În filmul „The Circle” (Cercul), eroina principală încearcă să ducă o viaţă profesională şi personală fără secrete, în care urmează crezul companiei pentru care lucrează. În momentul în care pierde pe cineva drag realizează că expunerea în public, fără responsabilitate şi control, poate duce la dezastru. Decizia pe care o ia este puţin surprinzătoare: alege în continuare o viaţă fără secrete… pentru toată lumea.
Câteva categorii de informaţii
Legislaţia română în materia protecţiei informaţiilor clasificate, armonizată cu legislaţia statelor membre UE şi NATO, stabileşte categorii precise pentru care sunt necesare măsuri de protecţie obligatorii: secrete de stat şi secrete de serviciu.
Există însă şi categorii de informaţii care nu sunt reglementate precis de legislaţia naţională în vigoare: confidenţiale, sensibile, speciale. Toate acestea reprezintă date importante pentru orice instituţie şi mai ales valoroase din punct de vedere strategic şi economic. Dacă valoarea economică se rezumă la partea financiară, valoarea strategică este dată de faptul că informaţiile respective ajută la luarea sau evitarea deciziei la nivelul factorilor de răspundere. Un exemplu de decizii strategice cu consecinţe negative în plan economic regăsim în criza financiară începută în 2008, când prăbuşirea unei mari bănci – Lehman Brothers – nu a fost anticipată, deşi analiştii au emis avertizări privind modul defectuos în care organizaţia şi-a gestionat investiţiile.
Formula perfectă a securităţii
Într-o instituţie gestionară de informaţii secrete de stat, protecţia acestora presupune responsabilitatea îndeplinirii atribuţiilor legale pe toate palierele organizaţiei: de către echipa managerială, structura de securitate şi angajaţii care sunt autorizaţi să acceseze respectivele date.
Ecuaţia protecţiei informaţiilor secrete de stat este relativ simplă: stabilirea măsurilor de securitate, implementarea acestora şi respectarea lor.
Pentru ca angajaţii şi organizaţia să se poată proteja eficient, credem că este necesară o bună comunicare între palierele de management şi de execuţie, precum şi responsabilizarea tuturor celor implicaţi:
– angajaţii să conştientizeze vulnerabilităţile care pot fi exploatate pentru diseminarea neautorizată a informaţiilor clasificate sau confidenţiale;
– departamentul sau structura de securitate să evalueze riscurile şi ameninţările la adresa securităţii informaţiilor clasificate sau confidenţiale;
– managementul trebuie să implementeze un set de reguli şi măsuri de securitate care să permită diminuarea sau eliminarea riscurilor şi ameninţărilor, şi conştientizarea vulnerabilităţilor.
Ecuaţia responsabilităţii o putem aplica şi pentru categoriile de informaţii confidenţiale sau sensibile, singura problemă în discuţie fiind costurile destinate protejării acestora. Dacă pentru o instituţie de stat acestea pot fi incluse în alocarea bugetară, în ceea ce priveşte informaţiile sensibile procedurile protective pot fi instituite doar pe baza reglementărilor interne, fără costuri suplimentare.
În această balanţă putem compara cheltuielile de securitate cu evaluarea estimativă a pierderilor pe care le poate susţine o organizaţie. În multe cazuri aceste pierderi pot determina, pentru un stat, decizii nefavorabile, iar pentru un agent economic chiar falimentul.
Variabilele
Ca orice formulă care nu este matematică, avem câteva variabile pe care le regăsim în toate părţile ecuaţiei: cea financiară şi cea umană.
Securitatea costă. Iar costurile nu sunt mici, dar pot fi anticipate dacă dimensionăm măsurile de securitate la ceea ce vrem să protejăm.
