NEED-TO-KNOW.

Principiu de bază privind securitatea informaţiilor clasificate

0
 „Linia de demarcaţie dintre spionajul public şi cel
privat va continua să devină tot mai difuză. Odată cu proliferarea
companiilor multinaţionale, multe dintre acestea îşi dezvoltă
propriile reţele informative…În paralel cu acţiunile “para-
informative” din străinătate, se desfăşoară recenta propagare a
aşa-numitelor unităţi de “informaţii competitive” din industria
internă…concepute să opereze în limitele legii şi care aplică, cel
puţin la un nivel rudimentar, multe dintre aceleaşi metode şi
talente folosite de unităţile informative ale guvernului.
Posibilităţile unor legături neoficiale cu guvernul sporesc, odată
ce aceste firme de afaceri angajează foşti spioni şi analişti...”

(Alvin Toffler)

Din momentul în care aveţi autorizaţie de acces la informaţii clasificate, v-aţi asumat
responsabilitatea de a proteja şi controla respectivele informaţii. Dvs. veţi manifesta atenţie
pentru ca informaţiile clasificate să nu fie compromise (multiplicate sau publicate prin modalităţi
neaprobate) sau să fie diseminate către persoane neautorizate.
Astfel, art. 173, alin.2 din Standardele naţionale de protecţia a informaţiilor clasificate,
aprobate prin HG 585/2002, stipulează că „toate persoanele care gestionează informaţii
clasificate au obligaţia să cunoască reglementările privind proiecţia informaţiilor clasificate şi
procedurile interne de aplicare a măsurilor de securitate specifice”, iar art.170, alin.4 că “toate
persoanele încadrate în funcţii care presupun accesul la informaţii clasificate trebuie să fie
instruite temeinic, atât în perioada premergătoare numirii în funcţie, cât şi la intervale
prestabilite, asupra necesităţii şi modalităţilor de asigurare a protecţiei acestor informaţii”.
Regula need-to-know este unul din principiile fundamentale ale securităţii. Aplicarea
regulii limitează pierderile pe care le poate provoca o persoană autorizată pentru acces la
informaţii clasificate, în momentul în care este implicată în activităţi ilegale de transmitere de
informaţii. De cele mai multe ori, un eşec în implementarea principiului need-to-know are
consecinţe nefaste asupra funcţionării şi obiectivelor organizaţiei.
În Standarde, termenul de need-to-know este definit ca principiul conform căruia accesul
la informaţii clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea
îndatoririlor de serviciu, trebuie sa lucreze cu astfel de informaţii sau să aibă acces la acestea;
rezultă astfel un mod condiţionat - îndeplinirea îndatoririlor de serviciu, deci accesul la diferite
categorii de informaţii clasificate nu va fi permis numai pe baza funcţiei, poziţiei sau

1
autorizaţiei de acces. De altfel, şi măsurile de protecţie a personalului au drept scop să
garanteze că informaţiile secrete de stat sunt distribuite deţinătorilor de certificate de
securitate/autorizaţii de acces, cu respectarea principiului need-to-know.
Există unele contexte organizaţionale mai sensibile în care este necesar să demonstraţi
atenţie şi prudenţă:
- situaţiile dificile apar când dialogaţi cu diverşi colegi care au fost implicaţi în proiecte la
care lucraţi dvs în prezent, şi care au avut acces la diferite informaţii clasificate. Pentru
respectivii colegi nu mai este necesar să fie puşi în temă referitor la datele actuale din proiecte,
întrucât au sarcini profesionale diferite şi nu mai prezintă need-to-know.
- principiul need-to-know se aplică şi situaţiilor în care se introduc date în
computer/reţeua informatică – asiguraţi-vă că există necesitatea ca informaţiile să fie vizualizate
de către toate persoanele care au aprobarea de se conecta la sistem (pentru un individ este
necesar să aibă acces numai la informaţiile din computerul personal, dar nu şi din serverul din
reţea)
Principiul need-to-know impune o responsabilitate în dualitate – respectiv în ceea ce vă
priveşte pe dvs, dar şi în raport cu celelalte persoane care sunt autorizate pentru acces la
informaţii clasificate.
o Atunci când vă realizaţi sarcinile profesionale, există ideea că vă veţi limita
solicitările numai la informaţiile pentru care aveţi need-to-know. Dacă nu vă
încadraţi în această condiţie, ar trebuie să vă aşteptaţi să explicaţi şi să justificaţi
need-to-know-ul pentru alte categorii de date pe care le cereţi.
o În mod uzual, se aşteaptă ca dvs să vă asiguraţi că atunci cînd transmiteţi
informaţii clasificate, respectiva persoană are în mod legitim need-to-know. În
unele cazuri va fi necesar să adresaţi diverse întrebări persoanei pentru a avea
suficiente date care să vă fundamenteze decizia că există need-to-know şi să
transmiteţi informaţii clasificate.
Din punct de vedere psihologic, regula need-to-know este dificil a fi pusă în practică,
pentru că intră în contradicţie cu tendinţa naturală a individului de a socializa (a crea relaţii de
prietenie). Totodată, se corelează cu anumit nivel al unei responsabilităţi individuale, iar în cazul
multor indivizi o astfel de responsabilitate este dificil de acceptat. Dar importanţa de a limita
diseminarea de informaţii clasificate către persoanele care prezintă need-to-know în raport cu
factori de suficienţă şi relevanţă pentru realizarea sarcinilor profesionale este demonstrată de
efectele grave pe care le produce o persoană autorizată care se implică în activităţi ilegale de
transmitere de informaţii.

