Madame la Présidente, je suis fier de prendre la parole à la Chambre aujourd'hui au sujet de cet important projet de loi au nom des bonnes gens de Barrie—Springwater—Oro-Medonte. Je suis content que la Chambre étudie le projet de loi C‑26. Améliorer la résilience de nos infrastructures essentielles est de la plus haute importance pour notre sécurité nationale et la sécurité des Canadiens au quotidien.
Ce projet de loi comporte deux parties. La première conférerait, entre autres, au gouverneur en conseil le pouvoir d'ordonner aux fournisseurs de services de télécommunication de sécuriser leur système contre les menaces et de retirer les acteurs malveillants de nos infrastructures de télécommunication. La deuxième partie créerait la loi sur la protection des cybersystèmes essentiels, laquelle établirait un cadre auquel les exploitants d'infrastructures essentielles assujettis à la réglementation fédérale devraient se conformer en matière de cybersécurité. Plus précisément, ce cadre s'appliquerait aux secteurs des finances, des télécommunications, de l'énergie et des transports.
En principe, le projet de loi me semble prometteur. Je crois que nous sommes tous d'accord pour dire qu'un cadre robuste en matière de cybersécurité s'impose au Canada. Toutefois, il vaut la peine de mentionner que, sous le gouvernement actuel, nous sommes le pays qui, du Groupe des cinq, en a fait le moins pour améliorer sa résilience face aux cyberattaques. En matière de sécurité nationale, nous accusons un retard par rapport à nos alliés occidentaux, si bien que le Canada n'a pas sécurisé ses infrastructures essentielles contre les cybermenaces complexes et toujours changeantes du monde moderne. Par conséquent, avant de parler en détail des mérites et des lacunes du projet de loi, j'aimerais parler des nouvelles menaces pour nos infrastructures essentielles et du besoin pressant de protéger notre sécurité nationale.
Les menaces pour nos infrastructures essentielles sont réelles et imminentes. D'ailleurs, Caroline Xavier, cheffe du Centre de la sécurité des télécommunications, a récemment témoigné devant le comité de la sécurité publique et nationale et a dit: « [...] le cybercrime est la menace la plus courante et la plus répandue contre les Canadiens et les entreprises canadiennes. » En outre, elle a déclaré: « Les exploitants d'infrastructures essentielles et les grandes entreprises constituent les cibles les plus profitables. »
Bien qu'il existe différentes formes de cyberattaques auxquelles les exploitants d'infrastructures essentielles sont exposés, le Centre canadien de cybersécurité a noté, dans sa plus récente évaluation annuelle des cybermenaces nationales, que les rançongiciels constituent la forme de cybercriminalité la plus perturbatrice à laquelle les Canadiens sont confrontés, et que les exploitants d'infrastructures essentielles sont plus susceptibles de payer des rançons aux cybercriminels afin d'éviter les perturbations. Par exemple, en 2018, des cybercriminels ont déployé un logiciel malveillant et ont réussi à prendre en otage l'hôtel de ville d'une administration municipale de l'Ontario, ce qui a amené cette administration à payer 35 000 $ aux pirates pour éviter toute perturbation. Cependant, il ne s'agit pas toujours d'une stratégie efficace. Une enquête menée auprès d'entreprises canadiennes a révélé que seulement 42 % des organisations ayant payé une rançon à des cybercriminels ont pu récupérer intégralement leurs données.
En 2021, le Centre de la sécurité des télécommunications a déclaré avoir été informé de 304 incidents de rançongiciels contre des victimes canadiennes, dont plus de la moitié concernait des infrastructures essentielles. Toutefois, il a reconnu que les cyberincidents sont largement sous-déclarés et que le nombre réel de victimes est beaucoup plus élevé.
Il faut souligner l'énorme coût économique de ces cyberattaques pour les entreprises canadiennes. Selon IBM, en 2022, le coût moyen d'une atteinte à la sécurité des données — ce qui inclut notamment les rançongiciels — pour les entreprises canadiennes était de 7 millions de dollars. Il n'existe actuellement aucun cadre permettant de s'assurer que les entreprises font un signalement lorsqu'elles sont victimes de ces attaques. Je reconnais que le projet de loi à l'étude prend des mesures pour s'attaquer à ce problème omniprésent auquel les Canadiens sont confrontés. Toutefois, il s'agit assurément d'un effort tardif.
