Poza MaPN

MInisterul Securității este … insecur.

14 minute • Ana-Maria Udriste • 25 martie 2021


Bineînțeles că nu vorbim despre Ministerul Securității, iar termenul de ”insecur” este folosit în mod incorect, fiind vorba despre termenul ”nesigur”. 

Dar hai să vedem care este problema de fapt și cum s-a ajuns la o asemenea afirmație.

În data de 23.03.2021, Ministrul Apărării, Nicolae Ionel Ciucă, a publicat pe pagina sa profesională de Facebook o serie de imagini din cadrul Academiei Forțelor Terestre „Nicolae Bălcescu”, din Sibiu, pe care o vizitase în cursul zilei de marți, 22.03.2021. 

Toate bune și frumoase până aici și nu este nimic ieșit din comun ca un ministru să publice vizitele pe care acesta le face în mod oficial în cadrul agendei sale. Până la urmă este o chestiune de informare a publicului.

Doar că în unele poze apar și date de acces ale unor conturi și videoconferințe folosite de personalul MApN din Sibiu. Pozele originale au fost șterse de pe pagina profesională a domnului Ministru imediat ce a fost semnalată această problemă pe rețeaua de socializare, dar la o simplă căutare pe internet le putem găsi fără niciun fel de problemă. 

Am blurat noi mai jos datele respective.

Ca să facem o scurtă recapitulare: ministrul Apărării s-a dus în vizită la Academia Forțelor Terestre ”Nicolae Bălcescu” din Sibiu, în cadrul unui eveniment. 

Cel mai probabil, dintr-o sesiune anterioară de formare profesională, au rămas scrise pe tablă anumite informații de acces la anumite videoconferințe interne, parole de acces, numere de telefon etc.

Avem totuși vreo problemă?

De câte ori nu am fost la un curs, seminar sau workshop și ni s-a zis să facem repede o poză la informațiile de pe tablă ca să le avem la îndemână? Destul de frecvent, aș zice. Mai ales dacă vorbim despre volume de date ca să fie ușor accesibile de către toată lumea, ”fără să ne mai batem capul cu parole de acces, mailuri și toate cele”.

Apar totuși mai multe probleme pe care trebuie să le luăm în considerare, dincolo de faptul că în povestea de față protagonist este chiar ministrul Apărării.

Niciodată nu știi pe unde ajung pozele respective

Sigur, poate că nu toate pozele vor ajunge pe rețelele de socializare, dar nici mult nu mai au. Când tu ca participant la un eveniment, curs, workshop faci poze la ceva scris pe tablă, mai ales dacă vorbim despre informații confidențiale (cum ar fi cele de acces), o să dai mai departe pe un grup de Whatsapp către colegii tăi.

Nu mai spun că de cele mai multe ori ai un backup la pozele din telefon care se urcă în Cloud, indiferent că vorbim de Google Cloud, ICloud sau alte asemenea sisteme de backup. 

Mai țineți minte când pe vremea ordonanțelor militare (de acum un an, chiar mai puțin), a fost ridicată problema pozelor pe care agenții rutieri le făceau la declarații și la buletine? Am scris pe larga despre asta aici: Poze cu telefonul: pot ofițerii de poliție să facă poze la declarație și buletin? (avocatoo.ro)

Niciodată nu știi ce face cineva cu o informație

Sigur, a venit imediat un comunicat de presă prin care s-a spus că parolele au fost schimbate și că nu au fost încercări de penetrare din exterior. Hm … putem oare să ne încredem în această informație?

Zic să facem un scenariu: dacă din momentul în care au fost pozele făcute și urcate, cineva a avut acces la aceste informații și a pătruns în sistem fără să lase urme? Pentru că de la momentul la care au fost făcute pozele până în momentul în care au ajuns pe rețelele de socializare a durat ceva. 

De ce zic asta? Pentru că postarea este alăturată unui mesaj din partea domnului ministru, ceea ce înseamnă că cineva a gândit acea postare și a programat-o pentru publicare. Prin urmare, cineva a avut acces mai înainte la acele date.

