skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA: La Combinazione Di Punti Deboli Ha Portato A Una Massiccia Violazione Dei Dati In Desjardins

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA: La combinazione di punti deboli ha portato a una massiccia violazione dei dati in Desjardins

This post is also available in: English Español

GATINEAU, QC , 14 dicembre 2020  Una violazione dei dati a Desjardins, la più grande mai avvenuto nel settore dei servizi finanziari canadesi, è stata causata da una serie di lacune nelle salvaguardie amministrative e tecnologiche, secondo un’indagine dell’Ufficio Canada ( OPC ).

L’ OPC ha pubblicato oggi il suo rapporto investigativo sui risultati dell’incidente, che ha compromesso i dati di quasi 9,7 milioni di canadesi.

L’ OPC e la Commission d’accès à l’information du Québec, che ha anche pubblicato oggi la sua decisione, hanno coordinato le rispettive indagini. Anche l’Autorité des marchés financiers du Québec pubblica oggi i risultati della propria indagine.

“Desjardins non ha dimostrato il livello appropriato di attenzione richiesto per proteggere le informazioni personali sensibili affidate alle sue cure”, afferma Daniel Therrien, Commissario canadese per la privacy. “I clienti, i membri dell’organizzazione e tutti i cittadini sono rimasti giustamente scioccati dalla portata di questa violazione dei dati. Detto questo, siamo soddisfatti delle misure di mitigazione offerte alle persone colpite e degli impegni presi da Desjardins “.

Desjardins aveva riconosciuto alcune delle debolezze della sicurezza che alla fine avevano portato alla violazione e aveva sviluppato un piano per porvi rimedio. Tuttavia, non è riuscito a correggere i problemi in tempo per evitare ciò che è accaduto. Inoltre, la violazione si è verificata per più di due anni prima che Desjardins ne venisse a conoscenza e solo dopo che l’organizzazione era stata informata dalla polizia.

Secondo il Personal Information Protection and Electronic Documents Act ( PIPEDA ), le informazioni personali devono essere protette da misure di sicurezza adeguate alla sensibilità delle informazioni. Questo rappresenta un compito significativo, ma comunque cruciale, per un istituto finanziario con sistemi complessi e che intrattiene un gran numero di rapporti d’affari.

L’indagine sulla violazione di Desjardins fa luce sui rischi di minacce interne, intenzionali o meno. L’ OPC sottolinea l’importanza della vigilanza e di un approccio olistico per affrontare e mitigare l’impatto di tali minacce.

Per almeno 26 mesi, un dipendente malintenzionato ha esfiltrato informazioni personali sensibili raccolte da Desjardins da clienti che avevano acquistato o ricevuto prodotti offerti direttamente o indirettamente dall’organizzazione.

Queste informazioni erano originariamente archiviate in due data warehouse a cui il dipendente malintenzionato aveva accesso limitato. Tuttavia, altri dipendenti, nel corso dell’adempimento dei loro doveri, copiano regolarmente tali informazioni su un Drive condiviso. Di conseguenza, i dipendenti che di solito non avevano l’autorizzazione richiesta o la necessità di accedere ad alcuni dati riservati sono stati in grado di farlo. Sebbene queste pratiche violassero le politiche dell’istituto finanziario, le misure tecnologiche in atto per prevenire queste situazioni mancavano al momento della violazione.

Alla fine dell’indagine, Desjardins ha accettato una serie di raccomandazioni per migliorare il suo programma per la sicurezza delle informazioni e la protezione delle informazioni personali, comprese le sue pratiche di distruzione dei dati. Si è impegnata a fornire rapporti sui progressi compiuti all’OPC ogni sei mesi. L’istituto finanziario ha inoltre accettato di incaricare revisori esterni di valutare e certificare i suoi programmi e di presentare una relazione di valutazione all’OPC .

L’ indagine dell’OPC ha rivelato che Desjardins non aveva adempiuto a molti dei suoi obblighi ai sensi di PIPEDA , tra cui:

  • Desjardins non è riuscita a garantire la corretta attuazione delle sue politiche e procedure per la gestione delle informazioni personali, alcune delle quali erano inadeguate all’inizio.
  • Da un punto di vista tecnologico, i controlli di accesso e la segregazione dei dati delle banche dati e delle directory erano inadeguati.
  • La formazione e la consapevolezza dei dipendenti sono mancate considerando la natura sensibile delle informazioni personali affidate all’organizzazione.
  • Desjardins non aveva implementato periodi di conservazione o procedure riguardanti la distruzione delle informazioni personali.

Commissario canadese per la privacy a seguito di un’indagine su una violazione dei dati a Desjardins:

Buongiorno. I miei commenti si riferiscono all’indagine del mio ufficio condotta ai sensi della legge federale canadese sulla privacy del settore privato. I risultati delle nostre rispettive indagini puntano nella stessa direzione.

La violazione dei dati di Desjardins è la più grande mai avvenuta nel settore dei servizi finanziari del Canada.

La nostra indagine ha rivelato che Desjardins non ha dimostrato il livello appropriato di attenzione richiesto per proteggere le informazioni personali sensibili affidate alle sue cure.

Desjardins aveva già identificato alcune delle carenze che alla fine hanno portato alla violazione, ma è stato troppo lento per reagire. Detto questo, l’organizzazione ha risposto molto bene una volta informata della violazione.

Quando questo incidente è venuto alla luce per la prima volta sui media, i cittadini sono rimasti scioccati perché ci aspettiamo che le istituzioni finanziarie siano estremamente rigorose quando si tratta di sicurezza dei dati.

Questa aspettativa si riflette nella legge, che impone alle organizzazioni di proteggere le informazioni personali con garanzie di sicurezza adeguate alla sensibilità delle informazioni.

È difficile vedere come un dipendente sia riuscito a esfiltrare le informazioni personali dei clienti Desjardins per almeno 26 mesi e che l’istituto finanziario abbia appreso solo inizialmente ciò che stava accadendo dalla polizia.

La protezione dei dati è complessa, soprattutto per una grande azienda come Desjardins, che tratta con milioni di persone e partner commerciali. Anche le tecnologie coinvolte sono complesse. Tuttavia, un’azienda delle dimensioni di Desjardins ha i mezzi e l’obbligo legale di utilizzare questi mezzi per proteggere i dati dei suoi membri.

Quello che è successo a Desjardins potrebbe essere accaduto ad altre società. Come sappiamo, questi tipi di violazioni si verificano troppo spesso. Questa violazione dovrebbe servire da lezione ad altre organizzazioni.

Le autorità di regolamentazione non si aspettano la perfezione, ma si aspettano che i dati siano protetti con misure coerenti con la sensibilità delle informazioni. Ciò include sistemi per rilevare attività insolite che potrebbero essere fraudolente.

Detto questo, siamo soddisfatti delle misure di mitigazione che Desjardins ha offerto alle persone colpite. La serie di misure proposte va oltre quanto offerto da altre organizzazioni in circostanze simili.

In futuro, Desjardins si è impegnata a implementare una serie di miglioramenti nella sicurezza delle informazioni, nei periodi di conservazione delle informazioni e nei controlli di accesso. Si è inoltre impegnata a fornirci rapporti sullo stato di avanzamento ogni sei mesi.

In conclusione, vorrei ringraziare la signora Poitras e la Commissione di accesso all’informazione per la loro collaborazione in questa importante indagine.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEL CANADA – OPC

 

Back To Top