O cauză importantă a procesului anevoios pe care l-a parcurs România în perioada tranziției de după 1989 a constat în absența unui sistem protectiv eficient al informațiilor clasificate. Statul, prin autoritățile sale ce gestionau astfel de informații sau dețineau atribuții de control în domeniu, nu avea mijloacele necesare protejării lor în mod adecvat. A fost un context facil de exploatat de entități străine și autohtone care intenționau accesarea ilegală de date clasificate, cu potențial de afectare a intereselor statului român în multiple planuri (politico-militar, economic etc.). Situația avea să se modifice, însă, odată cu demersurile întreprinse de România pentru a adera la NATO și UE. Una dintre cerințele structurilor euro-atlantice a constat în formarea, de către autoritățile române, a unui sistem eficient de protecție a informațiilor clasificate, mai ales în condițiile în care urmau să devină beneficiare de date transmise în regim partenerial.
În consecință, în 2002, în România au fost adoptate acte normative care au asigurat fundamentul juridic pentru crearea unui mecanism instituțional de protecție. Organizarea și funcționarea sistemului a favorizat obținerea unor rezultate consistente (inclusiv pe linie de contraspionaj) și evoluția structurilor informative spre zona intelligence. Chiar și în aceste condiții, riscurile și amenințările specifice acestui domeniu continuă să reprezinte o realitate. În timp, pe fondul progresului socio-economic (mai ales de ordin tehnologic), s-au produs mutații semnificative la nivelul riscurilor și amenințărilor din categoria respectivă. În special, s-au evidențiat două cauze generatoare de schimbări majore: creșterea volumului de date vehiculat în format electronic în detrimentul celui pe hârtie și creșterea importanței datelor confidențiale (neclasificate) în protecția informațiilor.
Entitățile ostile
Riscurile și amenințările la adresa informațiilor sunt generate de entitățile străine și autohtone ce acționează pentru a accesa neautorizat date deținute de instituțiile publice și private din România. Sunt vizate atât informațiile clasificate, secrete de stat și de serviciu, cât și datele interne gestionate de către anumite instituții. Datele interne sunt informații sensibile legate de secretul profesional sau de afaceri, fiind conținute în strategii, proiecte, contracte, documente cu referire la parteneri, colaboratori, angajați etc. Obținerea de informații sensibile ocupă un loc important în strategiile entităților ostile deoarece permite cunoașterea modului de organizare și funcționare a unor instituții cu relevanță pentru securitatea națională (servicii publice esențiale, infrastructură critică) și, implicit, proiectarea de măsuri contra intereselor statului român.
Acțiunea entităților autohtone sau străine este cu atât mai gravă cu cât se poate derula sub coordonarea unor state ostile României. În acest context, se urmărește accesarea unor informații pe baza cărora se întreprind demersuri pentru a eroda fundamentele securității naționale (apartenența la structurile euro-atlantice, regimul democratic etc.). Repercusiunile acțiunilor ostile sunt mai ample și mai profunde, deoarece pot afecta coeziunea socială prin degradarea sentimentului de securitate al cetățenilor, respectiv a încrederii pe care o au în capacitatea autorităților de a-i proteja. Un impact negativ major îl produce și activitatea nucleelor de interese nelegitime, coagulate în multiple domenii de importanță publică, ce vizează obținerea de avantaje socio-economice. Activitatea menționată se concretizează prin afectarea unui interes public (cel mai frecvent, de ordin financiar) și comiterea de fapte anti-sociale (în special, acte de corupție).
Activitățile oficiale
Entitățile străine ce urmăresc accesarea neautorizată de informații cu relevanță pentru securitatea națională pot proveni din categoria actorilor statali (servicii de spionaj) și non-statali (rețele de criminalitate organizată, celule teroriste, grupări de hackeri etc.). Entitățile străine pot activa prin reprezentanții lor din România, de exemplu, agenți cu acoperire oficială (diplomatică) sau neoficială (economică, academică etc.). De asemenea, pentru a-și camufla operațiunile ilegale, pot acționa prin intermediul cetățenilor aparținând unor terțe state (metodă practicată în special de serviciile de spionaj). Pentru a-și oculta scopul în raport cu autoritățile, entitățile străine se pot asocia și cu structuri autohtone (de exemplu, rețele de corupție sau de contrabandă, grupări de interlopi). Ținte ale accesării neautorizate de informații sunt entitățile românești publice și private atât din țară, cât și din străinătate.