Dar dacă cineva ar fi avut acces la aceste date preț de câteva ore bune și nu ar fi zis nimic … ? Cine știe la ce informații s-ar fi putut ajunge și care ar fi ajuns ”pe surse” în mass-media sau pe undeva. 

Dar dacă nu știi că ai o breșă?

Respectivele poze au stat în mediul online timp de cel puțin 3 ore.

La ora 06:53 PM au fost inițial publicate, iar la ora 10.11 PM a fost eliminată poza cu pricina.

Avem și un exemplu interesant: în SUA, o breșă de securitate a Guvernului care a început în martie nu a fost descoperită decât abia în … decembrie.

Sigur, comunicatul de presă venit ulterior spune că nu au fost încercări de accesare și că totul este ”safe”. 3 ore sunt mai mult decât de ajuns pentru o persoană pricepută să lase un ”backdoor”.

Ce este un ”backdoor”? Simplu. Îți lași o cale de acces pentru viitor, pe care alte persoane să nu o poată identifica acum pe moment. Dar să poți intra în sistem peste jumătate de an, când totul este deja uitat. 

Cine ar putea răspunde pentru asta?

Lucrurile aici nu stau atât de simplu precum ne-am imagina la prima vedere. Sigur, este o gafă, râdem glumim și gata, o dăm uitării. Însă persoanele care ocupă o funcție în minister sunt funcționari publici, iar asta înseamnă că au anumite îndatoriri și obligații mai speciale, care vin cu această funcție. 

Funcționarul public care se ocupă de partea de comunicare

În general, fiecare minister are un departament de comunicare, conform organigramei. Acest departament de comunicare este cel care se îngrijește de pagina instituției, cum ar fi în cazul nostru pagina Ministerului Apărării.

Dar aici vorbim despre pagina profesională a ministrului Apărării, domnul Nicolae Ionel Ciucă. Cine anume se ocupă de pagina domniei sale? El personal, o persoană desemnată din minister, un consilier? În funcție de aceste răspunsuri vom putea vedea și care ar putea fi sancțiunile.

Să spunem că de comunicare se ocupă un funcționar public din departamentul de comunicare al ministerului. Capitolul V din Codul Administrativ, intitulat ”Drepturi și îndatoriri” are o secțiune specială, respectiv Secțiunea a II-a, unde sunt reglementate îndatoririle funcționarilor publici, fiind intitulat întocmai ”Îndatoririle funcționarilor publici”.

În cadrul acestei a doua secțiuni facem cunoștință cu art. 439, cu denumirea marginală  ”Păstrarea secretului de stat, secretului de serviciu și confidențialitatea” și care are următorul cuprins:

” Funcționarii publici au obligația să păstreze secretul de stat, secretul de serviciu, precum și confidențialitatea în legătură cu faptele, informațiile sau documentele de care iau cunoștință în exercitarea funcției publice, în condițiile legii, cu aplicarea dispozițiilor în vigoare privind liberul acces la informațiile de interes public.”

Așadar, obligația se referă la păstrarea:

  • secretului de stat
  • secretului de serviciu
  • informațiile de care ia la cunoștință ÎN EXERCITAREA funcției publice
  • documentele de care ia la cunoștință ÎN EXERCITAREA funcției publice

Pe scurt, orice înseamnă documente sau informații de care un funcționar public ia la cunoștință în timpul activității și care, potrivit legii, nu sunt de interes public, incubă funcționarului public obligația de păstra confidențialitatea asupra acestora.

Ne putem gândi că informațiile de pe tablă nu sunt secrete de stat, dar sigur intră în una din cele 3 categorii. Reiterez de asemenea faptul că o asemenea obligație este inclusă de cele mai multe ori în contractul de muncă, care se completează cu dispozițiile Codului Administrativ pentru funcționarii publici. Așadar, chiar dacă poate nu scrie în mod expres în contractul de muncă despre o asemenea dispoziție, o regăsim în alt act normativ, cu putere de lege.

