Pani Marta była sprzątaczką w jednej z warszawskich firm. Swoją pracę zaczynała zazwyczaj przed godziną. 6 lub tuż po godzinie. 18, kiedy w biurze poza ekipą sprzątającą nie ma nikogo. Praca zajmowała jej zazwyczaj 2-3 godziny. Po wykonaniu swoich zadań udawała się na pobliską pętlę. Wsiadała do tramwaju, przejeżdżała dwa przystanki, po czym zamieniała tramwaj na nowe Aaudi A4. Trwało to kilka miesięcy, aż do momentu, gdy okazało się, że pani Marta oprócz samochodu ukrywała przed swoim pracodawcą jeszcze jedną istotną informację, a mianowicie, iż jest absolwentką warszawskiej SGH i specjalistką z dziedziny finansów. Swój czas pracy poświęcała nie tyle sprzątaniu, co zbieraniu wszelkich informacji interesujących jej prawdziwych pracodawców.

Choć historia ta brzmi bardziej jak scenariusz kolejnego filmu o przygodach agenta 007, to jest jednak jest prawdziwa. Jak mówią niektórzy specjaliści zajmujący się profesjonalną ochroną informacji, - nie jest to przypadek odosobniony, a firmy coraz częściej padają ofiarą nieuczciwej konkurencji. Problem ten dotyczy zarówno firm produkcyjnych, jak i usługowych, gdyż niemal każda organizacja ma wiedzę, którą chciałaby zatrzymać wyłącznie dla siebie. Jako że najsłabszym ogniwem każdego systemu bezpieczeństwa są ludzie, powstaje rodzi się pytanie, co firmy mogą zrobić, aby ustrzec się od zatrudnienia potencjalnego szpiega, szczególnie zatrudnienia osoby, która z definicji będzie miała dostęp do informacji traktowanych przez firmę jako niejawne.

Jawnie i skrycie

Zagadnienie to należy rozpatrywać na dwóch płaszczyznach: prywatnej (środowisko czysto biznesowe) oraz publicznej (firmy zbrojeniowe czy lub inne jednostki organizacyjne, w których pojawia się tajemnica państwowa). Kiedy mamy do czynienia z firmą prywatną, która może mieć swoje własne, niesklasyfikowane przez prawo tajemnice (informacje techniczne, technologiczne czy organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą) sprawa jest bardzo skomplikowana. Ponieważ ochrona tych informacji nie jest objęta ustawą, pracodawcy stają tutaj przed bardzo trudnym zadaniem. Właściwie jedynym dokumentem weryfikacyjnym, jaki można w tym momencie uzyskać, jest zapytanie o karalność potencjalnego przyszłego pracownika. Ale...

Pojawiają się tutaj pewne utrudnienia. O takie zapytanie może wystąpić jedynie osoba, której ono dotyczy. Biorąc pod uwagę, że jest to ręcznie wypisany kawałek papieru, podrobienie go nie stanowi większego problemu nawet dla przeciętnego Kowalskiego, a tym bardziej dla zawodowca, który pragnie przeniknąć w szeregi konkurencyjnej firmy. Ponadto w rejestrze znajdują się jedynie nazwiska aktualnie skazanych, a nie ma tam już osób, których wyrok uległ zatarciu. Jednym słowem, osobay skazana skazanej pięć lat temu za oszustwo gospodarcze na roczną karę pozbawienia wolności w dniu dzisiejszym w rejestrze już nie funkcjonujeznajdziemy!

W Polsce, w przeciwieństwie do krajów anglosaskich, prawo nie przewiduje możliwości zwrócenia się przedsiębiorstwa (które nie ma nic wspólnego z tzw. tajemnicą państwową) do organów ścigania z zapytaniem o opinie na temat danej osoby (kandydata na określone stanowisko). Policja nie może udzielić informacji o tym, że istnieje jakiekolwiek podejrzenie w stosunku do pana X. Informacja taka jest chroniona ustawą.

Załóżmy jednak, iż firma korzysta z usług specjalisty z dziedziny bezpieczeństwa (np. byłego funkcjonariusza pPolicji), który poprzez swoje znajomości może do tego typu informacji mieć dostęp. Oznacza to po pierwsze, że proces sprawdzania odbywa się za plecami osoby zainteresowanej - przecież nie może ona wyrazić zgody na coś, co z punktu widzenia prawa jest nielegalne. Po drugie, pracodawca nie jest w stanie tak zdobytej informacji użyć jako argumentu - firma nie ma prawa posiadać oficjalnie takich informacji. Wreszcie po trzecie, pomyślmy, jaki wpływ miałoby to na wizerunek firmy. Bardzo łatwo wyobrazić sobie nagłówki prasowe "Firma XXX inwigiluje swoich obecnych i przyszłych pracowników!". Możemy polemizować, czy tego typu przepisy są słuszne, czy nie, ale nie zmienia to faktutego, iż musimy ich przestrzegać.

