SECURITATE: Atacuri din interior

Pe măsură ce volumul incidentelor raportat către Serviciul de Informații Incidente (IIS) al TAPA crește și vin informații din tot mai multe țări din lume, se remarcă mai multe tendințe, cum ar fi cazurile rezultate în urma unui „modus operandi” intern. „Atacul intern” clasic reprezintă o provocare pentru orice companie, în special pentru cele în care angajații au acces la bunuri de înaltă valoare, vizate în mod curent de către hoți.

165.000 EUR – valoarea medie a pierderilor în cazul furturilor de marfă pentru care s-a raportat ca modus operandi (MO) o acțiune din interior, în prima jumătate 2019

Desigur, personalul care este tentat să încalce legea re prezintă o minoritate foarte mică, dar impactul pierderilor poate fi foarte mare. Recent publicatul „Raport Anual privind Furturile de Marfă”, ediția 2019, realizat de către BSI și TT Club și citat de către Vigilant, buletinul informativ al TAPA EMEA, oferă mai multe detalii și câteva sfaturi importante despre acest aspect, considerat a fi o „vulnerabilitate comună”.

Angajații reprezintă cea mai importantă resursă a unei organizații, dar, în anumite cazuri, pot reprezenta și un risc intern important. Pe măsură ce organizațiile implementează măsuri din ce în ce mai sofisticate de securitate fizică, procedurală și cibernetică, recrutarea unor „agenți” din interior de vine o opțiune din ce în ce mai atrac tivă pentru cei care încearcă să aibă acces la informații.

Centrul Guvernamental pentru Protecția Infrastructurii Naționale din Marea Britanie (CPNI) definește un astfel de „agent” ca „o persoană care exploatează sau are intenția de a exploata accesul pe care îl are la resursele unei organizații, în scopuri neautorizate.”

Un „agent” intern poate fi angajat cu normă întreagă sau parțială, contractor sau, chiar, partener de afaceri. Acesta poate căuta în mod deliberat să se alăture unei organizații pentru a lucra din interior sau poate fi determinat să acționeze la un anumit moment, în timp ce este deja angajat.

De asemenea, angajații pot declanșa involuntar riscuri de securitate, prin ignorarea regulilor sau prin încălcarea lor deliberată, din cauza presiunii la care sunt supuși la locul de muncă.

79 – numărul de incidente raportate către IIS în primele șase luni din 2019 cu MO din interior.

Tipuri de acțiuni

Studii oficiale arată că există cinci mari tipuri de acțiuni din interior:

• dezvăluirea neautorizată de informații sensibile

• corupție la nivelul proceselor

• facilitarea accesului unor terțe părți la resursele organizației

• sabotaj fizic

• sabotaj electronic sau IT.

Cele mai frecvente tipuri de acțiuni identificate sunt dezvăluirea neautorizată de informații sensibile (47%) și corupția proceselor (42%).

Informațiile demografice indică faptul că, în cea mai mare parte, „agenții” sunt bărbați (82%) și că 49% dintre cazuri au apărut pe grupa de vârstă 31-45 de ani.

Studiul citat a mai arătat că:

• majoritatea acțiunilor au fost făcute de către personal permanent (88%), numai 7% de către contractori și 5% de angajați temporari

• durata acestor acțiuni a fost cuprinsă între mai puțin de 6 luni (41%) și peste 5 ani (11%)

• mai mult de jumătate din cazuri au fost identificate în primul an

• 60% dintre cazuri au implicat indivizi care lucrau la companiile respective de mai puțin de 5 ani

• cele mai multe cazuri din cadrul studiului au fost inițiate chiar de către „agent” (76%), cele de infiltrare deliberată deținând doar 6%

• câștigurile financiare au reprezentat cea mai comună motivație primară (47%).

Recrutare și managementul personalului

Atât personalul mobil (șoferul), cât și cel nonmobil poate reprezenta un risc potențial de securitate într-o companie. Dacă angajarea s-a realizat cu veri ficarea antecedentelor, riscurile de securitate scad substanțial.

Salariul regulat ar trebui, în mod normal, să re zulte în creșterea loialității față de an gajator și reducerea riscului de furt. Investigațiile înainte de angajare vi zează verificarea referințelor candidaților și a măsurii în care îndeplinesc condițiile de angajare.

23 – numărul țărilor care au raportat cazuri de acțiuni din interior, în primele șase luni ale anului 2019.

Atunci când se realizează aceste verificări, trebuie stabilit dacă potențialul angajat a ascuns informații importante sau s-a prezentat într-o lumină falsă.

Scopul investigațiilor pre-angajare este de a obține informații despre potențialii angajați sau despre cei existenți (în cazul unor promovări sau schimbări de poziție în cadrul unei or ganizații) și de a utiliza aceste informații pentru a identifica persoanele care ar putea reprezenta un risc de securitate.

