Committee
Consult the user guide
For assistance, please contact us
Consult the user guide
For assistance, please contact us
Add search criteria
Results: 1 - 10 of 10
View John McKay Profile
Lib. (ON)
Folks, we're trying to get back on our timeline here. We are waiting for our other witness, but in the meantime, we will proceed with RCMP captain Mark Flynn.
You will make your presentation, and if the folks from the Communications Security Establishment come, we'll make arrangements for them to speak as well.
The meeting is now public, by the way.
For those who are presenters, the real issue here is that the members wish to ask questions. Therefore, shorter presentations are preferable to longer ones.
With that, Superintendent Flynn, I'll ask you to make your presentation.
Mesdames et messieurs, nous nous efforçons de respecter notre horaire. Nous attendons l’arrivée de nos autres témoins, mais, dans l’intervalle, nous allons entendre le témoignage du représentant de la GRC, le capitaine Mark Flynn.
Vous ferez votre exposé et, si les représentants du Centre de la sécurité des télécommunications viennent, nous prendrons des dispositions afin qu'ils s'expriment eux aussi.
Soit dit en passant, la séance est maintenant publique.
En ce qui concerne les personnes qui témoignent devant nous, le véritable problème, c’est que les membres du Comité souhaitent poser des questions. Par conséquent, il est préférable de limiter la durée des exposés.
Et maintenant, je vous prie de faire votre exposé, surintendant Flynn.
View John McKay Profile
Lib. (ON)
That's a consensus standard among the cyber community, if your will, your point number three—zero trust.
C'est une norme qui fait l'unanimité dans le milieu du cyber, si je puis dire, cette idée de confiance zéro, à votre point trois.
View John McKay Profile
Lib. (ON)
Thank you, Monsieur Fortin.
I want to thank the witnesses for their appearance here. I'm happy to note that your announcement of your package coincided with your appearance here. That's quite fortunate. There are four or five members of this committee who are uniquely vulnerable as members of your association. I'm wondering whether their unique vulnerabilities as public figures is covered by your announcement today.
Merci, monsieur Fortin.
Je tiens à remercier les témoins de leur présence ici. Je suis heureux de constater que l'annonce de votre ensemble de mesures a coïncidé avec votre comparution ici. C'est assez heureux. Quatre ou cinq membres de ce comité sont particulièrement vulnérables en tant que membres de votre association. Je me demande si leurs vulnérabilités uniques en tant que personnalités publiques sont couvertes par l'annonce que vous faites aujourd'hui.
View John McKay Profile
Lib. (ON)
I have taken note of that, as you mentioned it earlier. However, what I'm talking about is the unique vulnerability of public officials. If that vulnerability arises, will it be addressed by this particular package?
J'en ai pris note, car vous l'avez mentionné plus tôt. Cependant, je me réfère à la vulnérabilité unique des titulaires de charges publiques. Si cette vulnérabilité se manifeste, sera-t-elle traitée par cet ensemble de mesures particulier?
View John McKay Profile
Lib. (ON)
So in the initial thrust, not necessarily.
Mr. Guy Cormier: Yes. We will look at it.
The Chair: My question is that we've been doing this for awhile now and one of, if you will, the gold standards of protection is what's called “zero trust”, which was brought up by a previous witness, who said, “identify and protect critical assets. Know where your key data lives; protect it; monitor the protection, and be ready to respond.”
Do you feel that Desjardins adhered to the zero trust principle that seems to be the gold standard for protection of data?
Donc, pas nécessairement dès le début.
M. Guy Cormier:Oui. Nous allons l'examiner.
Le président: Ma question concerne le fait que nous faisons cela depuis un certain temps déjà et que l'une des normes de protection de référence est ce qu'on appelle la « confiance zéro », qui a été mentionnée par un témoin précédent, qui a dit « repérez et protégez les biens essentiels. Sachez où se trouvent vos données clés, protégez-les, surveillez leur protection et soyez prêts à réagir. »
Pensez-vous que Desjardins a appliqué le principe de la confiance zéro qui semble être la norme de référence en matière de protection des données?
View John McKay Profile
Lib. (ON)
Thank you, Mr. Picard. You've had the penultimate question, and I'd like to ask the ultimate question before we adjourn.
I wonder whether you are understating the significance of the data that you hold. You keep talking about how many bathrooms and who cares, but actually that can be quite significant data in the hands of certain people who wish to do us harm.
I wonder whether in fact you might be taking a bit too casual an approach to your own cybersecurity from the standpoint of data protection, because—and I guess this is a heightened sensitivity on the part of this committee—you never really know how individuals with malicious intention can use that data against both policy-holders and the institutions themselves.
I refer you to a $100-million lawsuit against Zurich Insurance. When the lawsuits start to happen over cybersecurity, everybody starts to run around in dizzy circles because they realize that maybe the data they had or have is far more significant than they actually realize.
I'm curious about your reaction to the value of your data.
Merci, monsieur Picard. Vous avez posé l’avant-dernière question et j’aimerais poser la dernière avant de lever la séance.
Je me demande si vous minimisez l’importance des données que vous détenez. Vous parlez sans cesse du nombre de salles de bain et qui s’en soucie, mais en fait, cela peut constituer des données pertinentes pour certaines personnes malintentionnées.
