Standing Committee on Public Safety and National Security
(1600)
[English]
The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):
Ladies and gentleman, we have quorum, and we have lost half an hour.
I'm just going to ask all the witnesses to come up to the table directly.
My proposal, colleagues, is that we mash the panels. I've spoken to all the witnesses and asked that they be prepared to speak for less than 10 minutes. My thought is to give the panellists seven minutes each to make their presentations.
The first round of questions will be six minutes, and the next round, four minutes. We'll just run as long as we can.
I think there's another vote. We're not sure.
Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):
Are we not going all night tonight?
The Chair:
Did you bring your cot?
An hon. member: Oh, oh!
The Chair: Okay, with that, the meeting has come to order.
I'll simply call the witnesses in the order that we have on the agenda, which starts with Mr. Green from Mastercard, followed by Mr. Davies from EY, Mr. Finlay from Cybersecure Catalyst and Mr. Gordon from Canadian Cyber Threat Exchange.
With that, Mr Green, you have seven minutes, please.
Mr. Ron Green (Executive Vice-President and Chief Security Officer, Mastercard Canada):
Good afternoon, and thank you for the opportunity to be here today.
First, I want to praise the committee for launching this study. Cybersecurity is one of the greatest challenges governments and businesses are facing at the present time, with serious implications for national security, financial stability and consumer protection.
I also want to congratulate the Government of Canada for launching its national cybersecurity strategy and establishing the Canadian Centre for Cyber Security. I had the opportunity to meet with the leadership of the centre today, and we at Mastercard look forward to supporting their work however we can.
Cybersecurity is a top global priority for Mastercard. Safety and security are foundational principles for every part of our business and the innovative technology platforms and services we enable. We know that secure products and services are essential to the trust our customers, cardholders, merchants and other partners place in us. Let me contextualize this.
As you probably know, Mastercard does not issue credit cards or have a direct relationship with consumers. That is the purview of the banks that issue our cards.
Mastercard is a technology company. We provide the network that allows consumers to use their Mastercard virtually anywhere in the world, in more than 210 countries and territories, and have those transactions processed in seconds, connecting 2.5 billion cardholders with tens of millions of merchants.
For us to provide value to banks, merchants and consumers who use our network, we must provide safety and security. We cannot afford to have any interruptions in the operations of our network.
We are also investing in innovation: enhancing our capabilities in-house; acquiring cutting-edge technology companies; and nurturing our Start Path group of curated start-ups, including five in Canada, connecting with our issuing partners to grow their business. Just last month, Mastercard entered into an agreement to acquire Toronto-based Ethoca, a fraud solution powered by collaboration between banks and merchants.
At a very high level, that's what we're doing. Please let me now turn to our advice for government, which falls into six main areas.
First, in a networked, interconnected digital world, we need cybersecurity solutions tailored to small and medium-sized businesses. Cybercriminals will seek out the weakest point in the system to launch an attack. Therefore, we need to provide a framework for small businesses to protect their operations. Mastercard is playing a leading role in defending SMEs as we stand up our Cyber Readiness Institute, which emphasizes the practical application of tools for small and medium-sized businesses. The institute also facilitates the workforce development needed to implement these cybersecurity risk management tools.
In addition, keeping with this focus, in February, Mastercard and the Global Cyber Alliance released a new cybersecurity tool kit specifically designed for SMEs. This is a free online resource available worldwide. It offers actionable guidance and tools with clear direction to combat the increasing volume of cyber-attacks. There are operational tools, how-to materials and recognized best practices, all with an action focus. This tool kit will be updated regularly.
Second, global companies frequently confront an expanding and overlapping set of cybersecurity regulations in different jurisdictions. Those need to be harmonized using a baseline framework. We understand good trilateral progress was made here in the context of the NAFTA renegotiation, developing a common framework to align and manage cybersecurity risks, which is encouraging.
Third, there is a need to improve identity management and authentication as more devices are connected online. We need a robust identity ecosystem to enable easier and more secure digital interactions and transactions that safeguard the privacy of our cardholders.
Fourth, with the Internet of things there will soon be 30 billion connected devices. This creates enormous opportunities for the digital economy, but it also increases cyber-risk. Therefore, governments and the private sector should develop standards to improve the interoperability and cyber-threat detection and prevention while removing friction from commerce.
Fifth, as cyber-threats grow, governments and the private sector face a shortage of employees with cybersecurity skills. The world needs to start training the next generation of cybersecurity experts, and government has a role to play. If you have kids or grandkids, get them hooked on cybersecurity and they can make a lot of money in their lifetime, because right now the needs are there but the qualified security personnel are not.
Finally, collaboration, information-sharing and bringing all stakeholders to the table are required to fight cybercrime. President Obama commissioned an expert task force on cybersecurity on which our CEO sat. The task force issued a series of recommendations. The CRI, which I mentioned earlier, is a direct offshoot of the task force's emphasis on securing SMEs.
I believe this issue is so fundamental to the future of our economy and society that it needs attention from leadership at the highest levels. Mastercard is ready to lend its expertise to the Government of Canada in much the same way.
I could talk for hours on the subject but I will stop here and happily take questions on the areas that are of most interest to you. I have tried to provide a snapshot of what we are doing and what we think governments should be doing.
Thank you again to the committee for having me here, and I look forward to your questions.
(1605)
The Chair:
Thank you, Mr. Green, and thank you for respecting the time.
Mr. Davies is next for seven minutes, please.
Mr. Thomas Davies (National Financial Services Cyber Leader, EY):
Thank you for inviting us to this session to provide insights and field questions on cybersecurity in the financial sector.
My name is Thomas Davies, and I am the National Financial Services Cybersecurity Leader for EY in Canada. I'm also a special adviser for financial crime for the firm globally with a focus on insider and outsider threats. Prior to joining EY, I spent eight years as a director of Scotiabank, supporting all three lines of defence.
Cyber-attacks are on the rise and the financial services industry is considered a high value target globally. The number of individuals, organizations and nation states with access to advanced tools has grown exponentially as service offerings for hacking have been developed and optimized by criminal organizations. Attacks on financial services are not limited to cyber-breaches. They can quickly move to fraud and money-laundering activities, which then create a strain on the talent and financial resources of any organization. These concerns are exacerbated by the shortage of skilled professionals across financial crime domains. A successful breach of payment systems, transaction networks or customer data could have a material impact on the economy.
Consider for a moment the implications of not being able to use your debit or credit card for a day or even a week. Imagine over one million Canadians trying to withdraw cash to pay for groceries, gas or medicine. Many global regulators consider the resiliency of financial services against a cyber-event to be a top priority for ensured economic health, as exhibited by new security requirements in Hong Kong, the United Kingdom and New York.
As Canadians demand greater access to financial services through digital platforms such as open banking, we need to consider embedding security and privacy principles into the design phase of a solution. In doing so, we will help to build customer trust, encourage adoption and proactively reduce the likelihood of costly fixes later. Implementing preventative measures such as training and awareness, access management, system hygiene, third party risk and corporate governance will reduce both the attack surface of these platforms and the maintenance required to support them.
Canada has an opportunity to become a global leader in security and privacy while continuing to be a great innovator of fintech. Through the continued support of shared intelligence, the development of talent through early and continuous education, and by enhancing public awareness of cyber-threats leading to financial crime, we can ready ourselves against this growing threat.
Thank you.
The Chair:
Thank you, Mr. Davies.
I encourage colleagues to take note of the way in which these presentations are made in a timely fashion.
Mr. Finlay from Cybersecure Catalyst, please.
Mr. Charles Finlay (Executive Director, Cybersecure Catalyst):
Chair and members of the committee, thank you very much for the opportunity to speak with you today.
Cybersecure Catalyst is a new centre for cybersecurity activities that was established last year by Ryerson University. It is permanently located in Brampton and will open its physical footprint in Brampton later this year. The centre will collaborate closely with governments and government agencies at all levels, private sector partners and other academic institutions across Canada to drive growth and innovation in the Canadian cybersecurity ecosystem.
We will deliver programming in four pillars. We will provide cybersecurity training for existing cybersecurity professionals, and introductory cybersecurity training for newcomers to the sector. We will support scaling-up Canadian cybersecurity companies through a unique commercial accelerator program. We will support applied cybersecurity R and D partnerships between academic institutions and private sector partners. Finally, we will deliver public education in cybersecurity, focusing on private citizens and small businesses.
In developing the mandate of Cybersecure Catalyst, Ryerson University engaged in a lengthy consultation process with industry and government, including a number of financial institutions. I think the results of this consultation process are important for our discussion of cybersecurity in the financial sector as a national economic security issue. When we asked major financial institutions and other private sector entities what they needed most from a university-based cybersecurity centre, the answer wasn't some specific technological tool or identified advance in the science. The overwhelming answer was more people. You have heard this from other witnesses before the committee today. In particular, we heard from financial institutions that they need their existing personnel to be upskilled to meet emerging threats, and they need more people to come into the sector to staff entry-level positions within their organizations. Every one of the major financial institutions in Canada has many current openings for cybersecurity personnel.
The anecdotal evidence taken from our consultation process is supported by the empirical evidence. As you have already heard from other witnesses in this hearing, in July of 2018 Deloitte and the Toronto Financial Services Alliance released a report that estimated that the demand for cybersecurity personnel in Canada was increasing by 7% annually and that 8,000 cybersecurity positions need to be filled by 2021.
It is important to note that this shortage is not just a security problem; it is an economic development problem. The lack of trained cybersecurity personnel creates staffing challenges for the regular operations of these financial institutions, but it also impacts these institutions' ability to create new and safe products and services for domestic and international markets. Crucially, the lack of trained personnel seriously impacts the ability for small and medium-sized Canadian cybersecurity companies to grow.
An interesting way to see the Canadian labour market problem in cybersecurity is to travel to Israel. Israel is generally acknowledged to have the strongest cybersecurity technology ecosystem in the world. The Israeli government has established a new major centre for cybersecurity activities in a small town in the Negev Desert about an hour by car from Tel Aviv, called Beersheba. In January, I travelled Beersheba to meet not with Israeli companies but with representatives of Canadian financial institutions that have established offices at Beersheba because they can find cybersecurity talent in Israel much more readily than they can in Canada.
That is the bad news. The good news is that this problem is well understood and efforts are being made to address the issue. This federal government's investments in cybersecurity in the 2018 budget were significant, in particular with the establishment of the Canadian Centre for Cyber Security. The centre is already acting as an important partner and voice for the cybersecurity sector in Canada. In the recently released 2019 budget, this government made cybersecurity a priority, allocating $80 million to post-secondary institutions to expand the pipeline of cybersecurity talent in Canada, among other measures.
Of course there is always more to do. In our view, training programs should focus on two key cohorts: young people in K to 12 and demographic groups that are seriously under-represented in the cybersecurity sector. Young people are not necessarily inclined to view cybersecurity as an interesting or exciting field of study or future employment, but this can change with the right engagement. (1610)
We will not solve the labour market issue of cybersecurity for financial institutions or for any other institutions if we don't open the cybersecurity sector to more women, racialized groups, new Canadians, indigenous Canadians, veterans and to those who have been displaced from legacy sectors. Efforts should be made to focus specifically on opening training and industry placement opportunities to individuals from these groups, and we will focus on that at Cybersecure Catalyst.
Finally, as our economy continues to transform, we see exciting opportunities to build talent pipelines between sectors where human labour is being displaced, and the cybersecurity sector where the need for qualified personnel is growing.
Thank you very much.
I'd be pleased to take your questions.
The Chair:
Thank you, Mr. Finlay.
Mr. Gordon, you have seven minutes, please.
Mr. Robert Gordon (Executive Director, Canadian Cyber Threat Exchange):
Thank you, Chair.
I would like to thank the committee for giving me the opportunity to speak today about cybersecurity in the financial sector.
I'm the Executive Director of the Canadian Cyber Threat Exchange, CCTX. I'll highlight the work of the CCTX because I believe it has a direct bearing on the current focus of this committee's inquiries.
The CCTX is a not-for-profit organization established by the private sector with two broad mandates. First, we operate a cyber-threat information exchange to deliver actual intelligence to our members. Second, we provide a collaboration hub for the sharing of best practices among cybersecurity professionals. We're a relatively new organization, having commenced basic operational capacity just two years ago. I'll provide a few additional comments on our services in a minute.
The founding principles of the CCTX make it unique. First, our aim is to attract members from all sectors of the economy, not just those from critical infrastructure. We currently have members from accounting companies, law firms, the health sector, construction firms, entertainment companies, airport authorities and technology companies, among others.
Second, the large companies that founded the CCTX made it clear that the CCTX cannot be just for large organizations. We need to attract small and medium-sized organizations. In every sector of the economy, all sizes of organizations are experiencing cyber-attacks. We've grown from the initial nine founding members to just under 60 today, with additional applications being processed weekly.
In January this year, we changed our membership and fee structures to make membership more attractive to small and medium-sized organizations. Those changes have been really well received. Small organizations now represent 28% of our membership, and we're working to ensure this number grows significantly. As we increased the number of small organizations, we were developing cybersecurity reports and services specifically tailored to meet the needs of the small business owner.
I'll briefly highlight two of the service delivery areas.
We operate a cyber-threat information-sharing hub. Threat information is provided by participating member organizations. The threat intelligence received does not contain personal information, and the source of the information is anonymized.
The CCTX also receives cyber-threat information from the new cyber centre. We're pleased to be the first organization to sign a collaboration agreement with the new cyber centre. This is an important partnership for the CCTX and the government. We believe we will benefit from the full cybersecurity capability the government offers, and the government is going to benefit by our being able to extend the reach of what they're doing to small parts of the economy they no longer service, particularly those areas outside the core critical infrastructure.
The CCTX also offers its members an opportunity to provide threat-related information to the government, while keeping their identities anonymized. As we continue to grow, we'll provide the government with a broader understanding of how cyber-threats are impacting the entire Canadian economy.
This committee previously heard from witnesses on the importance of developing the cyber workforce required to defend the Canadian economy. The CCTX plays a role in assisting the private sector in developing and retaining the skills they require. Our cross-sector collaboration capability provides a variety of forms to bring together cybersecurity professionals to share best practices and ideas. Practitioners get together to discuss new topics such as the new techniques that are being used by attackers, new defence technologies and strategies, and changes in the legal landscape that companies should be aware of. We deliver this capability through monthly webinars and in-person collaboration events. The time employees devote to participating in these events contributes to their retention of their professional certifications.
Financial institutions understand the importance of collaboration, which is why all six of Canada's largest banks belong to the CCTX. The banks recognize that through collaboration they can raise their own defences and make it more expensive for the attacker. We provide a unique cross-sector sharing forum. As an example of the beneficial and unique relationship of the CCTX, work is being done through our portal between the financial institutions and telecommunications companies on a very specific cyber-threat.
Banks have built an impressive capability to defend their networks from cyber-attack, and they are now launching a new initiative through the CCTX. They would like to share their expertise with SMEs and are working with us in helping to raise the maturity of SMEs in every sector's supply chain, not just those relating to financial services. Each bank has identified an area of expertise and presentations have been developed that focus on the needs of small and medium-sized enterprises. We're currently working on the delivery mechanism for this important initiative. (1615)
Collaboration starts with building a trusted relationship. The CCTX provides an environment where the trust can flourish. We're building a community where members don't have to be operating in isolation. When a crisis occurs, they have a community to which they can reach out for assistance. Creating this organization that shares threats and best practices across sectors and all sizes of companies is a key pillar to achieving the desired level of security in order to protect Canada's economic prosperity. Collaboration means you don't have to do it all yourself because “none of us is as smart as all of us”.
I look forward to your questions.
The Chair:
Thank you, Mr. Gordon.
With that, Mr. Spengemann, you have the floor for six minutes, please.
Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):
Chair, thank you very much. I'll be sharing my time with my colleague, Mr. de Burgh Graham.
My question is for Mr. Green.
Thank you for being with us. Thank you for your expertise. I'd also like to thank you for your past service as an officer in the United States Army. I also serve on our Standing Committee on National Defence, and from the perspective of our armed forces I just want to let you know how much we value our friendship and alliance with the United States.
(1620)
Mr. Ron Green:
Thank you.
Mr. Sven Spengemann:
You had a chance to visit the Canadian Centre for Cyber Security. My interest is in small and medium-sized enterprises. From your perspective, having clients that are SMEs, how much of a structural obstacle do you think cybersecurity is for start-up companies in Canada? What should the Government of Canada do more of, or do better, in terms of facilitating access to market entry points for those companies that are data-centric and depend on cybersecurity?
Mr. Ron Green:
As someone who has visited a number of small start-ups, I can say that for many of them security may not be top of mind. It needs to become part of everything we do, not just for small businesses, but just as people.
When you leave your house every day, you lock your door. You need to have a certain level of cybersecurity hygiene in your everyday life. For businesses, especially those that have data available to them, it needs to be a part of what they do now. We're at a point in time where we need to help them with that, through best-practice sharing and access to experts. That is one of the reasons we engage with Global Cyber Alliance. We are part of many groups that provide best practices and how-tos, but it's about making tools available to small businesses to actually help them do something, rather than just telling them, “These are the things you should think about.” Give them the tools and access to the expertise.
At the cyber centre, they're certainly working on ways to provide information to small businesses. They'll never have intelligence organizations like I have, but certainly, you can break down the information enough to help them on the journey to get more secure.
Mr. Sven Spengemann:
That's very helpful.
I'm going to hand it over to my colleague.
Mr. David de Burgh Graham:
Thank you.
Mr. Davies or Mr. Green, I'm not sure which of you can answer this. How does liability work for financial institutions that have losses related to cybersecurity?
Mr. Ron Green:
With cybersecurity incidents and breaches, there's a place where the victim can be victimized twice. You have the threat actors that steal the money, and then you have the ensuing civil and criminal cases that take place afterwards. Sometimes, depending on the company, they are then taxed more, or they spend more time on it.
From our perspective, we work with a body comprised of our lawyers, the acquiring company's lawyers and the merchants that are involved in the issuing. We work out a reasonable compensation between all of the impacted organizations. That's for payment card breaches. It may differ depending on other breaches that take place.
Mr. David de Burgh Graham:
Are the financial institutions insured for cybersecurity? Is there a separate insurance for that?
Mr. Ron Green:
There is cybersecurity insurance. I guess it depends upon which country you are in and the insurance that's available to you. I go through a rigorous review annually with our insurance providers to make sure that I'm maintaining a proper level of security for the organization, so that we can then take advantage of the insurance opportunities that the company provides for us.
Mr. David de Burgh Graham:
This question is more open. When you're hiring cybersecurity professionals, what level of vetting is done for these people? It's not a normal job interview, or is it? Do you do vetting to make sure they are not going to introduce vulnerabilities rather than fix them?