Szpieg z mopem

Niestety pole manewru prywatnego pracodawcy ogranicza się w tego typu rekrutacjach do jawnej weryfikacji referencji (najlepiej zarówno od przełożonych, jak i współpracowników) oraz szczegółowego sprawdzenia informacji zawartych w CV danego kandydata. Pomocnym aspektem może być z pewnością badanie metodą assessment center, które może rzucić więcej światła na kwestie motywacji czy i kręgosłupa moralnego danej osoby.

Ważne jest również, aby z procesów rekrutacyjnych uczynić jednolity system. Nie jest tajemnicą, iż firmy poświęcają najwięcej atencji rekrutacji pracowników na najwyższe szczeble w organizacji. Nie ma w tym oczywiście nic dziwnego - mówimy o ludziach, którzy decydują o obliczu i charakterze firmy.

Jednak z punktu widzenia bezpieczeństwa organizacji największe zagrożenie płynie wcale nie ze strony menedżerów, lecz ze strony pracowników niskiego szczebla lub partnerów zewnętrznych - np. służb sprzątających, które obecnie w większości wypadków są wynajmowane (czego dobrym przykładem jest historia pani Marty). Na ich rekrutację czy weryfikację firma nie ma najczęściej żadnego wpływu. Zresztą komu z nas, rekruterów, zdarzyło się dogłębnie weryfikować choćby CV osoby na podobnym stanowisku?

Zaświadczenie dla Maty Hari

Kluczową sprawąkwestią, którą należy sobie tutaj uzmysłowić, jest to, iż rejestr szpiegów po prostu nie istnieje. Spektakularne sukcesy Maty Hari, Mariana Zacharskiego, Harolda Philby czy innych pokazują, że nawet służby powołane tylko i wyłącznie do ochrony informacji (np. Kontrwywiad kontrwywiad Wojskowy wojskowy czy ABW) popełniają błędy - mimo że ich działania mają charakter niezwykle szczegółowy.

W przypadku szeroko rozumianego sektora publicznego sprawa jest o tyle prosta, iż istnieją jasne i konkretne procedury takiej rekrutacji i weryfikacji zawarte w ustawie o ochronie informacji niejawnych (polskie prawo klasyfikuje ponad 60 rodzajów tajemnic, co ciekawe najlepiej opisaną z nich jest... tajemnica spowiedzi). Końcowym aktem tego procesu jest wydanie bądź nie dokumentu zwanego poświadczeniem bezpieczeństwa.

Weryfikacją w żadnym wypadku nie zajmuje się kierownictwo firmy, czyani choćby zewnętrzne firmy doradcze. Dzieje się tak z dwóch powodów. Po pierwsze, byłoby to niezgodne z prawem. Po drugie, w większości wypadków nie posiadają koniecznej do przeprowadzenia takiego procesu wiedzy i środków. Jedynymi jednostkami uprawnionymi do przeprowadzania weryfikacji są według prawa polskiego Kontrwywiad kontrwywiad Wojskowy wojskowy i Agencja Bezpieczeństwa Wewnętrznego (szczegóły w ramce obok).

Ograniczone zaufanie

Bardzo ważnym aspektem, którego nie można pominąć, jest przypadek, w którymgdy dana osoba zostanie "szpiegiem" dopiero po przejściu różnego rodzaju procesów weryfikujących - czy to ze względu na finanse, czy sprawy osobiste. Tego w żadnym stopniu przewidzieć się nie da.

Nie oznacza to oczywiście, że powinniśmy siedzieć z założonymi rękoma. To, co każda firma może i powinna zrobić, to przestrzeganie podstawowych zasad bezpieczeństwa. Pozornie są one proste, jak wszystkie kwestie fundamentalne, które znamy i nie stosujemy ich na co dzień. Pierwsza jest zasada czystego biurka - pracownik powinien chronić cenne dla firmy informacje, nie pozostawiając ich na widoku, gdzie każda postronna osoba może je zobaczyć.

Drugie zabezpieczenie to zasada wiedzy koniecznej, w myśl której pracownik posiada dostęp jedynie do informacji niezbędnych mu do pracy. I ostatnia - choć nie najmniej ważna - zasada ograniczonego zaufania, istotna zwłaszcza w okresie adaptacji nowych osób, które do każdej organizacji powinny być wprowadzane stopniowo.

Przestrzeganie tych zasad nie gwarantuje oczywiście sukcesu, ale od czegoś trzeba zacząć. Najlepiej od sprawdzenia swojego własnego biurka