Zusammenfassung
- Desjardins ist relevant, weil die öffentlichen Aufzeichnungen ein Finanzinstitut beschreiben, bei dem sensible Mitgliederinformationen über Arbeitswege kopiert wurden, die legitim erschienen, aber unsicher gestaltet waren.
- Das Amt des Datenschutzbeauftragten von Kanada erklärte, dass der Verstoß letztlich nahezu 9,7 Millionen Personen in Kanada und im Ausland betraf, und Desjardins' erste öffentliche Stellungnahme besagte, dass die ursprüngliche Entdeckung mehr als 2,9 Millionen Mitglieder betraf, deren Informationen außerhalb der Organisation geteilt worden waren.
- Die Frage der Rechenschaftspflicht ist, wer die praktische Kontrolle über die Zugriffsrechte der Mitarbeiter, die Arbeitsabläufe auf gemeinsamen Laufwerken, die Grenzen der Datenminimierung, die Überwachung, die Gefährdung durch Wechselmedien, die Benachrichtigung der Mitglieder, die Sanierungskosten und den Nachweis hatte, dass die gleiche Art des Kopierens nicht wieder auftreten konnte.
- Desjardins reagierte mit Kreditüberwachung, Identitätsschutz, regulatorischen Zusagen, öffentlichen finanziellen Vorkehrungen und einem Vergleichsverfahren für Sammelklagen; diese Maßnahmen waren notwendig, ersetzten aber nicht die Notwendigkeit eines Nachweises, dass sich die Bedingungen der Zugriffsgovernance geändert hatten.
- Dieser Artikel behandelt Desjardins-Mitteilungen, die Erkenntnisse des kanadischen Datenschutzbeauftragten, Desjardins-Finanzberichte, Vergleichsunterlagen, Datenschutzgesetze, OSFI-Leitlinien und Sicherheits-Governance-Rahmenwerke als öffentliche Beweise. Er beansprucht keinen Zugang zu privaten Polizeiakten, vollständigen Mitarbeiterprotokollen, individuellen Verlustaufzeichnungen der Mitglieder oder jedem späteren internen Prüfungsartefakt.
Warum dieser Fall in eine Risiko- und Rechenschaftsakte gehört
Desjardins gehört in eine Risiko- und Rechenschaftsakte, weil der Verstoß nicht die konventionelle Erzählung eines externen Eindringens war. Die öffentlichen Beweise beschreiben eine mitarbeiterbezogene Extraktion von Finanzidentitätsdaten aus einer Institution, deren Mitglieder keine praktische Möglichkeit hatten, die Zugriffsgestaltung oder Aufbewahrungspraxis zu überprüfen. Desjardins' öffentliche Stellungnahme vom 20. Juni 2019 unterhttps://www.newswire.ca/news-releases/desjardins-statement-concerning-unauthorized-access-to-some-member-information-806079260.htmlbesagte, dass die Polizei von Laval Desjardins mit Informationen kontaktiert hatte, die bestätigten, dass persönliche Informationen von mehr als 2,9 Millionen Mitgliedern außerhalb der Organisation geteilt worden waren, darunter 2,7 Millionen Einzelmitglieder und 173.000 Geschäftsmitglieder. Die Stellungnahme führte die Situation auf die unbefugte und illegale Nutzung interner Daten durch einen Mitarbeiter zurück, der entlassen worden war.
Diese erste Offenlegung war bereits schwerwiegend. Die spätere regulatorische Aufzeichnung machte sie noch größer und strukturell bedeutsamer. Die Feststellungen des Amtes des Datenschutzbeauftragten von Kanada unterhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2020/pipeda-2020-005/besagten, dass Desjardins das föderale Datenschutzbüro am 27. Mai 2019 über einen Verstoß gegen Sicherheitsvorkehrungen informiert hatte, der letztlich nahezu 9,7 Millionen Personen in Kanada und im Ausland betraf. Die kompromittierten Informationen umfassten Namen, Geburtsdaten, Sozialversicherungsnummern, Wohnadressen, Telefonnummern, E-Mail-Adressen und Transaktionshistorien. Derselbe Bericht besagte, dass Desjardins zu dem Schluss kam, dass ein Mitarbeiter über mindestens 26 Monate hinweg persönliche Informationen exfiltriert hatte.
Der Fall gehört hierher, weil diese Beweise das Problem von „ein Mitarbeiter hat etwas falsch gemacht“ zu „die Organisation hatte eine Datenumgebung aufgebaut, in der ein Mitarbeiter ein massives Identitätsrisiko schaffen konnte“ verändern. Ein Finanzinstitut kann die Gefährdung durch Insider nicht als überraschende Ausnahme behandeln, wenn sensible Informationen durch Data Warehouses, Marketingordner, Arbeitsstationen und Wechselmedien fließen.
Wenn die Institution einen Arbeitsablauf schafft, in dem Mitarbeiterrollen große Mengen an Mitgliederidentitätsdaten einsehen, kopieren, aggregieren oder exportieren können, dann ist die Zugriffsgovernance ein Kontrollmechanismus zum Schutz der Mitglieder. Es ist keine administrative Präferenz.
Die Frage der Rechenschaftspflicht ist direkt: Wer hatte die praktische Kontrolle über die Zugriffsrechte der Mitarbeiter, die Grenzen der Datenminimierung, die Überwachung, die Erkennung von Exfiltration, die Benachrichtigung der Mitglieder, die Sanierungskosten und den Nachweis, dass finanzielle Identitätsdaten nicht außerhalb genehmigter Arbeitsabläufe kopiert werden konnten? Die Führung von Desjardins kontrollierte Governance, Investitionen und die Priorität von Datenschutzkontrollen. Die Geschäftsbereiche kontrollierten, ob Marketing- und Analyse-Workflows umfassende Identitätsdateien erforderten.
Technologie- und Sicherheitsteams kontrollierten die Bereitstellung von Zugriffsrechten, die Architektur gemeinsamer Laufwerke, die Endpunktüberwachung, Protokollierung und Kontrollen von Wechselmedien. Datenschutz- und Risikoteams kontrollierten Aufbewahrungsrichtlinien, Schulungen, Vorfallreaktion und regulatorische Nachweise. Die Mitglieder kontrollierten fast nichts davon. Sie gaben Identitätsinformationen preis, weil das Finanzleben dies erforderte.