Mr. Thomas Davies:
I can take that one.
We do a technical review of most...in our community. It's a small community, so we benefit from the fact that we typically know someone who has worked with these individuals before. It's a plus and a minus, a pro and a con, but we often look at references and understanding the environments that they worked in before and how that work has gone. Then we go through a technical vetting process to understand. It's usually a longer cycle, which also has its negatives, in that it takes us longer to board secure professionals in this area.
Mr. David de Burgh Graham:
We're talking, Mr. Finlay, about the need to expand the number of people in cybersecurity. We're trying to make sure that as we go into a massive expansion—as we saw in 1999 with the technology bubble—we don't introduce a whole lot of people whose intentions are not necessarily what we're looking for.
Is there an intention to make a degree in cybersecurity separate from a degree in computer science at some point?
Mr. Charles Finlay:
Cybersecure Catalyst is going to focus on training for existing cybersecurity professionals, and introductory training to bring new professionals into the sector. We are not going to focus on giving a degree right now out of Cybersecure Catalyst. Degree programming in cybersecurity is being developed by many post-secondary institutions. Many post-secondary institutions, including Ryerson, have courses in cybersecurity. Our particular focus is on the professional training, because candidly, that's where we feel we can make an immediate impact within the next couple of years, so that's our focus.
There are all sorts of different models of degree programs that are offered by different institutions across the country.
(1625)
The Chair:
Thank you.
Monsieur Paul-Hus, you have six minutes, please.
[Translation]
Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):
Thank you, Mr. Chair.
Mr. Green, I like what you said in your presentation. I see that Mastercard has really established priorities, in addition to identification, protection, detection and response methods. I also like your relationship with the different companies.
In your presentation, you also gave advice to governments. You mentioned the need for coordination among the different countries. I want to know where Canada stands. What are Canada's strengths, and, above all, what weaknesses should it address?
[English]
Mr. Ron Green:
I think, fortunately, Canada does lead the way in cybersecurity technology development. I just mentioned Ethoca. We also acquired a company called NuData, which powers a lot of the security control features that we enable within mobile devices. I think there's an opportunity to continue that effort to develop new cybersecurity solutions that can help the marketplace, the fintech environment. I think that is a strong place to come from. You are also, just being at the centre, very open to working more collaboratively with the private sector, so there's the ability to share intelligence information.
There are things that we have an opportunity to see globally that may be of interest to your teams, and hearing from your teams about new threats that are out there gives us an ability to more proactively stop things from happening. That's a big interest for me.
[Translation]
Mr. Pierre Paul-Hus:
There are different threats. Some threats come from individuals who try to hack into a system. However, rogue states, such as China, also attack our systems.
As a private company, how do you respond to a cyber attack carried out by a state? Do you expect the Government of Canada to take action? Should government resources be involved? You'll take the first steps, but do you expect anything from the government in the event of an attack carried out by a state?
[English]
Mr. Ron Green:
We have to defend against all comers, individuals all the way through nation-states. We think about all potential threat actors that there may be, and we implement layered defences in order to overcome delay, and prevent such attacks from being successful. However, if such actors were successful, we would depend very much on our government partners to help us with the mitigation of the effect, but then also, depending on what the attack may be, take other actions. I only defend—that's my lot in life—but if something else needed to happen, it would have to be with one of our government partners.
[Translation]
Mr. Pierre Paul-Hus:
Okay, thank you.
Mr. Finlay, we now see that all stakeholders must work together. This includes the government, private sector and university sector. We're talking about workforce training in cybersecurity.
Do you have any advice to help us ensure that all these stakeholders work together? Since everything moves very quickly in cybersecurity, speed is key. We mustn't get bogged down by excessive administrative measures. Do you have any advice for us?
(1630)
[English]
Mr. Charles Finlay:
I frankly think that the establishment of the Canadian Centre for Cyber Security is a fundamental improvement in the Government of Canada's position in respect of cybersecurity and in bringing all the partners together.
You properly identified industry, the academy and government having to work together.
I mentioned Israel in my opening comments. What's interesting to me about that ecosystem is how closely those three pillars of civil society, if you like, work together on the cybersecurity problem. I think that the Canadian Centre for Cyber Security acting as a convenor in bringing all those parties together is very important. In terms of advice, I think that the government's and the administration's opportunity to counsel all parties to work closely together is very important, and that it should be made a repeating theme, in terms of your discussions about cybersecurity, that everybody needs to work together.
[Translation]
Mr. Pierre Paul-Hus:
My next question is for all the witnesses.
At this time, do you think that Canadians in general are naive about cybersecurity?
[English]
Mr. Thomas Davies:
I wouldn't say naive. I think we're a little bit more numb to cybersecurity events than other cultures. I think we're a little bit quicker to let it go. That would be my comment.
The Chair:
Go ahead, Mr. Green.
Mr. Ron Green:
I think about when we adopted things like the automobile into the environment. There was a period of time where no one understood, no one knew what it was, and we're all lucky to be alive because none of us had car seats or anything like that. If you look at cars today versus cars a long time ago, you will see lots of maturity, lots of improvement. We're in that same kind of cycle. We're not naive. It's just that we're still innocent about these things. We have to pick this up.
The Chair:
Thank you.
Monsieur Dubé, you have six minutes.
Mr. Matthew Dubé (Beloeil—Chambly, NDP):
Thank you, Chair.
Mr. Green, this whole notion of not being a card issuer is something that I recently was helped to understand by folks in your company. It adds a lot of wrinkles, I think, to how this process works.
I'm just wondering if you could walk me through a few things.
Mastercard is in charge of the payments, the transactions themselves, and then you have a card or a device or a website, sort of these third party things out there if you're using Apple Pay or something like that. And then there's the bank, which would be the card issuer.
Through that triangle, if I could put it that way, how would the accountability work, let's say in terms of my information? In other words, if I'm using my phone to pay for something and there's an issue, then is it incumbent on the banks, the card issuers, is it incumbent on Mastercard, is it incumbent on Apple because they caused a problem with Apple Pay? How does that work?
Mr. Ron Green:
A lot depends on the particular incident, with respect to who's more responsible for the issue that occurs. First and foremost, an attacker is always the first person. They are the ones who did the wrong thing, but within the four-party model, there's an issuing bank, an acquiring bank, and then you have the merchant and the cardholder.
The cardholder reaches out and works with the merchant, and I would say a lot of times we encounter issues with the merchant because there's some sort of security issue, there's something wrong there. Maybe information is captured or stolen from this point.
We're doing a lot to remove the value of any information that the merchant may have with tokenization. If you use your Apple Pay, there's not a PIN, there's not a 16-digit number that you're most comfortable with. We provide a token that can only be used a certain way. You can't steal it and then make it usable on another device or a computer. There's a token that's on your Apple Pay. We power the token that's in Apple Pay. We're taking that tokenization—
(1635)
The Chair:
Mr. Green, for the edification of the chair and possibly other members who might not heard of tokenization, I wonder if you could give a brief explanation of what that means
Mr. Ron Green:
The 16 digits that make up your card are what we call a PAN. It's a certain number that you're most common to use—you know it and you see it because it's on your plastic card. A token is something we create. It actually works throughout systems, but we can create them and throw them away, then reuse them.... It's not as fixed as just that 16-digit number.
So when we create a token, like in the case of a merchant where...we replace PANs and we work with them to place tokens. If they are breached and the tokens are stolen, it doesn't matter. We'll just make new tokens. We will take away the value of the PAN—the credit card number—and replace it with a token, so we can just create more tokens.
Mr. Matthew Dubé:
That's interesting, because it sort of leads me to wondering about AI and biometrics.
I'll use lay terms, if you'll forgive me. You're enabling, in a temporary way, different payment methods. The question then becomes, if AI or biometrics are being used in different ways—to understand the types of transactions people are doing, when they're doing them or things that are occurring on a device—isn't there inevitably a more concrete connection that's being made than just sort of this throwaway stuff?
Again, I'm trying to see it through a layperson's lens, this notion, because it seems to me there would be a stronger connection at that point if you're enabling that type of data collection.
Mr. Ron Green:
It's not all about data collection. It's about having the right data at the right times.
I don't want to make this too difficult, but in the future, identity stores will be less important than the ability to get the identity information when you need it.
When you want to make a transaction, we can connect to the identity stores to pull in the information to identify you, Matthew, when you need to make that transaction. Then when you're done, it all goes away. There's no need to store it. We just want to reach out and make sure the information is there when you need it.
Mr. Matthew Dubé:
Is there not a landing point for something, at some point? We had a witness a couple meetings ago who said, “it sounds silly but the cloud's not actually a cloud”. There's a space where the data is being stored.
Mr. Ron Green:
Yes, it's in a computer somewhere.
Mr. Matthew Dubé:
Absolutely. This data is landing somewhere.
Even though there's a protection for Apple Pay, let's say, with this token, there's still a transaction taking place and then something's landing somewhere and staying there, without any....
Mr. Ron Green:
It can be transitional, so it's there for a period of time. It's not there for always. It's there when you need to do the thing that you're trying to do, and then when it's no longer needed, it's gone.
Mr. Matthew Dubé:
I'll kind of walk through to what I was asking the banking association representatives about when they were here.
If I'm using a banking app on my phone to pay my credit card, inevitably I'm doing it through the bank, but there is information that has to go to the credit card company in that case.
Mr. Ron Green:
The information that we transact is a PAN—the 16-digit number—and the date, time and the amounts. We don't hold cardholder information. Your issuing bank does.
We see just that the 16-digit number did a thing. The merchant asks, “Can the 16-digit number pay for it?” We ask the issuer. We don't actually know the cardholder, but the issuer knows the cardholder. The issuer says, “Yes. That 16-digit number that belongs to Matthew can pay for that”, and then we pass that information back to say, “Yes, they can pay for it”. Then a charge goes back.
It's all information that passes from one side to the other. Depending on what you're asking for....
Mr. Matthew Dubé:
In other words, you would have the merchant name, the card number and the amount, essentially.
Mr. Ron Green:
Yes.
Mr. Matthew Dubé:
That's not necessarily stored in Canada, so is that subject to protection from Canadian law?
Mr. Ron Green:
We have to be compliant with Canadian law for the data for Canadian citizens. Right now the majority of transactions take place at our St. Louis or Kansas City facility. There are other locations that also do work for us. The data needs to remain local only. From where I sit globally I can see threat actors attempt to work against the payment system no matter where they are. But as countries localize or look for localization of data, and that data can't be used in other places, the ability for me to analyze and see where the threat actor moves becomes more difficult.
The threat actors don't care about borders. They're willing to attack Latin America or Europe or Canada or the U.S. If I can see their attacks taking place in Latin America, but I'm not allowed to use that information to help protect another country, the attacker can then move without my using the learning to protect the other, so attackers can continue to attack different places without my using the information to help protect it.
(1640)
The Chair:
Thank you.
Mr. Picard.
[Translation]
Mr. Michel Picard (Montarville, Lib.):
Thank you.
Mr. Davies, you provide consulting services to financial institutions. In business, one challenge is to properly manage security investments and risks. It's about balance. When it comes to investing in security measures, we must consider whether paying for any possible damage would be cheaper than or equal to the cost of investing in security.
For a long time, the perception was that financial institutions limited their investments in security and chose to pay for damage that occurred as a result of incidents because it was more beneficial. Is this type of resistance still encountered or has the market changed with regard to security?
[English]
Mr. Thomas Davies:
I would say that they are investing heavily in protection in cybersecurity. There is brand and reputational risk. While in the community we talk about not competing on security itself, I believe the financial institutions do compete on customer trust.
The biggest issue the financial institutions have today is actually having the individuals necessary to deploy the capital. They have robust budgets and they set aside adequate funding, but to try to get through as many projects as they do with the limit in skill shortage becomes a challenge.
[Translation]
Mr. Michel Picard:
It should be noted that third parties that have access to financial institutions may not have the financial means or tools to protect themselves from risks. As a result, they may represent an access risk to the financial system. Do the industry's security investments still protect the market?
[English]
Mr. Thomas Davies:
Third parties that service financial institutions are considered one of their greatest risks. The financial institutions develop a really strong security program but then can be weakened by an external party. Third party risk is something taken very seriously by the financial institutions.
I think one of the issues is that people believe that cybersecurity is an overly complicated domain when a lot of breaches occur due to the basics being missed. I think that proper education, in terms of what the basics are and how to go about resolving them, can greatly mitigate that risk. We are seeing financial institutions start to basically mandate that their third parties have certain minimum controls inside of contracts and that there is an assumption of risk along with them. In Canada we have OSFI that regulates the banks. If a third party is the reason for a breach, OSFI doesn't really care that it was a third party. It still holds the bank liable, so the banks are taking this very seriously and are going through heavy risk programs to mitigate this issue.
[Translation]
Mr. Michel Picard:
My next question concerns human resources, and it's for Mr. Davies and Mr. Green.
From a consulting perspective, the focus is on recruitment, while from a client perspective, for example at Mastercard, the focus is on the risk posed by human resources.
I want to share an anecdote. A number of years ago, I filled in a credit card application form properly—I won't say which card. When I received the card, the credit limit had already been exceeded. Obviously, I contacted the security department. The problem wasn't caused by me, but by the security department when the card was issued. The problem came from the inside.
In a previous life, I attended Canadian Bankers Association meetings, where we talked about payment terminals that were impossible to break into. However, the terminals were broken into within three weeks. We think that there's still a risk of inside jobs.
How is this human resources risk, which seems to lead to a dead end, managed for both the client and the consultant?
(1645)
[English]
Mr. Ron Green:
We do a great deal of background checking on our employees before we bring them on, but we also have insider threat programs. We know what the correct or usual behaviour is, and then we look for anomalies. I had an opportunity to take my board through what we have in our insider threat program, but we have a way of sensing when people are acting abnormally.
When those triggers are set, then my team will launch an investigation to see if the employee is acting in a way that is not in the best interests of the company.
Additional to that, we have employees who have high-risk roles. The things that they do allow them the ability to make or destroy machines, or things like that.
We have an increased level of monitoring, so my guys watch what it is that they're doing. It's all in behind the scenes, but it happens to make sure they they're doing the things that they are supposed to. If they're not, then we respond to it.
Mr. Thomas Davies:
I'll add that the insider threat is the number one concern of most chief risk officers, because of the magnitude of the event when it occurs. You know, the Edward Snowden discussion comes up often in terms of national security. The idea that an insider has access to privileged information is always a concern.
There is a discussion around enhanced monitoring under what we call powerful users, people who have—to Mr. Green's point—powerful privileges inside the organization, and making sure to mitigate the risks.
So one account is frauded, that's a mitigated risk, and there's a certain risk tolerance you have to have internally. You can't guarantee that nobody will do a bad thing, but you can minimize the impact and do some basic training and awareness.
When I was a member at Scotiabank the code of ethics, business conduct, know your customer, and anti-money and laundering training were mandatory. It is important to have that be a mandatory component and to at least give everybody the sense that you're here to do the right thing.
The Chair:
Thank you.
Mr. Motz, you have four minutes, please.
Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):
Thank you, Chair, and thank you for being here, gentlemen.
Mr. Gordon, we've heard from previous witnesses to this committee that countries like Australia and Israel have pretty effective information-sharing networks between industry, government and academia. We haven't heard necessarily that the same exists in Canada. Could Canada improve in this regard, and if so, how should we go about doing that?
Mr. Robert Gordon:
I think we actually are improving. I think one of the big steps was creating the new cyber centre to do that. It's one of the reasons why we're working so closely with them to do that linkage between what the private sector is doing and what the government's doing.
As a matter of fact, we're working with some Australian organizations to create an organization in Australia similar to the CCTX, to do that cross-sector piece. It's one of the ways of bringing together all of the companies, all regardless of size or what they're doing, and bring them forward in a way they can start to interact with the government.
The government's going to be looking after the cyber centre, a fairly narrow window into the critical infrastructure—that's what they are going to scale to—and they're looking at us to expand that out to all the those sectors and areas that aren't going to be covered by what they're doing. The government can be providing some general advice, but a lot of it is taking the general advice and saying, we need to do something in technology, but as an individual within a company, how do I actually do that?
It's a little bit of the skills development that Mr. Finlay was talking about. We're trying to bring that along, to take the knowledge the government is providing and then translate that by getting individuals who are going to execute on using that technology to sit down and figure out how you actually do some of these things.
(1650)
Mr. Glen Motz:
Your organization has a platform that's now more accessible to the smaller markets, to small and medium-sized business, and they're taking advantage of that.
Have you observed any attacks in those start-ups, in those smaller enterprises, that have grown from there?
Mr. Robert Gordon:
On the companies that we have, no, but that's been happening.
A lot of examples come out of small companies. Part of the supply chain is being the source of the target into the much larger organizations. It's one of the reasons—and it was said previously— the banks are so interested in looking at their third parties and what they can be doing to try to enhance the cyber-resiliency of that third party, because they're all hooking into their systems.
It extends beyond that into literally every sector. For example, when dealing with the owners of large buildings who are now worried about all the tenants of their building hooking into them, you're only as strong as your weakest link. Every sector is going through the same issue.
Mr. Glen Motz:
A previous witness to this committee said that Canada is often the first victim of attacks, and it's partly due to the fact that we have fewer resources than our friends to the south have.
In your exchanges and with the allies, have you seen that to be so?
Mr. Robert Gordon:
That we're being attacked first, or...?
Mr. Glen Motz:
You have a lot of interaction with our allies.
Are you seeing that Canada sometimes might be the first point of attack on some of these issues, as opposed to some of our allies?
Mr. Robert Gordon:
Yes. The attackers will come after countries for a variety of reasons.
In some instances, we may be the only target of an attack coming in, and other times we'll be a jumping-off point for attacks starting here and going elsewhere, or we can be the second country going down, where the attack starts somewhere else and then comes over to Canada. We get hit in all three areas.
Mr. Glen Motz:
That's perfect.
Mr. Davies, in your view, what are the biggest cybersecurity shortcomings that you see or experience in the Canadian financial sector?
Mr. Thomas Davies:
The biggest issue they have is legacy sprawling systems, and proper hygiene over those systems is still extremely challenging. Security tooling doesn't really exist for a lot of older systems, where they have to build what we call a ring fence to protect that asset. It's still the number one issue. It sucks time.
Mr. Glen Motz:
I have a follow-up to that, because it's important to that issue.
You're right. If you're old like John and me—
The Chair:
Thanks very much.
Mr. Glen Motz:
Our bank data is old. Wouldn't financial institutions—rather than trying to build, as you called it, a ring fence or protection around that—transfer that to software, to mechanisms, that could now secure it better, as opposed to just trying to protect it in the medium that it's in?
