Autor: Florin Buștiuc
Praemonitus praemunitus – Cel prevenit este înarmat
Factorul edusec reflectă existenţa şi nivelul educaţiei de securitate, ca învăţare şi aplicare de reguli în ceea ce priveşte protecţia informaţiilor. Prin întrebările şi răspunsurile aferente identificării factorului edusec am avut în vedere o componentă pragmatică, respectiv ca persoana să fie „surprinsă” de existenţa mai multor dimensiuni ale protecţiei informaţiilor. Astfel, într-o primă fază, am intenţionat să o determinăm să facă un exerciţiu practic de imaginaţie pentru formularea răspunsurilor, iar în a doua fază, prin lecturarea exemplelor, să înveţe efectiv, într-un mod simplu, reguli (auto)protective.
Securitatea informaţiilor este necesară din perspectiva principiului general al existenţei unei organizaţii, respectiv asigurarea funcţionalităţii sale în vederea păstrării competitivităţii – a furniza bunuri şi servicii pentru a avea profit („toate organizaţiile au ca scop supravieţuirea”; Johns, 1998, 4).
Supravieţuirea unei organizaţii derivă din obiectivul major de a-şi proteja următoarele valori generale: a) informaţia; b) imaginea/ reputaţia; c) resursele financiare; d) produsele; e) serviciile; f) personalul (prin prisma formării de competenţe, aptitudini şi acumulării de experienţă); g) echipamentele şi spaţiile fizice (calculatoare, sedii, centre de cercetare etc).
În ceea ce priveşte securitatea informaţiilor, reperul fundamental este componenta umană, exprimată ca generator, utilizator şi factor protectiv al informaţiilor, iar un punct cheie este educaţia de securitate (parte integrantă a culturii de securitate).
Dintr-un punct de vedere personal, supravieţuirea organizaţiilor va fi dependentă de realizarea educaţiei de securitate, prin care persoanele care au acces la informaţii importante sunt instruite cu privire la prevederi legale şi norme interne în ceea ce priveşte securitatea informaţiilor, mijloacele şi metodele utilizate de structurile informative adverse specializate în culegerea de date, competenţele instituţiilor şi structurilor organizaţionale în acest domeniu, etc.
Astfel, este necesar ca fiecare angajat să conştientizeze că protejarea informaţiilor este un factor strategic pentru supravieţuirea/ dezvoltarea organizaţiei, întrucât există consecinţe directe în ceea ce priveşte prezervarea propriilor interese/avantaje de natură socială şi financiară (venit regulat, asigurarea pensiei, satisfacerea nevoilor etc).
Educaţia de securitate se realizează atunci când există trei condiţii:
• o persoană are/va avea acces la informaţii protejate prin lege şi/sau regulamente instituţionale (vom utiliza termenul generic de informaţii confidenţiale, astfel incluzând şi informaţii clasificate, secretul economic, secretul bancar);
• accesul la aceste informaţii este reglementat (limitat), fiind dublat de aplicarea unor reguli de securitate;
• există un potenţial interes nelegitim (şi disimulat) al unei entităţi (Entitatea este reprezentată de o structură informativă adversă (implică o formă organizaţională serviciile de informaţii ale statelor sau ale companiilor private) sau de un adversar informativ (implică o persoană); când se utilizează termenul de străin/străinătate, se au în vedere statele/organizaţiile care au interese adverse României.) de a avea acces la aceste informaţii (nn. interes informativ).
Factorul edusec se referă la conştientizarea şi activarea atitudinii pentru educaţia de securitate, respectiv persoana îşi formulează răspunsuri pozitive la întrebări precum:
„Există în organizaţie informaţii care trebuie protejate?”, „Am acces la astfel de informaţii?”, „Există norme interne de protecţie a informaţiilor (se aplică reguli de securitate)?”, „Există entităţi interesate (nn. structură informativă adversă/adversar informativ) de a avea acces neautorizat la informaţiile din organizaţie?”, „Pot reprezenta o ţintă pentru o structură informativă adversă/adversar informativ?”, „Pot fi exploatate anumite aspecte ale comportamentului personal pentru a determina dezvăluirea de informaţii?” etc.
