر التطبيق الأصلي. العديد من المؤسسات لديها ضوابط وصول قوية لقاعدة البيانات في المصدر لكن ضوابط أضعف حول المستخرجات والتقارير والأقراص المشتركة وجداول البيانات وصناديق الرمل التحليلية. قد لا يكون النسخ الخطير هو السجل في النظام الأساسي. قد يكون التصدير الذي تم إنشاؤه للراحة ونسي.
الدرس النهائي للمساءلة عملي. لم تجعل Desjardins الوصول الداخلي اختبار حوكمة لأن موظفًا تصرف بشكل سيء. جعلته اختبار حوكمة لأن السجل العام أظهر أن بيانات الهوية المالية يمكن أن تنتقل عبر أنظمة العمل العادية بطريقة خلقت خطرًا جماعيًا. في مؤسسة مالية، هوية العضو هي بنية تحتية. يجب أن تحكم بنفس الجدية مثل حركة الأموال، لأنه بمجرد أن تغادر بيانات الهوية المؤسسة، يحمل العضو الخطر لسنوات.
جعلت الثقة التعاونية عبء الإثبات أعلى
الهيكل التعاوني لـ Desjardins يجعل عبء الإثبات أعلى، وليس أقل. يمكن لمجموعة مالية تعاونية التحدث بلغة العضوية والخدمة المحلية والملكية المشتركة والالتزام المجتمعي. تلك القيم ذات معنى فقط إذا كانت متطابقة مع دليل على أن بيانات الأعضاء محمية داخل المؤسسة. لا يمكن للعضو أن يشارك بشكل هادف في حوكمة البيانات إذا كانت الضوابط ذات الصلة مخفية في المستودعات والأقراص المشتركة وأدوات نقطة النهاية وأنظمة الاحتفاظ. لذلك تعتمد العلاقة التعاونية على دليل مؤسسي، وليس افتراض عضو.
يجب أن يكون ذلك الدليل مقروءًا على عدة مستويات. يحتاج مجلس الإدارة إلى أدلة سيطرة: جرد البيانات، ومراجعات الوصول، ومقاييس المراقبة، وتقدم التدمير، ونتائج التدقيق، والمخاطر المتبقية. تحتاج الجهات التنظيمية إلى تفاصيل كافية لاختبار ما إذا تم تنفيذ التوصيات بدلاً من استيعابها في لغة السياسة العامة. يحتاج الأعضاء إلى إشعار واضح حول البيانات المتضمنة، وما الحماية المستمرة، وكيفية الحصول على المساعدة. يحتاج الموظفون إلى حواجز عملية تجعل المسار المعتمد أسهل من المسار غير الآمن. كل جمهور يحتاج إلى سطح مختلف، لكن جميعهم بحاجة إلى نفس الحقيقة الأساسية: لم يعد بإمكان بيانات الهوية الحساسة التحرك عبر مسارات عمل ضعيفة الحوكمة على نطاق جماعي.
هذا أيضًا حيث تصبح الثقة العامة قضية استمرارية. المؤسسات المالية جزء من الحياة اليومية. تعتمد الرواتب والقروض والبطاقات والسجلات الضريبية والمدخرات التقاعدية وتمويل الشركات الصغيرة والتأمين والتفاعلات الحكومية جميعًا على هوية مستقرة وسجلات موثوقة. عندما يتضمن الاختراق أرقام التأمين الاجتماعي ومعلومات الاتصال، يمتد عبء الإصلاح إلى ما وراء ميزانية مؤسسة واحدة. البنوك ووكالات الائتمان وخدمات الشرطة والسلطات الضريبية وأرباب العمل ومكاتب مساعدة المستهلك تصبح جميعًا جزءًا من بيئة إدارة الضرر. لهذا السبب تعامل المقالة استمرارية القطاع العام كموضوع خاضع للرقابة على الرغم من أن Desjardins ليست وكالة حكومية.
لمس الاختراق بنية تحتية للهوية يعتمد عليها كل من القطاعين العام والخاص.
لذلك فإن استنتاج المساءلة الأكثر فائدة ليس خطابًا عقابيًا. إنها قاعدة أدلة. إذا كانت المؤسسة تجمع معلومات هوية دائمة، يجب أن تكون قادرة على إثبات أين توجد تلك المعلومات، ومن يمكنه استخدامها، ولماذا يمكنهم استخدامها، ومدة بقائها هناك، وماذا يحدث عندما تتحرك، وما الإشارة التي تظهر عندما تتحرك بشكل غير طبيعي. إذا لم تستطع المؤسسة الإجابة على هذه الأسئلة قبل الحادث، فستجيب عليها بعد ذلك من خلال الإشعارات والمخصصات والدعاوى الجماعية ونتائج الجهات التنظيمية وقلق الأعضاء. جعلت Desjardins هذا التوقيت مرئيًا.