Mr. Thomas Davies:
Yes. They would love to simplify that environment. It is challenging based on some of the old systems that are still required for the branch network and for other systems throughout their global network. It's certainly on their radar, but incredibly challenging and incredibly resource expensive.
The Chair:
Thank you.
Ms. Sahota, you have four minutes, please.
Ms. Ruby Sahota (Brampton North, Lib.):
Thank you, Mr. Chair.
On this committee, we've been hearing quite a lot about the collaboration that's needed among the government, private and academic sectors.
Mr. Finlay, you spoke about your visit to Israel and the need for us to gear up and be able to provide the type of training they do. Can you explain a little more about Cybersecure Catalyst, how it compares to some of the training that's provided in Israel, and what the similarities and differences are?
Mr. Charles Finlay:
There are a number of different things that are interesting about how the Israeli cybersecurity ecosystem trains its people. It obviously has a unique national service characteristic, with military service in Israel that is different from the Canadian context.
One of the interesting and powerful things that they do is start young—K to 12. We think that is a very powerful way to get at the root of the cybersecurity labour market issue, by making young people very interested in cybersecurity and engaging them in cybersecurity careers. Ryerson, in partnership with Royal Bank of Canada and Carnegie Mellon, one of the leading universities in the United States in cybersecurity, ran a hack-a-thon called CanHack in 2018. It's an online game where high school students engage in monitored, supervised, safe cybersecurity tasks. Our projection was doubled in terms of the number of students who engaged in that program.
We think the opportunity there is extraordinary. That's piece number one, in terms of young people. Piece number two is engaging demographic groups that are under-represented in cyber and workers who are being displaced from legacy sectors. There's an opportunity to introduce workers who are being displaced from some sectors that are losing personnel, to train them up so that they can enter the cybersecurity sector at an entry level. We think that's a very exciting proposition.
Those are two things we hope to do and those are analogous to things we have seen being done in other countries, including Israel.
(1655)
Ms. Ruby Sahota:
You spoke about meeting some Canadian companies while you were there that have either temporarily or permanently shifted over in order to receive these types of services, training, for their personnel. What companies or what types of companies are you referring to and do you envision these companies coming back and perhaps setting up near Cybersecure Catalyst?
Mr. Charles Finlay:
Yes, we do. At Beersheba there are the major Canadian financial institutions. The major Canadian banks have offices there, and they are there because the skilled people are there. We believe we can create an ecosystem where we're training people. Industry is there to acquire that talent, companies are scaling up through the accelerator program, and university-based researchers are also working with entrepreneurs and with the trainees and the industry. What we saw in Israel exists in other countries too. But what's particularly conspicuous there is they have this alignment among industry, academia and government, and we believe that pulling those pieces together at Cybersecure Catalyst will create that ecosystem.
The Chair:
Thank you.
Mr. Dreeshen, welcome to the committee. You have four minutes, please.
Mr. Earl Dreeshen (Red Deer—Mountain View, CPC):
Thank you very much, Mr. Chair.
Thank you to the witnesses.
Just a couple of things I've been thinking about as I've been listening to some of the discussions. There are a lot of institutions and businesses that have been attacked, and people have gone after their information or frozen their information. Various universities...there would be ransoms that are set up there. That's important when it comes to how businesses are going to be able to move forward, but also smaller businesses start to fear that.
I'm just wondering what types of investigations are taking place and how successful those investigations are in taking care of that particular problem. A lot of small companies worry about the way they might be attacked and being held ransom.
Mr. Thomas Davies:
Sir, I can take a first stab at it.
There's not a great job done today of disclosing the nature of breaches in the general public. The banking group does share information in order to try to protect each other from getting hit by the same issue, but outside of that, that information is pretty private and can have a material impact on your operations and the reputation of your brand, so it's largely kept internally.
In the U.S., I believe it's the FBI that has a little more detail in terms of business email compromise and other ransomware and other types of events that happen. To collate that data in Canada, to give an idea of people...the themes that we're seeing, we can talk about them here and talk about access management and system hygiene and training and awareness, but to prove it with real data would be helpful.
Mr. Ron Green:
I think also with the crypto-locking or the ransomware attacks that you're mentioning, a lot of that comes back to some basic hygiene stuff. Knowing to update or patch your systems would certainly relieve a lot of the problems. Having antivirus software would relieve your problems. Being smart about phishing.... The Verizon data breach report says that 93% of the breaches that took place were because of a phishing attack. I can tell you that we take it very seriously at Mastercard. We have a "three strikes and you're out" rule. My phishing stats for February were 0.4 fail rate, and consider that 20% is about standard.
It's helping those smaller businesses understand the basic things that you need to have and, in case it all goes wrong, backing up your stuff so if it is locked up you restore it and then you can overcome your problem.
(1700)
Mr. Earl Dreeshen:
There's a lot of money that's being made in the fear factor. I think back to Y2K and the way everybody was so concerned about what was going to happen to the computer systems and so on. A lot of people were making money solving a problem—you folks maybe know whether it was serious, but lot of others thought it was simply a hoax.
Maybe you can comment on that, but I guess my concern, too, is on protection of intellectual property, the concern that people go to all this work trying to develop...and then have other actors, whether they be people, other countries or other companies.... How are you able to determine how best to protect or how people should be trying to protect themselves?
Someone can talk about Y2K if they want.
The Chair:
If you're going to talk about it, be very brief.
Mr. Robert Gordon:
I'll skip over Y2K, then.
One of the challenges for companies is getting them to actually identify the critical information in their systems that they need to protect. If you don't know what's critical, you can't protect it all, so you start to layer it down on the things that are more important, then you can start to control who gets access to it.
One of the interesting challenges for a lot of companies, particularly when you're talking about ransomware and small companies, is that they traditionally think they haven't any big trade secrets, nothing that somebody wants to steal.
The problem with ransomware is that they don't want to take anything; they just want to deny you access to whatever you have that's of value to you. For a lot of small companies, that's quite a mind shift to get around, because once they get around that, then they can start to realize why they now have to be taking an interest in ransomware, both in terms of the defence of things—there are some things that can be done—and if it happens how they actually recover from it.
The Chair:
Thank you.
Ms. Dabrusin, you have four minutes, please.
Ms. Julie Dabrusin (Toronto—Danforth, Lib.):
Thanks.
Perhaps I can get some direction from the chair, because I'm also on for the next seven-minute block, so do I have 10 minutes, which I can share with someone?
The Chair:
My thought was that because of the efficiency of the witnesses we have, that efficiency has actually spilled over into the members. We therefore have about half an hour, so we merged this. My thought was that, after Mr. Dubé does his final three minutes, the chair might exercise a little prerogative and ask a couple of questions, but we would open it up for three-minute rounds to run out the clock.
Ms. Julie Dabrusin:
Thanks.
I was looking at the Cybersecure Catalyst website earlier, and I saw that there was something on it that said that the annual growth rate in trained cybersecurity professionals labour demand in Canada was 7%.
I was wondering where that figure comes from. Is that something that you've seen as a trend year over year? Do you anticipate in that same range?
Mr. Charles Finlay:
Yes, that comes from a report from Deloitte and the Toronto Financial Services Alliance 2018, where they estimated that the growth rate was 7% year over year.
Ms. Julie Dabrusin:
We've been talking about the need for training and having a skilled labour force for this. What is the kind of training time period you're talking about? If you have high school students who graduate and say “I'm interested in cybersecurity”, how long is it from the time those students graduate and complete all the programs to the point that they're hireable in cybersecurity?
(1705)
Mr. Charles Finlay:
It's a terrific question. There are a bunch of different pieces. We are looking at continuing education, so essentially we are working with employers to upskill their existing personnel. The time frames depend on exactly what skill set those employers need. That's a particular issue in cybersecurity because the threats and the technical frameworks are changing all the time. That's in respect of the executive education base.
In the introductory training for under-represented cohorts, we are looking at six months of programming. In our view, a six-month intensive course can take an individual with relatively little technical training to an introductory entry-level position and make them eligible for entry-level internships and secondments into industry. Then there are undergraduate courses in cybersecurity and computer science, which follow the typical undergraduate pieces. An undergraduate cybersecurity course could be three years; an honours course could be four years. Those are the different frameworks. All sorts of continuing education in cybersecurity of different lengths of time are being offered.
Ms. Julie Dabrusin:
I'm just trying to figure out so that if I'm trying to explain to kids when they're graduating from high school, they have an idea of the timelines. They have to think about it. If they're thinking about student loans and everything they're going to be putting aside to get an education, if we're telling them this is a great career, there's a huge demand, it's helpful if we can at least give them a bit of a map of what that looks like. That's what I'm hoping someone on this panel could help me with. If I'm talking to a high school student, what am I giving them on how much time it would take, what are the degrees needed to get into this industry?
Mr. Ron Green:
From my perspective as a guy who hires folks. I have members of my team who haven't gone to university or college. They had just tremendous interest, and they spent a lot of time in their high school years working on and understanding computers and developing a sense of security. They demonstrate themselves in our interviews and our tests, and we can see they will be a good person to bring onto our team. They'll be strong in the technical sense, but eventually they'll run into a roadblock because they don't have some of the background you'd want for management.
Right now it's hard to find people coming out of college with a cybersecurity degree. I look for someone with a technology degree, and I can train them on security in my security operations centres. I can give them on-the-job training. What is hard and what we look for in a lot of the roles is experience. We're looking for people who have the college degree. They may have a master's in cybersecurity, but then they have field experience, so your military folks, or people who defended large networks. They're few and far between. I've had roles that have taken two years to fill because it's hard to find the person.
The Chair:
Thank you.
Mr. Dubé, you have three minutes, please.
Mr. Matthew Dubé:
Thank you, Chair.
Mr. Green, you'll forgive me for harping on this. I'm just trying to walk through my understanding of it. When we left off, we were clarifying my question.
You talked about the local inability to identify a threat that's not necessarily going to recognize borders. I guess the concern can be flipped as well in terms of that type of information being accessible, say, to national security agencies or law enforcement. The specific example I'm thinking of is the concern that's been raised by the Privacy Commissioner here in Canada. For example, Canadians might now legally purchase marijuana with their credit cards. As it is illegal federally in the United States, if the border patrol were so inclined, that information could potentially see a Canadian being barred from entering the U.S.
If that information is there somewhere, for good or for ill, there's always going to be a risk of it being used. I'm just not clear on the accountability that exists, both in law and otherwise, for information for me as a Canadian dealing with a Canadian bank that might be stored on a server located in the U.S., or anywhere else.
(1710)
The Chair:
This is not a personal question.
Voices: Oh, oh!
Mr. Ron Green:
There are a couple of things. We don't store you; we know a 16-digit number that belongs to an issuing bank. The Canadian bank would actually understand who Matthew is; all we know is a 16-digit number. We don't have any kind of open...our data is available to—
Mr. Matthew Dubé:
Sorry to interrupt, I just want to jump in to understand. I recently moved and I changed my address. It got pushed back at me because it was not updated in the system. Whose system is that? Is that yours or the bank's, which is the card issuer?
Mr. Ron Green:
Where are you having the challenge? Is it the zip code or something like that?
Mr. Matthew Dubé:
I was trying to confirm a payment for an online purchase. I was asked for the name of the cardholder as it appears on the card, the three numbers on the back of the card and the address. Because I had changed it that same day, I ended up calling the helpline and was told I would have to wait until the system reset for the address to be up to speed. Is that the issuer?
Mr. Ron Green:
Did you call the number on the back of the card?
Mr. Matthew Dubé:
Yes, that's the issuer, right?
Mr. Ron Green:
That's the issuer. That's your bank.
Mr. Matthew Dubé:
If I'm dealing with PayPal, for example, and using a credit card, if I'm putting the number and the address, the number is going to you for validation, and then the address, the cardholder's name, etc., is going to the bank.
Mr. Ron Green:
Right, and we use that number to talk to the issuer. Is this good information for us to allow the transaction? It comes through us by the 16-digit number, we pass it to the issuer—that's your bank, which knows you—that information passes and it says, “Yes, and he has the money.” Then we pass it back to the inquiring merchant to say, “Yes, they have the money; go ahead and do the transaction.” Then we pass the amounts back through to the issuer.
The thing that passes that helps us to make a transaction work is the 16-digit number, and that's the data we use.
The Chair:
Thank you.
I have a couple of questions, and then I have Mr. de Burgh Graham and Mr. Paul-Hus, for three minutes, and anybody else. That should run the clock right down. No questions for Mr. Motz—ageism.
You know, part of this study is precipitated by virtue of the 5G controversy, and particularly the 5G controversy with respect to Huawei, Nokia and Ericsson. You three in particular are on the front lines of defence, and so my question is this. If this is coming down the track—and it is—how are you preparing for that, or are you preparing for that, and how would your preparations change what you've just said today, if in fact it would change what you just said today?
We'll start with Mr. Green and work to the right.
Mr. Ron Green:
Sure, no matter what the communication vehicle is—mobile or 5G or Wi-Fi or even plugged-in networking—when our folks are in environments where they're leveraging those things, we provide a secure pipe so that it pipes through. Be it 5G, be it mobile, we will secure the data that transits that for our employees. A lot of what powers our network is that it's a private network. We aren't on the Internet; the things that enable commerce to happen are on a very private network that we control. If I'm using a 5G network, I'm going to secure a pipe so my people can communicate securely. The network that we ride, where we do all our work, is our own private network.
The Chair:
Really, is the entire Mastercard processing around the world a private network?
Mr. Ron Green:
It is a private network that we enable out to the edges. That's some of the reason it's difficult to do the things we do, because it's taken us time to build this private network that we have.
The Chair:
Mr. Davies.
Mr. Thomas Davies:
Sure, we try to focus on protecting data from end unit to end unit. While it's in transit, no one else should be able to read it. That is the goal, depending on whether people have the technology to be able to intercept and change and whatnot.... That is advanced technology. It is possible, but by taking the basis that only one entity can read and send, and then once it enters its exit phase, it is then decoded and read again, it's exactly what Mr. Green just said. It can be done by private network or it can be done by public network, but that is the focus.
(1715)
The Chair:
Your clients would not have a private network, would they?
Mr. Thomas Davies:
It depends on what kinds of systems they are using. For example, there are private networks between the banks for SWIFT messaging, wire transfers and such, and then there are public networks for dealing with their customer bases.
It depends on what criticality of asset they are resolving. For example, in a lot of cases they will have dedicated private networks for their third party service providers as well.
The Chair:
We had one security person describe it as secure here, secure here and a cardboard box in between.
Wouldn't a number of your clients have exactly that issue whether the cardboard box is here, or there, or in between it's still unsecure?
Mr. Thomas Davies:
To reduce that is the goal. It's like coding a message when we used to send messages back and forth during the war in indigenous languages so they couldn't be read midstream. We do the same thing today. As a message is being sent through the wire, you try to keep it as decoded as possible, but once it gets to its destination, someone has a token or a key to unlock the information and understand what's there.
The Chair:
Mr. Gordon, do you want to add anything?
Mr. Robert Gordon:
From the very narrow perspective of the CCTX, it's not going to matter because that responsibility will reside with each one of our members having to deal with it. Depending on the type of member we have, they will be dealing with it from the financial institutions or they will be relying on the public network.
The Chair:
What do you mean it doesn't matter?
Mr. Robert Gordon:
I'm not monitoring their networks so I don't see what all of my members are seeing. What I get is the result of what they are looking at on their network, and when they see anomalies coming in, that's what I actually see. I'm not sitting and watching what's going on inside their network.
The Chair:
Thank you.
With that, Mr. Graham, for three minutes, please.
Mr. David de Burgh Graham:
Mr. Green, just to put Mr. Dubé's questions to bed, PayPal is in the U.S. I think the point of the question is your private networks might be private networks all you want. If they go through the U.S., they are still subject to the USA PATRIOT Act. I think that's the concern at the core.
How do you address that?
Mr. Ron Green:
I still don't know who you are in my network.
Mr. David de Burgh Graham:
You said you have a 16-digit number. It's not hard to de-index a 16-digit number. If somebody gets their hands on that number to get to know who you are, if they figured out how to get into your system to get that number, they are going to figure out who you are. So I don't buy that argument necessarily. Do you see my point?
Mr. Ron Green:
You're saying if they have some other way to reverse-engineer the 16-digit number...because it would have to be by legal process. I'm not just open to the U.S. government to come in when they choose to, and look at stuff, and I don't share that way.
Mr. David de Burgh Graham:
But it's in that cardboard box that John likes to talk about through which your VPN runs. I'm assuming it's a virtual network. You talked about your private network. You're not running your own fibre line across the world so those are virtual networks, right?
Mr. Ron Green:
Right.
Mr. David de Burgh Graham:
But you're still running over a public access wire.
Mr. Ron Green:
I encrypt, though. I don't just run open.... I have the second biggest HSM footprint next to the Department of Defence so I have a lot of cryptology that happens across my network.
Yes, there's still a private network that may go through a third party, but it's still encrypted for me to all of my end points, and the transactions that cross it are encrypted.
Encryption's not trivial. As to whether a nation-state has some way of breaking through the encryption that I'm not aware of could intercept what it is we're doing, that's possible, but not to my knowledge.
Mr. David de Burgh Graham:
Mr. Gordon, when I got my first root password about 22 years ago, we followed a thing called rootprompt.org. You might remember it. It was a website that did effectively what you're doing now with CCTX, monitoring all the current vulnerabilities and posting them so we as system admins could stay on top of them. Then one day rootprompt.org got rooted, and there was no more rootprompt.org.
What organizations do you not want in CCTX? What are the vulnerabilities you have? How do you address that?
(1720)
Mr. Robert Gordon:
What organizations do I not want?
Mr. David de Burgh Graham:
Yes, because you said you want lots of organizations to join. What organizations do you not want?
Mr. Robert Gordon:
I want organizations that do two things. I want organizations that are interested in collaborating, so sharing what's going on, and also honouring the agreement we have, and what they are going to use the information for. I want organizations that are going to use the information to defend their networks.
Somebody who is going to use the information for a purpose other than that—I prefer they go and join something else.
The Chair:
Thank you.[Translation]
Mr. Paul-Hus, you have three minutes.
Mr. Pierre Paul-Hus:
Thank you, Mr. Chair.
Mr. Green, since Mastercard is an international organization, your network is linked to a number of banks in different countries. Are Canadian banks well equipped, compared to European or American banks? You work directly with the banks because you use them for your transactions. Are Canadian banks well organized, compared to banks in other countries?
[English]
Mr. Ron Green:
I think the Canadian banks are actually in relatively good stead compared to U.S. or European banks. I have seen banks in other places that I'm not so....
