Committee
Consult the user guide
For assistance, please contact us
Consult the user guide
For assistance, please contact us
Add search criteria
Results: 1 - 9 of 9
View Majid Jowhari Profile
Lib. (ON)
Okay. Let me move to CSE.
Mr. Jones, I was reviewing the Library of Parliament notes, which indicate that the “effectiveness of CIRA's technology relies on intelligence provided by the Communications Security Establishment's CCCS”. Can you shed some light on the technology you're referring to?
Très bien. Je vais maintenant me tourner vers les gens du CST.
Monsieur Jones, je lisais les notes d'information de la Bibliothèque du Parlement, et il y est écrit: « l'efficacité de la technologie de l'ACEI repose sur des renseignements fournis par le CCCS du Centre de la sécurité des communications. » Pouvez-vous nous parler plus en détail des technologies auxquelles vous faites allusion?
Scott Jones
View Scott Jones Profile
Scott Jones
2020-05-20 15:51
From our perspective, we're one intelligence thread that is fed into CIRA. I'll let our colleagues at CIRA talk about the broader approaches, but our feed comes from our defence of the Government of Canada. As we see attacks or compromises happening, such as, for example, spam emails being sent to us or attempts to defraud the government, etc., we share those indicators regularly with our partners, including CIRA.
In CIRA's case, then, with Canadian Shield, they're able to take those and put those to block, so that even if a Canadian were to click on the link they wouldn't be able to get to the bad or malicious site. That's an advantage. We do that same level of defence on the Government of Canada as well, but that's where we get the information from. It's really from our defence of a coast to coast to coast and global network. We try to feed that into our partners at CIRA to make sure Canadians are protected.
De notre point de vue, nous sommes un service de renseignement qui alimente l'ACEI. Je laisserai nos collègues de l'ACEI vous parler de leurs méthodes plus en général, mais nos renseignements nous viennent des activités de défense du gouvernement du Canada. Quand nous observons des attaques ou des compromissions, notamment quand des pourriels ou des tentatives de hameçonnage nous sont envoyés, nous transmettons fréquemment ces indicateurs à nos partenaires, qui comprennent l'ACEI.
L'équipe de l'ACEI peut alors, avec le Bouclier canadien, prendre ces indicateurs et bloquer les menaces, de manière à ce qu'un Canadien qui essaie de cliquer sur le lien ne puisse même pas parvenir au site malicieux. C'est un avantage. Nous défendons le gouvernement du Canada de la même manière, mais c'est notre source d'information. Nous tirons vraiment notre information de nos activités de défense d'un océan à l'autre et sur les réseaux mondiaux. Nous essayons de la transmettre à nos partenaires de l'ACEI pour bien protéger les Canadiens.
Simon Marchand
View Simon Marchand Profile
Simon Marchand
2020-05-20 15:53
Thank you, Mr. Lemire.
To start, I'll provide some clarity around the 600%. It refers to the increase in the number of attacks involving COVID-19 during this very specific period of time, not necessarily to the increase tied to economic factors. Naturally, during times of economic crisis, the number of scams goes up. The percentages vary.
That said, the lack of accountability in federally regulated companies is problematic in that all the current legislation—think of the Personal Information Protection and Electronic Documents Act, for example—forces companies to disclose that they were hacked and data was compromised. In Canada, however, we don't have an overall sense of how many people fall victim to identity theft once their information is stolen. Since banks and telecommunications carriers are federally regulated, they are making crimes involving one another easier to commit. In other words, much of the credibility for an identity is based on the fact that the individual has a cell phone account or bank account. These companies have tremendous amounts of sensitive information at their disposal, so once a hacker gets in, they can commit more and more fraud.
