În anul 2016, inginerul mecanic Gregory Justice participa la dezvoltarea unor sateliţi comerciali şi militari în cadrul companiei americane Boeing Satellite Systems, contractor al guvernului american. Din proprie iniţiativă, a decis să vândă informaţii şi tehnologii software sensibile unui presupus reprezentant al unei puteri străine adverse, care s-a dovedit a fi, în realitate, agent FBI sub acoperire.
Pe parcursul colaborării, Gregory i-a propus agentului realizarea unui tur al organizaţiei în care lucra, recomandându-i să folosească o pereche de ochelari speciali, cu care să poată fotografia în incintă. Inginerul i-ar fi sugerat „reprezentantului” puterii străine că unele documente în format electronic conţin date cu privire la modalităţi de interceptare a comunicaţiilor.
Potrivit datelor publicate pe site-ul FBI, Gregory a fost instruit în prealabil referitor la confidenţialitatea informaţiilor gestionate, aceasta fiind dovada incontestabilă a faptului că în mod conştient şi cu intenţie a desfăşurat activităţi ce au compromis securitatea organizaţiei şi implicit securitatea naţională.
Activitatea lui Gregory a fost motivată în principal de beneficii financiare, necesare pentru acoperirea cheltuielilor cu tratamentul medical al soţiei sale. Însă la originea deciziei sale au stat şi frustrările sale provocate de faptul că nu a fost promovat la locul de muncă. Investigaţia a mai arătat că inginerul folosea banii şi pentru a oferi cadouri unei „prietene” pe care o cunoscuse în mediul online, dar pe care nu o întâlnise niciodată.
Factorul uman, veriga esenţială
Pentru orice organizaţie este esenţial ca informaţiile pe care le gestionează să fie protejate. Angajaţii dintr-o companie sau instituţie sunt importanţi prin prisma informaţiilor şi a locurilor la care au acces. Gregory Justice era conştient de valoarea datelor pe care le gestiona, exploatându-le în scop personal, fără a ţine cont de impactul negativ asupra securităţii companiei şi asupra securităţii naţionale.
Factorul uman este o componentă extrem de importantă în sistemul de securitate al unei organizaţii şi este necesar să conştientizăm că vulnerabilitatea provenită din interior poate avea consecinţe foarte grave. Ameninţarea poate veni din partea unui angajat, fost angajat, partener, contractor sau consultant familiarizat cu activitatea organizaţiei, care are acces la informaţii şi locuri sensibile, pe care le poate exploata în vederea obţinerii unor avantaje personale.
Nevoia de bani a unui angajat al unei mari companii, coroborată cu sentimente de frustrare, dar şi cu alte vulnerabilităţi specifice sistemului de protecţie, au condus, în exemplul prezentat, la diseminarea neautorizată a unor informaţii sensibile. Acţiunile lui Gregory Justice au reprezentat o ameninţare iminentă la adresa securităţii naţionale a SUA.
Intenţia de a vinde informaţii de interes unei terţe persoane, indiferent dacă se materializează sau nu, poate aduce cel puţin prejudicii de imagine entităţii gestionare, influenţând relaţionarea cu potenţiali colaboratori sau parteneri. În funcţie de importanţa informaţiilor, diseminarea neautorizată a acestora poate afecta inclusiv interesele economice ale unui stat la nivel internaţional.
Cum ne apărăm
Este foarte important să conştientizăm că, prin natura activităţii desfăşurate, deţinem un rol important în organizaţie şi, din această perspectivă, putem deveni oricând o sursă interesantă pentru entităţi ostile. Este indicat să adoptăm o atitudine prudentă în relaţiile cu diverse persoane, nu numai în ceea ce priveşte activitatea profesională propriu-zisă, ci şi referitor la propria persoană, prieteni sau colegi de muncă.
În condiţiile în care omul joacă un rol foarte important în asigurarea securităţii organizaţiei, una dintre cele mai eficiente metode de apărare este o bună pregătire profesională, inclusiv în ceea ce priveşte gestionarea corespunzătoare a documentelor, relaţionarea cu persoane din exteriorul organizaţiei sau activitatea în mediul online.
Managementul organizaţiei este responsabil de asigurarea şi respectarea unor măsuri de protecţie care privesc securitatea documentelor şi a locurilor unde acestea sunt gestionate, a sistemelor informatice şi de comunicaţii, selecţionarea şi verificarea personalului, cunoaşterea reglementărilor în vigoare. Este esenţial ca măsurile de securitate să fie testate, evaluate şi adaptate permanent pentru a contribui la prevenirea potenţialelor breşe de securitate.
Abstract
Ensuring the security of information should be a priority of any organization, especially if its activity belongs to sensitive areas. Employees are important due to the information and places they access. Taking into account the importance of human factor in ensuring the security of the organization, we have to be aware of the major consequences of an insider threat. An insider could be any person (current or former employee, partner, contractor, or adviser) with authorized access to sensitive places and information, which he can exploit to gain personal benefits.
Autor: Roxana Pascal