[Translation]
Mr. Pierre Paul-Hus:
Our study concerns the Canadian banking system and the insurance company system. Your company works directly with banks around the world. According to you, Canadian banks are among the well-protected banks in terms of cybersecurity. Is that what you're saying?
[English]
Mr. Ron Green:
I think they're well protected. There are a number of banks that we converse a lot with. We see it as an opportunity to make sure that we're all working together. I think about wildebeests. When we're together, we're less of a target. If we're alone, we're more of a target. I've had a number of Canadian banks come out—even Canadian Tire—and look at our fusion centre, work with us and build up a collaboration channel.
[Translation]
Mr. Pierre Paul-Hus:
I have one last quick question.
Mr. Green, does Mastercard have cyber defence strategies to protect itself against attacks from the dark web?
Mr. Finlay, are these topics regularly studied in the university sector?
[English]
Mr. Ron Green:
We have an intelligence team that looks for threats in the dark web. We pay providers to look at different things within the dark web. We have different government partners that are also looking at things within the dark web to find out how they're attacking and what's different so that we can prevent that. We also share that information with our customers.
[Translation]
Mr. Pierre Paul-Hus:
Thank you.
[English]
The Chair:
Madam Sahota.
Ms. Ruby Sahota:
All of this has been very fascinating today but being an MP from Brampton I have a particular interest in Cybersecure Catalyst, which is already partially set up and will be in full swing, thanks to Ryerson. I am happy to see that in budget 2019 there is a commitment made to Cybersecure Catalyst.
I want to know, more particularly, what types of certifications you'll be providing through the training. Are these certifications internationally recognized? Are they comparable to other training programs available anywhere around the world? Also, how many people do you anticipate will reskill or skill up, and how many introductory courses do you plan on being able to complete once you're in full swing?
Mr. Charles Finlay:
With respect to certifications, it's our goal to deliver a suite of internationally recognized certifications from established third party cybersecurity training organizations. These are well known in the marketplace. These are entities like SANS, EC-Council and Palo Alto. There are lots of different providers that offer these and we are engaged in developing partnerships quite intensively with SANS and EC-Council to deliver these courses.
This really goes to the posture of Cybersecure Catalyst, which is industry-focused. We are very much interested in supporting the Canadian cybersecurity industry through the partnerships that we've discussed with academia and, obviously, through collaboration with the government. The cybersecurity sector in Canada promises to be one of the best in the world, and it can be one of the best in the world. We're going to work extremely hard to support that. We are aiming for those kinds of industry-focused certifications.
In terms of numbers, we have a five-year model out with respect to the introductory courses, that is, bringing demographic groups that are under-represented in cyber into the sector. We're looking at approximately 500. In terms of the work that we're going to be doing with our private sector partners, that will be in the thousands. In terms of engagement with young people, that will be, we hope, in the tens of thousands. Cybersecurity is a big problem and the numbers that we need to reach in order to have a material impact on this issue are large.
That's the ambition for this centre.
(1725)
Ms. Ruby Sahota:
Thank you.
The Chair:
Colleagues, I have four minutes, and then we do have to vacate because there's a subcommittee meeting here.
Being the nice guy that I am to Mr. Motz, in spite of his ageism cracks, the time is split between Mr. Picard and Mr. Motz.
You have two minutes each.
Mr. Picard.
Mr. Michel Picard:
I have just one question.
Mr. Davies and Mr. Green, what is your understanding of open banking and what is your position from a securities standpoint?
Mr. Ron Green:
Open banking will provide a lot of great new opportunities but we have to approach it in a way that security is enabled with the new technology that comes from; the new providers that we'll see. I think the government can help with making sure they're holding to a good standard as they deploy their capabilities.
The Chair:
Mr. Motz, you have the final question.
Mr. Glen Motz:
I'm going to continue with that.
Michel, thank you, that was a great question.
I wanted Mr. Davies to answer.
The Chair:
Oh, sorry. Did I cut somebody off? I apologize.
Mr. Thomas Davies:
No, it's all right.
I know the Department of Finance is working on a special paper right now on open banking both from a deployment regulation and a security standpoint. As Mr. Green said, to embed security from the outset will be important. The U.K. has already done quite a bit of open banking so it would behoove us to look at what they've done today and the lessons learned.
The Chair:
On behalf of the committee I want to thank each of you for an excellent presentation. It was very informative.
What that, the meeting is adjourned.
|
Comité permanent de la sécurité publique et nationale
(1600)
[Traduction]
Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):
Mesdames et messieurs, nous avons le quorum, et nous avons perdu une demi-heure.
Je vais tout simplement demander à tous les témoins de venir directement à la table.
Ce que je propose à mes collègues, c'est de combiner nos groupes de témoins. J'ai parlé à tous les témoins et je leur ai demandé d'être prêts à présenter leurs exposés en moins de 10 minutes. Mon idée est de donner sept minutes à chaque témoin pour faire son exposé.
La première série de questions va durer six minutes, et la suivante, quatre minutes. Nous allons continuer aussi longtemps que nous le pouvons.
Je crois qu'il va y avoir un autre vote. Nous n'en sommes pas sûrs.
M. David de Burgh Graham (Laurentides—Labelle, Lib.):
Est-ce que cela ne va pas durer toute la nuit?
Le président:
Avez-vous apporté votre lit pliant?
Un député: Ha, ha!
Le président: D'accord. Sur ce, je vais vous demander le silence.
Je vais simplement demander aux témoins de présenter leurs exposés dans le même ordre que ce qui se trouve à l'ordre du jour: pour commencer, nous aurons M. Green, de Mastercard, puis M. Davies, de EY, M. Finlay, de Cybersecure Catalyst, et M. Gordon, d'Échange canadien de menaces cybernétiques.
Monsieur Green, vous avez sept minutes.
M. Ron Green (vice-président exécutif et chef de la sécurité, Mastercard Canada):
Bonjour, et merci de m'avoir invité aujourd'hui.
Je tiens tout d'abord à féliciter le Comité d’avoir lancé cette étude. La cybersécurité représente l'un des plus grands défis que doivent relever les gouvernements et les entreprises, et les incidences sur la sécurité nationale, la stabilité financière et la protection des consommateurs peuvent être graves.
J'applaudis aussi le gouvernement du Canada qui a déployé la Stratégie nationale de cybersécurité et mis en place le Centre canadien pour la cybersécurité. J'ai eu la chance aujourd’hui de rencontrer les dirigeants du Centre, et je peux vous assurer que Mastercard sera heureuse de les épauler de toutes les manières possibles.
Pour Mastercard, la cybersécurité est une priorité mondiale. La sécurité et la protection sont des principes fondamentaux qui régissent toutes les facettes de nos activités, ainsi que les plateformes technologiques et les services de technologie novateurs que nous mettons en service. Nous savons que nos clients, les titulaires de cartes, les commerçants et d'autres partenaires comptent sur nous pour leur fournir des produits et des services sécurisés. Permettez-moi de mettre ceci en contexte.
Comme vous le savez probablement, Mastercard n'émet aucune carte de crédit ni n'a de contact direct avec les consommateurs. Les banques qui émettent nos cartes ont cette responsabilité.
Mastercard est une société technologique. Nous mettons à la disposition des consommateurs un réseau qui leur permet d'utiliser leur carte Mastercard presque partout dans le monde, dans plus de 210 pays et territoires, et de voir une transaction se réaliser en quelques secondes, ce qui permet des liens entre 2,5 milliards de titulaires de carte et des dizaines de millions de commerçants.
Pour que nous puissions apporter de la valeur aux banques, aux commerçants et aux consommateurs qui utilisent notre réseau, nous devons leur assurer sécurité et protection. Notre réseau ne doit donc souffrir d'aucune interruption.
Nous investissons aussi dans l'innovation: nous augmentons nos forces internes, nous acquérons des entreprises technologiques de pointe et nous continuons de collaborer avec les jeunes entreprises choisies dans le cadre de notre programme Start Path, dont cinq sont au Canada, et de les mettre en contact avec nos partenaires émetteurs pour que leurs affaires se développent. Le mois dernier, Mastercard a conclu une entente visant l'acquisition d'Ethoca, une société torontoise qui facilite la collaboration entre banques et commerçants pour combattre l'escroquerie en ligne.
C’est ce que nous faisons à un très haut niveau. Permettez-moi maintenant de vous faire part de nos conseils à l’intention du gouvernement. Ils sont regroupés en six volets.
Premièrement, dans un monde numérique de réseaux et d'interconnexions, nos solutions en matière de cybersécurité doivent convenir aux petites et moyennes entreprises. Les cybercriminels cherchent les points faibles d'un système avant de lancer une attaque. Nous devons donc fournir aux petites entreprises une structure qui protégera leurs opérations. Mastercard joue un rôle-clé dans la défense des PME, notamment par la mise en place du Cyber Readiness Institute, ou CRI, qui met l'accent sur l'application pratique d'outils à l'intention des PME. Le CRI facilite également la formation des employés à l'utilisation de ces outils de gestion des cyberrisques.
Pareillement, en février dernier, Mastercard et la Global Cyber Alliance ont lancé une solution de cyberdéfense conçue spécifiquement pour les PME. Ce produit gratuit propose en ligne, à l'échelle mondiale, du contenu informatif et des procédés servant à contrer les cyberattaques de plus en plus nombreuses. Cette trousse pratique comporte des outils opérationnels, des guides pratiques et des pratiques exemplaires reconnues, et elle sera régulièrement mise à jour.
Deuxièmement, les sociétés internationales sont souvent aux prises avec un nombre croissant de règlements en matière de cybersécurité qui se chevauchent dans différents pays. Ces règles doivent être harmonisées au moyen de paramètres communs. Nous savons que des progrès ont été réalisés dans le cadre des négociations pour le renouvellement de l'ALENA en ce qui concerne la conception d'une structure commune favorisant la gestion des cyberrisques, ce qui est encourageant.
Troisièmement, les processus de gestion et de vérification de l'identité doivent être améliorés, car de plus en plus d'objets sont connectés. Nous avons besoin d'un écosystème d'identité solide pour faciliter et sécuriser davantage les interactions et les transactions numériques et préserver la confidentialité des titulaires de carte.
Quatrièmement, avec l'Internet des objets, 30 milliards d'objets seront bientôt connectés. Ceci représente de gigantesques possibilités pour l'économie numérique, mais aussi de plus grands cyberrisques. Les gouvernements et le secteur privé devraient par conséquent établir des normes afin d'améliorer l'interopérabilité, la détection et la prévention des cybermenaces tout en éliminant toute friction de l'expérience utilisateur.
Cinquièmement, face à des cybermenaces croissantes, les gouvernements et le secteur privé manqueront d'employés détenant des compétences en cybersécurité. Il faut dès maintenant, partout dans le monde, entreprendre de former la prochaine génération de cyberexperts, et le gouvernement devrait contribuer à cet effort. Si vous avez des enfants ou des petits-enfants et que vous les rendez accros à la cybersécurité, ils pourront toujours très bien gagner leur vie parce que le nombre actuel de spécialistes de la cybersécurité ne suffit pas à répondre aux besoins qui sont bien réels.
Enfin, il faut que toutes les parties prenantes collaborent, se communiquent l’information et s'unissent pour lutter contre le cybercrime. Le président Obama avait commandé la mise en place d'un groupe de travail sur la cybersécurité auquel notre président et chef de la direction a siégé. Ce groupe a formulé des recommandations, et la création du CRI, que j'ai mentionné plus tôt, résulte directement de l'accent qu'il a mis sur la sécurité et les PME.
J'estime que cette question est si cruciale pour l'avenir de notre économie et de notre société qu'elle mérite l'attention d'intervenants aux plus hauts échelons. Mastercard est prête à mettre son expertise au service du gouvernement du Canada dans la même mesure.
Je pourrais parler pendant des heures de ce sujet, mais je vais m'arrêter ici. Je serai ravi de répondre à vos questions sur les aspects qui suscitent le plus votre intérêt. J'ai essayé de vous donner une bonne idée de ce que nous faisons et de ce que les gouvernements devraient accomplir d’après nous.
Je remercie encore une fois le Comité de m'avoir invité et je suis impatient de répondre à vos questions.
(1605)
Le président:
Je vous remercie, monsieur Green, et merci également d'avoir respecté le temps que vous aviez.
Nous écoutons maintenant M. Davies, pour sept minutes.
M. Thomas Davies (chef de fil mondial des services financiers et des affaires numériques, EY):
Merci de nous avoir invités à venir vous donner de l'information et à répondre à vos questions sur la cybersécurité dans le secteur financier.
Je suis Thomas Davies, et je suis le dirigeant national de la cybersécurité des services financiers pour EY au Canada. Je suis également un conseiller spécial en matière de crimes financiers pour l'entreprise à l'échelle mondiale, et à ce titre, mon attention se porte particulièrement sur les menaces internes et externes. Avant de me joindre à EY, j'ai travaillé pendant huit ans comme directeur à la Banque Scotia, et mon rôle était d'assurer les trois lignes de défense.
Les cyberattaques sont en hausse, et le secteur des services financiers est considéré comme une cible de grande valeur à l'échelle mondiale. Le nombre de particuliers, d'organisations et d'États-nations qui ont accès à des outils de pointe a connu une croissance exponentielle, avec les offres de services que les organisations criminelles ont conçus et optimisés. Les attaques lancées contre les services financiers ne se limitent pas aux cyberatteintes. Ces attaques peuvent rapidement évoluer vers des activités de fraude et de blanchiment d'argent, ce qui exerce une pression sur les talents et les ressources financières de n'importe quelle organisation. Ces préoccupations sont exacerbées par la pénurie de professionnels qualifiés dans l'ensemble des domaines relatifs aux crimes financiers. L'accès non autorisé à des systèmes de paiement, à des réseaux de transactions ou à des données de clients pourrait avoir des répercussions importantes sur l'économie.
Pensez un instant aux conséquences de ne pas être en mesure d'utiliser votre carte de débit ou votre carte de crédit pendant une journée ou même une semaine. Imaginez plus d'un million de Canadiens qui essaient de retirer de l'argent pour payer l'épicerie, l'essence ou les médicaments. De nombreux organismes de réglementation dans le monde estiment que la capacité de résilience des services financiers en cas de cyberincident est au sommet des priorités pour garantir la santé économique, comme en font foi les nouvelles exigences de sécurité adoptées à Hong Kong, au Royaume-Uni et à New York.
Les Canadiens veulent obtenir un meilleur accès aux services financiers au moyen de plateformes numériques comme le système bancaire ouvert. Nous devons donc envisager d'incorporer des principes de sécurité et de protection de la vie privée à l'étape de la conception d'une solution. Ce faisant, nous contribuerons à inspirer confiance aux clients, à encourager l'adoption de ces méthodes et à réduire de façon proactive le risque de devoir apporter des correctifs coûteux ultérieurement. La mise en place de mesures préventives comme la formation et la sensibilisation, la gestion de l'accès, l'hygiène informatique, la gestion du risque lié à des tiers et la gouvernance d'entreprise aura pour effet de réduire la surface d'attaque de ces plateformes de même que la maintenance nécessaire à leur soutien.
Le Canada a la possibilité de devenir un chef de file mondial en matière de sécurité et de protection de la vie privée, tout en demeurant un grand innovateur dans les technologies financières. En poursuivant les efforts de communication des renseignements et de développement des talents par l'éducation des jeunes et l'éducation continue, et en sensibilisant davantage le public aux cybermenaces menant aux crimes financiers, nous pouvons nous préparer à faire face à cette menace croissante.
Merci.
Le président:
Je vous remercie, monsieur Davies.
Je tiens à faire remarquer à mes collègues la façon dont les exposés sont présentés dans les délais.
Monsieur Finlay, de Cybersecure Catalyst, nous vous écoutons.
M. Charles Finlay (directeur exécutif, Cybersecure Catalyst):
Monsieur le président, mesdames et messieurs les membres du Comité, je vous remercie beaucoup de me donner l'occasion de parler avec vous aujourd'hui.
Cybersecure Catalyst est un nouveau centre d'activités de cybersécurité qui a été créé l'année passée par l'Université Ryerson. Il est installé en permanence à Brampton et c'est là qu'il ouvrira à la fin de l'année. Le centre va collaborer étroitement avec les gouvernements et les organismes gouvernementaux de tous les niveaux, avec les partenaires du secteur privé et avec d'autres établissements universitaires de partout au Canada afin de stimuler la croissance et l'innovation dans l'écosystème de cybersécurité du Canada.
Nous allons offrir des programmes reposant sur quatre piliers. Nous allons offrir de la formation en cybersécurité à l'intention des actuels professionnels de la cybersécurité, ainsi que de la formation de base en cybersécurité à l'intention de ceux qui sont nouveaux dans le domaine. Nous allons soutenir l'augmentation de la capacité des entreprises canadiennes de cybersécurité grâce à un programme unique d'accélérateur commercial. Nous allons soutenir les partenariats de recherche appliquée et de développement en cybersécurité entre des établissements universitaires et des partenaires du secteur privé. Enfin, nous allons offrir des activités d'éducation du public en matière de cybersécurité en mettant l'accent sur les particuliers et les petites entreprises.
Au moment de concevoir le mandat de Cybersecure Catalyst, l'Université Ryerson a entrepris un long processus de consultation auprès de l'industrie et du gouvernement, entre autres, auprès de plusieurs institutions financières. Je pense que les résultats de ce processus de consultation sont importants pour notre discussion sur la cybersécurité dans le secteur financier comme enjeu de sécurité économique nationale. Quand nous avons demandé aux grandes institutions financières et à d'autres organismes du secteur privé de nous préciser ce qu'un centre universitaire de cybersécurité pouvait faire de plus utile pour eux, ils n'ont pas parlé d'un outil technologique particulier ou de progrès précis dans les sciences. Ils ont répondu massivement qu'il leur fallait plus de gens. D'autres personnes venues témoigner devant le Comité aujourd'hui vous ont dit la même chose. En particulier, des institutions financières ont indiqué qu'il fallait mettre à niveau les compétences de leur personnel existant pour répondre aux menaces émergentes, et qu'il fallait que plus de gens fassent leur entrée dans le secteur pour qu'ils puissent doter les postes de premier échelon au sein de leurs organisations. Toutes les grandes institutions financières au Canada ont de nombreux postes à doter dans le domaine de la cybersécurité.
Les données empiriques confirment ce que notre processus de consultation a révélé. Comme vous l'avez déjà entendu de la part d'autres témoins, en juillet 2018, Deloitte et la Toronto Financial Services Alliance ont publié un rapport qui estimait que la demande en personnel de cybersécurité au Canada augmente de 7 % par année et qu'il faudrait doter 8 000 postes en cybersécurité d'ici 2021.