I have over a decade of experience in prevention, and I work with the fraud prevention teams in those companies. I can tell you that a bank's or telecommunications carrier's prevention team is under no obligation to disclose how many fraudulent accounts were opened daily or annually. They don't even have to contact or identify identity theft victims. That means you may have been the victim of identity theft, that your identity may have been used to open an account with a telecommunications carrier, for instance. The team in charge of fraud was able to detect the fraudulent use of a person's identity and reverse the transaction, but it doesn't have to notify the individual, in other words, the consumer. Consumers are completely clueless. No one has any idea when their identity has been used. The person can't take further steps to protect themselves in the future. That lack of accountability prevents the government from taking clear action to regulate the process of identifying or authenticating people who open bank or cell phone accounts.
Je vous remercie beaucoup, monsieur Lemire.
Je vais commencer par clarifier le chiffre de 600 %. Il concerne l'augmentation du nombre d'attaques liées à la COVID-19 pendant cette période très précise, et pas nécessairement l'augmentation liée à des relations de fonction économique. En cas de crise économique, il y aura évidemment une augmentation des attaques de fraudes. Les pourcentages varient.
Cela étant dit, l'absence de reddition de compte dans les entreprises qui relèvent de la compétence fédérale pose problème dans la mesure où toutes les lois actuelles — on peut penser à la Loi sur la protection des renseignements personnels et les documents électroniques, par exemple — forcent les entreprises à révéler le fait qu'elles ont été victimes d'une attaque qui leur a fait perdre de l'information. Cependant, au Canada, il n'y a présentement aucun portrait global du nombre de personnes qui sont effectivement victimes d'une utilisation de leur identité une fois que cette dernière a été volée. Comme les entreprises relevant de la compétence fédérale sont des banques et des entreprises de télécommunications, elles sont des facilitatrices de crimes l'une pour l'autre, c'est-à-dire que l'on base beaucoup la crédibilité d'une identité sur le fait que la personne possède un compte de téléphone ou un compte bancaire. Ce sont donc des entreprises qui ont accès à beaucoup d'informations de nature délicate et qui, une fois qu'un fraudeur a réussi à entrer, vont permettre à ce fraudeur de commettre de plus en plus de fraudes.
Je possède plus de 10 ans d'expérience dans le domaine de la prévention et je travaille en collaboration avec les équipes de prévention de la fraude qui sont mises sur pied dans ces entreprises. Je peux vous dire qu'une équipe de prévention d'une banque ou d'une entreprise de télécommunications n'a aucune obligation de révéler combien de comptes ont été ouverts sur une base quotidienne ou annuelle. Il n'y a même aucune obligation de contacter ou d'identifier les victimes d'un vol d'identité. Cela veut dire que vous pourriez avoir été victime d'un vol d'identité, que votre identité a pu être utilisée pour ouvrir un compte dans une entreprise de télécommunications, par exemple. L'équipe qui s'occupe des fraudes a pu détecter le vol d'identité et renverser l'opération, mais elle n'a pas l'obligation d'en aviser le citoyen, c'est-à-dire le consommateur. Ainsi, ce dernier est complètement aveugle. Personne ne sait quand son identité a été utilisée. Le citoyen ne peut pas prendre d'autres mesures pour se protéger dans l'avenir. Ce manque de reddition de compte empêche le gouvernement de poser des gestes clairs et d'encadrer les processus d'identification et d'authentification des gens qui vont ouvrir des comptes bancaires ou des comptes de téléphone.
View Tako Van Popta Profile
CPC (BC)
Thank you very much.
My first question will be for Mr. Marchand.
Thank you for your testimony. Thank you for educating us on some of these important statistics.
You told us about increased identity theft associated with so many Canadians who are teleworking, as we are today. I think you mentioned a 600% increase in phishing. Again, thank you for that information. What do we, as legislators, do with that? Do you have any specific advice for what we as legislators can do to help you help Canadians better protect themselves?
Merci beaucoup.
Ma première question sera pour M. Marchand.
Merci pour votre témoignage et pour ces importantes statistiques que vous nous avez communiquées.