Je me demande si, en fait, vous n'adoptez pas une approche un peu trop désinvolte à l’égard de votre propre cybersécurité, du point de vue de la protection des données, parce que — et notre comité est sans doute plus sensibilisé à la question — on ne sait jamais vraiment comment des personnes ayant des intentions malveillantes peuvent utiliser ces données contre les titulaires de police et les institutions elles-mêmes.
Je vous renvoie à une poursuite de 100 millions de dollars contre Zurich Insurance. Dans les procès sur la cybersécurité, qui révèlent soudainement aux détenteurs des données leur importance jusque-là insoupçonnée, on voit tout le monde être saisi de tournis.
J’aimerais savoir ce que vous pensez de la valeur de vos données.
View John McKay Profile
Lib. (ON)
Google is awfully interested in how far I drive and when I drive. I got into the car in my garage on Sunday morning and it told me that it was 21 minutes to get to my church. I think it was kind of surprised that I went to church.
What I would describe as innocuous data becomes, in the hands of others, fairly significant.
Google est à l'affût de tout ce que je fais avec ma voiture. Quand je l'ai prise au garage dimanche matin, Google m’a dit qu’il me fallait 21 minutes pour me rendre à mon église. Il était un peu surpris, je pense, que je sois allé à l’église.
Des données que je qualifierais d'anodines se chargent de sens entre d’autres mains.
View John McKay Profile
Lib. (ON)
Formally we are at the end of our questions, but I see that my colleagues are very keen. I hope that the witnesses will have a little bit of flexibility with respect to their times. My intention is to run to about 5 o'clock, but I'm going to take the chair's prerogative here and ask a question about cryptocurrency.
In this morning's news there was a story about a company called QuadrigaCX. It was a cryptocurrency company apparently worth about $250 million. The owner was about the same age as Mr. Abma, and he died. He had all of the passwords on his laptop. It strikes me as passingly bizarre that a $250 million company is completely locked up because nobody can open up the passwords on his laptop.
My first question is whether this is a challenge for HackerOne.
Some hon. members: Oh, oh!
The Chair: Is this, on the face of it, a massive disregard of people's security?
The second question has to do with blockchain. Even if you were able to get to the passwords, is blockchain technology such that even the skills of HackerOne or HackerOne on steroids couldn't play with the security of that technology?
I apologize for these being ill-formed questions, but this does strike me as a situation where what we're supposed to be studying, financial security, comes together with a massive technological failure. It may not turn out so badly in that no ill can come from a blockchain technology that, I think, can't be cracked. Am I right or am I wrong?
Officiellement, nous sommes rendus à la fin de la période des questions, mais je vois que mes collègues sont très enthousiastes. J'espère que les témoins sont prêts à rester un peu plus longtemps. J'ai l'intention qu'on poursuive jusqu'à 17 heures, mais je vais exercer ma prérogative en tant que président et poser une question à propos de la cryptomonnaie.
Dans les médias ce matin, on parlait d'une entreprise qui s'appelle QuadrigaCX. C'est une entreprise de cryptomonnaie dont la valeur s'élève, semble-t-il, à environ 250 millions de dollars. Le propriétaire a à peu près le même âge que M. Abma, et il est décédé. Son ordinateur portable contient tous les mots de passe. Je trouve plutôt bizarre qu'une entreprise de 250 millions de dollars ne puisse plus fonctionner parce que personne ne peut avoir accès aux mots de passe qui se trouvent dans un ordinateur portable.
J'aimerais savoir premièrement si cela représente un défi pour HackerOne.
Des députés: Oh, oh!
Le président: S'agit-il, à première vue, d'un mépris total envers la sécurité?
Ma deuxième question concerne la chaîne de blocs. Même si nous pouvions obtenir les mots de passe, est-ce que la technologie de la chaîne de blocs fait en sorte que même HackerOne, avec toutes ses compétences, ne pourrait rien faire compte tenu de la sécurité de cette technologie?
Je m'excuse pour ces questions mal formulées, mais cela m'apparaît comme une situation où nous sommes censés étudier la sécurité des institutions financières alors que nous sommes confrontés à un important échec technologique. Il pourrait s'avérer que la technologie de la chaîne de blocs ne puisse pas causer des torts qui ne peuvent pas être réparés. Ai-je raison ou pas?
View John McKay Profile
Lib. (ON)
Does it strike you as passingly absurd that the entire access to the system should be contained in one laptop?
Ne trouvez-vous pas cela plutôt absurde qu'un seul ordinateur portable permette d'avoir accès au système?
View John McKay Profile
Lib. (ON)
Okay.
For people who trade in cryptocurrencies, if one of the cryptocurrencies is locked out—and correct me if I'm wrong—am I to assume that all of the people who trade in cryptocurrencies and who have this particular kind of cryptocurrency in their portfolio are going to be affected? So it would be much larger than simply the clients of Quadriga. Is that a correct assumption or not?
D'accord.
Si une des cryptomonnaies ne peut plus être utilisée — et corrigez-moi si j'ai tort — dois-je présumer que toutes les personnes qui négocient des cryptomonnaies et qui ont cette cryptomonnaie en particulier dans leur portefeuille seront touchées? On parle de beaucoup d'autres personnes que simplement les clients de Quadriga. Est-ce exact ou non?
Results: 1 - 10 of 10

Export As: XML CSV RSS

For more data options, please see Open Data