Der Fall passt auch zu Datensouveränität und Datenlokalität, weil die Aufzeichnungen kanadische und andere Personen betrafen, die von einer in Québec ansässigen genossenschaftlichen Finanzinstitution unter föderaler und provincialer Datenschutzaufsicht gehalten wurden. Er passt zur Sicherheitsautomatisierung, weil das Kontrollversagen teilweise mit Überwachung, automatisierten Datenbewegungen und der Frage zusammenhing, ob anormales Kopieren erkannt und gestoppt werden konnte, bevor es zu einem bevölkerungsweiten Ereignis wurde.
Er passt zur Kontinuität des öffentlichen Sektors, weil finanzielle Identitätsdaten normale Mitglieder mit Steuersystemen, Kreditsystemen, Sozialleistungen, Polizeimeldungen und öffentlichem regulatorischem Vertrauen verbinden. Der Verstoß einer privaten Genossenschaft kann zu einem bürgerlichen Identitätsrisikoproblem werden, wenn Sozialversicherungsnummern, Adressen und Transaktionshistorien betroffen sind.
Der sichtbare Auslöser war ein Mitarbeiter, aber das Kontrollsystem war umfassender
Es ist verlockend, den Desjardins-Verstoß als Insider-Geschichte zu beschreiben und dabei stehen zu bleiben. Das würde die Kernfrage der Rechenschaftspflicht verfehlen. Die kanadischen Datenschutzfeststellungen identifizierten zwar einen böswilligen Mitarbeiter und beschrieben das Kopieren persönlicher Informationen von gemeinsamen Laufwerken auf einen Arbeitscomputer und dann auf USB-Sticks. Aber derselbe Bericht beschrieb Geschäftsabläufe, die sensible persönliche Informationen überhaupt erst in gemeinsame Ordner brachten.
Er besagte, dass Mitarbeiter automatische Übertragungen persönlicher Informationen aus einem Kredit-Data-Warehouse in Benutzerordner in einem gemeinsamen Laufwerk der Marketingabteilung durchführten, und dass andere Mitarbeiter vertrauliche persönliche Informationen aus einem Bank-Data-Warehouse auf ein gemeinsames Laufwerk kopierten. Der böswillige Mitarbeiter kopierte dann Informationen von diesen gemeinsamen Speicherorten, einschließlich Informationen, auf die er normalerweise im Bank-Data-Warehouse keinen Zugriff gehabt hätte.
Das ist wichtig, weil der Mitarbeiter kein undurchdringliches System überwinden musste. Der Mitarbeiter nutzte ein System aus, das bereits sensible Aufzeichnungen in erreichbare Arbeitsorte gebracht hatte. In Bezug auf die Rechenschaftspflicht musste die Organisation erklären, warum Daten, die sensibel genug waren, um ein langfristiges Identitätsrisiko zu schaffen, in breite oder unzureichend geschützte Betriebsorte gebracht wurden. Sie musste auch erklären, warum die Erkennungs- und Verhinderungskontrollen das Kopieren über einen langen Zeitraum nicht unterbrachen.
Der Ausdruck „unbefugte und illegale Nutzung“ ist als Auslöser zutreffend, aber die Governance kann nicht mit dem Ausdruck enden. Ein Insider kann in jeder Institution das Vertrauen verletzen. Die rechenschaftspflichtige Frage ist, ob die Institution privilegierte Arbeitsabläufe so gestaltet hat, als ob ein Missbrauch durch Insider vorhersehbar wäre. Finanzinstitute verarbeiten Sozialversicherungsnummern, Namen, Adressen, Geburtsdaten, kontobezogene Informationen und Transaktionshistorien, weil sie regulierte Kredit- und Bankbeziehungen unterstützen.
Diese Sensibilität schafft die Pflicht, zu begrenzen, wer Daten einsehen kann, wo sie bereitgestellt werden können, wie lange sie dort verbleiben, ob sie auf Endgeräte kopiert werden können, ob Wechselspeicher blockiert ist und ob ungewöhnliche Bewegungen Warnungen auslösen.
Desjardins' öffentliche Stellungnahme und die Feststellungen des Datenschutzbeauftragten sollten daher zusammen gelesen werden. Die öffentliche Stellungnahme zu Beginn gab den Mitgliedern einen Auslöser und einen sofortigen Sicherheitspfad. Die Regulierungsakte gab die Kontrollanatomie. Ein Mitglied, das nur die erste Stellungnahme liest, könnte sich einen skrupellosen Mitarbeiter mit ungewöhnlichem Zugriff vorstellen.
Ein Leser der Regulierungsakte sieht ein umfassenderes Governance-Problem: Zugriffsrechte, Gestaltung gemeinsamer Laufwerke, Datenübertragungspraxis, Aufbewahrung, Mitarbeiterschulung, Überwachung und Schadensbegrenzung nach dem Verstoß.
Dies ist der Unterschied zwischen Haftungserzählung und Kontrollerzählung. Die Haftungserzählung sucht nach der Person, die gegen die Richtlinie verstoßen hat. Die Kontrollerzählung fragt, warum die Richtlinien- und Technologieumgebung es dem Verstoß erlaubte, ein solches Ausmaß anzunehmen. Beide sind wichtig. Das Verhalten des Mitarbeiters war zentral für den Vorfall, aber die Mitglieder brauchten den Nachweis, dass Desjardins die Bedingungen geändert hat, die dem Verhalten ein solches Ausmaß ermöglichten.
Datenminimierung war kein abstraktes Datenschutzprinzip
Datenminimierung wird oft als juristische Sprache behandelt. In diesem Fall war sie eine praktische Sicherheitsgrenze. Ein Finanzinstitut kann nur das verlieren oder preisgeben, was es sammelt, aufbewahrt, kopiert, bereitstellt und erreichbar macht. Die kanadischen Datenschutzfeststellungen besagten, dass das Alter einiger kompromittierter Informationen das OPC dazu veranlasste, die Datenvernichtungspraktiken von Desjardins zu überprüfen. Der Bericht stellte Verstöße in Bezug auf Rechenschaftspflicht, Aufbewahrungsfristen und Sicherheitsvorkehrungen fest.
Er stellte auch fest, dass Desjardins keine Verfahren zur Vernichtung persönlicher Informationen am Ende ihres Lebenszyklus hatte und Monate nach dem Vorfall immer noch nicht in der Lage war, die Aufbewahrungsfrist für kompromittierte inaktive Konten zu bestimmen.