Vous nous avez parlé d'un accroissement des vols d'identité dans un contexte où les Canadiens sont nombreux à faire du télétravail, comme nous le faisons actuellement. Je pense que vous avez mentionné une augmentation de 600 % des tentatives d'hameçonnage. Merci encore une fois pour ces précisions, mais pourriez-vous nous indiquer ce que nous pourrions en faire dans notre rôle de législateurs? Avez-vous des recommandations précises à nous faire quant à la manière dont nous pourrions aider les Canadiens à mieux se protéger?
Simon Marchand
View Simon Marchand Profile
Simon Marchand
2020-05-20 16:16
Thank you for the question.
Perhaps we could look at two tools in the short term. The goal is to provide tools to companies that face these risks. Now that the fraudsters have access to the information, how can we equip banks and telecommunications companies with tools to prevent the fraudsters from successfully attacking them?
The STIR/SHAKEN standards are included in these tools. Of course, in my view, because the Americans will implement these standards quickly, we can expect fraudsters to come north of the border and to take advantage of a gap in Canada's legislation and regulations.
In my opinion, the STIR/SHAKEN standards are an essential tool because fraudsters use scooping to carry out certain types of identity fraud. This isn't just a matter of robocalls, but also a matter of identity theft.
As for the other tool, I think that the rules for identifying customers should be strengthened. Right now, a social insurance number, a driver's licence or a health insurance card is enough to open a bank account or a telephone account. These pieces of identification are outdated. We must start looking at the issue of digital identity and biometric identity.
Several countries have already transitioned to these higher levels of identification. To protect Canadians, we must consider whether some form of more advanced biometric identification should be required to open accounts.
Je vous remercie beaucoup de la question.
Il y a peut-être deux outils que nous pourrions regarder à court terme. En fait, le but est de fournir des outils aux entreprises qui sont exposées à ces risques. Maintenant que les fraudeurs ont accès à l'information, comment pouvons-nous donner des outils aux banques et aux entreprises de télécommunications pour empêcher les fraudeurs de les attaquer avec succès?
Les normes STIR/SHAKEN font partie de ces outils. Évidemment, selon moi, comme les Américains vont instaurer ces normes rapidement, on peut s'attendre à ce que des fraudeurs passent au nord de la frontière et viennent tirer profit d'un trou dans la législation, dans la réglementation du Canada.
Les normes STIR/SHAKEN constituent, à mon avis, un outil fondamental parce que les fraudeurs utilisent l'appropriation, ou scooping, pour être capables de perpétrer certaines fraudes d'identité. Ce n'est donc pas juste une question d'appels robotisés, c'est aussi une question de vol d'identité.
Quant à l'autre outil, je pense qu'il faut renforcer les règles visant l'identification des clients. En ce moment, un numéro d'assurance social, un permis de conduire ou une carte d'assurance-maladie est suffisant pour ouvrir un compte bancaire ou un compte téléphonique. Ces pièces d'identité sont désuètes. Il va falloir commencer à regarder la question de l'identité numérique, de l'identité biométrique.
Plusieurs pays sont déjà passés à ces niveaux supérieurs d'identification. Pour protéger les citoyens, cela va devenir fondamental de se demander s'il faut exiger une certaine forme d'identification biométrique, plus avancée, au moment d'ouvrir de tes comptes.
View Ali Ehsassi Profile
Lib. (ON)
View Ali Ehsassi Profile
2020-05-20 16:25
Thank you.
Given all the advisory work you do and the counsel you provide to various organizations on a general basis, would it be fair to say that the guidance you are providing essentially establishes the standard of care from a legal standpoint as to whether organizations are actually adhering to best practices and insulating themselves from losses?
Merci.
Étant donné le vaste rôle consultatif que vous jouez auprès de différentes organisations d'une manière générale, pourrait-on affirmer que vous établissez ainsi la norme de diligence d'un point de vue juridique quant à savoir si les organisations adoptent bel et bien les meilleures pratiques qui soient pour se mettre à l'abri d'éventuelles pertes?
Scott Jones
View Scott Jones Profile
Scott Jones
2020-05-20 16:26
Well, I'm an engineer and not a lawyer, so I'm not sure that I'm qualified to demonstrate the standard of care.