Nous avons vu les dommages qu'une cyberattaque de cette ampleur peut causer en mai 2021, quand une société énergétique américaine a été victime d'une attaque par rançongiciel de la part d'un groupe criminel russe, qui a réussi à lui extorquer environ 4,3 millions de dollars en cryptomonnaie. Comme les députés s'en souviendront peut‑être, cette attaque a entraîné l'interruption pendant cinq jours des opérations de la plus grande conduite de carburant des États‑Unis et a poussé le président Biden à déclarer l'état d'urgence nationale. En 2021, lors d'une réunion du comité de la sécurité intérieure du Sénat américain, le PDG de cette entreprise a affirmé qu'il ne disposait pas d'un plan d'intervention en cas d'urgence qui mentionnait expressément les demandes de rançon ou les mesures à prendre dans de telles situations. Cet incident fait ressortir le fait que notre pays doit améliorer sa préparation et la résilience de nos infrastructures essentielles pour qu'un tel incident ne se produise pas ici.
Je suis donc heureux que cette mesure législative nous soit présentée. Toutefois, il convient de signaler que c'est la première réponse législative concrète à cet enjeu depuis l'arrivée au pouvoir du gouvernement, malgré une augmentation constante des cybermenaces au fil des années.
Toutes nos infrastructures essentielles sous réglementation fédérale sont connectées d'une certaine manière à Internet, et il est extrêmement important d'empêcher des auteurs malveillants d'accéder à nos infrastructures et de les attaquer. Auparavant, le gouvernement n'avait pas de mécanisme pour exclure officiellement une entreprise de nos réseaux de télécommunications.
Le meilleur exemple qui montre la nécessité d'un tel mécanisme serait la controverse entourant Huawei, une entreprise qui a participé à la conception de nos réseaux 5G, malgré les graves préoccupations que cela soulevait en matière de sécurité nationale, compte tenu des activités menées par cette entreprise et de ses liens avec le Parti communiste à Pékin. La décision d'exclure cette entreprise de nos serveurs est importante, mais on a tardé à la prendre. Nous savons que le cadre législatif de la Chine en matière de renseignement national autorise le Parti communiste chinois à donner à toute entreprise l'instruction de fournir des renseignements en vue de faciliter le travail des services de renseignement de l'État et de coopérer avec ceux-ci. Par conséquent, nous devrions faire preuve de prudence et éviter de conclure des contrats avec des entreprises qui pourraient compromettre la sécurité de nos infrastructures essentielles.
Il est certainement positif que le Canada puisse exclure de ses réseaux des auteurs malveillants comme Huawei. Cependant, bien des gens ont remarqué que nous avons perdu de notre crédibilité au sein des pays du Groupe des cinq parce que nous avons tardé à agir dans ce dossier. En effet, les États‑Unis ont fait des démarches pendant des années afin d'amener le Canada à exclure Huawei de ses réseaux mobiles 5G, et ils ont prévenu qu'ils allaient revoir leurs pratiques d'échange de renseignements avec tous les pays qui utilisent des appareils de Huawei.
À certains égards, cette mesure législative est un pas positif vers l'établissement d'une norme de référence en matière de diligence pour les organisations dont les activités font partie intégrante de nos infrastructures essentielles. Comme je l'ai déjà mentionné, souvent, les cyberattaques ne sont pas signalées ou ne sont pas toutes signalées. Le mécanisme de déclaration obligatoire prévu dans la mesure législative, qui précise que tout exploitant désigné doit déclarer sans délai tout incident au Centre de la sécurité des télécommunications et à l'organisme réglementaire compétent, est un progrès encourageant pour régler ce problème. Cependant, la mesure législative ne prescrit aucun échéancier ni ne donne plus de détails sur l'interprétation que doivent faire les exploitants de l'expression « sans délai ».
Comme je viens de l'expliquer, mes collègues conservateurs et moi appuyons sans réserve certains aspects de la mesure législative. Cependant, plusieurs éléments du projet de loi me préoccupent.