2
 În acest acontext, diferite tendinţe naturale ale individului sunt exploatate de către cadre
străine de informaţii prin tehnica culegerii subtile de informaţii, pentru că:
- cei mai mulţi indivizi vor să fie politicoşi şi să furnizeze sprijin, astfel încât răspund la
întrebări (chiar şi din partea unor persoane necunoscute);
- vrem să părem informaţi/competenţi în domeniul profesional propriu, astfel încât apare
tentaţia de a dezvălui mai mult decât este necesar;
- vrem să fim apreciaţi şi să demonstrăm că ceea ce facem este important şi util. Ca
urmare, devenim mult mai expansivi şi facem referiri extinse şi argumentate referitor la valoarea
muncii desfăşurate;
- ca indivizi deschişi şi corecţi, avem impresia că nu este adecvat să păstrăm numai
pentru noi informaţiile, să minţim sau să fim suspicioşi cu privire la motivaţiile altor persoane.
În mod sigur prezentaţi interes prin prisma valorii informaţiilor, a persoanelor şi
locurilor la care aveţi acces. Cu cât este mai semnificativ accesul pe care îl aveţi, cu atât este mai
probabil să fiţi selectat pentru un contact iniţial, evaluare, şi (dacă sunteţi susceptibil) pentru
recrutare. Valoarea dvs pentru o structură informativă adversă nu este condiţionată în mod
exclusiv de funcţie sau poziţia ierarhică. Personalul auxiliar - secretarele, operatorii de date şi
personalul administrativ (de întreţinere) pot crea circumstanţe pentru acces la informaţii foarte
valoroase. În mod normal, există ideea că este foarte evident că probabilitatea de a fi în atenţie
este direct proporţională cu accesul direct la informaţii de valoare – dar personalul informativ
advers este sub presiunea de a recruta agenţi, succesul profesional (cariera) constă în acest ultim
lucru, iar esenţial este să evite să fie demascat. De regulă, persoanele care au acces la informaţii
de valoare sunt în atenţia serviciului de contraspionaj (şi au un salariu corespunzător), iar ca
rezultat este foarte probabil ca serviciile de informaţii străine să urmărească cea mai uşoară, cea
mai disponibilă ţintă, decât să rişte alegând-o pe cea mai valoroasă.
Vă întrebaţi dacă aţi devenit “o ţintă”? Singurul lucru de care puteţi fi sigur este că
sunteţi un o ţintă potenţială dacă aveţi acces la informaţii clasificate/sensibile. De aceea este
important să manifestaţi atenţie la ceea ce spuneţi când vorbiţi.
Printre erorile care favorizează scurgerea informaţiilor clasificate sunt discuţiile purtate
de unii şefi cu cei din jurul lor, pentru a le dovedi acestora că sunt “cineva”, discuţii care pot
conduce la divulgări grave. La fel, pălăvrăgeala celor care au lucrat la redactarea unor materiale
pentru conducere (secretare, dactilografe, personal din compartimentele de editare şi
multiplicare) constituie sursa unor dezvăluiri involuntare riscante.
Astfel, o regulă implicită este că persoana autorizată va demonstra autocontrol (prudenţă)
în ceea ce priveşte discutarea unor aspecte profesionale confidenţiale în sala de mese, cafenele,