„Cheia” factorului edusec este atitudinea personală în raport cu existenţa potenţială a unui interes din partea unei structuri informative adverse/adversar informativ. Astfel, se concretizează atitudinea edusec ca parte activă a personalităţii, dimensionată pe trei componente:
• cognitivă (conştientizare pro-securitate), care integrează cunoştinţe despre regulile de protecţie a informaţiilor;
• volitiv-motivaţională (angajamentul pro-securitate), referitoare la asumarea necesităţii şi responsabilităţii aplicării regulilor de securitate;
• comportamentul pro-securitate, reflectat de aplicarea concretă a regulilor de securitate.
Factorul edusec are o dublă utilitate – măsoară nivelul de conștientizare a atitudinii pro-securitate, dar și activează prin întrebări/ cerințe (auto) formarea unei astfel de atitudini.
Astfel, am proiectat un set de 30 de întrebări/ cerinţe pentru determinarea factorului edusec. Rezultatele se interpretează conform grilei de mai jos:
• sub 15 puncte (nivel minim) – există un grad de vulnerabilitate maxim în raport cu o structură informativă adversă/adversar informativ. Aveţi un nivel minim de circumspecţie şi suspiciune, nu sunteţi familiarizat cu ideea că există un adversar informativ şi cu modalităţile de acţiune ale acestuia. Pentru dumneavoastră ideea de autoprotecţie este difuză, apreciaţi că nu este necesară. Cel mult, cunoaşteţi câteva reguli de securitate generale.
• între 15 şi 23 de puncte (nivel mediu) – aţi participat la unele instructaje de securitate şi vă rezumaţi la aplicarea unor reguli de securitate generale. Aveţi principiul că, dacă există structuri informative adverse/ adversar informativ, nu prezentaţi interes informativ şi nu vi se va întâmpla chiar dumneavoastră să fiţi exploatat informativ.
• între 23 şi 31 de puncte (nivel maxim) – sunteţi conştient că o structură informativă adversă/un adversar informativ este specializat în identificarea şi exploatarea vulnerabilităţilor personale, respectiv în crearea de contexte prin care să determine dezvăluirea neautorizată (voluntară sau involuntară) de informaţii. Aveţi abilităţi în ceea ce priveşte identificarea unui interes informativ şi în prevenirea/ evitarea respectivelor contexte.
FACTORUL EDUSEC – întrebări/ cerinţe şi explicaţii/ exemplificări
(dacă nu s-a răspuns/ s-a răspuns parţial, punctajul este 0; altfel, este 1. În unele situaţii, prezintă relevanţă ca răspunsurile să fie apropiate de explicaţia prezentată. În aceste cazuri, dumneavoastră apreciaţi dacă răspunsul este parţial sau complet, dar este important să fiţi obiectiv/ neutru în apreciere pentru identificarea factorului edusec real).
1. Ce este un adversar informativ/ o structură informativă adversă?
2. Care sunt obiectivele unei structuri informative adverse/adversar informativ?
3. Care este caracteristica esenţială a acţiunilor unui adversar informativ?
4. Care sunt condiţiile în care o persoană prezintă interes pentru un adversar informativ?
5. Apreciaţi că un adversar informativ acţionează numai în calitate de reprezentant oficial/ declarat al unei structuri străine de informaţii? Dacă aţi răspuns cu nu, precizaţi de ce şi enumeraţi 3 ipostaze în care se poate regăsi un adversar informativ.
6. Care sunt contextele care determină ca unele persoane să fie mai pretabile la a veni în contact cu structuri informative adverse/un adversar informativ?
7. Exemplificaţi 4 comportamente ale unui adversar informativ în relaţionarea cu o persoană ţintă?
8. Enumeraţi 3 metode/ mijloace utilizate de serviciile de informaţii.
9. Precizaţi 2 factori esenţiali ai acţiunilor unui adversar informativ în cadrul iniţierii şi dezvoltării relaţiei cu persoana ţintă.