Pentru entitățile ostile este important să genereze ori să exploateze contexte ce le justifică relaționarea ori prezența în instituții (inclusiv accesul la echipamente și baze de date). Pe termen mediu sau lung, pot acționa prin intermediul unor persoane fizice sau juridice care desfășoară activități stabilite prin contract, atunci când instituțiile își externalizează anumite servicii. Un asemenea profil poate fi asumat printr-o firmă ce asigură servicii de mentenanță sau care livrează programe informatice ori printr-un colaborator angajat ca expert într-un proiect. Există și opțiunea de a valorifica, pe termen scurt, contextul interacțiunii în cadrul unor delegații (în domeniul economic, cultural, academic etc.) și grupuri turistice. Punctual, pot acționa și prin intermediul unor cetățeni în calitate de vizitatori în mediul instituțiilor ori de solicitanți oficiali de informații.
Acțiunile neoficiale
Cel mai frecvent, entitățile ostile acționează prin identificarea și exploatarea vulnerabilităților de ordin tehnic, fizic și uman. În raport cu acestea (absența programelor anti-virus, utilizarea de comunicații nesigure, neprotejarea documentelor prin sigilare și parolare), se pot lansa atacuri cibernetice, intercepta discuții sau se poate pătrunde în încăperi în mod ilegal. Însă entitatea ostilă este preocupată, în special, de existența vulnerabilităților de tip uman. Un angajat reprezintă cea mai valoroasă sursă de informații deoarece poate avea acces la date nu doar direct (similar surselor tehnice), ci și indirect (poate cunoaște aspecte ce excedează atribuțiilor din relaționarea cu colegii săi). În plus, poate asigura interpretarea analitică a datelor, derula acțiuni de influență, identifica și exploata din interior vulnerabilitățile tehnice, fizice și umane.
Manifestarea vulnerabilităților poate fi favorizată de un management defectuos care nu conștientizează importanța protecției informațiilor și nu dispune măsuri în domeniu. Se întâmplă ca managementul să nu aloce fondurile necesare pentru a asigura protecția informațiilor, să nu organizeze sesiuni de pregătire pe această temă ori să nu cunoască problemele cu care se confruntă angajații și care pot fi exploatate de entitățile ostile (nemulțumiri profesionale, pasiuni, vicii, probleme financiare, familiale, medicale). Inacțiunea managerilor reprezintă, astfel, în sine, o vulnerabilitate majoră ce conduce la absența unui sistem eficient de protecție la nivelul instituțiilor în cauză.
Angajatul-problemă
Un angajat poate susține conștient interesele unei entități ostile pentru că urmărește să obțină avantaje socio-economice (sume de bani, promovare pe linie profesională, rezolvarea unei probleme personale sau de familie), a fost șantajat în acest sens (prin amenințarea cu expunerea viciilor) ori vrea să se răzbune (pe fondul manifestării unor tensiuni sau conflicte profesionale). Însă un angajat poate acționa involuntar în favoarea unei entități ostile, prin adoptarea unui comportament profesional inadecvat care generează breșe de securitate (precum neglijență în gestionarea informațiilor). Există mai multe tipuri de angajați care sunt dispuși sau se implică în provocarea de scurgeri de informații. În acest sens se pot manifesta angajații cu atitudine tendențioasă, care încearcă să-și influențeze colegii în vederea demotivării lor sau a minimalizării importanței aplicării și respectării regulilor de securitate.
Scurgeri de informații pot fi cauzate și de angajații nemulțumiți de situația lor profesională, care doresc să se răzbune pe managementul instituției sau pe colegii de serviciu, invocând diverse motive (salarizare necorespunzătoare, perspective și condiții profesionale nesatisfăcătoare). De asemenea, pot exista angajați ce intenționează să demisioneze și urmăresc să-și demonstreze valoarea și cunoștințele în raport cu o potențială entitate interesată. Într-un mod similar pot acționa și foștii angajați care, deși nu mai au acces la date din cadrul instituției, cunosc numeroase aspecte de interes (proceduri, vulnerabilități pretabile a fi valorificate) sau chiar mențin încă legătura cu foști colegi pentru a-i putea exploata informativ. Scurgeri de informații pot fi provocate și de angajații oportuniști, care descoperă o breșă de securitate, nu informează managementul și o exploatează în interes personal sau de grup.
