20 iulie 2019

Agenţia Naţională de Securitate a SUA, sub lupa Inspectorului General

Liviu Ioniţă

Există riscuri semnificative de nerespectare a cerinţelor legale pentru păstrarea datelor colectate prin SIGINT (SIGnal INTelligence). Este una dintre concluziile versiunii neclasificate a raportului semestrial publicat, recent, în SUA, de către Biroul Inspectorului General, în urma verificărilor realizate de către această instituţie de supraveghere şi control la Agenţia Naţională de Securitate.

Sursă foto: Mediafax

Supravegherea Agenţiei Naţionale de Securitate, un proces realizat cu vigilenţă şi înţelepciune

Instituţia Inspectorului General, creată în 1777 pentru armata SUA, a fost preluată, ulterior, de mai multe structuri guvernamentale, având, în esenţă, responsabilităţi în efectuarea de inspecţii, audit, investigaţii, anchete speciale, analize referitoare la programele şi operaţiunile departamentelor asupra cărora îşi exercită supravegherea şi controlul.

Agenţia Naţională de Securitate / ANS a instituit Office of the Inspector General (OIG) în 1961, iar din 1996, când a devenit entitate federală, la conducerea structurii de supraveghere a fost numită, pentru prima dată, o persoană din afara Agenţiei.

Schimbări semnificative au fost realizate, însă, anul trecut, odată cu prezenţa la conducerea OIG a lui Robert P. Storch, fost procuror federal şi apoi inspector general în Departamentul de Justiţie. Anterior, directorul ANS era cel care îl angaja şi îl elibera din funcţie pe inspectorul general. Robert P. Storch este primul inspector nominalizat de preşedinte (Barack Obama) şi confirmat de Senat.

În iulie, anul trecut, Storch a emis o versiune neclasificată a raportului semestrial conţinând concluziile verificărilor realizate în cadrul Agenţiei, ceea ce, de asemenea, nu mai fusese realizat înainte. La scurt timp, pe noul website (independent public website) al OIG au fost publicate detalii cu privire la drepturile şi protecţia acordată avertizorilor de securitate (whistleblower).

Era o suflare de aer curat, aşa cum susţine Nick Schwellenbach, director de investigaţii al Project on Government Oversight, organizaţie non profit cu sediul la Washington care investighează posibile fraude, abuzuri, conflicte de interese la nivelul guvernului american. O schimbare necesară în cultura ANS referitoare la whistleblowing, în condiţiile în care frica de represalii rămâne un coşmar al avertizorilor de securitate, al acelor persoane care aduc la cunoştinţa publicului sau autorităţilor activităţi imorale sau ilegale.

De altfel, Robert P. Storch a ţinut să facă public faptul că este vorba de o schimbare inclusiv înlocuind sigla OIG, anterior aceeaşi cu cea a Agenţiei pe care o supraveghea, cu o alta ce ar trebui să simbolizeze valorile biroului: supraveghere, integritate, transparenţă şi, mai ales, independenţa faţă de ANS. Pentru că, în opinia lui Storch, simbolurile contează, ele transmit sensul, în acest caz, bufniţa de pe sigla OIG sugerând că vigilenţa şi înţelepciunea sunt necesare când este vorba de misiunile combinate ale Agenţiei, mai ales din domeniile SIGINT (mijloacele şi metodele de interceptare şi analiză a comunicaţiilor radio, inclusiv satelit şi telefoane mobile, şi a celor prin cablu) şi securitate cibernetică. Acolo unde raportul instituţiei de supraveghere a constatat, nu probleme grave sau abuzuri legate de programele sau operaţiunile ANS, ci... riscuri semnificative.

O legislaţie care permite un control la limită al supravegherii comunicaţiilor

Office of the Inspector General s-a ocupat de evaluarea modului în care ANS a respectat cerinţele referitoare la datele colectate prin SIGINT în conformitate cu Ordinul Executiv 12333 privind activităţile de informaţii ale SUA şi cu FISA Amendments Act of 2008 (FAA).

Ordinul Executiv 12333, emis de Ronald Reagan, în 1981, defineşte modul în care se realizează supravegherea electronică pe care ANS o desfăşoară în străinătate. Spre deosebire de supravegherea realizată de agenţia de intelligence pe plan intern (reglementată de secţiunea 702 a FAA), supravegherea externă nu face obiectul unui control judiciar, iar cel exercitat de Congres este limitat. Ordinul Executiv 12333 interzice supravegherea individuală, dar permite colectarea de date în masă. De pildă, ANS poate colecta şi stoca timp de 30 de zile toate apelurile telefonice către şi dinspre Bahamas.

FISA Amendments Act of 2008 (FAA sau Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008) este o lege a Congresului care modifică Foreign Intelligence Surveillance Act şi a fost utilizată ca bază legală pentru programele utilizate de Agenţie şi dezvăluite de Edward Snowden în 2013, inclusiv PRISM.

Secţiunea 702 din lege permite colectarea de informaţii de la cetăţeni non-americani din afara Statelor Unite. Aşa cum este conceput actul normativ, în conformitate cu secţiunea 702, guvernul SUA poate realiza, fără mandat, supravegherea în masă a apelurilor telefonice, a mesajelor text, a mesajelor e-mail şi a altor comunicaţii electronice. Deşi secţiunea 702 este justificată ca instrument de combatere a terorismului, în realitate ea permite o supraveghere extinsă, iar informaţiile astfel colectate pot fi utilizate pentru a urmări şi priva de libertate persoane chiar şi pentru infracţiuni care nu au nimic de-a face cu securitatea naţională.

FAA a fost adoptată în 2008 şi a eliminat cerinţa stabilită în 1978 pentru guvern şi anume obţinerea unui mandat de la Foreign Intelligence Surveillance Court (FISA) atunci când încearcă să intercepteze comunicările între o ţintă străină şi un cetăţean american din interiorul Statelor Unite. Deşi ţinta trebuie să fie un non-american în străinătate, se consideră că supravegherea realizată cu girul secţiunii 702 duce la colectarea incidentală a milioane de comunicaţii ale americanilor. Agenţiile de intelligence utilizează în mod larg aceste proceduri, în pofida faptului că secţiunea 702 le cere să minimizeze păstrarea şi partajarea informaţiilor vizând cetăţenii americani.

Congresul este obligat să reînnoiască secţiunea 702 la fiecare câţiva ani. A fost reînnoită ultima dată în 2018 şi urmează să expire la sfârşitul anului 2023. Ultima revizuire aprobă aproape toate căutările fără garanţii în bazele de date care conţin informaţii despre cetăţenii americani şi permite un tip de supraveghere considerat invaziv, pe care ANS l-a încheiat, teoretic, în 2017, ulterior criticilor primite din partea Foreign Intelligence Surveillance Court pentru încălcarea confidenţialităţii.

Reautorizarea de către Donald Trump a legii a fost apreciată în mod deosebit de către liderii comunităţii americane de informaţii, aceştia afirmând, într-o declaraţie comună, că FAA este un program vital, neexistând nici un substitut pentru secţiunea 702, o lege care permite obţinerea de informaţii valoroase care împiedică teroriştii, proliferatorii de arme, actorii cibernetici şi alţi adversari externi să planifice atacuri împotriva cetăţenilor şi aliaţilor SUA.

Critici serioase la adresa Agenţiei Naţionale de Securitate

Evaluarea Office of the Inspector General pentru perioada octombrie 2018 - martie 2019 relevă riscuri semnificative create de nerespectarea cerinţelor legale şi de politică pentru păstrarea datelor SIGINT, ceea ce, potrivit raportului respectiv, înseamnă că deficienţele identificate au potenţial de impact asupra libertăţilor civile şi vieţii private.

OIG a constatat că ANS nu are controlul necesar al sistemului care permite programelor de combatere a terorismului să vizeze anumite persoane din afara SUA în condiţii reglementate, fiind necesară stabilirea unor noi modalităţi pentru efectuarea de interogări asupra datelor colectate. Conform estimărilor Agenţiei, până în decembrie 2020, va fi dezvoltat un prototip şi va fi pus în aplicare un sistem de control al preinterogării datelor stocate.

Până la punerea în aplicare a acestui sistem de control, Agenţia va fi expusă riscului de a efectua interogări care nu sunt conforme cu autoritatea pe care o deţine, adică exact ceea ce a fost criticat în momentul dezvăluirilor făcute de Edward Snowden în 2013.

Cu prilejul analizei făcute, OIG a criticat şi planurile de securitate ale ANS, considerate adesea inexacte şi/sau incomplete, existând centre de date şi camere cu echipamente care nu sunt protejate în mod corespunzător. De asemenea, se pare că efortul care a fost solicitat Agenţiei pentru o monitorizare mai bună a autorizării achiziţiilor de software şi hardware de către contractori nu are încă un rezultat. Un raport anterior al OIG cu privire la respectarea de către ANS a Federal Information Security Modernization Act din 2014 constatase deja deficienţe tehnologice fundamentale, deficienţe de proces care ar face ca Agenţia să nu poată determina în totalitate riscul utilizării neautorizate a unor licenţe software.

Evaluarea instituţiei de supraveghere este făcută publică într-un moment incomod pentru Agenţia Naţională de Securitate. Presa americană a dezvăluit, recent, documente potrivit cărora Agenţia a colectat o cantitate însemnată de informaţii din comunicaţiile cetăţenilor americani în octombrie 2018.

Rămâne de văzut dacă bufniţa lui Storch va reuşi nu doar să supravegheze în mod adecvat vulturul Agenţiei, ci să şi genereze acele schimbări reale ale politicii de supraveghere conduse de comunitatea de intelligence, ”beneficiara” unor critici publice serioase în ultimii ani.

Sau dacă va impune derularea misiunilor Agenţiei Naţionale de Securitate în conformitate cu legea.

Şi asta în timp ce, ghinion, liderul de la Casa Albă ar avea gânduri de desfiinţare (sau de tăiere de atribuţii şi responsabilităţi) a funcţiei de director al comunităţii, considerată... birocratică.