Das ist ein entscheidender Punkt der Rechenschaftspflicht. Die Aufbewahrungsrichtlinie ist kein nebensächliches Thema des Aufzeichnungsmanagements, wenn die Aufzeichnungen Identitätsinformationen enthalten, die Jahre später für Betrug verwendet werden können. Sozialversicherungsnummern und Geburtsdaten werden nicht harmlos, weil ein Konto inaktiv ist. Adressen, Telefonnummern, E-Mail-Adressen und Transaktionshistorien können verwendet werden, um überzeugende Identitätsdiebstahlsversuche zu konstruieren. Je länger Informationen nach Beendigung ihres Zwecks in zugänglichen Systemen verbleiben, desto größer wird die Angriffsfläche.
Das Personal Information Protection and Electronic Documents Act unterhttps://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.htmlbietet den föderalen datenschutzrechtlichen Rahmen für die Handhabung personenbezogener Informationen des Privatsektors in Kanada. Die Desjardins-Feststellungen wandten die Grundsätze des Gesetzes zu Rechenschaftspflicht, Sicherheitsvorkehrungen und Aufbewahrung auf den Verstoß an. Die wichtige praktische Lektion ist, dass Datenschutzrecht und Sicherheitstechnik innerhalb von Lebenszykluskontrollen zusammentreffen. Wenn Daten nicht mehr notwendig sind, sollten sie nicht verfügbar bleiben, um von einem gemeinsamen Speicherort kopiert zu werden. Wenn ein Marketing-Workflow eine aggregierte Analyse benötigt, sollte er nicht automatisch vollständige Identitätsaufzeichnungen erhalten, es sei denn, der Anwendungsfall erfordert dies und die Sicherheitsvorkehrungen entsprechen dem Risiko. Wenn ein Benutzerordner sensible Auszüge enthält, ist dieser Ordner kein praktischer Cache, sondern ein regulierter Datenspeicher.
Datenminimierung verändert auch das Kostenmodell. Nach einem Verstoß kann ein Institut für Kreditüberwachung, Identitätsschutz, Kommunikation, rechtliche Prozesse, externe Prüfung und betriebliche Reparaturen zahlen. Der Finanzbericht von Desjardins für das zweite Quartal 2019 unterhttps://www.desjardins.com/ressources/pdf/d50-rapport-trimestriel-mcd-2019-2-e.pdf?resver=1565631033000erfasste erhebliche Ausgaben und Rückstellungen für Schutzmaßnahmen nach dem Datenschutzverstoß. Sein Jahresbericht 2019 unterhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-mcd-2019-t4-e.pdf?resVer=1583954841000und die dazugehörigen Finanzberichte unterhttps://www.desjardins.com/ressources/pdf/d50-etat-financier-mcd-2019-e.pdf?resVer=1583166109000verknüpften die Reaktion auf den Verstoß mit materiellen finanziellen Kosten. Diese Kosten zeigen, warum Minimierung nicht nur eine Compliance-Präferenz ist. Überschüssig aufbewahrte Daten werden zu einer finanzierten Verbindlichkeit, wenn Kontrollen versagen.
Der rechenschaftspflichtige Reparaturtest ist daher nicht „hat das Institut eine Aufbewahrungsrichtlinie geschrieben?“, sondern „kann das Institut nachweisen, dass alte und unnötige sensible Informationen für normale Mitarbeiter, gemeinsame Ordner, Laptops, Analyse-Workflows oder Wechselmedien nicht mehr erreichbar sind?“ Eine Richtlinie ohne Vernichtungsnachweis ist ein Versprechen. Ein Löschverfahren ohne Überwachung ist eine Hoffnung. Die Mitglieder brauchten den Nachweis, dass Datenminimierung operativ umgesetzt wurde.
Zugriffsgovernance versagte, wo geschäftliche Bequemlichkeit auf sensible Aufzeichnungen traf
Zugriffsgovernance ist das Herz des Falls. In vielen Finanzorganisationen benötigen Geschäftsteams legitimerweise Daten für Produktmanagement, Marketing, Risikomodellierung, Betrugsprävention, Betrieb, Berichterstattung und Serviceverbesserung. Diese Bedürfnisse können real sein. Aber die Tatsache, dass eine Nutzung legitim ist, bedeutet nicht, dass jeder Datensatz in breite Arbeitsbereiche kopiert werden sollte.
Die Datenschutzfeststellungen beschrieben, wie sensible Informationen aus Data Warehouses in gemeinsame Laufwerke und Benutzerordner gelangten, wo der böswillige Mitarbeiter sie kopieren konnte, obwohl er normalerweise keinen Zugriff auf das ursprüngliche Bank-Warehouse gehabt hätte. Das ist eine klassische Umkehrung der Zugriffsgovernance: Eine geschützte Quelle kann nach einem Geschäftsauszug weniger geschützt werden.
Das Problem der Rechenschaftspflicht ist nicht, dass Marketingabteilungen niemals Mitgliederdaten verwenden sollten. Es ist, dass der Zugriff in jeder Phase Bedarf, Zweck, Sensibilität und Rückverfolgbarkeit folgen sollte. Wenn ein Auszug ein Warehouse verlässt, sollte er Kontrollen erben. Wenn ein Benutzerordner sensible Daten erhält, sollten seine Berechtigungen eng sein, seine Nutzung protokolliert, seine Aufbewahrung kurz und seine Exportpfade kontrolliert sein. Wenn ein gemeinsames Laufwerk als Zwischenarbeitsbereich dient, sollte es nicht zu einem langlebigen Schatten-Data-Warehouse werden.
Wenn Identitätsfelder nicht erforderlich sind, sollten sie entfernt oder tokenisiert werden, bevor der Auszug kontrollierte Systeme verlässt.
Sicherheitsautomatisierung ist relevant, weil manuelle Richtlinien nicht jede Kopie überwachen können. Eine ausgereifte Umgebung würde nach ungewöhnlichen Übertragungen, wiederholtem Export sensibler Spalten, Kopieren von gemeinsamen Laufwerken auf Endgeräte, Nutzung von Wechselspeicher und Zugriffsmustern suchen, die nicht mit Rolle oder Zweck übereinstimmen. Sie würde auch Dateien nach Sensibilität klassifizieren, sodass eine Tabelle oder ein Datenauszug mit Sozialversicherungsnummern und Transaktionshistorien anders behandelt wird als gewöhnlicher Geschäftsinhalt.