Il est important de souligner que cette pénurie n'est pas qu'un problème de sécurité; c'est un problème de développement économique. Le manque de personnel de cybersécurité qualifié crée des problèmes de dotation pour les activités régulières de ces institutions financières, mais cela a également des répercussions sur la capacité des institutions de créer de nouveaux produits et services sûrs pour les marchés national et international. Ce qui est crucial, c'est que le manque de personnel qualifié a de graves répercussions sur la capacité de croissance des petites et moyennes entreprises canadiennes de cybersécurité.
Il y a une façon intéressante de voir le problème du manque de travailleurs en cybersécurité au Canada, et c'est de se rendre en Israël. Ce pays est généralement reconnu pour posséder le plus solide écosystème technologique en matière de cybersécurité dans le monde. Le gouvernement israélien a récemment créé un grand centre d'activités de cybersécurité dans une petite ville du désert du Néguev appelée Beersheba, à environ une heure en voiture de Tel-Aviv. En janvier, je suis allé à Beersheba non pas pour rencontrer des représentants de sociétés israéliennes, mais des représentants d'institutions financières canadiennes qui ont établi des bureaux là-bas parce qu'il leur est beaucoup plus facile de trouver des talents en cybersécurité en Israël qu'au Canada.
C'est là la mauvaise nouvelle. La bonne nouvelle, c'est que ce problème est bien compris et que des efforts sont déployés pour le résoudre. Les montants que le gouvernement fédéral a consacrés dans son budget de 2018 à la cybersécurité étaient considérables, surtout en ce qui concerne le Centre canadien pour la cybersécurité. Le centre agit déjà comme un partenaire et une voix d'importance pour le secteur de la cybersécurité au Canada. Dans le budget de 2019, qui a été rendu public récemment, le présent gouvernement a fait de la cybersécurité une priorité en allouant 80 millions de dollars aux institutions postsecondaires afin qu'elles accroissent le bassin de talents en cybersécurité au Canada, entre autres mesures.
Bien sûr, il y a toujours plus à faire. À notre avis, les programmes de formation devraient se concentrer sur deux cohortes clés: les jeunes de la maternelle à la 12e année, et les groupes démographiques qui sont gravement sous-représentés dans le secteur de la cybersécurité. Les jeunes n'ont pas nécessairement tendance à voir la cybersécurité comme un domaine d'études intéressant ou excitant ou comme une option d'emploi futur, mais cela peut changer avec la bonne stratégie de mobilisation. (1610)
Nous n'arriverons pas à résoudre le problème de la pénurie de personnel de cybersécurité des institutions financières ou de n'importe quel autre type d'institutions si nous n'ouvrons pas le secteur de la cybersécurité de manière à avoir plus de femmes, de membres de groupes racialisés, de nouveaux Canadiens, d'Autochtones, de vétérans et de personnes qui ont perdu leur emploi dans des secteurs existants. Il faut déployer des efforts afin d'offrir aux personnes de ces groupes des occasions de formation et de placement dans l'industrie, et c'est là-dessus que nous allons nous concentrer à Cybersecure Catalyst.
Enfin, à mesure que notre économie poursuit sa transformation, nous voyons des possibilités excitantes de réorienter des talents de secteurs d'où les travailleurs ont été déplacés vers le secteur de la cybersécurité, où le besoin de personnel qualifié est en croissance.
Je vous remercie beaucoup.
Je serai ravi de répondre à vos questions.
Le président:
Merci, monsieur Finlay.
Monsieur Gordon, vous avez sept minutes.
M. Robert Gordon (directeur exécutif, Échange canadien de menaces cybernétiques):
Merci, monsieur le président.
Je remercie le Comité de me donner l'occasion aujourd'hui de parler de la cybersécurité dans le secteur financier.
Je suis directeur exécutif de l'Échange canadien de menaces cybernétiques, l'ECMC. Je vais mettre en lumière le travail de l'ECMC parce que je crois qu'il a une incidence directe sur l'orientation actuelle des enquêtes de ce comité.
L'ECMC est un organisme à but non lucratif établi par le secteur privé et ayant deux vastes mandats. Premièrement, nous effectuons un échange de renseignements sur les menaces cybernétiques pour informer nos membres. Deuxièmement, nous offrons un centre de collaboration pour mettre en commun les pratiques exemplaires des professionnels de la cybersécurité. Notre organisme est relativement nouveau, puisqu'il a atteint la capacité opérationnelle de base il y a seulement deux ans. Je vais faire quelques autres observations sur nos services dans une minute.
Les principes fondateurs de l'ECMC le rendent unique. Premièrement, notre objectif est d'attirer des membres venant de tous les secteurs de l'économie, pas seulement des infrastructures essentielles. À l'heure actuelle, nous avons notamment des membres de cabinets comptables, du secteur de la santé, d'entreprises de construction, d'entreprises de divertissements, d'administrations aéroportuaires et d'entreprises de haute technologie.
Deuxièmement, les grandes entreprises qui ont fondé l'ECMC ont clairement indiqué que l'ECMC ne pouvait pas servir uniquement les grandes organisations. Nous devons attirer des PME. Dans tous les secteurs de l'économie, des organisations de toutes tailles subissent des cyberattaques. Nous sommes passés des neuf premiers membres fondateurs à un peu moins de 60 membres aujourd'hui, et d'autres demandes d'adhésion sont traitées toutes les semaines.
En janvier dernier, nous avons changé la composition et les barèmes tarifaires de notre organisme de manière à rendre l'adhésion plus attrayante pour les PME. Ces changements ont été bien reçus. Les petites organisations représentent maintenant 28 % de notre effectif, et nous déployons des efforts pour que ce nombre augmente considérablement. À mesure que nous augmentions le nombre de petites organisations, nous avons mis au point des rapports et des services adaptés aux besoins des propriétaires de petites entreprises.
Je vais souligner brièvement deux secteurs de prestation de services.
Nous exploitons un centre de mise en commun de renseignements sur les cybermenaces. L'information sur les menaces est fournie par les organisations qui participent. L'information qui est obtenue ainsi ne contient pas de renseignements personnels, et la source est anonyme.
L'ECMC reçoit aussi de l'information sur les cybermenaces de la part du nouveau centre de cybersécurité. Nous sommes heureux d'être la première organisation à avoir signé un accord de collaboration avec le nouveau centre. C'est un partenariat important pour l'ECMC et le gouvernement. Nous pensons que nous allons tirer parti de la pleine capacité du gouvernement en matière de cybersécurité, et le gouvernement profitera de l'élargissement de la portée de ses efforts auprès de petits segments de l'économie qu'il ne dessert plus, notamment à l'extérieur de l'infrastructure essentielle de base.
L'ECMC offre aussi à ses membres l'occasion de fournir au gouvernement de l'information liée aux menaces, tout en conservant leur anonymat. À mesure que nous prenons de l'expansion, nous allons permettre au gouvernement de mieux comprendre comment les cybermenaces ont des répercussions sur l'économie canadienne dans son ensemble.
Des témoins ont déjà mentionné à votre comité l'importance du développement de l'effectif dans le domaine de la cybersécurité pour défendre l'économie canadienne. L'ECMC joue un rôle en aidant le secteur privé à perfectionner et à tenir à jour les compétences nécessaires. Notre capacité à collaborer entre secteurs procure diverses façons de rassembler les professionnels de la cybersécurité pour mettre en commun leurs pratiques exemplaires et leurs idées. Les praticiens se réunissent pour discuter de nouveaux sujets, comme les nouvelles techniques utilisées par les pirates, les nouvelles technologies et stratégies de défense ainsi que les changements au paysage juridique que les entreprises devraient connaître. Nous offrons cette capacité au moyen de webinaires mensuels et d'activités de collaboration de vive voix. Le temps que les employés consacrent à ces activités contribue à leur maintien en poste et à leurs certifications professionnelles.
Les institutions financières comprennent l'importance de la collaboration, ce qui explique pourquoi les grandes banques du Canada font partie de l'ECMC. Les banques reconnaissent que la collaboration leur permet d'améliorer leurs moyens de défense et de rendre plus coûteuses les démarches des pirates. Nous offrons un forum unique d'échanges intersectoriels. À titre d'exemple de la relation bénéfique et unique de l'ECMC, du travail se fait au moyen de notre portail entre les institutions financières et les entreprises de télécommunications pour contrer des cybermenaces très précises.
Les banques ont mis au point une impressionnante capacité à défendre leurs réseaux contre les cyberattaques, et elles lancent maintenant une nouvelle initiative par l'entremise de l'ECMC. Elles aimeraient faire part de leur expertise aux PME et travailler avec nous pour renforcer la maturité des PME dans tous les secteurs de la chaîne d'approvisionnement, pas que ceux liés aux services financiers. Chaque banque a cerné un domaine de compétence et préparé des exposés qui portent sur les besoins des PME. Nous nous penchons actuellement sur le mécanisme de mise en oeuvre de cette importante initiative. (1615)
La collaboration commence par l'établissement d'une relation de confiance. L'ECMC offre un environnement propice à la confiance. Nous créons une communauté où les membres n'ont pas à mener leurs activités en vase clos. Lorsqu'une crise se produit, ils peuvent se tourner vers cette communauté pour obtenir de l'aide. La création de cette organisation qui permet de signaler les menaces et de mettre en commun les pratiques exemplaires d'entreprises de toutes tailles dans l'ensemble des secteurs est un des principaux piliers pour atteindre le niveau de sécurité souhaité dans le but de protéger la prospérité économique du Canada. La collaboration signifie qu'on n'a pas à tout faire seul, car nul d'entre nous n'est aussi futé que nous tous réunis.
Je suis impatient de répondre à vos questions.
Le président:
Merci, monsieur Gordon.
Sur ce, monsieur Spengemann, vous avez la parole pendant six minutes, s'il vous plaît.
M. Sven Spengemann (Mississauga—Lakeshore, Lib.):
Monsieur le président, merci beaucoup. Je vais partager mon temps avec mon collègue, M. de Burgh Graham.
Ma question est pour M. Green.
Merci d'être ici pour nous faire part de votre expertise. Je vous remercie aussi de votre service antérieur en tant qu'officier dans l'armée américaine. Je siège aussi au Comité permanent de la défense nationale, et du point de vue de nos forces armées, je veux juste vous dire à quel point nous chérissons notre amitié et notre alliance avec les États-Unis.
(1620)
M. Ron Green:
Merci.
M. Sven Spengemann:
Vous avez eu l'occasion de visiter le Centre canadien pour la cybersécurité. Je m'intéresse aux PME. Selon vous qui comptez des clients parmi les PME, dans quelle mesure la cybersécurité est-elle un obstacle structurel pour les entreprises en démarrage au Canada? Que peut faire de plus ou mieux faire le gouvernement du Canada afin de faciliter l'accès aux points d'entrée du marché pour ces entreprises axées sur les données qui dépendent de la cybersécurité?
M. Ron Green:
J'ai visité de nombreuses petites entreprises en démarrage, et je peux vous dire que pour beaucoup d'entre elles, la sécurité n'est peut-être pas la principale préoccupation. Il faut que cela fasse partie de tout ce que nous faisons, non seulement dans les petites entreprises, mais aussi en tant que personnes.
Quand vous sortez de votre maison tous les jours, vous verrouillez la porte. Vous avez besoin d'un certain niveau quotidien d'hygiène cybersécuritaire. Pour les entreprises, surtout celles qui ont des données à leur disposition, il faut que cela fasse partie de ce qu'elles font maintenant. Nous sommes arrivés au point où nous devons les aider à cet égard, grâce à la mise en commun des pratiques exemplaires et à un accès aux experts. C'est une des raisons pour lesquelles nous dialoguons avec la Global Cyber Alliance. Nous faisons partie de nombreux groupes qui fournissent des pratiques exemplaires et des façons de faire. Il faut effectivement offrir des outils aux petites entreprises pour les aider à faire quelque chose, plutôt que se contenter de leur dire à quelles mesures elles devraient réfléchir. Donnez-leur les outils et l'accès à l'expertise.
Au centre de cybersécurité, on se penche sans aucun doute sur des façons d'informer les petites entreprises. Elles n'auront jamais d'organismes de renseignement comme moi, mais on peut certainement décortiquer suffisamment l'information pour les aider dans leurs démarches visant à accroître la sécurité.
M. Sven Spengemann:
C'est très utile.
Je vais céder la parole à mon collègue.
M. David de Burgh Graham:
Merci.
Monsieur Davies, monsieur Green, je ne sais pas lequel d'entre vous peut répondre. De quelle façon assume-t-on la responsabilité dans les institutions financières qui subissent des pertes liées à la cybersécurité?
M. Ron Green:
Lors d'incidents ou d'atteintes à la cybersécurité, la victime peut être victimisée à deux reprises. Il y a les acteurs malveillants qui volent l'argent, et ensuite des causes au civil et au criminel. Parfois, selon l'entreprise, la victime est taxée davantage, ou dépense plus d'argent.
En ce qui nous concerne, nous travaillons avec un organe composé de nos avocats, les avocats de l'entreprise acquéreuse et les commerçants qui contribuent à l'émission. Les organisations touchées établissent une indemnisation raisonnable. C'est ainsi pour les atteintes liées aux cartes de paiement. Cela peut être différent lorsqu'il est question d'autres atteintes.
M. David de Burgh Graham:
Les institutions financières ont-elles une assurance pour ce qui est de la cybersécurité? Y a-t-il une police distincte à cette fin?
M. Ron Green:
Il y a une assurance pour la cybersécurité. Je suppose que cela dépend du pays où on se trouve et des polices qui sont offertes. Je procède à un examen annuel rigoureux avec nos assureurs pour être certain de maintenir un bon niveau de sécurité pour l'organisation, afin de tirer parti des possibilités que nous offre l'assureur.
M. David de Burgh Graham:
La question est d'ordre plus général. Quand vous engagez des professionnels de la cybersécurité, à quel niveau de vérification procédez-vous? Ce n'est pas une entrevue d'emploi normale, n'est-ce pas? Procédez-vous à une vérification pour être certains de ne pas accroître la vulnérabilité plutôt que de la réduire?
M. Thomas Davies:
Je peux répondre à celle-ci.
Nous faisons une évaluation technique de la plupart... dans notre communauté. C'est une petite communauté, et nous bénéficions habituellement du fait que nous connaissons les travailleurs du milieu. C'est un avantage et un inconvénient, mais nous examinons souvent les références et les environnements dans lesquels une personne a travaillé avant et la façon dont le travail s'est fait. Nous suivons ensuite un processus de vérification technique pour comprendre. C'est habituellement un long cycle, qui a aussi ses aspects négatifs, puisqu'il nous faut plus de temps pour embaucher un professionnel sûr dans ce domaine.
M. David de Burgh Graham:
Nous parlons, monsieur Finlay, de la nécessité d'accroître le nombre de personnes dans le domaine de la cybersécurité. Nous essayons de veiller, alors que nous procédons à une expansion massive, à ne pas — comme nous l'avons vu en 1999 avec la bulle technologique — faire venir plein de personnes dont les intentions ne concordent pas nécessairement avec ce que nous voulons.
A-t-on l'intention à un moment donné d'offrir un diplôme en cybersécurité qui est distinct du diplôme en sciences informatiques?
M. Charles Finlay:
Cybersecure Catalyst mettra l'accent sur la formation offerte à ceux qui sont déjà professionnels de la cybersécurité et sur une formation initiale pour introduire de nouveaux professionnels dans le secteur. Nous n'allons pas pour l'instant mettre l'accent sur un diplôme offert à la sortie de Cybersecure Catalyst. Des programmes en cybersécurité sont mis au point par de nombreux établissements postsecondaires. Un grand nombre de ces établissements, y compris Ryerson, offrent des cours de cybersécurité. Nous mettons surtout l'accent sur la formation professionnelle, car, en toute franchise, c'est là que nous pensons avoir un effet immédiat au cours des deux ou trois prochaines années. C'est donc là-dessus que nous nous concentrons.
D'un bout à l'autre du pays, des établissements offrent toutes sortes de programmes d'études différents.
(1625)
Le président:
Merci.
Monsieur Paul-Hus, vous avez six minutes, s'il vous plaît.
[Français]
M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):
Merci, monsieur le président.
Monsieur Green, ce que vous avez dit dans votre présentation m'a plu. Je vois que Mastercard a vraiment établi des priorités et des façons de faire quant à l'identification, la protection, la détection et la réaction. Je trouve également intéressante l'alliance que vous avez avec les différentes compagnies.
Dans votre présentation, vous avez aussi offert des conseils aux gouvernements. Vous avez parlé d'arrimage entre les différents pays. J'aimerais savoir à quel niveau le Canada se situe. Quels sont les points forts du Canada et, surtout, les points faibles auxquels il devrait remédier?
[Traduction]
M. Ron Green:
Je pense, heureusement, que le Canada donne l'exemple dans le domaine du développement technologique lié à la cybersécurité. J'ai mentionné Ethoca. Nous avons aussi acquis une entreprise appelée NuData, qui fournit une grande partie des dispositifs de contrôle de sécurité que nous activons dans nos appareils mobiles. Je pense que nous avons l'occasion de poursuivre ces efforts pour mettre au point de nouvelles solutions en matière de sécurité qui pourront aider le marché, le secteur des technologies financières. Je crois que c'est une solide position pour la suite. Cela permet aussi, en étant en plein centre, d'être très ouvert à une collaboration avec le secteur privé, ce qui signifie qu'il est possible de mettre en commun des renseignements de sécurité.
Il y a des choses que nous pouvons aborder globalement que vos équipes pourraient trouver intéressantes, et les entendre parler de nouvelles menaces nous permet de prévenir des situations de manière plus proactive. Cela m'intéresse vivement.
[Français]
M. Pierre Paul-Hus:
Il y a différentes menaces. Certaines viennent d'individus qui essaient de pirater un système, mais il y a aussi des attaques de nos systèmes qui sont faites par des États voyous, par exemple la Chine.
Comme entreprise privée, comment réagissez-vous à une attaque cybernétique de la part d'un État? Vous attendez-vous à ce que le gouvernement du Canada intervienne? Les ressources gouvernementales devraient-elles intervenir? C'est vous qui allez prendre les premières mesures, mais avez-vous des attentes à l'égard du gouvernement en cas d'attaque perpétrée par un État?
[Traduction]
M. Ron Green:
Nous devons nous défendre contre tout le monde, des particuliers aux États-nations. Nous pensons à tous les acteurs malveillants possibles, et nous mettons en place des moyens de défense par couches pour éliminer les retards et pour prévenir la réussite de ces attaques. Cependant, si ces acteurs réussissent, nous dépendrions beaucoup de nos partenaires gouvernementaux pour nous aider à en atténuer les effets, mais aussi, selon le type d'attaque, à prendre d'autres mesures. Je ne fais qu'assurer une défense — c'est ma vie —, mais s'il faut faire quelque chose d'autre, il faudrait que ce soit avec un de nos partenaires gouvernementaux.
