Resumen

  • Desjardins es importante porque el registro público describe una institución financiera donde la información sensible de los miembros fue copiada a través de vías de trabajo que eran legítimas en apariencia pero inseguras en diseño.
  • La Oficina del Comisionado de Privacidad de Canadá dijo que la filtración afectó finalmente a cerca de 9,7 millones de personas en Canadá y en el extranjero, y la primera declaración pública de Desjardins dijo que el descubrimiento original involucró a más de 2,9 millones de miembros cuya información había sido compartida fuera de la organización.
  • La cuestión de responsabilidad es quién tenía el control práctico sobre los derechos de acceso de los empleados, los flujos de trabajo de discos compartidos, los límites de minimización de datos, la monitorización, la exposición de medios extraíbles, la notificación a los miembros, el coste de remediación y la prueba de que el mismo tipo de copia no podría repetirse.
  • Desjardins respondió con monitorización de crédito, protección de identidad, compromisos regulatorios, provisiones financieras públicas y un proceso de acuerdo de demanda colectiva; esas acciones fueron necesarias, pero no sustituyeron la necesidad de evidencia de que las condiciones de gobernanza de acceso cambiaron.
  • Este artículo trata los avisos de Desjardins, los hallazgos del comisionado de privacidad canadiense, los informes financieros de Desjardins, los registros de acuerdos, la ley de privacidad, la guía de OSFI y los marcos de gobernanza de seguridad como evidencia pública. No afirma tener acceso a archivos policiales privados, registros completos de empleados, registros de pérdidas individuales de miembros o todos los artefactos de auditoría interna posteriores.

Por qué este caso pertenece a un archivo de riesgo y responsabilidad

Desjardins pertenece a un archivo de riesgo y responsabilidad porque la filtración no fue una narrativa convencional de intrusión externa. La evidencia pública describe una extracción vinculada a un empleado de registros de identidad financiera de una institución cuyos miembros no tenían forma práctica de inspeccionar el diseño de acceso o la práctica de retención. La declaración pública de Desjardins del 20 de junio de 2019 enhttps://www.newswire.ca/news-releases/desjardins-statement-concerning-unauthorized-access-to-some-member-information-806079260.htmldijo que la policía de Laval había contactado a Desjardins con información confirmando que la información personal de más de 2,9 millones de miembros había sido compartida fuera de la organización, incluyendo 2,7 millones de miembros individuales y 173,000 miembros comerciales. La declaración atribuyó la situación al uso no autorizado e ilegal de datos internos por parte de un empleado que había sido despedido.

Esa primera divulgación ya era grave. El registro regulatorio posterior la hizo más grande y estructuralmente más importante. Los hallazgos de la Oficina del Comisionado de Privacidad de Canadá enhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2020/pipeda-2020-005/dijeron que Desjardins notificó a la oficina de privacidad federal el 27 de mayo de 2019 de una violación de las salvaguardas de seguridad que finalmente afectó a cerca de 9,7 millones de personas en Canadá y en el extranjero. La información comprometida incluía nombres, fechas de nacimiento, números de seguro social, direcciones residenciales, números de teléfono, direcciones de correo electrónico e historiales de transacciones. El mismo informe dijo que Desjardins concluyó que un empleado había estado exfiltrando información personal durante al menos 26 meses.

El caso pertenece aquí porque esa evidencia cambia el problema de "un empleado hizo algo mal" a "la organización había construido un entorno de datos donde un empleado podía crear un riesgo de identidad masivo". Una institución financiera no puede tratar la exposición interna como una excepción sorpresa cuando la información sensible se mueve a través de almacenes de datos, carpetas de marketing, estaciones de trabajo y medios extraíbles.

Si la institución crea un flujo de trabajo donde los roles de los empleados pueden ver, copiar, agregar o exportar grandes cantidades de datos de identidad de miembros, entonces la gobernanza de acceso es un control de protección de miembros. No es una preferencia administrativa.