Endpunktkontrollen sollten es erschweren, regulierte finanzielle Identitätsdaten ohne Genehmigung und Protokollierung auf USB-Geräte zu kopieren. Data-Loss-Prevention-Tools können unvollkommen sein, aber das Fehlen oder die Schwäche einer solchen Überwachung verändert die Last für die Mitglieder, die sich nicht vor internem Export schützen können.
Die Technologie- und Cyber-Risikomanagement-Leitlinie der OSFI unterhttps://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-managementist keine rückwirkende Feststellung über Desjardins' Kontrollen von 2019. Sie ist nützlich, weil sie die moderne Erwartung des Finanzsektors ausdrückt, dass Technologie- und Cyber-Risiko im Verhältnis zum institutionellen Risiko gesteuert, verwaltet, überwacht und widerstandsfähig gemacht werden müssen. Die Datenbewegung von Insidern fällt direkt in diesen Rahmen. Es ist nicht nur ein Datenschutzereignis. Es ist ein operationelles Risikoereignis, bei dem Menschen, Prozesse, Technologie und Daten-Governance zusammenwirken.
Das Versagen der Zugriffsgovernance hatte auch eine institutionelle Vertrauensdimension. Desjardins ist eine genossenschaftliche Finanzgruppe. Mitglieder sind nicht nur Inhaber von Girokonten in einem fernen System; sie sind Teil einer genossenschaftlichen Beziehung, die auf Vertrauen, Lokalität und Mitgliederidentität beruht. Ein Verstoß, an dem ein vertrauenswürdiger Mitarbeiter beteiligt ist, trifft daher den Gesellschaftsvertrag der Institution. Die Wiedergutmachung kann nicht auf „der Mitarbeiter ist weg“ reduziert werden.
Die Institution muss zeigen, dass das Vertrauen der Mitglieder nicht länger von der Annahme abhängt, dass jeder Mitarbeiter mit bequemem Zugriff für immer korrekt handeln wird.
Die Erkennungsverzögerung veränderte die Form der Rechenschaftspflicht
Der Zeitpunkt der Erkennung ist wichtig, weil der Schaden durch Identitätsdaten leise wächst. Eine gestohlene Zahlungskarte kann ersetzt werden. Eine Sozialversicherungsnummer und ein Geburtsdatum bleiben für zukünftigen Betrug, Identitätsdiebstahl und Social Engineering nützlich. Die Datenschutzfeststellungen besagten, dass die mitarbeiterbezogene Exfiltration über mindestens 26 Monate stattfand.
Dieses lange Zeitfenster ist zentral für die Rechenschaftspflicht, weil es darauf hindeutet, dass das Kontrollsystem das wiederholte Kopieren sensibler Informationen über einen Zeitraum, der lang genug war, damit sich das Risiko vervielfachen konnte, nicht bemerkte oder stoppte.
Die öffentlichen Aufzeichnungen legen nicht jedes Überwachungsprotokoll oder jede interne Warnung offen, die Desjardins zur Verfügung standen, daher sollte der Artikel keine Einzelheiten erfinden. Die Beweise unterstützen jedoch eine engere Schlussfolgerung: Die endgültigen Erkennungs- und Offenlegungsaufzeichnungen zeigten, dass die vorhandenen Sicherheitsvorkehrungen nicht ausreichten, um eine Exposition in Bevölkerungsgrößenordnung zu verhindern. Die Pressemitteilung des OPC unterhttps://www.priv.gc.ca/en/opc-news/news-and-announcements/2020/nr-c_201214/beschrieb eine Kombination aus administrativen und technologischen Schwächen. Die Stellungnahme des Datenschutzbeauftragten unterhttps://www.priv.gc.ca/en/opc-news/speeches-and-statements/2020/s-d_20201214/besagte, dass Desjardins nicht das angemessene Maß an Aufmerksamkeit gezeigt habe, das zum Schutz sensibler persönlicher Informationen erforderlich sei, während gleichzeitig festgestellt wurde, dass die Organisation nach Kenntnis des Verstoßes gut reagiert habe.
Diese beiden Punkte sollten zusammengehalten werden. Eine starke Reaktion nach der Entdeckung ist wichtig. Sie kann den Schaden für die Mitglieder verringern, Regulierungsbehörden unterstützen, Sanierungsmaßnahmen finanzieren und Kontrollen verbessern. Aber eine starke Reaktion nach externer Entdeckung löscht nicht eine schwache Erkennungsposition vor der Entdeckung aus. Für die Mitglieder war das relevante Risiko nicht nur, ob Desjardins handelte, sobald Polizeiinformationen eintrafen. Es war, ob Desjardins anormales Kopieren erkennen konnte, ohne auf externe Signale zu warten.
Erkennung ist keine einzelne Kontrolle. Sie umfasst Zugriffsüberprüfungen, Datenklassifizierung, Scannen gemeinsamer Ordner, Endpunkttelemetrie, Überwachung von Wechselmedien, Analysen privilegierter Benutzer, rollenbasierte Ausnahmen, Alarmweiterleitung und Eskalationsregeln. Sie umfasst auch die Befugnis, Geschäftsprozesse zu stoppen, die zu breit sind. Wenn eine Abteilung wiederkehrende Auszüge erstellt hat, die sensible Daten in gemeinsamen Laufwerken ablegen, muss die Erkennung fragen, warum dieses Muster existiert, ob es genehmigt ist, ob es noch benötigt wird und ob sensible Felder unterdrückt werden können.
Eine Überwachung, die nur Ereignisse protokolliert, ohne Governance-Überprüfung, ist ein schwacher Beweis.
Das lange Zeitfenster verändert auch die Benachrichtigung der Mitglieder. Wenn Daten über viele Monate das Institut verlassen haben könnten, können die Mitglieder das genaue zukünftige Betrugsrisiko nicht kennen. Die Institution muss die Unsicherheit ehrlich kommunizieren. Sie sollte die betroffenen Informationsklassen, die möglicherweise betroffenen Personen, die verfügbaren Schutzdienste, die laufenden Strafverfolgungs- und Regulierungsprozesse sowie das, was die Institution tun wird, wenn später Identitätsdiebstahl auftritt, identifizieren. Die Benachrichtigung ist nicht nur ein rechtlicher Schritt.