D'abord, il n'y a absolument aucun mécanisme de surveillance pour encadrer les nouveaux pouvoirs considérables qui sont octroyés aux ministres, aux organismes de réglementation et aux organismes gouvernementaux mentionnés dans la mesure législative. En plus du manque de surveillance, il y a peu d'information sur la portée de ce que le gouvernement pourrait exiger de la part des exploitants de télécommunications.
Il est évident que le projet de loi s'inspire fortement du modèle législatif de l'Australie, qui a été établi en 2018, puis modifié par la suite. Cependant, nous n'avons pas suivi son exemple en ce qui concerne les mesures de surveillance que l'Australie a incluses dans sa loi sur la protection des infrastructures essentielles. Notamment, l'Australie a assorti sa loi de mécanismes de responsabilité politique, y compris l'obligation de faire des rapports réguliers, de mener un examen indépendant et de présenter un rapport écrit. Les conservateurs souhaiteraient que le ministre présente un rapport annuel sur les mesures prises et que les décrets pris par le gouvernement selon les nouveaux pouvoirs conférés soient rendus publics.
En ce qui a trait aux préoccupations du grand public, un certain nombre d'organismes nous ont dit qu'ils craignaient que certains éléments de ce projet de loi briment les droits à la vie privée des Canadiens. En septembre de l'année dernière, plusieurs organismes de défense des droits de la vie privée ont signé une lettre ouverte au ministre de la Sécurité publique, qui énonçait leurs préoccupations concernant le projet de loi C‑26. Par exemple, ils s'inquiétaient que les nouveaux pouvoirs considérables accordés par le projet de loi donneraient accès au gouvernement aux renseignements personnels des Canadiens et aux données des entreprises. Ils ont souligné que le projet de loi C‑26 « peut permettre au gouvernement d'obtenir des informations personnelles identifiables et anonymisées et de les distribuer ensuite à des organisations nationales, voire étrangères ».
Je pense que nous pouvons tous convenir que même si l'adoption de mesures visant à améliorer la résilience de nos infrastructures essentielles est de la plus haute importance, il faut respecter pleinement les libertés civiles et la vie privée au moment d'élaborer ces mesures. En revanche, certains intervenants nous ont dit qu'ils s'inquiétaient du fardeau réglementaire potentiel du projet de loi sur les entreprises, surtout les petites et moyennes entreprises.
De nombreux intervenants ont fait remarquer que les coûts élevés et les répercussions commerciales d'un cyberincident incitent déjà les entreprises à se doter de protocoles de cybersécurité rigoureux. Selon de récentes statistiques publiées par Statistique Canada, en 2021, les entreprises canadiennes ont consacré plus de 10 milliards de dollars à la cybersécurité, ce qui représente une augmentation de 41 % par rapport à 2019. De nombreuses parties prenantes ont noté que les sanctions proposées liées à cette loi, qui peuvent atteindre 15 millions de dollars et cinq ans d'emprisonnement, sont présentées comme visant à promouvoir la conformité plutôt qu'à punir. Cependant, je pense que nous pouvons tous convenir qu'une amende de 15 millions de dollars serait en effet indûment punitive pour une petite entreprise qui pourrait être assujettie à cette loi. Par conséquent, nous devons faire en sorte que les amendes et les coûts liés à la conformité sont distribués de manière égale afin de ne pas étouffer la concurrence et de ne pas mettre en danger la viabilité des petites et moyennes entreprises dans les secteurs d'infrastructures critiques.
Enfin, nous avons un problème lié aux définitions et à la portée du projet de loi. Divers termes ne sont pas définis, notamment ce qui constitue un cyberincident, et la manière dont le gouvernement déterminera qui est visé par la loi n'est pas évidente. Je suis impatient de voir le gouvernement démystifier certains des termes vagues contenus dans le projet de loi.
Pour conclure, une menace aux infrastructures essentielles constitue une menace à la sécurité nationale. Je pense que tous les partis s'entendent pour dire que le gouvernement doit prendre des mesures énergiques et immédiates contre les cyberattaques. Nous appuyons le principe du projet de loi, mais nous estimons qu'il doit être modifié de façon importante afin d'assurer une plus grande transparence et une meilleure reddition de comptes de la part du gouvernement actuel et des gouvernements futurs. J'ai hâte d'étudier et de modifier le projet de loi au comité de la sécurité publique avec mes collègues de tous les partis.