10. Descrieţi 3 dintre secvenţele acţiunilor unei structuri informative adverse/ adversar informativ.
11. Precizaţi 4 vulnerabilităţi comportamentale exploatabile de către structuri informative adverse/adversar informativ.
12. Precizaţi 3 modalităţi pe care le utilizează un adversar informativ pentru a determina o persoană să dezvăluie informaţii.
13. Enumeraţi 3 trăsături comportamentale ale unui adversar informativ.
14. Precizaţi 3 factori psihologici care motivează o persoană să dezvăluie informaţii.
15. Apreciaţi că numai persoanele care au funcţii de decizie prezintă interes pentru un adversar informativ? Dacă aţi răspuns cu nu, exemplificaţi şi alte categorii de personal.
16. Exemplificaţi 4 situaţii în care se dezvăluie involuntar informaţii.
17. Precizaţi 3 situaţii care semnifică posibilitatea de a se culege şi transmite informaţii neautorizat.
18. Enumeraţi 3 cărţi (publicate de autori români/traduse în limba română) care abordează metodele utilizate de structuri informative.
19. Ce este briefing-ul pentru călătoriile în străinătate? Precizaţi 4 recomandări care se realizează în cursul unui astfel de briefing.
20. Ce este debriefingul? Precizaţi 3 întrebări care pot fi formulate în cadrul unui debriefing după călătoria în străinătate.
21. Exemplificaţi 3 situaţii care semnifică faptul că o persoană a avut contact/ a fost în atenţia unei structuri informative adverse.
22. Precizaţi 4 indicii care semnifică faptul că, în cadrul unor negocieri sau vizite, o organizaţie face obiectul unor activităţi de culegere de informaţii din partea unei structuri informative adverse/ adversar informativ.
23. Precizaţi 3 reguli pentru protecţia documentelor în format hârtie.
24. Precizaţi 3 reguli pentru protecţia materialelor existente în sistemele informatice.
25. Precizaţi 3 reguli pentru protecţia informaţiilor în cazul organizării/ participării la unele evenimente.
26. Explicaţi ce este principiul need to know (necesitatea de a cunoaşte).
27. Precizaţi 3 aspecte pe care le conţine un angajament de confidenţialitate.
28. Enumeraţi 3 elemente de incompatibilitate în ceea ce priveşte accesul la informaţii secrete de stat.
29. Enumeraţi 3 reguli generale în procesul de relaţionare care presupun ideea de prudenţă şi de evitare a exploatării informative.
30. Menţionaţi 2 comportamente care ar trebui adoptate atunci când sesizaţi că asupra dumneavoastră acţionează un adversar informativ.
În concluzie, cel puţin din perspectivă economică, securitatea reprezintă „un parametru principal de calitate (integrând elemente de fiabilitate, viabilitate, adaptabilitate şi stabilitate) al tuturor proceselor şi sistemelor, fără de care eficienţa nu este posibilă” (Ilie şi Urdăreanu, 2001, 15), iar securitatea informaţiilor devine o variabilă majoră în supravieţuirea unei organizaţii, unul dintre argumente constând în aceea că „Linia de demarcaţie dintre spionajul public şi cel privat va continua să devină tot mai difuză. Odată cu proliferarea companiilor multinaţionale, multe dintre acestea îşi dezvoltă propriile reţele informative… În paralel cu acţiunile «para-informative» din străinătate, se desfăşoară recenta propagare a aşa-numitelor unităţi de «informaţii competitive» din industria internă… concepute să opereze în limitele legii şi care aplică, cel puţin la un nivel rudimentar, multe dintre aceleaşi metode şi talente folosite de unităţile informative ale guvernului” (Toffler, 1995, 313).
Aşa cum am precizat, scopul lecturării exemplelor de răspuns este de a se învăţa într-un mod simplu reguli de (auto) protecţie.
Exemple de răspuns
1. Persoana fizică, respectiv structurile statelor sau ale companiilor private reprezintă adversarul informativ/ structura informativă adversă, iar activităţile desfăşurate au consecinţe negative asupra valorilor unui stat/ instituţii/ organizaţii: informaţia, resursele financiare, serviciile etc.