Sie ist die Übertragung umsetzbaren Wissens an Menschen, die den Verstoß nicht kontrolliert haben.
Die Sanierungskosten zeigten, dass das Identitätsrisiko den Vorfall überdauert
Die Sanierungsaufzeichnung von Desjardins ist ein nützlicher Teil der Beweisakte, weil sie zeigt, dass das Institut das Identitätsrisiko als langfristig behandelte. Desjardins Identity Protection unterhttps://www.desjardins.com/en/security/desjardins-identity-protection.htmlbeschreibt Betrugsschutz, Unterstützung bei Identitätsdiebstahl, Erstattung von Wiederherstellungskosten und Kreditüberwachungsfunktionen. Die Finanzberichte von Desjardins erfassten Kosten und Rückstellungen im Zusammenhang mit Verstoßschutzmaßnahmen, und der Jahresbericht des Verbands 2019 unterhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-fcdq-2019-t4-e.pdf?resVer=1583953623000erörterte Ausgaben zur Implementierung von Desjardins Identity Protection nach dem Datenschutzverstoß.
Diese Reaktion ist wichtig, weil Identitätsdaten dauerhaft sind. Kreditüberwachung für einen kurzen Zeitraum kann helfen, aber kompromittierte Identifikatoren können später verwendet werden. Ein Mitglied könnte Jahre nach dem Vorfall mit Betrugsversuchen konfrontiert werden, insbesondere wenn Daten mit anderen Quellen kombiniert werden. Desjardins' Angebot eines umfassenderen Identitätsschutzes und einer Erstattung erkannte an, dass das Schadensmodell den Nachrichtenzyklus überdauern könnte.
Die Sammelklage-Vergleichsakte fügt eine weitere Dimension hinzu. Desjardins' Vergleichserklärung vom Februar 2022 unterhttps://www.desjardins.com/en/news/desjardins-settlement-agreement.htmlbesagte, dass eine Vergleichsvereinbarung mit den Klägern in Sammelklagen im Zusammenhang mit dem Datenschutzverstoß geschlossen worden war. Die Erklärung vom Juni 2022 unterhttps://www.desjardins.com/en/news/privacy-breach-settlement-agreement.htmlbesagte, dass der Oberste Gerichtshof von Québec einen Vergleich genehmigte, der einen Höchstbetrag von 200.852.500 CAD für individuelle Entschädigungen an berechtigte Personen vorsah, die Ansprüche geltend machten. Die Vergleichsseite unterhttps://desjardinssettlement.com/und das Material der Klägeranwälte unterhttps://www.siskinds.com/class-action/desjardins-privacy-breach/wurden Teil der öffentlichen Sanierungslandschaft.
Ein Vergleich ist nicht dasselbe wie eine technische Feststellung. Desjardins musste nicht jede Behauptung eingestehen, um sich zu vergleichen. Aber der Vergleich ist ein Beweis für die Rechenschaftspflicht, weil er zeigt, wie sich die Kosten des Verstoßes von einem Kontrollversagen auf Mitgliederentschädigung, Anspruchsverwaltung, rechtliche Freigabe und institutionelle Ausgaben verlagerten. Er zeigt auch die Grenzen des Geldes nach dem Verstoß. Ein Mitglied, das eine Entschädigung erhält, muss dennoch mit der Tatsache leben, dass Identitätsdaten nicht zurückgerufen werden können.
Die stärkste Wiedergutmachung ist Prävention und nachweisbare Kontrollverbesserung, nicht nur Erstattung nach der Gefährdung.
Die Sanierungsakte sollte daher fragen, ob das Geld und die Dienstleistungen durch Kontrollnachweise untermauert wurden. Wurden die Zugriffsrechte eingeschränkt? Wurden die Arbeitsabläufe auf gemeinsamen Laufwerken neu gestaltet? Wurden sensible Auszüge klassifiziert und zeitlich begrenzt? Wurden die USB-Kontrollen verstärkt? Wurden die Überwachungswarnungen verbessert? Wurden Aufbewahrungs- und Vernichtungsverfahren implementiert? Wurden externe Prüfer mit der Zertifizierung der richtigen Dinge beauftragt? Waren die Fortschrittsberichte an die Regulierungsbehörde aussagekräftig genug, um eine Veränderung zu beweisen?
Die öffentlichen Datenschutzaufzeichnungen besagen, dass Desjardins sich zu Empfehlungen und externen Prüfberichten verpflichtet hat. Die Mitglieder brauchten dennoch die praktische Gewissheit, dass die alten Wege geschlossen waren.
Regulierungsempfehlungen machten den Fall zu einem Beweistest
Die kanadischen Datenschutzfeststellungen sind wertvoll, weil sie den Verstoß nicht als ein Rätsel darstellten. Sie identifizierten Schwächen und machten Empfehlungen. Das OPC erklärte, Desjardins habe zugestimmt, seine Programme zum Schutz personenbezogener Informationen und zur Informationssicherheit zu verbessern, alle sechs Monate Fortschrittsberichte vorzulegen, externe Prüfer zu beauftragen und Bewertungsberichte einzureichen. Die OPC-Pressemitteilung sagte auch, Desjardins habe zugestimmt, Empfehlungen zu Datenvernichtungspraktiken und Programmverbesserungen umzusetzen.
Das ist der Dreh- und Angelpunkt der Rechenschaftspflicht. Eine Regulierungsempfehlung ist nicht nur ein Verweis. Sie schafft einen Beweisstandard. Desjardins musste nachweisen, dass Kontrollen implementiert wurden, dass externe Prüfer relevante Programme untersucht hatten und dass Restrisiken identifiziert wurden. Die OPC-Feststellungen listeten Bewertungsthemen wie Governance, Ressourcen, Plattformen zur Speicherung personenbezogener Informationen, Sensibilität der an jedem Ort gespeicherten Informationen, Sicherheitsvorkehrungen, Aufbewahrung, Vernichtung, Entidentifizierung und Restrisiko auf.
Dies sind die richtigen Kategorien, weil der Verstoß Grenzen der Datenspeicherung, des Zugriffs, der Endgeräte, der Aufbewahrung und der Governance überschritt.
