Agencja wywiadowcza twierdzi, że „niewłaściwie” udostępniła dane Kanadyjczyków partnerom międzynarodowym

Jedna z kanadyjskich agencji wywiadowczych twierdzi, że „niewłaściwie” udostępniła partnerom międzynarodowym informacje o Kanadyjczykach, które uzyskała „przypadkowo”.

Communications Security Establishment (CSE) ujawniło pewne szczegóły dotyczące tego incydentu po tym, jak komisarz ds. wywiadu — quasi-sądowy urząd nadzorujący działania agencji zajmującej się cybernetycznym szpiegostwem — zwrócił uwagę na tę sprawę w swoim corocznym raporcie złożonym w parlamencie na początku tego tygodnia.

Rzecznik CSE Janny Bender Asselin powiedział CBC News, że w zeszłym roku agencja musiała powiadomić ministra obrony „o incydencie, w którym CSE niewłaściwie udostępniło informacje”.

„CSE zidentyfikowała przypadek, w którym w latach 2020–2023 przekazywaliśmy pewne informacje partnerom międzynarodowym, nie usuwając należycie informacji kanadyjskich, które pozyskaliśmy przypadkowo podczas działań na rzecz ważnych zagranicznych celów wywiadowczych” – powiedziała.

„CSE zareagowało szybko, aby opanować problem”.

CSE uważana jest za jeden z klejnotów w koronie kanadyjskiego wywiadu, odpowiedzialny za przechwytywanie i analizowanie zagranicznej komunikacji elektronicznej, uruchamianie operacji cybernetycznych i obronę sieci rządowych oraz krytycznej infrastruktury przed atakami.

Asselin dodał, że starano się uzyskać zapewnienia od zaufanych partnerów CSE, że udostępnione informacje zostały usunięte.

„Cały czas udoskonalamy naszą politykę i procedury, aby zapobiec ponownemu wystąpieniu takiego zdarzenia” – dodała.

CSE nie podało, ilu Kanadyjczyków zostało dotkniętych tym problemem ani do których krajów przekazano informacje, powołując się na kwestie bezpieczeństwa operacyjnego.

Szczegółami podzielono się z komisarzem ds. wywiadu Simonem Noëlem, który poruszył tę kwestię w swoim niedawno opublikowanym raporcie.

Komisarz jest częścią łańcucha zatwierdzania, zanim CSE i jej siostrzana agencja, Kanadyjska Służba Wywiadu Bezpieczeństwa (CSIS), będą mogły rozpocząć określone działania związane ze zbieraniem informacji wywiadowczych i cyberbezpieczeństwem.

CSE musi najpierw uzyskać zgodę ministra obrony — znaną jako autoryzacja ministerialna — jeśli proponowane działanie miałoby naruszyć prawo lub potencjalnie naruszyć prywatność Kanadyjczyków.

Zgodnie z prawem, zezwolenia ministerialne muszą dowodzić, że działania są uzasadnione i konieczne oraz że wdrożono środki mające na celu ochronę prywatności Kanadyjczyków.

Komisarz ds. wywiadu sprawuje następnie nadzór i albo zatwierdza misję, albo wyraża zgodę z pewnymi warunkami, albo całkowicie odrzuca wniosek.

Noël dba również o to, aby CSE po otrzymaniu zielonego światła przestrzegało przepisów i trzymało się zatwierdzonych zasad — co nie miało miejsca w przypadku tej kwestii udostępniania informacji.

Raport komisarza nie zawiera wielu szczegółów, powołując się na kwestie bezpieczeństwa narodowego.

CSE podaje, że dane udostępniane były w latach 2020–2023

Jak powiedział Asselin, sprawa zostanie uwzględniona w corocznym raporcie CSE, którego opublikowania można się spodziewać pod koniec tego miesiąca.

W swoim raporcie Noël zaapelował do agencji wywiadowczej o jak największą transparentność w sprawie tego incydentu.

Wygląda na to, że osoby zamieszane w incydent nie zostały o tym poinformowane, choć CSE twierdzi, że zgłosiło incydent swoim organom nadzoru i kontroli, w tym Biuru Komisarza ds. Prywatności.

„Ujawnienie tego incydentu z udziałem CSE budzi wiele poważnych obaw” – powiedział Matt Malone, dyrektor Canadian Internet Policy and Public Interest Clinic.

Profesor z University of Ottawa powiedział, że wyniki uzasadniają wiele obaw podnoszonych przez grupy społeczeństwa obywatelskiego dotyczących potencjalnej nieodpowiedniej informacji w projekcie ustawy rządu liberalnego o cyberbezpieczeństwie. Pierwsza wersja ustawy umarła, gdy Izba zawiesiła obrady na początku tego roku, a rząd premiera Marka Carneya ponownie wprowadził ją jako projekt ustawy C-8.

Jeśli ustawa zostanie przyjęta, branże podlegające regulacjom federalnym będą musiały zgłaszać incydenty związane z bezpieczeństwem cybernetycznym do CSE, co oznacza, że ​​CSE będzie posiadać więcej informacji.

„Wszystko to bardzo źle wróży stanowi ochrony prywatności w Kanadzie” – powiedział Malone.

„Trzy z ośmiu projektów ustaw rządowych przedstawionych dotychczas w tym Parlamencie są wyjątkowo szkodliwe dla prywatności”.

W 2024 r. komisarz ds. informacji otrzymał 13 upoważnień ministerialnych do przeglądu — siedem dotyczących działalności CSE i sześć dotyczących działalności CSIS. Zatwierdził działania w 11 upoważnieniach, zatwierdził działania z warunkami w jednym upoważnieniu i częściowo zatwierdził działania w drugim upoważnieniu.