2. Obiectivul principal este de a culege informaţii de interes. Din acesta derivă două obiective secundare: a) a iniţia şi dezvolta cât mai multe contacte pentru identificarea persoanelor pretabile la a fi exploatate informativ (susceptibile de a furniza informaţii), b) crearea/ valorificarea pretextelor plauzibile pentru iniţierea contactelor.
3. Factorul specific al activităţilor adversarului informativ este disimularea scopului, respectiv disimularea interesului pentru informaţiile care îi sunt necesare.
4. O persoană prezintă interes informativ (este „persoana ţintă”) prin prisma accesului: a) direct la datele protejate; b) în zone unde se vehiculează aceste informaţii; c) la persoane (colegi, şefi, prieteni) care gestionează respectivele informaţii.
5. Un adversar informativ va încerca să-şi „acopere” activitatea de culegere de informaţii pentru a nu genera suspiciune, neîncredere, prudenţă, respingere, refuz.
În mod frecvent activităţile informative se desfăşoară sub acoperirile de diplomat, ziarist, cercetător, om de afaceri, participant la un eveniment ştiinţific, consultant, membru al unei delegaţii etc. – astfel, se exploatează „prezenţa şi activităţile legitime” ale reprezentanţelor diplomatice, delegaţiilor oficiale, companiilor private, institutelor ştiinţifice, organizaţiilor media etc.
6. În raport cu „persoana ţintă” se pot invoca „similarităţi”, ca de exemplu un fundament comun, de natură culturală, etnică, religioasă. „Persoana ţintă” efectuează multiple deplasări (are şi o reşedinţă) în străinătate.
7. Întrebări directe despre natura activităţii profesionale; solicitări pentru întâlniri ulterioare în afara cadrului oficial; solicitarea unor date tehnice/ administrative care nu sunt protejate, dar nu sunt publice; recompense financiare pentru acte de consultanţă în regim privat.
8. *Steagul străin – persoanele pot avea simpatii pentru un anumit grup, o instituţie sau un stat. Adversarul informativ îşi va declara simpatia sau apartenenţa la respectivul grup, ori va pretinde că este angajat al acelei instituţii sau al unui sector guvernamental.
*Investigarea biografică – culegerea de date relevante despre persoana ţintă – calificări, aspiraţii, nemulţumiri în plan profesional, probleme personale, persoane apropiate care au capacitatea de a influenţa, implicarea în situaţii din care pot deriva acte de şantaj/ presiune.
*Exploatarea în orb – culegerea informaţiilor prin iniţierea şi manipularea unor conversaţii într-o direcţie care să permită formularea rezonabilă/ normală a unor întrebări despre aspecte de interes, ulterior fiind schimbat subiectul de discuţie.
*Specularea vulnerabilităţilor – lăcomia, furia, nemulţumirea/insatisfacţia profesională, răzbunarea, invidia, dorinţa sexuală, consumul de alcool, droguri.
*Şantajul – determinarea cooperării prin ameninţarea cu dezvăluirea unor aspecte care afectează statutul socio-profesional.
9. Adversarul informativ încearcă să valorifice orice situaţie „rezonabilă (care nu generează suspiciuni)” pentru a contacta persoanele care prezintă interes informativ (şi să dezvolte relaţia).
Un adversar informativ încearcă să construiască sentimentul de încredere, pe baza căruia să abordeze, cu un grad minim de suspiciune, aspecte profesionale de interes.
Nota principală a acţiunilor unui adversar informativ se reflectă în interesul treptat şi frecvent pentru problematica activităţii profesionale.
10. Iniţierea relaţiei (de regulă, prin disimularea scopului); abordarea unor aspecte ale vieţii personale (hobby-uri, valori, principii, interese, dificultăţi); crearea şi dezvoltarea relaţiei; identificarea vulnerabilităţilor (dificultăţi financiare, jocuri de noroc, consum de alcool etc.); abordarea unor aspecte din viaţa profesională; testarea disponibilităţii de a dezvălui informaţii; exploatarea relaţiei.