Die Leitlinien des Office of the Privacy Commissioner zu Datenschutzverstößen für Unternehmen unterhttps://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/gd_pb_201810/sind ein nützliches Kontrollvokabular für die Reaktion und Aufbewahrung von Aufzeichnungen. Sie bekräftigen, dass Organisationen das tatsächliche Risiko eines erheblichen Schadens bewerten, bestimmte Verstöße melden, betroffene Personen benachrichtigen, Aufzeichnungen führen und Maßnahmen zur Schadensminderung ergreifen müssen. Im Fall Desjardins bestand die Herausforderung nicht nur darin, die Benachrichtigungsmechanismen zu erfüllen, sondern nachzuweisen, dass die Sicherheitsvorkehrungen der Sensibilität und dem Umfang der Daten angemessen wurden.
Das Cybersicherheitsrahmenwerk des NIST unterhttps://www.nist.gov/cyberframeworkund das Secure-by-Design-Material der CISA unterhttps://www.cisa.gov/resources-tools/resources/secure-by-designsind breitere Referenzen, keine Desjardins-spezifischen Feststellungen. Sie sind dennoch relevant, weil sie den Kontrollkreislauf ausdrücken, den dieser Vorfall offenlegte. Identifizieren Sie sensible Daten und Geschäftsprozesse. Schützen Sie Zugriff und begrenzen Sie Bewegungen. Erkennen Sie anormales Kopieren. Reagieren Sie mit klarer Benachrichtigung und Sanierung. Stellen Sie Vertrauen durch getestete Reparatur wieder her. Steuern Sie das gesamte System durch benannte Verantwortlichkeiten und Nachweise. Der Fall Desjardins berührte jeden Teil dieses Kreislaufs.
Das Element der Kontinuität des öffentlichen Sektors erscheint hier. Datenschutzbehörden, Polizei, Gerichte, Finanzaufsichtsbehörden, Kreditauskunfteien, Identitätsdiebstahl-Helfer und Verwalter von Sammelklagen wurden alle Teil des Reaktionsökosystems. Ein großer finanzieller Identitätsverstoß bleibt nicht innerhalb der Unternehmensgrenze. Öffentliche Institutionen müssen Beschwerden, Untersuchungen, Betrugsmeldungen, rechtliche Prozesse und Arbeiten zur Wahrung des öffentlichen Vertrauens aufnehmen.
Die Institution, die die Daten gesammelt hat, kontrolliert die Sicherungsmaßnahmen erster Ordnung; der öffentliche Sektor trägt die Konsequenzen zweiter Ordnung.
Beweisgrenzen sollten sichtbar bleiben
Die öffentliche Akte unterstützt starke Feststellungen, aber sie hat Grenzen. Sie unterstützt, dass Desjardins eine mitarbeiterbezogene Weitergabe von Mitgliederinformationen außerhalb der Organisation offenlegte, dass der Verstoß letztlich nahezu 9,7 Millionen Personen betraf, dass sensible Datenklassen Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Kontaktinformationen und Transaktionshistorien umfassten, und dass das OPC Verstöße in Bezug auf Rechenschaftspflicht, Aufbewahrung und Sicherheitsvorkehrungen feststellte.
Sie unterstützt, dass Desjardins Identitätsschutzmaßnahmen finanzierte und später einen gerichtlich genehmigten Vergleichsprozess einleitete.
Die öffentliche Akte unterstützt nicht die Behauptung, dass jede betroffene Person Opfer von Identitätsdiebstahl wurde. Sie beweist nicht die genaue nachgelagerte Verwendung jedes Datensatzes. Sie legt nicht alle Polizeibeweise, alle Arbeitsplatzprotokolle der Mitarbeiter, alle USB-Ereignisse, alle internen Zugriffsüberprüfungen, alle Einreichungen bei Regulierungsbehörden oder jedes externe Prüfungsartefakt offen. Sie unterstützt keine Spekulationen über jeden Desjardins-Mitarbeiter oder jede Abteilung. Eine ernsthafte Rechenschaftsakte muss diese Grenzen sichtbar halten, weil Übertreibungen die Analyse schwächen.
Die richtige Schlussfolgerung ist enger und stärker: Ein Finanzinstitut, das dauerhafte Identitätsdaten verwahrt, darf nicht zulassen, dass gewöhnliche Arbeitswege zu Massenexportpfaden werden. Insider-Missbrauch ist vorhersehbar. Gemeinsame Laufwerke sind vorhersehbar. Wechselmedien sind vorhersehbar. Datenauszüge für Marketing oder Analyse sind vorhersehbar. Aufbewahrungsdrift ist vorhersehbar. Der Rechenschaftsstandard ist nicht das perfekte Wissen über jeden zukünftigen Mitarbeiter.
Es ist der Nachweis, dass das System begrenzt, was eine Rolle kopieren kann, ungewöhnliche Bewegungen erkennt, nur das Notwendige aufbewahrt und betroffenen Menschen einen sinnvollen Schutz bietet, wenn Kontrollen versagen.
Der Fall sollte auch nicht dazu verwendet werden, zu behaupten, dass Finanzinstitute jedes Insiderrisiko ausschalten können. Das können sie nicht. Banken, Kreditgenossenschaften, Versicherungen und Zahlungsfirmen benötigen Mitarbeiter und Auftragnehmer, die sensible Informationen aus legitimen Gründen verarbeiten. Der realistische Standard ist eine proportionale Kontrolle. Hochsensible Daten sollten stärkere Berechtigungen, engere Felder, Zweckbindung, Prüfpfade, Segmentierung, Endpunktsicherungen und Aufbewahrungsdisziplin erfordern. Je dauerhafter der Identifikator, desto geringer sollte die Toleranz gegenüber beiläufigen Kopien sein.
Die Unterscheidung ist wichtig für die Fairness. Desjardins' öffentliche Reaktion umfasste den Schutz der Mitglieder und die Zusammenarbeit mit den Regulierungsbehörden. Diese Reaktion gehört in die Akte. Sie negiert nicht die Kontrollversagen. Die Rechenschaftsakte sollte beide bewerten: die Wiedergutmachung der Institution nach der Entdeckung und die Bedingungen vor der Entdeckung, die dem Verstoß sein Ausmaß ermöglichten.