Ce sancțiune am putea avea pentru acest funcționar?

Avem și o sancțiune: răspunderea administrativ-disciplinară.

Capitol VIII din Codul Administrativ, intitulat   ”Sancțiunile disciplinare și răspunderea funcționarilor publici” are în cuprinsul său art. 492, cu denumirea marginală ”Răspunderea administrativ-disciplinară”.

În alin. (2) al acestui articol se pot identifica faptele ce sunt considerate abateri disciplinare, printre care, la punctul f: ”nerespectarea secretului profesional sau a confidențialității lucrărilor cu acest caracter”.

Exact cum spuneam anterior, chiar dacă am putea exclude aceste informații din categoria secretelor de stat, în mod cert sunt informații confidențiale de care cineva ia cunoștință în cadrul activități curente.

Derulăm codul și observăm care sunt sancțiunile care pot fi aplicate în caz de abatere disciplinară a funcționarului public. (art. 492, alin. (3))

Sancțiunea corespunzătoare literei f) este mai multe sancțiuni. De ce?

Pentru că art. 492 (3) prevede mai mult tipuri de sancțiuni, iar în funcție de fapta considerată ca fiind abatere disciplinară, se pot aplica mai mult sancțiuni, în funcție de gravitatea situației:

Așadar, pentru nerespectarea obligației de confidențialitate, art. 194 alin. (4) prevede la punctul c), faptul că putem aplica următoarele sancțiuni, prevăzute la art. 194 (3):

c) diminuarea drepturilor salariale cu 10-15% pe o perioadă de până la un an de zile;

d) suspendarea dreptului de promovare pe o perioadă de la unu la 3 ani;

e) retrogradarea într-o funcție publică de nivel inferior, pe o perioadă de până la un an, cu diminuarea corespunzătoare a salariului;

f) destituirea din funcția publică.

Cum se va aplica una dintre aceste sancțiuni?

Ne răspunde tot art. 492, doar că alin. (6), care ne spune că la individualizarea sancțiunii disciplinare se va ține seama de:

  • cauzele și gravitatea abaterii disciplinare
  • împrejurările în care aceasta a fost săvârșită
  • gradul de vinovăție și consecințele abaterii
  • comportarea generală în timpul serviciului a funcționarului public
  • de existența în antecedentele acestuia a altor sancțiuni disciplinare care nu au fost radiate în condițiile prezentului cod.

Procedural, trebuie să se întocmească o comisie de disciplină care să analizeze această faptă și să constate dacă suntem sau în prezența unei abateri disciplinare. Dacă se constată că suntem, atunci se va putea aplica o sancțiune care la rândul ei va putea fi contestată, dar despre asta vom vorbi cu altă ocazie. 

Agenția de comunicare din exterior

Uneori, nu foarte des ce-i drept, partea de comunicare este externalizată către anumite persoane juridice din exterior. Această relație va fi guvernată de ceea ce scrie în contractul de colaborare și probabil că vom putea vorbi inclusiv de despăgubiri și de acoperirea prejudiciului. Dar am scris mai multe despre asta aici: Drepturile de autor. Cine răspunde pentru ele, agenția sau clientul? Studiu de caz: Banca Transilvania și Leo Burnett

De aceea, e bine să înțelegem că de cele mai multe ori contractele nu reprezintă ”simple” hârtii pe care doar le semnăm și le punem la dosar.

Nu avem proceduri speciale de acces?

Întrucât este vorba de Academia Forțelor Terestre ”Nicolae Bălcescu” din Sibiu, este greu de crezut că nu există proceduri specifice de acces în clădire și că putem să zburdăm cu telefoanele și cu aparatele foto-video pe unde dorim. 

De cele mai multe ori, în cadrul acestor instituții ”cu iz militar”, ai anumite grade de acces în funcție de nivel și de ”permis”.

Desigur, este lesne de înțeles că fiind un eveniment special la care a participat domnul ministru, acesta a fost însoțit de toată echipa sa de comunicare. Chiar și așa, la finalul vizitei ar fi trebuit să existe un protocol prin care personalul MApN să verifice cadrele care au fost filmate sau fotografiate.