[Français]
M. Pierre Paul-Hus:
D'accord, merci.
Monsieur Finlay, on voit maintenant qu'il est important que tous les intervenants travaillent ensemble: le gouvernement, le secteur privé et le secteur universitaire. En effet, on parle de formation de la main-d'œuvre dans le domaine de la cybersécurité.
Avez-vous un conseil à nous donner pour qu'on assure que tous ces intervenants travaillent ensemble? Comme tout va très vite en matière de cybersécurité, l'élément primordial dans ce domaine est la rapidité. On ne doit pas s'empêtrer dans des mesures administratives trop lourdes. Avez-vous un conseil à nous donner?
(1630)
[Traduction]
M. Charles Finlay:
Je crois sincèrement que la création du Centre canadien pour la cybersécurité est une amélioration fondamentale à la position du Canada en matière de cybersécurité et au regroupement de tous les partenaires.
Vous avez indiqué correctement que l'industrie, le milieu universitaire et le gouvernement doivent travailler ensemble.
J'ai parlé d'Israël dans ma déclaration liminaire. Ce qui m'intéresse dans cet écosystème, c'est la mesure dans laquelle ces trois piliers de la société civile, si je puis dire, vont ensemble pour régler le problème de la cybersécurité. Je pense qu'il est très important que le Centre canadien pour la cybersécurité ait un rôle catalyseur pour rassembler ces acteurs. À titre de conseil, je crois que le gouvernement et l'administration ont une importante occasion de suggérer à tous les acteurs de travailler étroitement, et qu'ils devraient en faire un thème récurrent, dans le cadre de vos discussions sur la cybersécurité, à savoir que tout le monde doit collaborer.
[Français]
M. Pierre Paul-Hus:
Ma prochaine question s'adresse à tous les témoins.
Actuellement, la population canadienne en général est-elle naïve relativement à la cybersécurité, selon vous?
[Traduction]
M. Thomas Davies:
Je ne dirais pas qu'elle est naïve. Je pense que nous sommes un peu plus insensibles aux incidents de cybersécurité que d'autres cultures. Nous laissons les choses aller un peu plus rapidement. C'est ce que je dirais.
Le président:
Allez-y, monsieur Green.
M. Ron Green:
Je pense à l'époque où nous avons adopté des choses comme l'automobile. Pendant un certain temps, personne ne comprenait ni ne savait ce que cela signifiait, et nous sommes tous très chanceux d'être en vie, car personne n'avait de sièges ou de choses du genre. Lorsqu'on compare les voitures d'aujourd'hui à celles construites il y a longtemps, on voit que les choses ont beaucoup évolué, qu'elles se sont beaucoup améliorées. Nous sommes dans le même genre de cycle. Nous ne sommes pas naïfs, mais juste inconscients par rapport à ces choses. Nous devons nous en occuper.
Le président:
Merci.
Monsieur Dubé, vous avez six minutes.
M. Matthew Dubé (Beloeil—Chambly, NPD):
Merci, monsieur le président.
Monsieur Green, tout le concept lié au fait de ne pas être un émetteur de cartes est une chose que des gens de votre entreprise m'ont récemment aidé à comprendre. Cela complique beaucoup, je crois, la façon dont ce processus fonctionne.
Je me demande juste si vous pouvez m'expliquer certaines choses.
Mastercard est responsable des paiements, des transactions proprement dites, et il y a ensuite une carte, un appareil ou un site Web, qui sont en quelque sorte des tiers lorsqu'on utilise Apple Pay ou d'autres applications du genre. Il y a ensuite la banque, qui serait l'émettrice de cartes.
Dans ce triangle, si je puis dire, qui assume la responsabilité pour ce qui est, par exemple, de mes renseignements? Autrement dit, si je me sers de mon téléphone pour payer quelque chose et qu'il y a un problème, la responsabilité revient-elle aux banques, aux émetteurs de cartes, à MasterCard ou à Apple, si le problème est attribuable à Apple Pay? Comment cela fonctionne-t-il?
M. Ron Green:
Cela dépend beaucoup de l'incident, de qui est le plus responsable du problème qui survient. D'abord et avant tout, le pirate est la première personne. C'est lui qui a commis l'acte répréhensible, mais dans le modèle à quatre parties, il y a la banque émettrice, la banque acquéreuse, le commerçant et le titulaire de la carte.
Le titulaire de la carte s'adresse au commerçant et fait affaire avec lui, et je dirais que dans bien des cas, nous voyons des problèmes associés au commerçant à cause d'un problème de sécurité, de quelque chose qui n'a pas tourné rond. L'information peut être saisie ou volée à cette étape.
Nous prenons beaucoup de mesures pour éliminer, grâce à la transformation en jetons — la segmentation en unités —, la valeur des renseignements que le commerçant peut obtenir. Lorsqu'on se sert d'Apple Pay, il n'y a pas de NIP, de nombre à seize chiffres que vous connaissez bien. Nous fournissons un jeton qui ne peut être utilisé que d'une certaine façon. On ne peut pas le voler et s'en servir sur un autre appareil ou un ordinateur. Un jeton se trouve dans votre compte Apple Pay. Nous activons ce jeton dans Apple Pay. Nous nous servons de la transformation en jetons...
(1635)
Le président:
Monsieur Green, afin d'éclairer le président et possiblement d'autres membres du Comité qui n'ont peut-être pas entendu parler de la transformation en jetons, j'aimerais que vous expliquiez brièvement cette notion.
M. Ron Green:
Les 16 chiffres qui composent votre carte sont ce que nous appelons un numéro d'autorisation personnel, ou NAP. Il s'agit d'un certain numéro que vous utilisez fréquemment — vous le connaissez et vous le voyez, car il est inscrit sur votre carte en plastique. Par contre, nous créons les jetons. Ils sont utilisés dans les systèmes, mais nous pouvons les créer et les éliminer, et les réutiliser ensuite... Ce n'est pas aussi rigide que le numéro à 16 chiffres.
Donc, lorsque nous créons un jeton, comme dans le cas d'un marchand qui... nous remplaçons les NAP et nous les utilisons pour placer des jetons. S'il y a une fuite et que quelqu'un vole les jetons, ce n'est pas un problème; nous créons simplement de nouveaux jetons. Nous éliminons la valeur du NAP — le numéro de la carte de crédit — et nous le remplaçons par un jeton, ce qui signifie que nous pouvons simplement créer d'autres jetons.
M. Matthew Dubé:
C'est intéressant, car cela me fait penser à l'intelligence artificielle et à la biométrie.
Pardonnez-moi, mais je vais utiliser un langage de tous les jours. Vous autorisez, de façon temporaire, différentes méthodes de paiement. On peut donc se demander, si l'intelligence artificielle ou la biométrie est utilisée de différentes façons — pour comprendre les types de transactions effectuées par les gens, le moment où ils les effectuent ou ce qui se produit dans un appareil —, une connexion plus concrète n'est-elle pas inévitablement établie plutôt que ces processus temporaires?
Encore une fois, je tente d'aborder cette notion du point de vue d'un non-initié, car il me semble qu'une connexion plus solide s'établirait à ce moment-là si vous permettez ce type de collecte de données.
M. Ron Green:
Il ne s'agit pas seulement de la collecte de données. Il s'agit d'avoir les bonnes données au bon moment.
Je ne veux pas trop compliquer les choses, mais à l'avenir, les répertoires de données d'identité seront moins importants que la capacité d'obtenir les renseignements sur l'identité au moment où on en a besoin.
Lorsque vous voulez effectuer une transaction, nous pouvons établir une connexion avec les répertoires de données d'identité afin d'y extraire les renseignements qui permettent de vous identifier, vous, Matthew, lorsque vous avez besoin d'effectuer une transaction. Ensuite, lorsque vous avez terminé, ces renseignements disparaissent. Il n'est pas nécessaire de les entreposer. Nous voulons simplement établir une connexion et veiller à ce que les renseignements soient disponibles lorsque vous en avez besoin.
M. Matthew Dubé:
N'existe-t-il pas un endroit où toutes ces données aboutissent? Au cours d'une réunion précédente, un témoin nous a dit que c'était une drôle d'affirmation, mais que le nuage n'est pas un vrai nuage. Il existe un espace où ces données sont entreposées.
M. Ron Green:
Oui, elles sont dans un ordinateur quelque part.
M. Matthew Dubé:
Exactement. Ces données aboutissent quelque part.
Même si ce jeton, par exemple, offre une protection aux transactions effectuées avec Apple Pay, une transaction est tout de même effectuée et des données aboutissent quelque part et y restent, sans...
M. Ron Green:
Ce processus peut être transitionnel, et les données sont entreposées pendant une certaine période. Elles ne le sont pas de façon permanente. Elles sont là lorsque vous avez besoin de faire ce que vous tentez de faire, et lorsque vous n'avez plus besoin de ces données, elles disparaissent.
M. Matthew Dubé:
Je vais tenter de vous résumer les questions que j'ai posées aux représentants de l'association des banquiers lorsqu'ils ont comparu devant notre comité.
Si j'utilise une application bancaire sur mon téléphone pour payer le solde d'une carte de crédit, je le fais inévitablement par l'entremise de la banque, mais dans ce cas-ci, certains renseignements doivent être envoyés à la société de carte de crédit.
M. Ron Green:
Les données qui composent la transaction sont le NAP — le numéro à 16 chiffres — la date, l'heure et les montants. Nous ne conservons pas les renseignements sur le titulaire de la carte. C'est la banque émettrice de la carte qui les conserve.
Tout ce que nous voyons, c'est que le numéro à 16 chiffres a fait quelque chose. Le marchand demande si le numéro à 16 chiffres peut effectuer le paiement. Nous demandons à l'émetteur de la carte. Nous ne connaissons pas le titulaire de la carte, mais l'émetteur le connaît. L'émetteur nous répond que le numéro à 16 chiffres qui appartient à Matthew peut effectuer le paiement. Nous transférons ensuite ce renseignement pour confirmer que le numéro peut effectuer le paiement. Ensuite, le montant est facturé.
Tous ces renseignements passent d'un côté à l'autre. Selon ce que vous demandez...
M. Matthew Dubé:
Autrement dit, vous avez essentiellement le nom du marchand, le numéro de la carte et le montant de la transaction.
M. Ron Green:
Oui.
M. Matthew Dubé:
Ces données ne sont pas nécessairement entreposées au Canada; sont-elles protégées par les lois canadiennes?
M. Ron Green:
Nous devons nous conformer aux lois canadiennes dans le cas des données des citoyens canadiens. Actuellement, la majorité des transactions s'effectuent à nos installations de St. Louis ou de Kansas City. D'autres installations dans d'autres endroits font également certaines tâches pour nous. Les données doivent demeurer locales. D'où je suis, je peux voir les auteurs de menaces tenter d'agir contre le système de paiement, peu importe où ils se trouvent. Mais plus les pays localisent ou tentent de localiser les données, ce qui empêche d'utiliser ces données ailleurs, plus ma capacité d'analyser la situation et de suivre les mouvements des auteurs de menaces diminue.
Les auteurs de menaces ne se soucient pas des frontières. Ils sont prêts à s'attaquer à l'Amérique latine, à l'Europe, au Canada ou aux États-Unis. Si je peux les voir mener une attaque en Amérique latine, mais que je ne suis pas autorisé à utiliser ces renseignements pour aider à protéger un autre pays, l'attaquant peut mener une autre attaque ailleurs sans que je puisse utiliser ce que j'ai appris pour protéger sa prochaine victime. Les attaquants peuvent donc continuer d'attaquer de nouveaux endroits sans que je puisse utiliser les renseignements recueillis pour aider à protéger ces endroits.
(1640)
Le président:
Merci.
Monsieur Picard.
[Français]
M. Michel Picard (Montarville, Lib.):
Merci.
Monsieur Davies, vous offrez des services de consultation à des institutions financières. En affaires, l'un des défis est de bien gérer l'investissement en matière de sécurité et le risque associé à ce domaine. C'est une question d'équilibre. Quand vient le temps d'investir dans des mesures de sécurité, il faut voir si le remboursement d'éventuels dommages coûterait moins cher ou aussi cher que l'investissement en matière de sécurité.
Pendant longtemps, il y a eu cette perception selon laquelle les institutions financières limitaient leur investissement dans la sécurité et choisissaient de payer les dommages subis à la suite d'incidents, parce que cela était plus avantageux. Rencontre-t-on encore ce genre de résistance ou le marché a-t-il évolué sur la question de la sécurité?
[Traduction]
M. Thomas Davies:
Je dirais qu'elles investissent massivement dans les mesures de protection dans le domaine cybernétique. En effet, leur marque et leur réputation sont à risque. Même si dans la communauté, nous disons qu'il ne faut pas se faire concurrence en matière de sécurité, je crois que les institutions financières se font concurrence pour gagner la confiance des clients.
Le plus gros problème auquel font face les institutions financières aujourd'hui, c'est que les personnes sont nécessaires pour déployer le capital. Elles ont de solides budgets et elles réservent le financement adéquat, mais elles ont de la difficulté à réaliser leurs nombreux projets en raison des pénuries de main-d'oeuvre qualifiée.
[Français]
M. Michel Picard:
Il faut dire que les tierces parties qui ont accès aux institutions financières n'ont peut-être pas les moyens financiers ou les outils nécessaires pour se protéger des risques. De ce fait, elles peuvent présenter un risque d'accès au système financier. Les investissements dans la sécurité faits par l'industrie permettent-ils quand même de protéger le marché?
[Traduction]
M. Thomas Davies:
On considère que les tierces parties qui fournissent des services aux institutions financières représentent l'un de leurs plus grands risques. Les institutions financières mettent au point un programme de sécurité rigoureux, mais ce programme peut être affaibli par un intervenant extérieur. Ainsi, les institutions financières prennent très au sérieux le risque lié aux tierces parties.
Je crois que l'un des problèmes qui se posent, c'est que les gens croient que la cybersécurité est un domaine trop complexe. Toutefois, un grand nombre de fuites est attribuable à la méconnaissance des éléments fondamentaux. Je crois qu'une formation appropriée sur la nature des éléments fondamentaux et sur la façon de les renforcer pourrait réduire considérablement ce risque. C'est pourquoi les institutions financières commencent à exiger que les tierces parties mettent en oeuvre un minimum de vérifications dans leurs contrats et qu'elles présument qu'il y a un certain risque. Au Canada, le BSIF régit les banques. Si la fuite est attribuable à une tierce partie, le BSIF ne veut pas le savoir. L'organisme tient tout de même la banque responsable, et les banques prennent donc cet enjeu très au sérieux et mettent en oeuvre de grands programmes liés aux risques pour contrer ce problème.
[Français]
M. Michel Picard:
Ma prochaine question concerne les ressources humaines et s'adresse à MM. Davies et Green.
Du côté consultatif, on regarde le recrutement, alors que, du côté du client, par exemple chez Mastercard, on regarde le risque que présentent les ressources humaines.
J'ouvre ici une parenthèse pour vous raconter une anecdote. Il y a plusieurs années, j'ai rempli en bonne et due forme un formulaire de demande de carte de crédit — je ne dirai pas laquelle. Quand j'ai reçu la carte, la limite de crédit prévue avait déjà été dépassée. Évidemment, j'ai contacté le service qui s'occupait de la sécurité. Le problème n'était pas attribuable à moi, mais au service de la sécurité, au moment de la délivrance de la carte. Cela venait donc de l'intérieur.
Dans une autre vie, j'ai assisté à des réunions de l'Association des banquiers canadiens où il était question de terminaux de paiement qui étaient, disait-on, impossibles à pénétrer. Or, ils avaient été décodés en trois semaines. On pense qu'il y a encore des risques qui viennent de l'intérieur.
Comment gère-t-on ce risque lié aux ressources humaines, qui semble mener à un cul-de-sac, tant chez le client que chez le consultant?
(1645)
[Traduction]
M. Ron Green:
Nous menons une vérification approfondie des antécédents de nos employés avant de les embaucher, mais nous avons également des programmes de surveillance des menaces internes. Nous connaissons le comportement approprié ou habituel, et nous cherchons des anomalies. J'ai eu l'occasion de démontrer aux membres de mon conseil d'administration les outils dont nous disposons dans notre programme de surveillance des menaces internes, mais nous avons des moyens de détecter les comportements anormaux.
Lorsque ces comportements sont détectés, mon équipe lance une enquête pour vérifier si l'employé agit d'une façon qui va à l'encontre de l'intérêt supérieur de l'entreprise.
De plus, certains de nos employés jouent des rôles à risque élevé. Leur travail leur pemet de construire ou de détruire des machines, etc.
Nous exerçons une surveillance accrue et mes employés surveillent donc ce qu'ils font. Tout cela se déroule en arrière-plan, mais tout se déroule pour veiller à ce qu'ils fassent ce qu'ils sont censés faire. Si ce n'est pas le cas, nous intervenons.
M. Thomas Davies:
J'aimerais ajouter que la menace interne est la plus grande préoccupation de la plupart des agents principaux de gestion des risques en raison de l'ampleur d'un tel incident lorsqu'il se produit. Vous savez, on discute souvent de l'affaire Edward Snowden dans le milieu de la sécurité nationale. La notion selon laquelle un initié a accès à des renseignements confidentiels est toujours préoccupante.
On parle d'exercer une surveillance accrue à l'égard de ce que nous appelons les utilisateurs qui ont beaucoup de pouvoir, c'est-à-dire des personnes qui — pour revenir au point de M. Green — jouissent de grands privilèges au sein de l'organisme, afin de veiller à réduire les risques.
Donc, lorsqu'un compte est la cible de fraude, c'est un risque réduit, et il faut avoir un certain degré de tolérance au risque à l'interne. En effet, on ne peut pas garantir que personne ne posera de gestes inappropriés, mais on peut réduire les effets d'un tel incident au minimum et offrir une formation de base pour sensibiliser les gens.
Lorsque j'étais membre de Scotiabank, les formations sur le code de déontologie, sur la conduite professionnelle, sur la façon de connaître ses clients et sur la lutte contre le blanchiment d'argent étaient obligatoires. Il est important de rendre cette formation obligatoire et d'au moins donner à tous l'impression que nous sommes là pour faire ce qu'il faut.
Le président:
Merci.
Monsieur Motz, vous avez quatre minutes.
M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):
Merci, monsieur le président. J'aimerais également remercier les témoins d'être ici.
Monsieur Gordon, des témoins précédents nous ont dit que des pays comme l'Australie et Israël disposaient de réseaux d'échange de renseignements plutôt efficaces entre les industries, le gouvernement et les universités. Nous n'avons pas nécessairement entendu parler de l'existence de tels réseaux au Canada. Le Canada pourrait-il s'améliorer à cet égard et si c'est le cas, que devrions-nous faire?
M. Robert Gordon:
Je pense que nous nous améliorons. Je crois que l'une des étapes importantes que nous avons franchies était la création du nouveau centre cybernétique à cette fin. C'est l'une des raisons pour lesquelles nous collaborons aussi étroitement avec eux pour établir ce lien entre les activités du secteur privé et celles du gouvernement dans ce domaine.
En fait, nous travaillons avec certains organismes australiens pour créer, en Australie, un organisme semblable à l'ECMC, afin d'obtenir cet élément intersectoriel. C'est l'un des moyens qui permettent de regrouper toutes les entreprises, quelles que soient leur taille ou leurs activités, et de les préparer à interagir avec le gouvernement.
Le gouvernement s'occupera du centre cybernétique, qui représente une très petite partie de l'infrastructure essentielle — c'est ce qu'il mettra à l'échelle — et il compte sur nous pour étendre cela aux secteurs et aux domaines qui ne seront pas visés par ses activités. Le gouvernement peut offrir des conseils généraux, mais il faut en grande partie qu'une personne prenne ces conseils et se rende compte qu'il faut faire quelque chose sur le plan technologique, et qu'elle se demande comment y arriver au sein de son entreprise.
Cela revient un peu au développement des compétences dont parlait M. Finlay. Nous tentons d'intégrer cela, c'est-à-dire que nous communiquons les connaissances fournies par le gouvernement à des personnes qui utiliseront la technologie, afin qu'elles puissent réfléchir à la façon de réaliser certaines de ces choses.
(1650)
M. Glen Motz:
La plateforme de votre organisme est maintenant plus accessible aux petits marchés et aux petites et moyennes entreprises, et elles en profitent.
Avez-vous déjà observé des attaques menées contre des entreprises en démarrage ou des petites entreprises qui ont ensuite été menées ailleurs?
M. Robert Gordon:
Pas contre nos entreprises, mais cela arrive.
De nombreux exemples sont liés à de petites entreprises. Une partie de la chaîne d'approvisionnement est le point de départ qui mène à la cible suivante, c'est-à-dire des organismes beaucoup plus importants. C'est l'une des raisons pour lesquelles — et on l'a dit plus tôt — les banques souhaitent tellement examiner leurs tierces parties, afin de déterminer ce qu'elles peuvent faire pour tenter d'améliorer leur résilience cybernétique, car elles sont toutes connectées à leurs systèmes.
Cela va plus loin, car on retrouve ce phénomène dans pratiquement tous les secteurs. Par exemple, les propriétaires de gros immeubles qui s'inquiètent maintenant au sujet des locataires de leur immeuble qui pourraient se connecter à leurs systèmes sont seulement protégés au niveau de leur maillon le plus faible. Tous les secteurs font face à ce problème.
M. Glen Motz:
Un témoin précédent nous a dit que le Canada était souvent la première victime des attaques, et que c'est en partie attribuable au fait que nous avons moins de ressources que nos voisins du sud.
Avez-vous constaté que c'était le cas dans le cadre de vos discussions avec les alliés?
M. Robert Gordon:
Que nous sommes attaqués en premier ou...?
M. Glen Motz:
Vous avez beaucoup d'interactions avec nos alliés.
Avez-vous constaté que le Canada est parfois le premier pays attaqué de cette façon comparativement à certains de ses alliés?
M. Robert Gordon:
Oui. Les attaquants choisissent certains pays pour diverses raisons.
Dans certains cas, nous pouvons être la seule cible d'une attaque à venir et dans d'autres cas, nous servons de tremplin pour d'autres attaques qui seront ensuite menées ailleurs. Nous pouvons aussi être le deuxième pays sur la liste, c'est-à-dire que l'attaque commence ailleurs et est ensuite dirigée contre le Canada. Nous sommes visés dans les trois cas.
M. Glen Motz:
Parfait.
Monsieur Davies, à votre avis, quelles sont les lacunes les plus importantes en matière de cybersécurité dans le secteur financier au Canada?
M. Thomas Davies:
Le plus gros problème est lié aux anciens systèmes et il est toujours extrêmement difficile d'entretenir ces systèmes. En effet, il n'existe pas vraiment d'outils liés à la sécurité dans le cas de nombreux systèmes plus anciens, et on doit construire ce qu'on appelle un enclos pour les protéger. C'est toujours le problème le plus important. On doit lui consacrer beaucoup de temps.
M. Glen Motz:
J'aimerais poser une question de suivi, car c'est important dans le cadre de cet enjeu.
Vous avez raison. Si vous êtes aussi vieux que John et moi...
Le président:
Merci beaucoup.
M. Glen Motz:
Nos données bancaires sont vieilles. Les institutions financières, plutôt que de tenter de construire, comme vous l'avez dit, un enclos ou des protections, ne devraient-elles pas transférer ces données dans des logiciels ou des mécanismes qui pourraient mieux assurer leur sécurité, plutôt que de se contenter de les protéger dans le système dans lequel elles se trouvent?
M. Thomas Davies:
Oui. Les banques adoreraient simplifier cet environnement. C'est difficile, car certains de ces anciens systèmes sont toujours nécessaires pour le réseau d'une succursale ou pour d'autres systèmes de leur réseau global. Les banques souhaitent certainement faire quelque chose à cet égard, mais c'est extrêmement difficile et cela demande énormément de ressources.
Le président:
Merci.
Madame Sahota, vous disposez de quatre minutes.
Mme Ruby Sahota (Brampton-Nord, Lib.):
Merci, monsieur le président.
Notre comité entend beaucoup parler de la collaboration nécessaire entre l'État, le secteur privé et les universités.
Monsieur Finlay, vous avez parlé de votre visite en Israël et de la nécessité, pour nous, de nous préparer à donner le type de formation qui se donne là-bas. Pouvez-vous expliquer un peu plus ce qu'est Cybersecure Catalyst, comment ça se compare, sur certains points, à la formation donnée en Israël et quelles sont, entre les deux, les similitudes et les différences?
M. Charles Finlay:
On observe un certain nombre d'éléments intéressants dans la formation que donne à ses gens l'écosystème israélien de cybersécurité. Cette formation présente manifestement une caractéristique de service national unique en son genre: en effet, en Israël, le service militaire est différent de ce qui peut lui ressembler au Canada.
L'un de ses points forts et intéressants est qu'elle commence à un jeune âge, celui de la maternelle à la 12e année. Nous croyons nous attaquer très énergiquement à la racine du problème du marché du travail en cybersécurité, en intéressant beaucoup les jeunes à la cybersécurité et en les attirant dans des carrières de ce domaine. Ryerson, en partenariat avec la Banque Royale du Canada et l'Université Carnegie Mellon, l'une des chefs de file de la cybersécurité aux États-Unis, ont organisé, en 2018, un hackathon appelé CanHack. C'est un jeu en ligne dans lequel des élèves d'écoles secondaires exécutent sous surveillance et sous supervision, donc sans risque, des tâches de sécurité informatique. Le nombre d'élèves participants, que nous prévoyions, a doublé.
Les perspectives sont extraordinaires. D'abord, l'événement s'adresse aux jeunes. Ensuite, il mobilise un groupe démographique sous-représenté dans le cyberespace et parmi les travailleurs déplacés des secteurs traditionnels. Voici que se présente l'occasion d'accueillir des travailleurs déplacés de secteurs dont les effectifs diminuent, pour les former pour celui de la cybersécurité au niveau de débutant. C'est très emballant.
Voilà deux des objectifs, analogues à ceux que nous avons vus atteindre dans d'autres pays, y compris Israël, que nous espérons réaliser.
(1655)
Mme Ruby Sahota:
Vous avez dit avoir rencontré des entreprises canadiennes, pendant que vous étiez là-bas, qui ont opéré un virage temporaire ou permanent pour recevoir ces types de services, de formation, pour leur personnel. De quelles entreprises ou de quels types d'entreprises parliez-vous, et envisagez-vous la possibilité qu'elles reviennent et que, peut-être, elles s'installent à proximité de Cybersecure Catalyst?
M. Charles Finlay:
Oui. À Beersheba, on trouve d'importantes institutions financières canadiennes. Les grandes banques canadiennes y ont des bureaux et elles se trouvent là-bas parce que les talents y sont. Nous croyons pouvoir créer un écosystème pour la formation. L'industrie est présente pour acquérir ces talents, des entreprises prennent de l'expansion grâce au programme d'accélération, et des chercheurs universitaires collaborent aussi avec des entrepreneurs, avec les stagiaires et l'industrie. Ce que nous avons vu en Israël existe aussi ailleurs. Mais ce qui est là-bas remarquable, c'est la coordination entre l'industrie, les universités et l'État, et nous croyons que, chez Cybersecure Catalyst, elle créera cet écosystème.
Le président:
Merci.
Monsieur Dreeshen, soyez le bienvenu au Comité. Vous disposez de quatre minutes.
M. Earl Dreeshen (Red Deer—Mountain View, PCC):
Merci beaucoup, monsieur le président.
Je remercie aussi les témoins.
Seulement quelques idées qui me sont venues pendant que j'écoutais. Beaucoup d'institutions et d'entreprises ont été attaquées pour leurs données ou pour les empêcher de s'en servir. Diverses universités... ont été rançonnées. C'est important, pour la suite des choses dans les entreprises, mais la peur commence à s'installer dans les petites entreprises.
Je me demande quels genres d'enquêtes ont lieu et quel est leur taux de réussite contre ce problème. Beaucoup de petites entreprises s'inquiètent du genre d'attaques qu'elles pourraient subir et de la façon qu'elles pourraient être rançonnées.
M. Thomas Davies:
Monsieur le président, je peux tenter une première réponse.
Aujourd'hui, on informe mal le public de la nature des intrusions. Le secteur bancaire ne dit rien, dans l'espoir de protéger chacun de ses membres contre la répétition du problème, mais, à part ça, les renseignements à ce sujet sont assez privés et ils peuvent avoir des conséquences graves sur les opérations et la réputation de l'entreprise. Voilà pourquoi on les divulgue peu.
Aux États-Unis, je crois que c'est le FBI qui possède un peu plus de détails sur la compromission du courriel d'affaires, d'autres rançongiciels et d'autres tentatives de fraude. Pour rassembler ces données au Canada, pour donner une idée des gens... les thèmes que nous abordons, nous pouvons en parler ici, ainsi que de gestion de l'accès, d'hygiène des systèmes et de formation et de sensibilisation, mais la preuve, avec de vraies données, serait utile.
M. Ron Green:
Je pense aussi que les attaques de cryptoverrouillage ou les rançongiciels dont vous parlez sont en grande partie affaire de mesures d'hygiène de base. Si on apprenait à mettre les systèmes au niveau ou à appliquer des rustines, on s'épargnerait certainement beaucoup de problèmes. Un logiciel antivirus en préviendrait aussi. Il faut savoir éviter l'hameçonnage... D'après le rapport de Verizon sur les violations de données, 93 % des intrusions ont fait suite à un hameçonnage. Je peux vous assurer que nous, chez Mastercard, nous prenons le problème très au sérieux. Nous appliquons la règle des trois fautes. D'après mes statistiques de février sur l'hameçonnage, le taux d'échec était de 0,4, et considérez que 20 % sont à peu près la norme.
Il s'agit d'aider les petites entreprises à comprendre les rudiments de ce qu'il faut faire quand tout déraille, à sauvegarder leurs données pour, en cas de verrouillage, les restaurer et surmonter le problème.
(1700)
M. Earl Dreeshen:
On peut encaisser beaucoup d'argent en propageant la peur. Ça me rappelle le bogue de l'an 2000 et l'inquiétude générale pour les systèmes informatiques et ainsi de suite. Beaucoup d'entreprises se sont enrichies à essayer de résoudre un problème — vous, messieurs, savez peut-être s'il était grave — mais beaucoup d'autres croyaient que c'était un canular.
Vous pouvez faire des observations à ce sujet, mais je suppose que je m'inquiète aussi de la protection de la propriété intellectuelle, la crainte de faire tout ce travail de développement... puis de voir d'autres acteurs, individus, pays ou entreprises... Comment trouver la meilleure protection ou essayer de se protéger soi-même?
Les intéressés peuvent aussi parler du bogue de l'an 2000.
Le président:
Dans ce cas, il faudra être très bref.
M. Robert Gordon:
Dans ce cas, je passe sur le bogue.
L'une des difficultés, pour les entreprises, est de déterminer les renseignements essentiels dans leurs systèmes, à protéger absolument. Impossible de les protéger tous si on ne sait pas desquels il s'agit. Alors, on commence par les associer aux éléments importants. On peut ensuite commencer à contrôler l'accès à ces données.
Beaucoup d'entreprises, les petites notamment, et c'est intéressant en ce qui concerne particulièrement les rançongiciels, croient habituellement ne pas posséder de secrets commerciaux importants, qui exciteraient la convoitise.
Les rançongiciels n'ont pas le vol pour objectif, mais seulement celui d'empêcher d'accéder à un bien précieux pour son propriétaire. Pour beaucoup de petites entreprises, il suffit, pour prévenir le problème, d'un petit changement de mentalité, parce que, ensuite, elles peuvent comprendre pourquoi elles doivent s'intéresser aux rançongiciels, à la fois pour défendre leur bien — des solutions existent — et pour, après une attaque, savoir comment revenir à la normale.
Le président:
Merci.
Madame Dabrusin, vous disposez de quatre minutes.
Mme Julie Dabrusin (Toronto—Danforth, Lib.):
Merci.
Monsieur le président, je suis aussi inscrite pour la prochaine intervention de sept minutes, ce qui m'en fait dix. Je pourrais les partager avec quelqu'un. Pouvez-vous me conseiller?
Le président:
Je pensais que l'efficacité des témoins avait déteint sur celle de nos membres. Disposant donc d'une demi-heure, nous avons fusionné l'intervention. Je prévoyais que, après les trois dernières minutes de M. Dubé, la présidence pouvait exercer sa prérogative et poser quelques questions, mais nous sommes disposés à essayer des interventions de trois minutes pour le temps qui reste.
Mme Julie Dabrusin:
Merci.
Tantôt, sur le site de Cybersecure Catalyst, j'ai lu que le taux annuel de croissance de la demande de professionnels formés en cybersécurité, au Canada, était de 7 %.
D'où vient ce chiffre? Est-ce une tendance pluriannuelle que vous avez constatée? Prévoyez-vous qu'elle se maintiendra?
M. Charles Finlay:
Oui. Le taux provient d'un rapport de 2018, de Deloitte et de la Toronto Financial Services Alliance, qui l'ont estimé à 7 % par année.
Mme Julie Dabrusin:
Nous avons parlé de la nécessité de former des gens et de posséder des effectifs qualifiés pour cette tâche. Quelle est la durée de cette formation? À un diplômé du secondaire que la cybersécurité intéresse, combien de temps faut-il pour terminer tous les programmes de formation qui lui permettraient d'être embauché?
(1705)
M. Charles Finlay:
Excellente question. Beaucoup de facteurs entrent en jeu. Nous sommes dans la formation continue. Essentiellement, nous collaborons avec des employeurs, pour augmenter les compétences de leur personnel. Les échéanciers dépendent exactement de l'ensemble de compétences dont ces employés ont besoin. C'est un problème particulier en cybersécurité, parce que les menaces et les conditions techniques évoluent continuellement. Cela concerne les rudiments de l'éducation des cadres supérieurs.
Pour le stage d'initiation des cohortes sous-représentés, nous visons un programme de six mois. D'après nous, un programme intensif de six mois peut conduire un candidat possédant une formation technique assez limitée à un poste de débutant qui le rendra admissible à des stages pour débutant et à des détachements dans l'industrie. Ensuite, on offre des programmes de premier cycle en cybersécurité et en informatique, après les cours habituels de premier cycle. Un programme de premier cycle en cybersécurité pourrait prendre trois ans, quatre avec spécialisation. Ce sont des parcours différents. On offre toutes sortes de programmes de formation continue en cybersécurité de différentes longueurs.
Mme Julie Dabrusin:
J'essaie seulement de comprendre, au cas où je devrais expliquer les échéanciers à des jeunes qui terminent leurs études secondaires avec un diplôme en poche. Ils doivent y réfléchir. S'ils songent à des prêts d'études et à tout ce qu'il faut mettre de côté pour s'instruire, si nous leur disons que c'est une carrière emballante, que la demande est forte, nous nous rendons utiles si nous pouvons au moins leur donner un aperçu de ce que l'avenir leur réserve. C'est l'aide que j'espère de l'un des membres de votre groupe de témoins. Qu'est-ce que je leur dis sur la durée des études, les diplômes exigés pour se faire embaucher dans ce secteur?
M. Ron Green:
Mon point de vue est celui d'un embaucheur. Certains membres de mon équipe ne sont allés ni au collège ni à l'université. Ils ressentaient seulement un intérêt très vif et, pendant leurs études secondaires, ils ont passé beaucoup de temps à travailler avec des ordinateurs, à en comprendre le fonctionnement et à éprouver un sentiment de sécurité. Ils se démarquent dans nos entrevues et nos tests, et nous pouvons pressentir qu'ils seront un bon apport dans notre équipe. Du point de vue technique, ils possèdent des atouts, mais ils finissent par être bloqués, faute d'antécédents en gestion.
Actuellement, il est difficile de trouver des diplômés de collèges en cybersécurité. Je cherche un diplômé en technologie que je peux former à la sécurité dans mes centres d'opérations de sécurité. Je peux le former sur le tas. Ce qui est rare et que nous recherchons particulièrement pour beaucoup de postes, c'est l'expérience. Nous cherchons des candidats qui ont un diplôme collégial. Ils peuvent avoir une maîtrise en cybersécurité, mais en plus, ils possèdent une expérience pratique, comme les militaires ou des personnes qui ont défendu des réseaux importants. Ils sont très peu nombreux. Il m'a fallu deux ans pour combler certains postes, tant les candidats sont difficiles à trouver.
Le président:
Merci.
Monsieur Dubé, vous avez trois minutes.
M. Matthew Dubé:
Merci, monsieur le président.
Monsieur Green, pardonnez mon rabâchage. J'essaie seulement de comprendre. Quand nous nous sommes quittés, tout à l'heure, vous commenciez à m'éclairer.