Was eine nachweisbare Reparatur erfordern würde
Der dauerhafte Reparaturtest für Desjardins beginnt mit den Zugriffsrechten. Jede wiederkehrende Übertragung sensibler persönlicher Informationen aus einem kontrollierten Warehouse in einen Benutzerordner, ein gemeinsames Laufwerk, einen Analyse-Arbeitsbereich oder ein Endgerät sollte einen benannten Geschäftszweck, eine Genehmigung des Datenverantwortlichen, eine Feldminimierung, eine Aufbewahrungsgrenze, eine Protokollierung und ein Überprüfungsdatum haben. Wenn der Zweck mit aggregierten oder tokenisierten Daten erfüllt werden kann, sollten Identitätsfelder nicht reisen.
Wenn Identitätsfelder reisen müssen, sollte der empfangende Speicherort als Hochrisiko-Datenspeicher behandelt werden, nicht als gewöhnlicher Abteilungsordner.
Der zweite Test ist die Lebenszykluskontrolle. Desjardins musste wissen, welche persönlichen Informationen es besaß, warum es sie besaß, wo sie gespeichert waren, wie lange sie bleiben sollten und wie sie vernichtet oder entidentifiziert werden sollten, wenn sie nicht mehr benötigt wurden. Dies ist in einer großen genossenschaftlichen Finanzgruppe mit Altsystemen, Data Warehouses, Mitgliederprodukten, Versicherungsaktivitäten, Karten, Geschäftskunden und Analysefunktionen nicht einfach. Die Schwierigkeit ist genau der Grund, warum die Kontrolle gesteuert werden muss.
Ein Aufbewahrungsplan, der nicht auf tatsächliche Repositorien abgebildet werden kann, ist nicht ausreichend.
Der dritte Test ist die Erkennung von Datenbewegungen. Ein modernes Finanzinstitut sollte Beweise generieren, wenn sensible Daten in großen Mengen kopiert, in einen gemeinsamen Ordner verschoben, auf eine Arbeitsstation heruntergeladen, auf Wechselmedien geschrieben, komprimiert, extern per E-Mail versendet oder außerhalb normaler Rollenmuster aufgerufen werden. Warnungen sollten an Personen mit Untersuchungsbefugnis weitergeleitet werden. Ausnahmen sollten ablaufen.
Wiederkehrende Geschäftsprozesse, die große sensible Auszüge erstellen, sollten von Datenschutz, Sicherheit und dem Datenverantwortlichen überprüft werden, nicht normalisiert werden, weil sie schon immer existiert haben.
Der vierte Test ist die Endpunkt- und Wechselmedienkontrolle. Die öffentlichen Feststellungen beschrieben das Kopieren von einem gemeinsamen Laufwerk auf einen Arbeitscomputer und dann auf USB-Sticks. Die rechenschaftspflichtige Reaktion sollte nachweisen, dass hochriskante persönliche Informationen nicht beiläufig auf Wechselmedien exportiert werden können, oder dass jeder genehmigte Export stark kontrolliert, protokolliert, verschlüsselt, zeitlich begrenzt und an einen legitimen Arbeitsauftrag gebunden ist. Kontrollen sollten auch Drucken, E-Mail-Weiterleitung, Cloud-Sync, persönliche Geräte und andere praktische Exfiltrationpfade abdecken.
Der fünfte Test ist die mitgliederorientierte Schadensminderung. Identitätsschutzdienste, Erstattung, Betrugsunterstützung, Kreditüberwachung und Entschädigung können den Schaden verringern, aber sie sollten mit einer klaren Erklärung der Datenklassen und des zukünftigen Risikos verbunden sein. Mitglieder sollten nicht Rechtsdokumente analysieren müssen, um zu erfahren, was passiert ist, worauf sie achten sollten und welche Hilfe noch verfügbar ist, wenn später Identitätsdiebstahl auftritt.
Der sechste Test ist der externe Nachweis. Wenn eine Regulierungsbehörde Fortschrittsberichte und externe Prüfungen verlangt, sollten die Nachweise spezifisch genug sein, um zu zeigen, dass sich die Zugriffsgovernance geändert hat. Eine allgemeine Aussage, dass sich Richtlinien verbessert haben, beantwortet den Verstoß nicht. Die Nachweise sollten Fortschritte beim Dateninventar, die Bereinigung von Zugriffsrollen, die Reduzierung gemeinsamer Laufwerke, die Implementierung von Aufbewahrungsvorschriften, Überwachungsmetriken, Verbesserungen der Vorfallreaktion und ungelöste Restrisiken zeigen.
Regulierungsbehörden veröffentlichen möglicherweise nicht jedes Detail, aber die Institution sollte in der Lage sein, die Substanz nachzuweisen.
Was andere Finanzinstitute lernen sollten
Der Fall Desjardins hat eine allgemeine Lektion für Finanzinstitute, Kreditgenossenschaften, Versicherungen, Fintechs und Datenverarbeiter: Die Gefährdung von Daten durch Insider ist keine seltene Kategorie außerhalb der gewöhnlichen Governance. Sie ist die natürliche Versagensform von breitem Zugriff, unverwalteten Auszügen, langer Aufbewahrung, schwachen Endpunktkontrollen und begrenzter Überwachung. Ein böswilliger Mitarbeiter kann nur dann ein Identitätsrisiko in Bevölkerungsgrößenordnung schaffen, wenn die Umgebung diesem Mitarbeiter einen Pfad zu Daten in Bevölkerungsgrößenordnung bietet.
Vorstände sollten nach Beweisen fragen, nicht nach Trost. Wie viele Mitarbeiter können auf rohe Identitätsfelder zugreifen? Wie viele wiederkehrende Auszüge enthalten Sozialversicherungsnummern, Geburtsdaten, Adressen oder Transaktionshistorien? Wo landen diese Auszüge? Wie lange bleiben sie? Können sie auf Laptops oder Wechselmedien kopiert werden? Welche Warnungen würden ausgelöst, wenn ein Benutzer Hunderttausende von Datensätzen kopiert? Wer überprüft die Zugriffsrechte für Rollen in Marketing, Analyse, Produkt, Betrug, Support und Betrieb? Wie schnell werden Ausnahmen entfernt? Wie werden alte Mitgliederdaten vernichtet?
Welcher unabhängige Test beweist die Antwort?
