Un caz petrecut recent, scoate in evidenta vulnerabilitatea protocoalelor de securitate concepute sau implementate cu jumatati de masura. Este cazul, deja celebru, al ziaristului care a reusit sa obtina plicurile cu subiectele pentru proba de istorie a examenului de testare de la finalul ciclului gimnazial: Testele Nationale. Ziaristul a intrat in cladirea apartinand Ministerului Educatiei si Cercetarii (MEC) si s-a prezentat ca fiind delegatul judetului Dambovita pentru ridicarea plicurilor cu subiecte. Ziaristul a reusit deoarece nu a fost legitimat nici la intrare si nici la ridicarea plicurilor. Ministrul educatie, dl. Mihail Hardau, a declarat ca au existat trei filtre de control, dar realitatea a aratat ca nici unul dintre acestea nu a functionat corespunzator.
Aici puteti citi stirea despre incidentul de la Ministerul Educatiei.
Sa ne imaginam insa, ce s-ar fi intamplat daca situatia s-ar fi petrecut cu informatii a caror pierdere ar fi fost ireversibila (secrete militare sau comerciale, de exemplu) sau daca ar fi fost necesare costuri mult mai mari de reparare a erorii. In ultima instanta, orice discutie despre managementul riscurilor este o discutie financiara: ce costuri poate genera un esec de securitate si cum poate fi controlat respectivul risc cu un cost rezonabil din punct de vedere financiar.
In termeni de specialitate, esecul este al protocolului de securitate, acesta fiind setul de actiuni prin care se asigura securitatea la evenimentele normale: controlul accesului in cladiri sau incaperi, transferul de informatii / documente, escortarea persoanelor, patrularea in zona obiectivului s.a.m.d. Dar la prima vedere, protocolul aplicat in cazul mentionat mai sus pare sa fi fost suficient de robust, desi nu cunoastem detaliile. Cu toate acestea, intamplarea a avut loc, iar consecintele sunt deja cunoscute: demisii, imagine sifonata a ministerului si a guvernului, costuri cu inlocuirea subiectelor de istorie etc. Se ridica intrebarea de ce ziaristul nu a trezit nici un fel de suspiciuni? Cum a reusit sa insele vigilenta responsabililor cu securitatea documentelor de examen?
Raspunsul tine de veriga cea mai vulnerabila a oricarui protocol: factorul uman. In toate zonele critice ale protocoalelor de securitate dar si in cazul procedurilor de securitate (actiunile intreprinse in situatii atipice, cand apar evenimente de securitate) factorul uman joaca un rol vital. Fie ca este vorba de personalul de paza care trebuie sa legitimeze persoanele straine, fie ca identificarea si autentificarea se fac in mod automat (prin cititoare de carduri sau de amprente, de exemplu), iar personalul de paza reactioneaza doar in caz de acces neautorizat, omul este implicat in toate aspectele unui protocol. Omul face ca un protocol sa functioneze, dar totodata ii poate limita eficacitatea.
Si totusi, vedem zilnic cum sunt incalcate aceste reguli: monitoare ale sistemelor de videosupraveghere in fata carora nu se afla nimeni, agenti de paza care parasesc postul pentru a fuma o tigara sau pentru a sta de vorba cu un cunoscut, legitimarea superficiala a vizitatorilor, usi mentinute deschide pentru aerisire, chei lasate la loc vizibil etc. Cauza acestui tip de comportament este mai profunda si tine de firea umana. Oamenii sunt predispusi la uitare si comoditate, rutina le slabeste vigilenta, sunt excesiv de optimisti cu privire la sansele de materializare a evenimentelor negative, pot fi atinsi de microbul lacomiei ori sunt santajabili.
Totusi, mai exista sperante pentru a limita riscurile cauzate de aceasta vulnerabilitate primara. Un prim aspect il constituie regulile obligatorii, adica reguli astfel concepute si implementate incat sa nu poata fi ocolite de catre personalul care asigura securitatea. Deoarece oamenii pot fi foarte creativi, acest lucru este extrem de dificil de realizat.