Îmi aduc aminte că atunci când a fost summitul NATO la București în 2008, unde am fost voluntar, telefonul îmi era luat la intrare de fiecare dată când intrăm în Cercul Militar sau în Parlament și îmi era înmânat în momentul în care terminam tura. Colegii mei care făceau poze cu aparatele profesionale erau verificați în fiecare seară la carduri ca să se vadă exact ce poze au făcut. Da, dura o perioadă de timp, dar erau proceduri stricte implementate. Iar noi eram doar niște voluntari.

Ce ar fi trebuit să se întâmple?

Reacțiile din mass-media au fost țintite pe pozele urcate de ministrul Apărării și pe gafa făcută de acesta pe Facebook.

Problema este alta: acele informații zăceau pe tabla respectivă de o perioadă bună de timp, de când a fost finalizată sesiunea de instruire. Știți voi, ca la școală. S-a terminat cursul și toți ieșim din clasă, iar tabla rămâne scrisă.

În tot acest moment, persoane care erau pe acolo în trecere (inclusiv personalul de la curățenie) puteau să facă poze și să dea mai departe informațiile de pe tablă.

Faptul că se știa că va fi o vizită oficială și că nimeni nu a stat să șteargă tabla mă duce cu gândul că este o practică curentă și că informațiile ”zac” acolo până la următorul eveniment. 

La un minim de ”securitate”, aceste informații puteau fi trimise participanților prin intermediul unui e-mail oficial (iarăși pe o adresă oficială, nu iubytzica_ta_2003@yahoo.com) sau puteau fi accesate pe o platformă unde fiecare participant se putea loga cu un username și o parolă. 

Ulterior, persoana responsabilă de comunicarea pe rețelele de socializare ar fi trebuit să depună un minim de diligență (chiar dacă poate părea dincolo de fișa postului) ca să treacă prin aceste fotografii și să le șteargă (conform unui protocol existent, bineînțeles) pe acelea cu informații confidențiale, iar concomitent să înștiințeze persoanele competente despre o asemenea breșă.

Pe de altă parte, în mod frecvent persoanele pun buletinele altor persoane pe care le găsesc pe te-miri-cine-știe-unde pe grupuri de Facebook, în loc să se ducă cu ele la cea mai apropiată secție de poliție.


Dacă îți place cum scriem și ai ajuns până aici, abonează-te la newsletterul nostru #pelegale care se livrează în fiecare săptămână în inboxul tău: un pic de tehnologie, social-media, e-commerce și niște juridic.

În loc de concluzie

În loc să râdem semi-ironic de postarea de pe Facebook a domnului ministru al Apărării, ar trebui să ne dăm seama că niște cerințe minime de securitate ar trebui să respectăm cu toții. Problema nu este doar că acele poze au ajuns publice, acela este de fapt climaxul. Problema de fapt este că în activitatea noastră curentă nu ne protejăm informațiile confidențiale și nu urmăm protocoale de securitate, de cele mai multe ori pentru că ”ne încurcă” sau ”că nu ni se întâmplă tocmai nouă”.

Gândește-te doar la următoarele chestii:

  • ai lăsat telefonul profesional pe birou neblocat și putea să se uite oricine în el?
  • ai plecat la o cafea sau la toaletă și ai lăsat calculatorul deschis și neblocat?
  • ai dat la printat la imprimanta de pe hol niște documente confidențiale și ai uitat de ele vreo 2 ore până ai mai terminat un task?
  • ai dat forward la un mail profesional pe mailul personal?
  • ai făcut poze la informații și documente ca să ”le ai la îndemână” sau „să le trimiți și colegilor de muncă”?

Pe lângă faptul că expui informațiile respective și riști ca din cauza acțiunilor tale compania sau instituția să aibă o breșă de securitate, este posibil să primești sancțiuni pentru acest comportament, inclusiv prin pierderea locului de muncă, fapt care „rămâne la dosar”. 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *