A RCMP e outras agências de segurança canadianas não têm capacidade ou capacidade para policiar eficazmente o cibercrime, de acordo com um novo relatório do auditor geral do Canadá – um problema preocupante, diz, face a golpes cada vez mais frequentes e devastadores.
“Sem uma ação imediata, as perdas de informações financeiras e pessoais só aumentarão à medida que o volume de crimes e ataques cibernéticos continuar a aumentar”, afirma o relatório, tornado público na terça-feira.
O relatório analisou como a Polícia Montada, o Estabelecimento de Segurança de Comunicações (CSE) – que hospeda o Centro Canadense de Segurança Cibernética – e a Comissão Canadense de Rádio-televisão e Telecomunicações (CRTC) lidam com hacks em empresas, organizações e indivíduos.
“Encontramos falhas na resposta, coordenação, fiscalização, rastreamento e análise entre as organizações responsáveis por proteger os canadenses do crime cibernético”.
Uma das principais lacunas do sistema, segundo o auditor geral, diz respeito à prestação de contas.
“No sistema atual, as pessoas têm que descobrir onde fazer uma denúncia ou podem ser solicitadas a relatar o mesmo incidente a outra organização”, afirmou o relatório.
Por exemplo, entre 2021 e 2023, o CSE considerou que quase metade dos 10.850 relatórios que recebeu estavam fora do seu mandato porque diziam respeito a canadianos individuais e não a organizações.
No entanto, o gabinete do auditor-geral afirmou que, em muitos casos, o CSE não instruiu as pessoas a reportarem a sua situação a outra autoridade.
Quando os casos chegam à RCMP, responsável pela investigação de crimes, enfrentam outro conjunto de desafios, de acordo com o relatório.
Quando o auditor geral espiou por baixo do capô da RCMP, descobriu que a Polícia Montada não estava rastreando os casos adequadamente.
“Isso prejudicou a capacidade do poder policial federal de compreender o quadro completo dos casos de crimes cibernéticos relatados à sua unidade de crimes cibernéticos e de acompanhar os casos específicos atribuídos à unidade para investigação”, disse o relatório.
“Como resultado, o departamento de polícia federal não foi capaz de produzir uma contagem precisa de todos os crimes cibernéticos potenciais que lhe foram relatados e não conseguiu rastrear com precisão os casos atribuídos à unidade de crimes cibernéticos”.
Também não tem gente.
O relatório disse que a RCMP tem lutado para equipar suas equipes de investigação de crimes cibernéticos. Em Janeiro de 2024, quase um terço dos cargos em toda a força estavam vagos, afirmou.
Dica sobre pornografia infantil não repassada à RCMP: relatório
A auditoria disse que o CRTC recebeu milhares de relatórios ao seu centro de relatórios anti-spam – que foi criado para proteger os canadenses contra tentativas de phishing, malware, roubo de identidade e golpes online – que eram na verdade incidentes relacionados ao crime cibernético, mas não investigados.
O CRTC disse aos auditores que isso ocorre porque eles estão limitados no compartilhamento de informações com as agências de aplicação da lei porque a legislação anti-spam é um regime administrativo civil, e a divulgação de informações às agências de aplicação da lei criminal pode levar a violações dos direitos de privacidade dos canadenses.
Num caso preocupante destacado no relatório, o CRTC recebeu uma denúncia através do centro de denúncia de spam de um indivíduo sobre uma oferta de compra de material de exploração sexual infantil. Em vez de encaminhar o relatório às autoridades, o CRTC contactou o indivíduo e pediu-lhe que denunciasse o incidente às autoridades. Não se sabe se o indivíduo fez isso.
“Levantámos as nossas preocupações com o CRTC por não ter encaminhado este relatório a uma agência de aplicação da lei, conforme exigido pelos seus procedimentos operacionais. O CRTC discordou e assumiu a posição de que os seus procedimentos operacionais não exigem que informe as autoridades porque a pessoa quem fez a denúncia ao centro de denúncia de spam on-line não era a vítima em potencial ou corria risco imediato de dano”, escreveu o escritório de auditoria.
“Como resultado, informamos a RCMP sobre o incidente em abril de 2024.”
O relatório fez diversas recomendações dirigidas às três agências e ao governo federal, que foram todas aceitas.