Redundanta, numita si aparare stratificata sau in profunzime, presupune existenta mai multor filtre sau nivele de control. Totusi, oamenii sunt inclinati sa-si reduca nivelul de vigilenta stiind ca mai sunt si altii insarcinati cu paza. In cazul petrecut la MEC, existenta a trei filtre succesive nu a fost de nici un folos, fiindca fiecare s-a bazat pe cel dinainte ca isi face treaba.
Instruirea personalului cu privire la riscurile posibile este un foarte util mijloc de constientizare. Nivelul de vigilenta se reduce rapid in timp, dar frecventa si calitatea instruirilor face ca acest nivel sa ramana la o valoare acceptabila, indeosebi daca se folosesc studii de caz convingatoare. Intr-un dialog dintr-un film artistic, un personaj ii reproseaza sefului serviciului de securitate al unei companii ca exagereaza cu suspiciunile, fara sa aiba motive. Raspunsul este elocvent pentru starea de spirit necesara in domeniul securitatii: Sunt platit tocmai pentru a fi suspicios cand ceilalti nu au motive sa fie.
Testarea protocoalelor este extrem de importanta pentru asigurarea eficacitatii acestora. Se poate face initial o testare virtuala, bazata pe scenarii, dar este obligatorie si testarea reala. Aceasta din urma are un dublu scop: poate scoate in evidenta brese care au scapat in etapa de conceptie si mentine un nivel ridicat de vigilenta al personalului de paza. Esentiala in ambele tipuri de testare este imaginatia, deoarece experienta nu poate proba robustetea protocolului decat fata de atacuri care au mai fost utilizate in trecut. Dar protocolul trebuie sa fie suficient de flexibil si solid pentru a putea face fata si unor atacuri de tip nou, pe care le-ar putea incerca un atacator foarte inteligent. In cazul petrecut la MEC, nimeni dintre responsabilii cu securitatea plicurilor cu subiecte nu si-a imaginat ca cineva ar putea incerca un atac de felul celui petrecut. Aceasta din cauza ca astfel de lucruri se intampla rar si pentru ca majoritatea oamenilor sunt optimisti si refuza sa se gandeasca ca ar putea sa li se intample lor ceva rau: N-o sa am eu ghinionul sa mi se intample tocmai mie si tocmai astazi! Ne gandim la eventualitatile neplacute ca la o posibilitate vaga, indepartata, iar disconfortul provocat de astfel de ganduri este prea greu de suportat. Tactica strutului face viata mai suportabila... pana in clipa in care loveste dezastrul.
Solutia este comutarea mentala intr-o stare de pesimism impus, care, din pacate, este greu de pus in practica pentru majoritatea oamenilor, deseori chiar si pentru profesionistii din domeniul securitatii. In felul acesta ne fortam sa vizualizam riscurile, sa le evaluam gravitatea si probabilitatea. Numai o astfel de gandire poate garanta conceperea de protocoale si proceduri de securitate care sa reduca riscurile in mod real.
In fine, un protocol de securitate inteligent faciliteaza investigarea posteveniment, astfel incat sa se poata invata ceva din esecuri si sa ajute la evitarea erorilor in viitor. O camera video care sa supravegheze incaperea unde avea loc inmanarea plicurilor cu subiectele, pe langa rolul de descurajare a tentativelor de frauda, ar fi permis si analiza ulterioara e modului in care s-au petrecut lucrurile. In plus, imaginile inregistrate ar fi putut fi folosite ulterior ca material didactic pentru instruirile de securitate ulterioare.
In concluzie, reducerea riscurilor de securitate presupune conceperea de protocoale si proceduri care sa tina cont de factorul uman, de deficientele inerente ale oamenilor. O atitudine proactiva in abordarea protocoalelor poate reduce mult sansele de reusita ale atacurilor, chiar daca nu poate oferi o garantie absoluta privind securitatea.
Alexandru Iacob Inoventis SRL
Acest material poate fi preluat doar cu mentionarea sursei: Siguranta.ro
