O tema da ameaça interna é um dos mais problemáticos da segurança de informação, poder-se-á minimizar o risco investindo no rigor da investigação para conceção de credenciação, investindo na formação do pessoal credenciado, mantendo-o a par das ameaças e métodos e mantendo uma vigilância apertada com atenção à alteração comportamental dos elementos credenciados. O fator chave da segurança contra a ameaça interna é sem qualquer dúvida o fator humano.

O primeiro passo será a condução da investigação para a credenciação de forma rigorosa seguindo o disposto no normativo em vigor como o da OTAN (ANNEX 1 AC/35-D/2000-REV7 parágrafos 3, 8, 9, 11, 12 e 13), EU (Decisão da Comissão 2015/444 art.º 11º e Decisão da Comissão 2013/488 Anexo I Secção III) e nacional (SEGNAC 01 4.2.4.2.1).

Esta investigação rigorosa terá como objetivo detetar os fatores de risco e garantir lealdade, a idoneidade e a fiabilidade de uma dada pessoa para efeitos de atribuição de uma credenciação de segurança. Poderá detetar também se determinado individuo já terá sido abordado anteriormente por serviços de informação estrangeiros, nomeadamente durante a sua formação académica

O segundo passo será formação e briefings, é crucial manter o pessoal ciente das suas responsabilidades, morais e legais, o panorama situacional dos serviços de informação estrangeiros, as formar e técnicas com que pode ser abordado, e o que deve estar atento em seu redor para detetar possíveis aproximações ou potenciais perigos dentro da organização. Estas atividades já estão previstas no normativo em vigor, como o da OTAN (ANNEX 1 AC/35-D/2000-REV7 parágrafos 25, 26 e 27), EU (Decisão da Comissão 2015/444 art.º 12º e Decisão da Comissão 2013/488 Anexo I Secção IV) e nacional (SEGNAC 01 4.2.3)

O terceiro passo será a vigilância permanente do pessoal, nomeadamente entre os pares de forma detetar mudanças comportamentais que possam causar desconfiança que algo se passou. Todos os alertas deverão ser investigados e não menosprezados. Se necessário dever-se-á tomar as medidas descritas no normativo em vigor como o da OTAN (ANNEX 1 AC/35-D/2000-REV7 parágrafo 23), EU (Decisão da Comissão 2015/444 art.º 11º pontos 9, 10 e 11 e Decisão da Comissão 2013/488 Anexo I parágrafos 23, 24 e 25) e nacional (SEGNAC 01 4.2.4.8).

Em primeiro lugar temos de analisar como é que os elementos que efetuam a espionagem, quer seja ela industrial ou militar, são recrutados. Normalmente os recrutadores tentam explorar as fraquezas de os indivíduos fazendo chantagem (o mais comum se os indivíduos têm vícios), intrusão nos sistemas eletrónicos dos alvos, aliciando diretamente o alvo, através de engenharia social, e outros métodos de contato pessoal.

Porquê que isto é tão eficaz? Quando um aliciador experiente aborda um colaborador que não está ciente, explora as tendências humanas naturais como.

  • O desejo de ser simpático e útil a estranhos ou parceiros de negócios;

  • O querer parecer bem informado sobre a sua área de especialidade;

  • A tendência de desenvolver tópicos sobre os quais está á vontade quando corretamente encorajado;

  • Subvalorizar a informação que está a dar;

  • A tendência de acreditar que os outros são honestos.

No âmbito profissional, normalmente têm fachada de uma empresa da área, e há a tendência do colaborador querer deixar boa impressão para deixar a porta aberta aos possíveis negócios e criar relações de confiança.

Estas abordagens de engenharia social podem ser facilmente contrariadas se os colaboradores estiverem cientes de que podem acontecer, fundamentalmente estarem atentos e pensarem antes de falar não dando informações de caracter confidencial por mais trivial que pareça ser.

Outro método de recrutamento também utilizado é nas faculdades com o objetivo de tirar informações de projetos universitários em parceria com a industria, através de alunos estrangeiros que já estão cientes de quem devem abordar ou mais simplesmente por email a pedir ajuda em projetos académicos similares ou pedir papeis científicos para conferências internacionais sobre determinado assunto.

Podem utilizar as crenças religiosa ou políticas dos alunos para os atraírem para ser colaboradores permanentes de um determinado interesse estrangeiro que depois iram entrar, como contratação legítima, numa companhia ou instituição militar que tenha interesse para o recrutador.

Mas tirando a recolha de informação por métodos de engenharia social, que na grande maioria dos casos o colaborador dá a informação não estando ciente, ou a exploração da ciberespionagem nos equipamentos eletrónicos dos colaboradores que levam informação classificada para casa com a finalidade de trabalhar embora contra as políticas de segurança das empresas, como é que eu deteto a ameaça interna?

A ameaça interna são os colaboradores atuais e antigos, empresas contratadas ou parceiros de negócios com acesso ao sistema da empresa que usam o acesso autorizado a informação classificada para benefício próprio ou para ceder a chantagens. Este tipo de ameaça é o que causa mais dano ás empresas e aos Estados.

Como podemos reconhecer esta atividade? A formação dos colaboradores é fundamental neste passo, nomeadamente a vigilância dos pares e a deteção de comportamentos anómalos. Na maioria dos casos conhecidos, quando questionados os colegas admitiram ter verificado algum tipo de comportamento dispare do individuo em questão, mas não reportaram. O reporte é fundamental para se poder acumular indícios e chegar a certezas.

Vários indícios de podem identificar: violação frequente de regras de segurança, não dizer que viajou para o estrangeiro, procurar aceder a matéria que não tem necessidade de conhecer ou de grau superior aos seu; entrar em áreas para as quais não tem autorização; trabalhar em horários não consistente com o seu trabalho e estar sempre a trabalhar sozinho; mudança acentuada comportamental (e.g. depressão, stress na sua vida pessoal), fatores de risco (e.g. jogo, drogas, problemas financeiros); tirar informação para dispositivos móveis não autorizados; manter em sua posse informação classificada quando já não está a trabalhar nela; utilização de meios não classificados para transmitir informação classificada; retirar as marcas da classificação de segurança de documentos, cópias não necessárias de documentos classificados; mostrar radicalismo religioso; expressar lealdade a outro país e outros comportamentos fora do padrão comportamental.

Por este facto as pessoas são o pilar fundamental da segurança, nomeadamente contra ameaças internas, elas são a primeira linha de defesa da organização reportando comportamento suspeito. Todas as denuncias deverão ser registadas e investigadas para não desmotivar o pessoal que faz as denuncias bem como compilar evidências. Para isto a formação e consciencialização é o fator primordial. Outro fator de primordial importância é a vigilância permanente do pessoal por elementos conhecedores de comportamento humano.

No fim, por mais meios de controle e de vigilância que a organização disponha, as pessoas são as pedras angulares e podem fazer desmoronar todos os sistemas de segurança e, em casos extremos, podem fazer cair a própria organização.