11. Pălăvrăgeala/ Lăudăroşenia; Cheltuielile exagerate, datoriile şi împrumuturile semnificative; Consumul de alcool/ droguri; Comportamentele deviante.
12. Recompensarea financiară; Exercitarea şantajului; Exploatarea orgoliului.
13. Foarte bun ascultător, va încerca să vă determine să vorbiţi despre aspectele care vă preocupă, vă va încuraja să vă destăinuiţi, se va arăta interesat de problemele dvs. personale, vă va acorda importanţă.
14. Vrem să fim politicoşi, rezonabili şi răspundem la întrebări; vrem să părem informaţi/ competenţi în domeniul profesional propriu; vrem să fim apreciaţi; vrem să demonstrăm că ceea ce facem este important şi util.
15. Primii vizaţi sunt factorii de conducere care manipulează documente secrete, personalul care încadrează birourile cu documente secrete. Următoarele persoane vizate sunt: funcţionarii care lucrează cu dosare, dactilografele şi curierii, dar şi femeile de serviciu, meseriaşii (tâmplari, electricieni, instalatori) care au acces în birourile unde se găsesc documentele.
16. Dialogul cu aspecte detaliate în interiorul sau exteriorul organizaţiei (sala de mese, cafenele, lift, în zone pentru fumat etc.); studiul unor documente în mijloace de transport în comun sau în locuri publice; lăsarea unor vizitatori singuri într-un birou; lucrul acasă pe documente confidenţiale; lăsarea la hotel a unor documente/ laptopuri, fără a le încuia într-un seif.
17. Intrarea neautorizată într-o zonă de securitate unde există echipamente informatice/ de comunicaţii; accesarea de fişiere pentru care nu există „nevoia de a cunoaşte” cu puţin timp înainte de efectuarea unor călătorii în străinătate; utilizarea neautorizată de camere digitale; eliminarea neautorizată/ inadecvată a marcajelor de clasificare; depozitarea informaţiilor la domiciliu sau în locuri neautorizate.
18. Ostrovski V, Hoy C. – Mossad. Top Secret; Suvorov V. – Acvariul. Cenuşă fără epoleţi; Jefferson Mack – Cercul spionilor personali; Dezmaretz G. – Totul despre spionaj; Abram N. Shulsky, Gary J. Schmitt – Războiul tăcut. Introducere în universul informaţiilor secrete.
19. Briefing pentru călătoriile în străinătate este un instructaj care are la bază ideea că pe un teritoriu străin persoana este mult mai vulnerabilă. Recomandări: dacă există, utilizaţi seiful hotelului pentru lucrurile de valoare; nu lăsaţi ca atmosfera plăcută, relaxantă, amicală şi consumul de alcool să vă diminueze capacitatea de discernământ (în unele state, consumul de alcool în cantităţi mari sub forma toasturilor este o tradiţie); nu vă implicaţi în activităţi pe piaţa neagră; nu fotografiaţi nimic care pare a aparţine sistemului de securitate sau militar – aeroporturi, porturi navale sau zone restricţionate (instalaţii şi unităţi militare).
20. Debriefing – este o modalitate de identificare a unui potenţial interes din partea unor servicii străine de informaţii – se realizează prin solicitarea de completare a unui chestionar tipizat/ derularea unui interviu. Exemple de întrebări – A încercat cineva să vă dea scrisori, pachete etc. pentru a i le transmite altcuiva? Aţi observat vreun aspect care să indice că aţi fost urmărit/ monitorizat? Aţi observat vreun aspect care să indice o „încercare de compromitere” a dvs.?
21. Dialogul detaliat cu privire la produse cu dublă utilizare în timpul unei cine „extra-oficiale”, dialog purtat separat cu diverşi membri ai unei delegaţii; solicitarea de informaţii confidenţiale pe fondul participării la un simpozion, cu invocarea faptului că există o recomandare a unei cunoştinţe comune, în scopul realizării unei colaborări; mai mulţi participanţi la un seminar sunt abordaţi separat de un autohton care nu a participat activ la dezbateri, cu privire la o tematică în care este foarte bine documentat; un interpret formulează întrebări despre viaţa personală proprie/a colegilor/a şefilor, iar în context demonstrează că are cunoştinţă de unele detalii care nu sunt în CV; unul dintre membrii unei comisii de negociere are lacune referitoare la termeni de specialitate, deci suspiciunea este că e un reprezentant al unei structuri informative.