3,4 mil. EUR – cea mai mare valoare a unei pierderi singulare în urma unei acțiuni din interior în primele 6 luni ale anului

În cadrul unui „screening” inițial, ope ratorii ar trebui să colecteze următoarele informații pe care, dacă persoana respectivă este angajată, departamentul de resurse umane va trebui să le actualizeze în permanență:

• adresa de domiciliu

• detalii de contact (pot fi verificate?)

• dovada adresei și a identității (factură utilități?)

• copie de pe permisul de conducere sau de pe certificatul de operare pentru echipament

• contact în caz de urgență

• referințe pentru ultimii 5 ani

• cazier judiciar pentru fiecare țară în care a locuit în ultimii 5 ani 

• (eventual) o verificare a creditelor încheiate.

9,5 mil. EUR – valoare totală a pagubelor rezultate în urma unor acțiuni din interior, în primele șase luni ale anului 2019.

Monitorizarea permanentă a personalului

În timp ce verificările inițiale se asi – gură că o organizație angajează personal de încredere, totuși, oamenii, atitu dinile lor și circumstanțele se pot schimba, fie gradual, fie ca reacție la anu mite evenimente.

Studiile arată că 75% dintre acțiunile interne au fost făcute de către persoane care nu aveau intenții rele la angajare, dar care și-au schimbat optica în timp. În multe cazuri, angajatul care a între prins un astfel de act se afla în cadrul organizației respective de mai mulți ani.

Astfel, ar trebui realizate evaluări regulate de performanță. În timp ce performanțele pot fi administrate mult mai atent, schimbările de circumstanțe în ceea ce privește angajații pot fi identificate în cadrul unui proces care poate include, dar nu se limitează la: schimbări în relațiile personale, schimbarea adresei, schimbări în situația financiară sau schimbări ale abilităților de a-și exer cita rolul, cum ar fi sus pen darea permisului de conducere etc.

În timp ce toate acestea se pot aplica tuturor angajaților, personalul de securitate, în mod particular, poate deveni vulnerabil atunci când se schimbă circumstanțele – poate fi integritatea lor compromisă prin mită, de exemplu?

În timp ce acest studiu se concentrează în special pe riscul de furt de marfă, principiile identificate pot viza și riscurile de furt de vehicule, de trailere, de șasiuri, de containere, de identitate sau de combustibil.

În ceea ce privește personalul mobil (șoferii), în practică, acestora li se dă acces complet la:

• un autovehicul (și trailer/con tai – ner) sau un bun foarte valoros, de până la 100.000 de euro

• informații valoroase despre compa nie/client/încărcătură

• marfa în sine, care poate fi foarte valoroasă

• reputația companiei, fiind reprezentanții acesteia în fața clienților.

Angajații temporari

În orice afacere, vor exista inevitabil perioade de vârf, situații în care este necesară angajarea temporară de personal, uneori chiar foarte „din scurt”.

Acestea sunt situațiile în care operatorii trebuie să aibă implementat un proces foarte robust. Presiunea comercială și operațională nu ar trebui să înlăture necesitatea realizării unor verificări preliminare atente, în special să se afle dacă persoanele vizate au fost concediate anterior și care au fost motivele.

Atunci când este folosită o agenție de recrutare, asigurați-vă că înțelegeți complet și sunteți mulțumiți de procedu rile lor de verificare. Ce anume verifică și în ce mod? Sunt capabili să vă satisfacă cerințele înainte ca angajatul temporar să ajungă la dumneavoastră? Care sunt termenii și condițiile agenției? Oferă vreo acoperire de responsabilitate dacă unul dintre angajații temporari pe care îi furnizează fie nu este capabil să își realizeze sarcinile, fie cauzează pierderi din neglijență?

Controale de management

Fără a fi exhaustivă, iată o listă a elementelor cheie care trebuie controlate:

• Angajații dvs. au acces la premise le, sistemele sau datele clienților? În ce măsură și pe ce bază este necesar și acordat acest acces? Clientul are cerințe de securitate? Sunteți în stare să îndepliniți, administrați și să controlați aceste cerințe pentru personalul respectiv?

• Accesul la uniforma companiei. Adesea, este preferabil ca atât personalul permanent, cât și cel temporar să poarte uniforma companiei. De la recunoașterea mărcii, la perspectiva satis facerii clienților, acest lucru poate fi benefic. Dar trebuie să se acorde atenție controlului asupra acestor unifor me. De exemplu, ar putea un angajat temporar să folosească uniforma pentru a reprezenta în mod fals com – pa nia, pentru acces la premise, vehicule sau marfă?