Madam Speaker, I am proud to rise in the House today to speak to this important legislation on behalf of the good people of Barrie—Springwater—Oro-Medonte. I am pleased to see Bill C-26 come forward in the House. Improving the resiliency of our critical infrastructure is of the utmost importance to our national security and the everyday safety of Canadians.
This legislation consists of two separate parts. The first portion, among other things, would give the Governor in Council powers to order telecommunications providers to secure their systems against threats and to remove malicious actors from our telecommunications infrastructure. The second portion would create the critical cyber systems protection act, which would establish a cybersecurity compliance framework for federally regulated critical infrastructure operators. This would specifically regulate the sectors of finance, telecommunications, energy and transportation.
I believe that in principle, this legislation appears promising. I think we can all agree that we need a robust cybersecurity framework in Canada. However, it is worth noting that under the current government, we have done the least to bolster our resilience to cyber-attacks compared to all other Five Eyes partners. We lag behind our western allies in national security, and as such, Canada has failed to secure our critical infrastructure against complex and ever-evolving cyber-threats in the modern world. Therefore, before I get into the specific merits and deficiencies of this legislation, I want to speak about the emerging threats to our critical infrastructure and the pressing need to protect our national security.
Threats to our critical infrastructure are real and imminent. In fact, Caroline Xavier, chief of the Communications Security Establishment, or CSE, recently testified before the public safety and national security committee and stated, “cybercrime is the most prevalent and most pervasive threat to Canadians and Canadian businesses.” She also noted, “Critical infrastructure operators and large enterprises are some of the most lucrative targets.”
While there are several forms of cyber-attacks that our critical infrastructure operators are vulnerable to, the Canadian Centre for Cyber Security has noted in its most recent annual national cyber-threat assessment that ransomware is the most disruptive form of cybercrime facing Canadians and that critical infrastructure operators are more likely to pay ransoms to cybercriminals to avoid disruption. For example, in 2018, cybercriminals deployed a malicious software and successfully held the city hall of a municipal government in Ontario hostage, which resulted in that government paying $35,000 to the hackers to avoid disruption. However, this is not always an effective strategy. A survey of Canadian businesses found that only 42% of organizations that paid ransoms to cybercriminals had their data completely restored.
In 2021, the CSE stated that it was informed of 304 ransomware incidents against Canadian victims, with over half of them in critical infrastructure. However, it acknowledged that cyber-incidents are significantly under-reported, and the true number of victims is much higher.
The enormous economic toll that these cyber-breaches have on Canadian companies is worth noting. According to IBM, in 2022, the average cost of a data breach, which includes but is not limited to ransomware, to Canadian firms was $7 million. There is currently no framework to ensure that companies report when they are victims of these attacks. I will acknowledge that the legislation before us takes steps to address this pervasive issue that Canadians are facing; however, it is certainly an overdue effort.
We saw the damage a cyber-attack of this magnitude can cause in May 2021, when a U.S. energy company was subject to a ransomware attack carried out by a Russian-based criminal group that successfully extorted roughly $4.3 million in coin-based currency. As members may remember, this attack disrupted the largest fuel line in the U.S. for five days and led to President Biden calling a national state of emergency. In 2021, at the U.S. Senate committee on homeland security, the CEO of that company testified that he had no emergency preparedness plan in place that specifically mentioned “ransom or action to ransom”. This incident underscores the fact that we as a country must enhance preparedness and improve the resiliency of our critical infrastructure in order to avoid similar incidents.
Therefore, I am pleased to see this proposed legislation come forward. However, it is worth noting that this is the first substantive legislative response to this issue during the government’s tenure, despite a steady increase in cyber-threats over the years.
The entirety of our federally regulated critical infrastructure is connected to the Internet in some way, and it is extremely important to prevent malicious actors from setting up on our infrastructure and attacking it. Previously, there has been no mechanism for the government to formally remove a company from our telecommunications networks.