22. Solicitări nejustificate de acces la reţeaua informatică internă; solicitări de acces fizic nerestricţionat; persoane adăugate pe lista vizitatorilor în ultimul moment; vizitatorii formulează întrebări care depăşesc tematicile stabilite pentru discuţii; vizitatorii cer foarte multe date şi în schimb furnizează explicaţii generale; un vizitator care este foarte curios în legătură cu angajaţi, programe şi zone de lucru care nu au fost incluse în agendă.
23. – Verificaţi documentele primite/ transmise pe bază de semnătură, respectiv integritatea acestora (număr de file, ambalaj etc.)!
– Multiplicaţi şi distrugeţi documentele sensibile conform regulilor existente. Ciornele sau notele care conţin informaţii sensibile se supun aceloraşi reguli!
– Dacă participaţi la o întâlnire, luaţi cu dumneavoastră numai documentele necesare, pentru care aţi primit aprobare!
24. – Utilizatorii reţelei de calculatoare trebuie să fie autorizaţi şi să aibă acces numai la partiţiile proprii!
– Reţeaua de calculatoare din instituţii în care se procesează informaţii sensibile trebuie să fie independentă de restul sistemului informatic!
Parolele de acces nu vor fi dezvăluite persoanelor neautorizate, indiferent de funcţie, şi nu se va permite accesul acestora la partiţia proprie!
25. – Limitaţi-vă la transmiterea datelor şi informaţiilor pentru care aţi primit aprobare!
– Nu transmiteţi prin telefon, telefax, e-mail sau prin intermediul altor mijloace de comunicaţii informaţii sensibile!
– Nu trimiteţi scrisori oficiale sau documente secrete prin intermediul unor persoane particulare!
26. Principiul need-to-know – este principiul conform căruia accesul la informaţii clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să lucreze cu respectivele informaţii sau să aibă acces la acestea; rezultă astfel un mod condiţionat – îndeplinirea îndatoririlor de serviciu, deci accesul la diferite categorii de informaţii clasificate nu va fi permis numai pe baza funcţiei, poziţiei sau autorizaţiei de acces.
27. Generic, un angajament de confidenţialitate conţine următoarele: exemplificarea categoriilor/ tipurilor de informaţii care fac obiectul angajamentului; perioada de valabilitate; stipularea răspunderii (administrative, disciplinare, materiale, civilă ori penală) în cazul dezvăluirii informaţiilor; menţionarea situaţiilor care exonerează de răspundere angajatul; faptul că persoana a luat la cunoştinţă de dispoziţiile legale şi normele interne cu privire la protecţia informaţiilor.
28. Are antecedente penale sau a fost sancţionat contravenţional pentru fapte care indică tendinţe infracţionale; a demonstrat lipsă de loialitate, necinste, incorectitudine sau indiscreţie; a încălcat reglementările privind protecţia informaţiilor secrete de stat.
29. În cadrul unei relaţii de prietenie nu este necesar să se discute aspecte confidenţiale din activitatea profesională; a fi corect şi loial într-o relaţie nu înseamnă dezvăluirea vulnerabilităţilor personale (dificultăţi financiare, probleme familiale etc.); sentimentele de încredere şi simpatie nu reprezintă un motiv pentru a dezvălui informaţii din activitatea profesională.
30. Nu iniţiaţi o investigaţie pe cont propriu – prezentaţi datele instituţiilor/ structurilor competente; în cazul în care sunteţi în străinătate, nu prezentaţi suspiciunile unui localnic; când sesizaţi că dialogul atinge o zonă sensibilă, schimbaţi pur şi simplu subiectul sau ignoraţi orice întrebare insistentă nepotrivită.
Notă: Acest articol a fost publicat prima dată în Revista Intelligence în 4 martie 2015.