La cuestión de responsabilidad es directa: ¿Quién tenía el control práctico sobre los derechos de acceso de los empleados, los límites de minimización de datos, la monitorización, la detección de exfiltración, la notificación a los miembros, el coste de remediación y la prueba de que los datos de identidad financiera no podían copiarse fuera de los flujos de trabajo aprobados? La dirección de Desjardins controlaba la gobernanza, la inversión y la prioridad de los controles de privacidad. Las unidades de negocio controlaban si los flujos de trabajo de marketing y análisis exigían archivos de identidad amplios.

Los equipos de tecnología y seguridad controlaban el aprovisionamiento de acceso, la arquitectura de discos compartidos, la monitorización de puntos finales, el registro y los controles de medios extraíbles. Los equipos de privacidad y riesgo controlaban las políticas de retención, la formación, la respuesta a violaciones y la evidencia regulatoria. Los miembros no controlaban casi nada de eso. Proporcionaron información de identidad porque la vida financiera lo requería.

El caso también encaja en la soberanía y localidad de datos porque los registros eran sobre canadienses y otras personas, mantenidos por una institución financiera cooperativa con sede en Quebec bajo supervisión de privacidad federal y provincial. Encaja en la automatización de seguridad porque el fallo de control fue en parte sobre monitorización, movimiento automatizado de datos y si la copia anormal podía detectarse y detenerse antes de que se convirtiera en un evento a escala de población.

Encaja en la continuidad del sector público porque los registros de identidad financiera conectan a los miembros comunes con sistemas tributarios, sistemas de crédito, beneficios, informes policiales y confianza regulatoria pública. La violación de una cooperativa privada puede convertirse en un problema de riesgo de identidad cívica cuando están involucrados números de seguro social, direcciones e historiales de transacciones.

El desencadenante visible fue un empleado, pero el sistema de control era más amplio

Es tentador describir la filtración de Desjardins como una historia interna y detenerse ahí. Eso perdería la cuestión central de responsabilidad. Los hallazgos de privacidad canadienses sí identificaron a un empleado malicioso y describieron la copia de información personal desde discos compartidos a una computadora de trabajo y luego a llaves USB. Pero el mismo informe describió flujos de trabajo comerciales que colocaban información personal sensible en carpetas compartidas en primer lugar.

Dijo que los empleados realizaban transferencias automatizadas de información personal desde un almacén de datos de crédito a carpetas de usuario en un disco compartido del departamento de marketing, y que otros empleados copiaban información personal confidencial desde un almacén de datos bancarios a un disco compartido. El empleado malicioso luego copiaba información de esas ubicaciones compartidas, incluyendo información a la que normalmente no habría tenido acceso en el almacén de datos bancarios.

Eso importa porque el empleado no tuvo que vencer un sistema impenetrable. El empleado explotó un sistema que ya había traído registros sensibles a ubicaciones de trabajo accesibles. En términos de responsabilidad, la organización tenía que explicar por qué los datos que eran lo suficientemente sensibles como para crear un riesgo de identidad a largo plazo se colocaron en ubicaciones operativas amplias o insuficientemente protegidas. También tenía que explicar por qué los controles de detección y prevención no interrumpieron la copia durante un largo período.

La frase "uso no autorizado e ilegal" es precisa como desencadenante, pero la gobernanza no puede terminar con la frase. Un interno puede violar la confianza en cualquier institución. La pregunta responsable es si la institución diseñó flujos de trabajo privilegiados como si el uso indebido interno fuera previsible. Las instituciones financieras procesan números de seguro social, nombres, direcciones, fechas de nacimiento, información relacionada con cuentas e historiales de transacciones precisamente porque respaldan relaciones reguladas de crédito y banca.

Esa sensibilidad crea el deber de limitar quién puede ver los datos, dónde pueden almacenarse, cuánto tiempo permanecen allí, si pueden copiarse a puntos finales, si el almacenamiento extraíble está bloqueado y si el movimiento inusual produce alertas.