• Acces la legitimații de serviciu.

Legitimațiile de identificare sunt implementate ca măsuri de control de securitate. Unele dintre acestea pot oferi acces la zone cu acces restricționat. Trebuie luate în considerare controale stricte pentru monitorizarea și administrarea acestor legitimații. Este posibil ca angajații să utilizeze legitimațiile altora? Angajații temporari au ne voie de o legitimație de acces com – plet, sau li se limitează accesul? Aveți în vedere un sistem anonim de raportare care să permită personalului să semnaleze incidentele de securitate sau problemele pe care le au. Această sursă de informații poate fi extrem de valoroasă pentru operator, pentru o mai bună înțelegere a riscurilor existente în cadrul personalului.

Social media și comunicațiile

Social media reprezintă un risc de securitate în creștere. În special în rândul personalului mobil, aplicațiile social media sunt folosite în mod frecvent ca modalități de a ține legătura cu prietenii, familia și colegii. Toate postările, însă, sunt sensibile la localizare și au potențialul de a divulga o serie de date valoroase de securitate.

Dacă includ data, ora și locația pot, de exemplu, să arate că șoferul nu se află la bordul vehiculului. Personalul non-mobil este, la rândul său, susceptibil de astfel de riscuri și este capabil să împărtășească, fără voie, informații valoroase. Dacă, de exemplu, se laudă prietenilor că descarcă un container cu bunuri valoroase sau ultimul răcnet în materie de jocuri video, acest lucru are potențialul de a atrage atenția eventualilor hoți.

În timp ce poate fi greu să restricționeze personalul în a folosi platformele de social media, operatorii ar trebui să se gândească să organizeze traning-uri de creștere a conștientizării riscurilor de împărtășire a informațiilor și a modului în care acestea pot fi folosite, în cazul în care încap pe mâinile cui nu trebuie.

Dar nu este indicat să uităm nici de metodele tradiționale de comunicare. Training-urile trebuie să aibă în vedere și riscurile de divulgare involuntară a informațiilor către străini. Conversațiile cu terți despre marfa pe care o manipulați sau transportați, sau despre încărcările regulate dintr-un anumit loc, despre întârzierile suferite într-o anumită locație pot fi valoroase pentru structurile de crimă organizată. Nu puteți ști niciodată cine vă ascultă conversațiile!

La nivel operațional, informațiile despre ce marfă se află în ce camion trebuie protejate oricând este posibil. Această informație este extrem de valoroasă. În timp ce este foarte util ca do cumentele care vizează aceste aspecte să se afle la îndemână în dispe – cerat, nu puteți ști ce vizitator poate să le vadă întâm plă tor. Și nici dacă intențiile sale sunt oneste. Aceste informații și documente ar trebui ferite de privirile publicului ori de câte ori este posibil.

31 din cele 79 de incidente s-au produs prin atacuri asupra camioanelor aflate în cursă.

Instrucțiunile sunt o parte critică a procedurilor de management al securității, în special în ceea ce privește personalul temporar. În timp ce ar trebui, în general, să fie mai prudent să oferi doar un minimum de informații posibil pentru realizarea unei anumite sarcini, instrucțiuni clare ar trebui să fie furnizate în ceea ce privește:

• rutele

• procesele privind documentația

• procesele și așteptările privind comunicațiile

• procedurile companiei în ceea ce privește securitatea. Oferirea unei game mai largi de informații, inclusiv legate de securitate, ar trebui evitată pe cât posibil.

De exemplu, informațiile privind localizarea camerelor de supraveghere pot fi foarte dăunătoare, de asemenea, cele despre momentele în care echipamentele de securitate sunt dezafectate sau în operațiuni de întreținere. Iar orice slăbiciuni cunoscute în ceea ce privește securitatea – un gard rupt sau o poartă inoperabilă – trebuie supravegheate cu strășnicie.

De asemenea, trebuie „păzite” cu atenție și informațiile privind speci fi cația vehiculelor și echipamentele aces tora. De exemplu, dacă departa mentul de men tenanță dezvăluie involuntar informații despre tehnologia de securitate montată pe camion, acest lucru genera vulnerabilități.

Localizarea unor elemente precum dispozitivele de urmărire GPS sau a surselor lor de alimentare poate fi foarte valoroasă pentru cineva care are intenția să fure marfa sau vehiculul.

În ceea ce privește personalul din de pozite, deși profilul se schimbă puțin, majoritatea principiilor menționate rămâne valabilă.

sursa: Vigilant

traducerea și adaptarea: Raluca MIHĂILESCU

raluca.mihailescu@ziuacargo.ro

LĂSAȚI UN MESAJ

This site uses Akismet to reduce spam. Learn how your comment data is processed.