Friday, October 29, 2021

Municipal elections, your data once again exposed

Some big news in the last 24 hours. An entire new minister for cybersecurity!


I can’t wait to see what my colleagues will be saying about this news.


I do see some issues.  After all, that is what security professionals do, we look, we find weaknesses and we talk about these weaknesses hoping that someone will listen and take charge. 


Overall, this is hopefully great news.  Having an entire minister assigned to cyber should change some things. 


The current changes target only government entities, and the depth still needs some work.


I have two concrete issues following my analysis of the 28 page document.


MUNICIPAL ELECTIONS

Quebec is entering an election period across all municipalities.  Historically, elections bring out some unethical people.  People that will go door to door making up stories and lies to gather support and votes to push out the other candidates.  These ethically and morally challenged individuals only require 5 signatures to get their names on the list for most municipalities across Quebec (for example Cities of less then 10,000) and guess what they all get…. a full list of all registered voteres INCLUDING their full birthdates !


Wait…. did you just read that correctly….. the same issue with data leakage that we blame everyone for is taking place again at the end of 2021 across all cities in the province !  YES !  

Groundhog day version 2.0


So in Montreal, an excel spreadsheet of over 1 million names is being shared by various candidates, staff and interns and it holds your full birthdate even though there really is no use or need for it.


I think this should be looked at by a futur minister of cybersecurity


IDENTITY THEFT

The second example is the banking, Equifax and finance sector that remains clearly out of scope since this initiative targets government entities only.


Banks and their senior managers need to be personally liable if they give credit or open an account to the wrong person.  Relying on birthdates and social insurance numbers that have literally fallen from the sky over the last few years is ludicrous. 


We need a digital ID for all important services and that means banking and finance should be a priority.  This is where identify theft strikes the most.


The cyber security industry has proven that we can get the ear of the government, we need to keep pushing.  As it stands, this new announcement does not actually change much since most things that impact the citizen is related to identity theft and this is not addressed outside of the government entities covered in the current announcement.


A part of me feels more like this 4 billion dollar investment is more a cleanup of the current disaster that is Information Technology within the government.  Regardless, it needs to get done, the government does need to clean their information technology hygiene 


Minister Eric Caire, excellent first step, do not stop now.


Related interviews (French):

RADIO CANADA: https://ici.radio-canada.ca/util/postier/suggerer-go.asp?nID=4733866

QUB RADIO: https://www.qub.ca/radio/balado/genevieve-pettersen?track=1059632448

_______________________________________________


Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies


Élections municipales, vos données à nouveau exposées

Une grande announce !   Un tout nouveau ministre pour la cybersécurité !


J'ai hâte de voir ce que mes collègues vont dire de cette nouvelle.


Je vois quelques problèmes.  Après tout, c'est ce que font les professionnels de la sécurité, nous regardons, nous trouvons des faiblesses et nous parlons de ces faiblesses en espérant que quelqu'un écoutera et prendra les choses en main. 


Dans l'ensemble, j'espère que c'est une bonne nouvelle.  Le fait qu'un ministre entier soit affecté à la cybersécurité devrait changer certaines choses. 


Les changements actuels ne visent que les entités gouvernementales, mais la profondeur a encore besoin d'être travaillée.


J'ai deux commentaires à faire après avoir analysé le document de 28 pages.


ÉLECTION MUNICIPALE

Le Québec entre dans une période électorale dans toutes les municipalités.  Historiquement, les élections font ressortir certaines personnes malhonnêtes. Des gens qui vont faire du porte-à-porte en inventant des histoires et des mensonges pour obtenir des appuis et des votes afin d'écarter les autres candidats.   Ces personnes qui ont des problèmes d'éthique et de moralité n'ont besoin que de 5 signatures pour faire inscrire leur nom sur la liste de la plupart des municipalités du Québec (par exemple les villes de moins de 10 000 habitants) et devinez ce qu'elles obtiennent toutes : .... une liste complète de tous les électeurs inscrits, y compris leur date de naissance complète !

Attendez.... est-ce que vous venez de lire ça correctement..... le même problème de fuite de données pour lequel nous blâmons tout le monde a lieu en 2021 dans toutes les villes de la province !  OUI !  



Le jour de la marmotte 2.0

Ainsi, à Montréal, un chiffrier Excel contenant plus d'un million de noms est partagé par divers candidats, membres du personnel et stagiaires, et il contient votre date de naissance complète alors qu'elle n'est ni utile ni nécessaire.

Je pense que cela devrait être examiné par un futur ministre de la cybersécurité.


VOL D'IDENTITÉ

Le deuxième exemple est le secteur bancaire, Equiflop et financier qui reste clairement hors de portée puisque cette initiative ne vise que les entités gouvernementales.


Les banques et leurs cadres supérieurs doivent être personnellement responsables s'ils accordent un crédit ou ouvrent un compte à la mauvaise personne.  Il est ridicule de se fier aux dates de naissance et aux numéros d'assurance sociale qui sont littéralement tombés du ciel au cours des dernières années. 

Nous avons besoin d'une identité numérique pour tous les services importants et cela signifie que les banques et le secteur financier doivent être une priorité.  C'est là que le vol d'identité frappe le plus.

Le secteur de la cybersécurité a prouvé que nous pouvions obtenir l'oreille du gouvernement, nous devons continuer à faire pression.  En l'état actuel des choses, cette nouvelle annonce ne change pas grand-chose puisque la plupart des choses qui ont un impact sur le citoyen sont liées à l'usurpation d'identité et que cela n'est pas abordé en dehors des entités gouvernementales couvertes par l'annonce actuelle.

Une partie de moi pense que cet investissement de 4 milliards de dollars est plutôt un nettoyage du désastre actuel qu'est la technologie de l'information au sein du gouvernement.  Quoi qu'il en soit, il faut que cela soit fait, le gouvernement a besoin de nettoyer son hygiène informatique. 

Ministre Eric Caire, excellent premier pas, ne vous arrêtez pas maintenant.


Discussions et entrevues

RADIO CANADA: https://ici.radio-canada.ca/util/postier/suggerer-go.asp?nID=4733866

QUB RADIO: https://www.qub.ca/radio/balado/genevieve-pettersen?track=1059632448

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies

Banning TP-LINK..... the correct strategy?

OBJECTIVE:  Something to think about.  This type of news comes around frequently over the last decade.   Should we ban a Chinese manufacture...