Nevoia de dialog
Așa cum se poate constata, protecția informațiilor reprezintă, în esență, o problemă a managementului în relația cu resursa umană ce impune asumarea și rezolvarea sa cu prioritate. În acest scop, este necesar ca managementul să stimuleze permanent dialogul cu angajații pentru o cunoaștere anticipativă a riscurilor și amenințărilor ce asigură prevenirea eficientă a concretizării lor. Prin dialog, este generat cadrul optim de obținere a datelor necesare pentru identificarea disfuncțiilor cu potențial a se transforma în vulnerabilități. Discuțiile pot clarifica orice situație și nu trebuie limitate doar la problemele profesionale, ci trebuie să le vizeze și pe cele personale, dată fiind capacitatea lor de a influența comportamentul angajaților. Prin dialog, angajații pot conștientiza că este în interesul lor să discute și să semnaleze din proprie inițiativă problemele, pentru ca managementul să dispună măsuri optime de rezolvare.
Dialogul este oportun, iar în anumite situații chiar recomandat, atât în relația cu terții (colaboratori, prestatori de servicii, furnizori de produse), cât și cu foștii angajați. Câteodată, nu este îndeajuns ca obligațiile terților sau ale foștilor angajați de a asigura secretul datelor accesate în cadrul instituției să fie inserate în clauze contractuale, respectiv acorduri de confidențialitate, sub aplicarea de sancțiuni în caz de nerespectare a lor. De asemenea, stabilirea unor reguli scrise referitoare modul de relaționare a angajaților cu foștii lor colegi s-ar putea să nu fie o măsură suficientă pentru a fi asumată. Este nevoie și de un dialog cu aceste persoane prin care să li se explice și să li se detalieze conținutul obligațiilor prevăzute, pentru a se evita crearea unei impresii de formalism.
Asumarea obligațiilor
Este necesar ca managementul să completeze dialogul și prin măsuri care să le permită angajaților să își însușească obligațiile nu doar la nivel teoretic. În acest sens, se pot organiza ședințe de pregătire în domeniul protecției informațiilor care nu se limitează la expunerea cadrului normativ, ci conțin și aspecte practice. Spețele se pot referi la modul în care angajații trebuie să reacționeze, de exemplu, în situații generate de: cetățeni care nu respectă fluxul și programul stabilit pentru vizitatori sau adresează solicitări de date ce excedează interesului lor legitim; angajați ce nu își asumă regulile de securitate (nu își supraveghează documentele ori le distribuie unor persoane care nu au dreptul de a le vizualiza, nu își parolează accesul la calculator); membri ai unor delegații sau terți interesați să obțină informații ce nu constituie obiectul proiectului sau contractului; colegi ce publică date interne în mediul online etc.
Cunoștințele asimilate teoretic la nivelul angajaților pot fi evaluate, de către management, prin teste de verificare, iar modul de respectare practică a lor se poate realiza prin activități de control. Aceste inițiative cu rol atât teoretic, cât și practic contribuie la formarea educației de securitate și permit conducerii să depisteze eventualele disfuncții și vulnerabilități, pentru ca, pe baza lor, să ajusteze măsurile în vederea prevenirii apariției de riscuri și amenințări. Suplimentar, pentru dezvoltarea culturii de securitate datorită căreia se formează comportamentul responsabil al angajaților în domeniul protecției informațiilor, managementul poate apela la entități publice și private ce organizează cursuri de specialitate. În acest sens, se pot adresa și Serviciului Român de Informații, care gestionează, începând din 2017, Programul Awareness.
Abstract
The protection of information in an institution is mainly a problem of human resource management. It depends on the management’s ability to identify existing disfunctions and vulnerabilities among employees to prevent risks and threats, by adjusting the protective measures. In this sense, it is necessary for the management to cultivate the dialogue with the employees and to organize activities so that they become aware of their obligations and assume them theoretically and practically.
Autor: F.B. Suciu