3
lift sau în zone pentru fumat, unde conversaţiile pot fi auzite de către persoane care nu prezintă
need-to-know-ul.
Aveţi posibilitatea să vă exprimaţi şi să vă completaţi orizonturile profesionale şi
personale întâlnindu-vă cu diferite persoane străine, dar se recomandă să aplicaţi principiul că nu
toate persoanele cu care vă întâlniţi au cele mai bune intenţii. De aceea, urmaţi aceste reguli:
 Nu vorbiţi niciodată despre activitatea profesională (chiar şi cu prezentarea unor date
parţiale) - este exact ce se aşteaptă.
 Când sesizaţi că dialogul atinge o zonă sensibilă, schimbaţi pur şi simplu subiectul sau
ignoraţi orice întrebare insistentă nepotrivită. Nu sunteţi obligat să spuneţi nimănui
lucruri pe care nu trebuie să le cunoască.
Pentru a descuraja pe cineva care pare prea insistent să discute informaţii sensibile sau să
stabilească o întâlnire privată cu dvs, menţionaţi că trebuie să primiţi aprobare de la
departamentul protectiv al organizaţiei dvs - e ultimul lucru pe care un cadru de informaţii străin.
De obicei, se retrage pentru că nu vrea să se afle de intenţia sa de a stabili un contact cu dvs.
Dacă faceţi parte din structura de securitate, pentru a vă proteja informaţiile clasificate
prin efortul personalului instituţiei, se recomandă: a) să instruiţi angajaţii asupra mijloacelor de
operare în culegerea de informaţii şi stabiliţi o modalitate de informare cu privire la respectivele
evenimente, b) să monitorizaţi activitatea vizitatorilor străini pentru a stabili existenţa unor
indicii referitoare la încercări de recrutare de personal, c) să aveţi o discuţie cu angajaţii care şi-
au încheiat contractul de muncă, despre responsabilităţile legale ce le revin în continuare pentru
protecţia informaţiilor clasificate la care au avut acces şi c) să stabiliţi reguli interne referitoare la
contactele cu foştii angajaţi ai companiei.
Având în vedere că principiul need-to-know este un element component al politicii de
securitate, se recomandă construirea unui program în ceea ce priveşte educaţia de securitate, care
să se adreseze personalului autorizat, dar şi persoanelor pentru care se anticipează că vor lucra cu
informaţii clasificate. Un astfel de program va fi alcătuit astfel încât: a) să prezinte personalului
care sunt consecinţele negative asupra securităţii naţionale care rezultă din diseminarea
neautorizată a informaţiilor secete de stat, respectiv responsabilitatea individuală, morală şi
legală a protecţiei acestor informaţii, b) să informeze personalul cu privire la tehnicile utilizate
de serviciile de informaţii adverse în culegerea de informaţii şi responsabilităţile care revin
atunci când sunt identificate astfel de activităţi. Modul în care un individ reuşeşte să aplice
cerinţele de securitate – inclusiv principiul need-to-know este direct proporţional cu gradul de
conştientizare şi înţelegere a respectivelor cerinţe.
La modul general, un program de securitate se bazează pe următorii factori: training,
educaţie, asumare (conştientizare) şi motivare (modelul TEAM).

4
Training: pune la dispoziţie cunoştinţe şi formează capacitatea practică a individului de a-şi
realiza atribuţiile specificate în program în condiţii de eficienţă şi calitate. Se răspunde la
întrebările CINE, CE, CÎND, CUM, nu şi la DE CE.
Educaţia: este un instrument prin care indivizii înţeleg principiile obiectivele şi raţionalitatea
securităţii. Educaţia răspunde la întrebarea DE CE – indivizii vor investi mai mult în ceva cu
care sunt familiarizaţi şi sesizează avantajele.
Asumare (conştientizare): una din cele mai eficiente moduri de a-I învăţa pe indivizi despre
securitate este prezentarea de cazuri reale. Astfel, se construiesc mecanisme de identificare a
ameninţării şi de aplicare a principiilor de apărare.
Motivaţie: a face în aşa fel încât indivizii să pună în practică variantele pozitive de răspuns la
apariţia unor ameninţări şi să depună efort pentru eficientizarea politicii de securitate.
Persoanele autorizate pentru acces la informaţii clasificate trebuie să fie conştiente că
au obligaţia de a asigura confidenţialitatea datelor respective, să păstreze materialele
clasificate în zone de securitate adecvate, să verifice dacă o persoană care solicită informaţii
clasificate are autorizaţie de acces şi prezintă need-to-know, respective să urmeze procedurile
interne existente pentru a se preveni accesul persoanelor neautorizate la informaţii secrete de
stat.

5
Bibliografie
1) Alexandrescu, Florin, Micle, Mihai-Ioan. (2002). Tehnici de pregătire şi protecţie psihologică
a persoanei. Bucureşti:
Editura ARPT
2) Dewerpe, Alain (1998). Spionul. Antropologia secretului de stat contemporan. Bucureşti:
Editura Nemira
3) Melton, H. Keith, Piligian, Craig şi Swierczynski, Duane. (2003). The Spy’s Guide: Office
Espionage. Philadelphia:
Quirk Productions
4) Military Personnel Security Program (ComDtinst M5520.12B) – U.S. Departament of
Transportation (United States
Coast Guard)
5) Onişor, Constantin – Comunitatea de informaţii a României, Note de curs, ANI, 2008
6) Personnel Security Program (1988) – Headquarters Departament of the Army, Washington DC
7) Winkler, Ira. (1997). Corporate Espionage: what it is, why is happening in your company,
what you must do about it.
USA: Prima Publishing

www.article19.org/pdfs/standards/righttoknow.pdf
www.orniss.ro/en/353e_G.html