The clearest example of the need for this mechanism would be the controversy surrounding Huawei, a company that was part of the design of our 5G networks despite glaring national security concerns related to its activities and relationship to the Communist Party in Beijing. It is a significant move that this company will be kicked off our servers, but it is a delayed one. We know that under China's national intelligence law, the CCP has the authority to instruct any company to hand over information to support, assist and co-operate with state intelligence work. Accordingly, we ought to be cautious and avoid contracting with companies that could potentially compromise the security of our critical infrastructure.
It is certainly positive that Canada will be able to kick malicious actors such as Huawei off our networks. However, many have noted that we lessened our credibility among the Five Eyes nations due to our delayed response to this issue. Indeed, the United States lobbied Canada for years to exclude Huawei from our 5G mobile networks and warned that it would reconsider intelligence sharing with any countries that use Huawei equipment.
In some respects, this legislation is a positive step toward establishing a baseline standard of care for organizations whose functions are integral to our critical infrastructure. As I have previously mentioned, incidents of cyber-attacks often go unreported or under-reported. This legislation's mandatory reporting mechanism, which specifies that a designated operator must immediately report an incident to the CSE and the appropriate regulator, is a welcome step toward addressing this issue. However, the act does not prescribe any timeline or give any other information as to how “immediately” should be interpreted by an operator.
As I have just laid out, there are aspects of this legislation that my Conservative colleagues and I fully support. However, I have concerns with several elements of the bill.
First and foremost, there is a complete lack of oversight over the sweeping new powers afforded to the cabinet ministers, regulators and government agencies mentioned in this legislation. Alongside a lack of oversight, there is little information on the breadth of what the government might order a telecommunications operator to do.
It is evident that this bill draws on much of Australia's legislative model, which was first introduced in 2018 and eventually amended. However, we did not follow suit in terms of the oversight measures Australia included in its critical infrastructure protection act. Notably, Australia introduced political accountability mechanisms alongside its legislation, including a requirement for regular reporting, an independent review and the production of a written report. The Conservatives would like to see annual reporting from the minister on what actions have been taken and a public disclosure of the orders that the government is making under these newly afforded powers.
In terms of concerns from the public, we have heard from a number of organizations that are concerned that elements of this legislation undermine the privacy rights of Canadians. In September of last year, several privacy rights organizations signed an open letter to the Minister of Public Safety, which laid out their concerns with Bill C-26. For example, they were concerned about the sweeping new powers this legislation would give to the government over access to the personal data of Canadians and the data of companies. They noted that Bill C-26 “may enable the government to obtain identifiable and de-identified personal information and subsequently distribute it to domestic, and perhaps foreign, organizations.”
I think we can all agree that while enacting measures to improve the resilience of our critical infrastructure is of the utmost importance, civil liberties and privacy must be fully respected when drafting those measures. On the other hand, we have heard from stakeholders who are concerned about the regulatory burden this legislation may have on businesses, especially small and medium enterprises.
Many stakeholders have noted that the high costs and business impacts of a cyber-incident already incentivize companies to ensure rigorous cybersecurity protocols. Recent statistics released by Statistics Canada found that in 2021, Canadian businesses spent over $10 billion on cybersecurity, a 41% increase compared to 2019. Many stakeholders have noted that the proposed penalties related to this act, which reach up to $15 million and five years of jail time, are touted as being intended to promote compliance rather than to punish. However, I think we can all agree that a $15-million fine would indeed be unduly punitive on a small business that may be subject to this act. Therefore, we must ensure that fines and compliance costs are distributed evenly so as not to stifle competition and endanger the viability of small and medium enterprises in our critical infrastructure sectors.
Finally, we face a problem related to definitions and the scope of this bill. Various terms are not defined, including what constitutes a cyber-incident, and it is not immediately clear how the government will determine who is subject to this legislation. I look forward to receiving an explanation from the government to demystify some of the vague language found within it.
To conclude, a threat to our critical infrastructure is a threat to our national security. I think all parties agree that the government must take strong and immediate action against cyber-attacks. We support this bill in principle, but we believe that it needs to be amended significantly to ensure greater transparency and accountability from the government and future governments. I look forward to studying and amending this bill at the public safety committee with my colleagues across all parties.