Por lo tanto, la declaración pública de Desjardins y los hallazgos del comisionado de privacidad deben leerse juntos. La declaración pública al principio dio a los miembros un desencadenante y un camino de garantía inmediato. El registro regulatorio dio la anatomía del control. Un miembro que lee solo la primera declaración podría imaginar un empleado rebelde con acceso inusual. Un lector del registro regulatorio ve un problema de gobernanza más amplio: derechos de acceso, diseño de discos compartidos, práctica de transferencia de datos, retención, formación de empleados, monitorización y mitigación posterior a la violación.

Esta es la diferencia entre la narración de responsabilidad y la narración de control. La narración de responsabilidad busca a la persona que violó la política. La narración de control pregunta por qué el entorno de políticas y tecnología permitió que la violación escalara. Ambos importan. La conducta del empleado fue central en el incidente, pero los miembros necesitaban evidencia de que Desjardins cambió las condiciones que permitieron que la conducta importara a esa escala.

La minimización de datos no era un principio abstracto de privacidad

La minimización de datos a menudo se trata como lenguaje legal. En este caso, era un límite de seguridad práctico. Una institución financiera solo puede perder o filtrar lo que recopila, retiene, copia, almacena y hace accesible. Los hallazgos de privacidad canadienses dijeron que la antigüedad de alguna información comprometida llevó a la OPC a revisar las prácticas de destrucción de datos de Desjardins. El informe encontró contravenciones relacionadas con la rendición de cuentas, los períodos de retención y las salvaguardas de seguridad.

También declaró que Desjardins no tenía procedimientos para destruir información personal al final de su ciclo de vida y aún no podía, meses después del incidente, determinar el período de retención de cuentas inactivas comprometidas.

Eso es un punto decisivo de responsabilidad. La política de retención no es un problema secundario de gestión de registros cuando los registros incluyen información de identidad que puede usarse para fraude años después. Los números de seguro social y las fechas de nacimiento no se vuelven inofensivos porque una cuenta esté inactiva. Las direcciones, números de teléfono, direcciones de correo electrónico e historiales de transacciones pueden usarse para construir intentos de suplantación convincentes.

Cuanto más tiempo permanezca la información en sistemas accesibles después de que su propósito haya terminado, mayor será la superficie de filtración.

La Ley de Protección de Información Personal y Documentos Electrónicos enhttps://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.htmlproporciona el marco federal de ley de privacidad para el manejo de información personal del sector privado en Canadá. Los hallazgos de Desjardins aplicaron los principios de rendición de cuentas, salvaguardas y retención de esa ley a la filtración. La lección práctica importante es que la ley de privacidad y la ingeniería de seguridad se encuentran dentro de los controles del ciclo de vida. Si los datos ya no son necesarios, no deben permanecer disponibles para ser copiados desde una ubicación compartida. Si un flujo de trabajo de marketing necesita un análisis agregado, no debe recibir automáticamente registros de identidad completos a menos que el caso de uso lo exija y las salvaguardas coincidan con el riesgo. Si una carpeta de usuario contiene extractos sensibles, esa carpeta no es un caché de conveniencia; es un almacén de datos regulado.

La minimización de datos también cambia el modelo de costos. Después de una filtración, una institución puede pagar por monitorización de crédito, protección de identidad, comunicaciones, procesos legales, auditoría externa y reparación operativa. El informe financiero del segundo trimestre de 2019 de Desjardins enhttps://www.desjardins.com/ressources/pdf/d50-rapport-trimestriel-mcd-2019-2-e.pdf?resver=1565631033000reconoció gastos y provisiones significativos para protecciones después de la filtración de privacidad. Su informe anual de 2019 enhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-mcd-2019-t4-e.pdf?resVer=1583954841000y los estados financieros relacionados enhttps://www.desjardins.com/ressources/pdf/d50-etat-financier-mcd-2019-e.pdf?resVer=1583166109000vincularon la respuesta a la filtración con un costo financiero material. Esos costos muestran por qué la minimización no es meramente una preferencia de cumplimiento. Los datos retenidos en exceso se convierten en un pasivo financiado cuando los controles fallan.