Sicherheitsteams sollten dem engen Ausdruck „Insider-Bedrohung“ widerstehen, wenn er zu einer Möglichkeit wird, ein Designproblem zu individualisieren. Insider-Risikomanagement ist Zugriffsgovernance, Datenklassifizierung, Aufbewahrungskontrolle, Überwachung, Endpunktdesign, Schulung, Untersuchungsworkflow und Neugestaltung von Geschäftsprozessen. Es ist keine Plakatkampagne, die Mitarbeiter auffordert, vertrauenswürdig zu sein. Mitarbeiter sollten geschult werden, aber Schulung kann die Begrenzung der Menge sensibler Daten, die eine einzelne Person kopieren kann, nicht ersetzen.
Datenschutzteams sollten Datenminimierung als Sicherheitsarchitektur behandeln. Wenn Datenschutzaufzeichnungen zu lange aufbewahrt oder zu breit kopiert werden, erbt das Sicherheitsteam eine größere Explosionsradius. Wenn die Sicherheitsüberwachung Geschäftsauszüge ignoriert, weil sie formell genehmigt sind, erbt das Datenschutzteam einen unkontrollierten Lebenszyklus. Die beiden Disziplinen treffen sich in der Frage, ob sensible Daten dort existieren, wo sie sein sollten, so lange wie sie sein sollten, unter Kontrollen, die ihrem zukünftigen Schaden entsprechen.
Mitglieder und Kunden sollten Institute fragen, wie Identitätsdaten geschützt werden, nachdem sie die ursprüngliche Anwendung verlassen haben. Viele Organisationen haben starke Datenbankzugriffskontrollen an der Quelle, aber schwächere Kontrollen um Auszüge, Berichte, gemeinsame Laufwerke, Tabellenkalkulationen und Analyse-Sandboxes. Die gefährliche Kopie ist möglicherweise nicht der Datensatz im Kernsystem. Es könnte der Export sein, der der Einfachheit halber erstellt und vergessen wurde.
Die letzte Lektion zur Rechenschaftspflicht ist praktisch. Desjardins machte den Insider-Zugriff nicht zu einem Governance-Test, weil ein Mitarbeiter sich schlecht benahm. Es machte den Insider-Zugriff zu einem Governance-Test, weil die öffentliche Akte zeigte, dass finanzielle Identitätsdaten durch gewöhnliche Arbeitssysteme reisen konnten, was ein Massenrisiko schuf. In einem Finanzinstitut ist die Mitgliederidentität Infrastruktur. Sie muss mit demselben Ernst behandelt werden wie Geldbewegungen, denn sobald Identitätsdaten das Institut verlassen, trägt das Mitglied das Risiko jahrelang.
Genossenschaftliches Vertrauen machte die Beweislast höher
Die genossenschaftliche Struktur von Desjardins macht die Beweislast höher, nicht niedriger. Eine genossenschaftliche Finanzgruppe kann in der Sprache der Mitgliedschaft, des lokalen Dienstes, des gemeinsamen Eigentums und des gemeinschaftlichen Engagements sprechen. Diese Werte sind nur dann sinnvoll, wenn sie durch den Nachweis untermauert werden, dass Mitgliedsdaten innerhalb der Institution geschützt sind. Ein Mitglied kann nicht sinnvoll an der Daten-Governance teilnehmen, wenn die relevanten Kontrollen in Warehouses, gemeinsamen Laufwerken, Endpunktwerkzeugen und Aufbewahrungssystemen verborgen sind.
Die genossenschaftliche Beziehung hängt daher vom institutionellen Nachweis ab, nicht von der Annahme des Mitglieds.
Dieser Nachweis sollte auf mehreren Ebenen lesbar sein. Der Vorstand benötigt Kontrollnachweise: Dateninventare, Zugriffsüberprüfungen, Überwachungsmetriken, Vernichtungsfortschritte, Prüfungsergebnisse und Restrisiko. Die Regulierungsbehörden benötigen ausreichend Details, um zu testen, ob Empfehlungen umgesetzt wurden, anstatt in allgemeine Richtliniensprache aufgenommen zu werden. Die Mitglieder benötigen eine klare Mitteilung darüber, welche Daten betroffen waren, welche Schutzmaßnahmen fortbestehen und wie sie Hilfe erhalten können.
Die Mitarbeiter benötigen praktische Leitplanken, die den genehmigten Weg einfacher machen als den unsicheren Weg. Jede Zielgruppe benötigt eine andere Oberfläche, aber alle benötigen dieselbe zugrunde liegende Tatsache: Sensible Identitätsdaten können nicht mehr in Massen über schwach gesteuerte Arbeitswege bewegt werden.
Dies ist auch der Punkt, an dem das öffentliche Vertrauen zu einer Frage der Kontinuität wird. Finanzinstitute sind Teil des täglichen Lebens. Lohn- und Gehaltsabrechnung, Kredite, Karten, Steuerunterlagen, Altersvorsorge, Kleinunternehmensfinanzierung, Versicherungen und behördliche Interaktionen hängen alle von stabilen Identitäten und vertrauenswürdigen Aufzeichnungen ab. Wenn ein Verstoß Sozialversicherungsnummern und Kontaktinformationen betrifft, erstreckt sich die Sanierungslast über die Bilanz eines einzelnen Instituts hinaus.
Banken, Kreditauskunfteien, Polizeidienste, Steuerbehörden, Arbeitgeber und Verbraucherhilfestellen werden alle Teil der Schadensbewältigungsumgebung. Deshalb behandelt der Artikel die Kontinuität des öffentlichen Sektors als ein kontrolliertes Thema, obwohl Desjardins keine Regierungsbehörde ist. Der Verstoß betraf Identitätsinfrastrukturen, auf die sowohl öffentliche als auch private Akteure angewiesen sind.
Die nützlichste Schlussfolgerung zur Rechenschaftspflicht ist daher keine strafende Rhetorik. Es ist eine Beweisregel. Wenn eine Institution dauerhafte Identitätsinformationen sammelt, muss sie nachweisen können, wo diese Informationen sind, wer sie nutzen kann, warum sie sie nutzen können, wie lange sie dort bleiben, was passiert, wenn sie bewegt werden, und welches Signal erscheint, wenn sie sich abnormal bewegt. Wenn die Institution diese Fragen vor einem Vorfall nicht beantworten kann, wird sie sie danach durch Mitteilungen, Rückstellungen, Sammelklagen, Regulierungsfeststellungen und Ängste der Mitglieder beantworten.
Desjardins hat diesen Zeitpunkt sichtbar gemacht.