Nu este suficient să încuiem bine într-un seif documentele secrete. Oamenii care le ştiu şi lucrează cu ele zi de zi, pleacă acasă la terminarea programului de lucru. Ştiinţa încă nu a avansat suficient astfel încât să ne permită să uităm câteva ore ceea ce cunoaştem, iar a doua zi să redevenim angajaţi profesionişti gata să aplice cunoştinţele (secrete!) deţinute. Factorul uman rămâne variabila cea mai volatilă din întreaga ecuaţie: întotdeauna va fi vulnerabil.
Breşele de securitate
Dacă ultimii ani au reprezentat o progresie aritmetică ascendentă a găsirii şi valorificării breşelor de securitate informatică, nu trebuie uitat un aspect esenţial: în opt din zece cazuri breşa a apărut din cauza factorului uman.
Vulnerabilităţile, de fapt toate elementele care ne conferă dimensiunea umană – atitudini, valori adoptate, vicii, dorinţe exploatate de persoane şi organizaţii care au interese ilegitime, se pot transforma în adevărate breşe de securitate pentru organizaţia în care lucrăm.
Secretele rele
În accepţiunea filmului amintit la început cam tot ce este secret este negativ şi duce la ascunderea adevărului. Dar să nu uităm că secrete pot avea şi organizaţiile teroriste, grupările de crimă organizată şi organizaţiile ilicite. Singura lege care le protejează este cea a tăcerii.
Instituţiile din domeniul apărării şi securităţii naţionale sunt obligate să afle şi să expună aceste secrete, pentru că atunci ajută la scăderea criminalităţii şi la păstrarea securităţii ţării şi a cetăţenilor.
Secretele bune
Care ar fi acestea? Pentru stat, de exemplu, secretele privind apărarea ţării a intereselor economice sau cele privind resursele naţionale sunt secrete bune.
Pentru o organizaţie în această categorie intră secretele privind activităţile de cercetare-dezvoltare, planurile economice şi tranzacţiile financiare.
Pentru un cetăţean secretele bune pot fi parolele, codul pin al cardului bancar sau codul numeric personal. Nu trebuie ignorate consecinţele extrem de neplăcute şi greu de remediat ale furtului de identitate.
Constatăm că există secrete care trebuie apărate, pentru că într-o lume dinamică se produc în permanenţă astfel de date şi informaţii.
Câteva recomandări
Putem oferi o simplă listă cu ce să faceţi şi ce să nu faceţi, dar nu acesta este scopul. Pentru a asigura o protecţie personală minimală, cu costuri zero, adaptată momentelor din viaţa profesională, pot fi adoptate trei principii de bază: autocontrol, atitudine activă şi atitudine prudentă.
Ca măsuri de apărare personală şi organizaţională, aplicabile în aproape toate situaţiile atât pentru protecţia informaţiilor secrete de stat, cât şi a celor confidenţiale sau sensibile, recomandăm respectarea procedurilor interne, solicitarea aprobărilor ierarhice necesare în activităţile profesionale şi avertizarea managementului în momentele când sunt identificate încălcări ale reglementărilor instituite în cadrul organizaţiei.
Nu putem vorbi totuşi de secrete bune şi secrete rele. Putem vorbi de necesitatea de a apăra un stat, o organizaţie sau un cetăţean. Putem vorbi de secrete de stat, de informaţii confidenţiale şi de date personale.
Ajunse la diferite organizaţii şi persoane cu interese ilegitime aceste date pot fi folosite chiar împotriva celor care încearcă să le apere.
Revenim la începutul poveştii noastre, la eroina filmului: cum ar fi să ducem toţi o viaţă fără secrete? Sperăm ca răspunsul la această întrebare să rămână cel puţin confidenţial.
Abstract
We live in a world of secrets. Regardless if these secrets belong to a state, to an organization or to a person, all of them have value for their holders.
The illicit interests of knowing them may have negative consequences with impact on so many levels. What can we do, as simple citizens or employees of different public or private organizations, is to educate ourselves about the methods of protecting classified or confidential information.
Autor: Mihai Ţeican