Vous parliez de l'incapacité de reconnaître, localement, une menace qui fait fi des frontières. Je suppose que les motifs de préoccupation peuvent englober l'accessibilité de ce type d'information pour, disons, les organismes chargés de la sécurité nationale ou la police. L'exemple précis qui me vient à l'esprit a été soulevé par notre commissaire à la protection de la vie privée, ici, au Canada. Par exemple, des Canadiens pourraient désormais, en toute licéité, se procurer de la marijuana avec leur carte de crédit. Comme, à l'échelon fédéral, aux États-Unis, c'est illégal, si la Patrouille frontalière des États-Unis en avait l'envie, ce renseignement pourrait leur fermer les portes des États-Unis.
Si ce renseignement se trouve quelque part, pour le meilleur ou pour le pire, le risque existera toujours qu'on s'en serve. Je comprends seulement mal la responsabilité, attribuée par la loi ou d'autres moyens, de l'information stockée, dans un serveur aux États-Unis ou n'importe où ailleurs, sur mes opérations de citoyen canadien avec une banque canadienne.
(1710)
Le président:
Ce n'est pas une question personnelle.
Des voix: Oh, oh!
M. Ron Green:
D'abord, quelques précisions. Ce n'est pas vous que nous stockons; nous connaissons un nombre à 16 chiffres qui appartient à une banque émettrice. La banque canadienne pourrait en fait comprendre qui est Matthew; tout ce que nous savons, c'est un nombre à 16 chiffres. Nous n'avons rien d'ouvert... nos données sont accessibles à...
M. Matthew Dubé:
Désolé de vous interrompre, j'interviens seulement pour comprendre. Je viens de déménager et j'ai fait changer mon adresse. J'ai dû en subir les conséquences, parce que l'actualisation n'avait pas été faite dans le système. C'est le système de qui? Est-ce le vôtre ou celui de la banque, qui est l'émettrice de la carte?
M. Ron Green:
Quelle est la cause du problème? Le code postal ou quelque chose comme ça?
M. Matthew Dubé:
J'essayais de confirmer un paiement pour un achat en ligne. On m'a demandé le nom du détenteur de la carte, qui paraît sur la carte, les trois chiffres au verso de la carte et l'adresse. Comme l'adresse avait changé le jour même, il a finalement fallu que j'appelle la ligne d'assistance où on m'a dit que je devais attendre que le système corrige l'adresse pour pouvoir fonctionner. Est-ce la faute de l'émetteur?
M. Ron Green:
Avez-vous appelé au numéro qui se trouve à l'arrière de la carte?
M. Matthew Dubé:
Oui, c'est le numéro de l'émetteur de la carte, n'est-ce pas?
M. Ron Green:
Oui, c'est le numéro de l'émetteur, c'est-à-dire votre banque.
M. Matthew Dubé:
Si j'utilise PayPal, par exemple, et que je paie avec une carte de crédit, je dois inscrire le numéro et l'adresse. Le numéro vous est transmis pour la validation et l'adresse, le nom, etc., du détenteur de la carte sont transmis à la banque.
M. Ron Green:
C'est exact, et nous utilisons le numéro lorsque nous communiquons avec l'émetteur. S'agit-il d'une information qui nous permet d'autoriser la transaction? On nous transmet le numéro à 16 chiffres, que nous transmettons à notre tour à l'émetteur — c'est-à-dire votre banque, qui vous connaît — qui peut vérifier si vous avez les fonds nécessaires. Ensuite, nous faisons savoir au marchand que le détenteur dispose des fonds nécessaires et qu'il peut procéder à la transaction. Par la suite, le montant est transmis à l'émetteur.
L'information que nous utilisons pour que la transaction s'effectue est le numéro à 16 chiffres.
Le président:
Je vous remercie.
J'ai quelques questions à poser, et ensuite, M. de Burgh Graham et M. Paul-Hus disposeront chacun de trois minutes, et d'autres pourront aussi intervenir. Cela devrait nous mener à la fin de la réunion. Aucune question pour M. Motz — c'est de l'âgisme.
Vous savez que cette étude a été entreprise en partie à cause de la controverse entourant le 5G, et particulièrement la controverse entourant le 5G en ce qui a trait à Huawei, Nokia et Ericsson. Vous êtes tous les trois en particulier sur la ligne de front, alors j'ai une question pour vous. Si ce réseau est lancé — et il le sera — comment vous préparez-vous à cela, ou est-ce que vous vous y préparez, et dans quelle mesure cette préparation changerait ce que vous venez de dire aujourd'hui, si effectivement elle changeait ce que vous venez de dire?
Nous allons commencer par M. Green et continuer par la droite.
M. Ron Green:
Peu importe le réseau — mobile, 5G, Wi-Fi ou même connecté — lorsque nos employés utilisent ces réseaux, nous leur fournissons une voie de transmission sécurisée. Qu'il s'agisse d'un réseau 5G ou d'un réseau mobile, nous sécurisons les données transmises. Le réseau que nous utilisons est un réseau privé. Nous n'avons pas recours à Internet. Les transactions commerciales s'effectuent sur un réseau très privé que nous contrôlons. Si j'utilise un réseau 5G, je vais fournir à mes employés une voie sécurisée pour communiquer les données de manière sûre. Le réseau que nous utilisons pour faire notre travail est notre propre réseau privé.
Le président:
Alors toutes les transactions Mastercard dans le monde s'effectuent sur un réseau privé?
M. Ron Green:
Oui, c'est un réseau privé. C'est pourquoi il est difficile de faire ce que nous faisons; il nous a fallu du temps pour mettre en place ce réseau privé.
Le président:
Monsieur Davies.
M. Thomas Davies:
Nous nous concentrons sur la protection des données d'un bout à l'autre. Pendant la transmission des données, personne ne devrait être en mesure de lire les données. C'est l'objectif, mais tout dépend de la technologie dont disposent certaines personnes pour intercepter, modifier, etc... C'est une technologie de pointe. C'est possible, mais comme M. Green vient tout juste de le dire, il faut qu'une seule entité puisse lire et transmettre les données, et une fois qu'elles sont rendues à destination, on peut les décoder et les lire. Cela peut se faire grâce à un réseau privé ou un réseau public, mais c'est ce sur quoi nous nous concentrons.
(1715)
Le président:
Vos clients n'ont pas de réseau privé, n'est-ce pas?
M. Thomas Davies:
Tout dépend des types de systèmes qu'ils utilisent. Par exemple, les banques utilisent des réseaux privés pour les messages SWIFT et les virements télégraphiques, et elles utilisent des réseaux publics pour traiter avec leur clientèle.
Tout dépend aussi du degré d'importance des données. Par exemple, dans bien des cas, ils utiliseront un réseau privé avec leurs fournisseurs de services tiers.
Le président:
Une personne du milieu de la sécurité nous a expliqué que c'était sécurisé aux deux extrémités, et que c'était comme une boîte de carton entre les deux.
Est-ce qu'un certain nombre de vos clients sont confrontés au fait que ce n'est pas sécurisé à une extrémité ou à l'autre ou entre les deux?
M. Thomas Davies:
Améliorer cela, c'est notre objectif. C'est comme lorsqu'on transmettait des messages dans des langues autochtones durant la guerre pour éviter qu'ils soient lus pendant la transmission. Nous faisons la même chose aujourd'hui. Lorsqu'un message est transmis, on essaie de faire en sorte qu'il demeure codé le plus possible, et une fois qu'il est rendu à destination, quelqu'un possède une clé pour déverrouiller l'information et la lire.
Le président:
Monsieur Gordon, voulez-vous ajouter quelque chose?
M. Robert Gordon:
Du point de vue de notre organisation, cela n'a pas d'importance parce que la responsabilité appartient à chacun de nos membres. Il y a des membres qui transmettront l'information par l'entremise d'institutions financières et d'autres le feront par l'intermédiaire d'un réseau public.
Le président:
Pourquoi dites-vous que cela n'a pas d'importance?
M. Robert Gordon:
Je ne surveille pas leurs réseaux, alors je ne vois pas tout ce que nos membres voient. Ce que je vois, c'est le résultat de ce qu'ils voient sur leur réseau, et lorsqu'ils voient des anomalies, c'est ce que je vois aussi. Je ne surveille pas constamment ce qui se passe sur leurs réseaux.
Le président:
Je vous remercie.
Monsieur Graham, vous disposez de trois minutes.
M. David de Burgh Graham:
Monsieur Green, je vais terminer la question de M. Dubé. PayPal a son siège aux États-Unis. Je pense que le point qu'on a tenté de faire valoir c'est que, même si vos réseaux sont privés, si les données passent par les États-Unis, elles sont soumises à la Patriot Act de ce pays. Je crois que c'est la principale préoccupation.
Que faites-vous alors?
M. Ron Green:
On ne peut pas identifier les personnes dans notre réseau.
M. David de Burgh Graham:
Vous dites que vous recevez un numéro de 16 chiffres. Ce n'est pas difficile de décoder un numéro de 16 chiffres. Si quelqu'un met la main sur ce chiffre pour connaître l'identité de la personne, s'il découvre comment entrer dans votre système pour obtenir ce numéro, il découvrira l'identité de la personne. Alors, je n'accepte pas nécessairement votre argument. Comprenez-vous le point que je veux faire valoir?
M. Ron Green:
Vous dites que si on trouve une autre façon de faire de l'ingénierie inverse pour obtenir le numéro à 16 chiffres... il faudrait qu'il s'agisse d'un processus légal. Nous n'allons pas tout simplement permettre au gouvernement américain d'entrer dans notre réseau lorsqu'il le souhaite et d'examiner ce qui s'y trouve. Nous ne faisons pas cela.
M. David de Burgh Graham:
Mais c'est dans cette boîte de carton dont John aime parler que fonctionne votre réseau virtuel privé. Je présume que c'est un réseau virtuel. Vous avez parlé de votre réseau privé. Vous n'avez pas votre propre fibre optique partout dans le monde, alors il s'agit d'un réseau virtuel, n'est-ce pas?
M. Ron Green:
C'est exact.
M. David de Burgh Graham:
Mais vous utilisez des câbles d'accès public.
M. Ron Green:
C'est codé, toutefois. Ce n'est pas ouvert... Nous avons le module de sécurité matériel le plus important après celui du ministère de la Défense, alors il y a beaucoup de cryptage dans notre réseau.
Il est vrai qu'un réseau privé peut passer par une tierce partie, mais tout demeure codé et les transactions sont également codées.
Le cryptage n'est pas une chose sans importance. Il est possible qu'un État-nation dispose de moyens pour décoder l'information et intercepter ce qui est transmis, mais je n'en connais pas.
M. David de Burgh Graham:
Monsieur Gordon, lorsque j'ai obtenu mon premier mot de passe d'administrateur il y a environ 22 ans, il y avait le site Web rootprompt.org. Vous vous en souvenez peut-être. C'était un site Web qui faisait en fait ce que votre organisation fait maintenant, c'est-à-dire surveiller les vulnérabilités et les communiquer pour que les administrateurs de systèmes puissent demeurer à l'affût. Un jour, ce site Web a été attaqué, et il a été fermé.
Quels sont les organismes dont vous ne voulez pas au sein de votre organisation? Quelles sont vos vulnérabilités? Que faites-vous à cet égard?
(1720)
M. Robert Gordon:
Quels sont les organismes dont je ne veux pas?
M. David de Burgh Graham:
Oui, car vous avez dit que vous souhaitez que de nombreux organismes deviennent membres de votre organisation. Quels sont les organismes dont vous ne voulez pas?
M. Robert Gordon:
Je veux des organismes qui font deux choses. Je veux des organismes qui souhaitent collaborer, communiquer ce qui se passe, respecter l'entente que nous avons et expliquer l'utilisation qu'ils feront de l'information. Je veux des organismes qui utiliseront l'information pour défendre leurs réseaux.
Si un organisme utilise l'information à d'autres fins, je préfère qu'il aille ailleurs.
Le président:
Je vous remercie.[Français]
Monsieur Paul-Hus, vous avez trois minutes.
M. Pierre Paul-Hus:
Merci, monsieur le président.
Monsieur Green, comme Mastercard est une organisation internationale, votre réseau est relié à plusieurs banques de différents pays. Les banques canadiennes sont-elles bien équipées, comparativement aux banques européennes ou américaines? Vous êtes en relation directe avec les banques, car vous passez par elles pour vos transactions. Si on les compare aux banques des autres pays, les banques canadiennes sont-elles bien organisées?
[Traduction]
M. Ron Green:
Je pense que les banques canadiennes sont dans une situation assez favorable comparativement aux banques américaines ou européennes. J'ai vu des banques dans d'autres pays que je ne...
[Français]
M. Pierre Paul-Hus:
Notre étude porte sur le système bancaire canadien et sur le système des compagnies d'assurances. Votre entreprise est en relation directe avec les banques partout dans le monde. Selon vous, les banques canadiennes font partie des banques qui sont bien protégées en matière de cybersécurité. Est-ce bien ce que vous dites?
[Traduction]
M. Ron Green:
Je pense qu'elles sont bien protégées. Nous échangeons beaucoup avec un certain nombre de banques. Nous voyons cela comme une occasion de nous assurer que nous travaillons tous ensemble. Je pense aux gnous. Lorsque nous sommes ensemble, nous sommes moins une cible. Si nous sommes seuls, nous sommes davantage une cible. Un certain nombre de banques canadiennes — et même la chaîne Canadian Tire — sont venues examiner notre centre de fusion, et elles travaillent et collaborent avec nous.
[Français]
M. Pierre Paul-Hus:
J'ai une dernière question rapide.
Monsieur Green, Mastercard a-t-elle des stratégies de cyberdéfense pour se protéger d'attaques venant du Web clandestin?
Monsieur Finlay, du côté universitaire, s'agit-il de sujets sur lesquels on se penche régulièrement?
[Traduction]
M. Ron Green:
Nous avons une équipe chargée du renseignement qui surveille les menaces sur le Web caché. Nous payons des consultants pour qu'ils surveillent différentes choses sur le Web caché. Nous avons aussi différents partenaires au sein du gouvernement qui surveillent aussi certaines choses sur le Web caché pour déterminer comment les pirates s'y prennent pour attaquer afin que nous puissions empêcher des attaques. Nous communiquons cette information à notre clientèle.
[Français]
M. Pierre Paul-Hus:
Merci.
[Traduction]
Le président:
Madame Sahota.
Mme Ruby Sahota:
Tout cela est très fascinant, mais comme je suis députée de Brampton, je m'intéresse particulièrement au centre Cybersecure Catalyst, qui a déjà amorcé en partie ses activités et qui est en voie d'atteindre sa vitesse de croisière grâce à Ryerson. Je suis heureuse de voir que dans le budget de 2019 on a prévu des fonds pour Cybersecure Catalyst.
J'aimerais savoir, plus particulièrement, quels types de titres de compétence vous accorderez dans le cadre de la formation. S'agit-il de titres de compétence reconnus à l'échelle internationale? Est-ce que vos programmes de formation sont comparables à d'autres programmes offerts dans d'autres pays? Aussi, combien de personnes vont se recycler ou se perfectionner selon vous, et combien de cours d'introduction prévoyez-vous être en mesure de donner lorsque vous aurez atteint votre vitesse de croisière?
M. Charles Finlay:
En ce qui concerne les titres de compétence, notre objectif est d'accorder des titres reconnus à l'échelle internationale au terme de formations données par des organismes de formation en cybersécurité bien établis. Il s'agit d'organismes bien connus dans le marché. Il s'agit notamment de SANS, EC-Council et Palo Alto. Il y a de nombreux organismes qui offrent ces formations, et nous travaillons assez activement à établir des partenariats avec SANS et EC-Council pour offrir les cours en question.
Nous faisons cela parce que Cybersecure Catalyst est une entreprise axée sur l'industrie. Nous souhaitons vivement soutenir le secteur canadien de la cybersécurité grâce aux partenariats que nous voulons établir avec des universités et, bien entendu, grâce à la collaboration avec le gouvernement. Le secteur canadien de la cybersécurité a le potentiel de devenir le meilleur au monde, et il peut l'être. Nous allons travailler d'arrache-pied pour favoriser cela. Nous cherchons à offrir des titres de compétence utiles pour l'industrie.
Je peux vous donner quelques chiffres. Nous avons établi un plan quinquennal en ce qui concerne les cours d'introduction. Nous voulons aller chercher des groupes démographiques qui sont sous-représentés dans le secteur de la cybersécurité. Nous visons environ 500 personnes. En ce qui a trait aux formations offertes en collaboration avec nos partenaires du secteur privé, il s'agira de plusieurs milliers de personnes. Nous espérons aussi aller chercher des dizaines de milliers de jeunes. La cybersécurité est un grand problème, et nous devrons former de nombreuses personnes pour avoir une incidence importante.
Voilà ce que nous visons.
(1725)
Mme Ruby Sahota:
Je vous remercie.
Le président:
Chers collègues, il nous reste quatre minutes avant de devoir quitter la salle, car il y aura ensuite une réunion d'un sous-comité.
Comme je suis gentil à l'égard de M. Motz, malgré son commentaire sur l'âgisme, je vais permettre à M. Picard de partager son temps de parole avec lui.
Vous avez chacun deux minutes.
Monsieur Picard.
M. Michel Picard:
J'ai une seule question à poser.
Monsieur Davies et monsieur Green, quelle est votre compréhension des systèmes bancaires ouverts et quel est votre point de vue en ce qui concerne la sécurité?
M. Ron Green:
Les systèmes bancaires ouverts offriront beaucoup de nouvelles possibilités, mais nous devons veiller à assurer la sécurité de la nouvelle technologie qui y est associée; des nouveaux fournisseurs. Je crois que le gouvernement peut aider en veillant à ce qu'ils respectent de bonnes normes lorsqu'ils déploient des capacités.
Le président:
Monsieur Motz, la dernière question vous appartient.
M. Glen Motz:
Je veux qu'on poursuive dans la même veine.
Michel, je vous remercie, c'était une excellente question.
J'aimerais que M. Davies y réponde.
Le président:
Oh, je suis désolé. Est-ce que j'ai coupé la parole à quelqu'un? Pardonnez-moi.
M. Thomas Davies:
Non, il n'y a pas de problème.
Je sais que le ministère des Finances travaille actuellement sur un document spécial qui porte sur les systèmes bancaires ouverts du point de vue la réglementation et de la sécurité. Comme M. Green l'a dit, il sera important de songer à la sécurité dès le début. Le Royaume-Uni est assez avancé en ce qui concerne les systèmes bancaires ouverts, alors il nous appartient d'examiner ce qu'il a fait et les leçons qu'il en a tirées.
Le président:
Au nom du Comité, je remercie chacun de vous pour vos excellents témoignages. Ils ont été très instructifs.
La séance est levée.
|