One of the things we have worked on with our colleagues in Innovation, Science and Economic Development is the cybersecure Canada program to provide baseline cybersecurity controls to help small and medium-sized organizations do things that are actually within reach. I think one of the failings of the commercial cybersecurity industry is that we talk about things that a multi-million dollar or a billion-dollar company can afford. We need things that Canadian small businesses can afford, and that's what this is really trying to achieve.
Comme je suis ingénieur et non pas avocat, je ne suis pas certain de pouvoir me prononcer pour ce qui est de la norme de diligence.
Avec nos collègues d'Innovation, Sciences et Développement économique Canada, nous avons notamment mis en place le programme CyberSécuritaire Canada pour offrir des mesures de contrôle de base en cybersécurité qui sont accessibles aux PME. Selon moi, l'une des faiblesses du secteur commercial de la cybersécurité vient du fait que l'on offre des solutions abordables uniquement pour les entreprises dont les revenus se calculent en millions ou en milliards de dollars. Il nous faut des solutions correspondant aux moyens des petites entreprises canadiennes, et c'est ce que nous essayons de leur offrir.
View Nathaniel Erskine-Smith Profile
Lib. (ON)
I understand.
This question is for CSE and the RCMP.
We hear from constituents all the time about scams. The RCMP has tallied up that it costs individuals about $100 million a year overall for these scams, at least those that are reported. I would say they are under-reported, because people are embarrassed when they are taken advantage of. We hear about this all the time, and it's not just from seniors, although I've heard predominantly from seniors.
We've made significant investments in cybersecurity over the last number of years. You are the experts. Are there measures that other countries take that we do not? Are there measures, in your experience and estimation, the government could take to better strengthen our society against such fraud?
Je vois.
Ma prochaine question est destinée au CST et à la GRC.
Nos électeurs ne cessent de nous signaler des arnaques. La GRC a fait des calculs et a trouvé que les particuliers arnaqués perdent environ 100 millions de dollars par année, et ce sont celles qui ont été déclarées. À mon avis, elles sont sous-déclarées, car les gens sont gênés d'en être les victimes. Nous en entendons parler constamment, et les victimes ne sont pas seulement des aînés, quoique les aînés en représentent la majorité.
Nous avons beaucoup investi dans la cybersécurité au cours des dernières années. Vous êtes les experts. Y a-t-il des mesures que prennent d'autres pays que nous ne prenons pas? Selon votre expérience et vos connaissances, y a-t-il des mesures que le gouvernement pourrait prendre pour mieux protéger notre société contre de telles activités frauduleuses?
Scott Jones
View Scott Jones Profile
Scott Jones
2020-05-20 16:42
I'll start and then turn it over to my colleagues in the RCMP.
The first thing we've done is we've really tried to give practical things that every Canadian can do that are within reach. That's something all countries are doing. We've tried to make this as accessible as possible through, say, Get Cyber Safe.
The second thing we've tried to do is to find partners who can give capability. CIRA is a great example of that. That's something every Canadian can look into that immediately raises the cybersecurity bar. The one thing with cybercriminals especially is that they go after the lowest bar. If it's not economically feasible, they're going to move on to the next target, so by doing—
Je vais commencer, et ensuite je céderai la parole à mes collègues de la GRC.
La première chose que nous avons faite, c'était de donner des conseils pratiques aux Canadiens sur les mesures qu'ils peuvent prendre. Tous les pays le font. Nous avons tenté de rendre les conseils aussi accessibles que possible comme, par exemple, le programme Pensez cybersécurité.
La deuxième chose que nous avons tenté de faire, c'est de trouver des partenaires qui peuvent aider les Canadiens. L'ACEI en est un bel exemple. Ce sont des choses que tous les Canadiens peuvent considérer pour immédiatement renforcer leur cybersécurité. Les cybercriminels cherchent des proies faciles. Si leurs efforts ne sont pas rentables, ils passent ensuite à la prochaine cible, ce qui fait...
Results: 1 - 9 of 9

Export As: XML CSV RSS

For more data options, please see Open Data