L'agenzia di spionaggio afferma di aver condiviso "impropriamente" i dati dei canadesi con i partner internazionali

Una delle agenzie di intelligence canadesi afferma di aver condiviso "in modo improprio" informazioni sui canadesi ottenute "incidentalmente" con partner internazionali.

Il Communications Security Establishment (CSE) ha condiviso alcuni dettagli sull'incidente dopo che il commissario dell'intelligence (l'organismo quasi giudiziario che esamina le attività dell'agenzia di spionaggio informatico) ha segnalato il caso nel suo rapporto annuale depositato in Parlamento all'inizio di questa settimana.

Il portavoce del CSE, Janny Bender Asselin, ha dichiarato alla CBC News che l'anno scorso l'agenzia ha dovuto notificare al ministro della Difesa "un incidente in cui il CSE ha condiviso in modo improprio delle informazioni".

"Il CSE ha individuato un'attività in cui, tra il 2020 e il 2023, abbiamo condiviso alcune informazioni con partner internazionali senza rimuovere adeguatamente le informazioni canadesi che erano state acquisite incidentalmente quando prendevamo di mira validi obiettivi di intelligence straniera", ha affermato.

"Il CSE è intervenuto rapidamente per contenere il problema."

Il CSE è considerato uno dei gioielli di punta dell'intelligence canadese, responsabile dell'intercettazione e dell'analisi delle comunicazioni elettroniche estere, dell'avvio di operazioni informatiche e della difesa delle reti governative e delle infrastrutture critiche dagli attacchi.

Asselin ha affermato che ciò includeva la richiesta di garanzie ai partner fidati di CSE che le informazioni condivise fossero state eliminate.

"Continuiamo ad aggiornare le nostre politiche e procedure per impedire che tali episodi si ripetano", ha affermato.

Il CSE non ha specificato quanti canadesi siano stati interessati o con quali paesi siano state condivise le informazioni, citando questioni di sicurezza operativa.

I dettagli sono stati condivisi con il Commissario dell'Intelligence Simon Noël, che ha sollevato la questione nel suo rapporto pubblicato di recente.

Il commissario fa parte della catena di approvazione prima che il CSE e la sua agenzia gemella, il Canadian Security Intelligence Service (CSIS), possano procedere con determinate attività di raccolta di informazioni e di sicurezza informatica.

Il CSE deve prima chiedere l'autorizzazione al ministro della Difesa, la cosiddetta autorizzazione ministeriale, se l'azione proposta viola la legge o potenzialmente viola gli interessi legati alla privacy dei canadesi.

Ai sensi della legge, le autorizzazioni ministeriali devono dimostrare che le attività sono ragionevoli e necessarie e che sono state adottate misure per proteggere la privacy dei canadesi.

Il commissario dell'intelligence fornisce quindi un livello di supervisione e approva la missione, la approva con condizioni o la respinge del tutto.

Noël si assicura inoltre che la CSE rimanga conforme dopo aver ricevuto il via libera e si attenga a quanto approvato, cosa che non è avvenuta in questa questione di condivisione di informazioni.

Il rapporto del commissario non include molti dettagli, citando la sicurezza nazionale.

Il CSE afferma che i dati sono stati condivisi tra il 2020 e il 2023

Il caso sarà incluso nel rapporto annuale della CSE, la cui pubblicazione è prevista per la fine del mese, ha affermato Asselin.

Nel suo rapporto Noël afferma di aver esortato l'agenzia di intelligence a essere il più trasparente possibile in merito all'incidente.

Sembra che gli individui coinvolti non siano stati avvisati, sebbene il CSE abbia affermato di aver segnalato l'incidente ai propri organi di controllo e revisione, tra cui l'Office of the Privacy Commissioner.

"La divulgazione di questo incidente che ha coinvolto CSE solleva molte serie preoccupazioni", ha affermato Matt Malone, direttore della Canadian Internet Policy and Public Interest Clinic.

Il professore dell'Università di Ottawa ha affermato che i risultati giustificano molti dei timori sollevati dai gruppi della società civile circa la possibilità che informazioni inappropriate siano contenute nel disegno di legge sulla sicurezza informatica del governo liberale. La prima versione del disegno di legge è stata bocciata quando la Camera ha prorogato l'approvazione all'inizio di quest'anno, ed è stata reintrodotta dal governo del Primo Ministro Mark Carney come disegno di legge C-8.

Se approvata, le industrie regolamentate a livello federale sarebbero tenute a segnalare gli incidenti di sicurezza informatica al CSE, il che significherebbe che quest'ultimo sarebbe in possesso di maggiori informazioni.

"Tutto ciò non fa presagire nulla di buono per lo stato della tutela della privacy in Canada", ha affermato Malone.

"Tre degli otto progetti di legge governativi finora presentati in questo Parlamento sono estremamente lesivi della privacy."

Nel 2024, il Commissario per l'informazione ha ricevuto 13 autorizzazioni ministeriali da sottoporre a revisione: sette relative alle attività del CSE e sei relative alle attività del CSIS. Ha approvato le attività in 11 autorizzazioni, ha approvato le attività con condizioni in un'autorizzazione e ha approvato parzialmente le attività nell'altra autorizzazione.