22 octombrie 2019

Prin Programul Trusted Workforce 2.0, Pentagonul devine emitentul autorizaţiilor de securitate pentru toţi angajaţii guvernamentali americani

Liviu Ioniţă

Rebranding sau o nouă structură în peisajul intelligence-ului american? De la 1 octombrie, începutul anului fiscal american, Agenţia de Contrainformaţii şi Securitate pentru Apărare (Defense Counterintelligence and Security Agency, DCSA) anunţă că ”este pregătită să devină cea mai mare agenţie de contrainformaţii şi securitate din guvernul federal …, bastionul naţiunii împotriva atacului activ şi persistent al adversarilor împotriva forţei de muncă federale, tehnologiei şi informaţiilor”.

Sursă foto: Mediafax

Cu sediul în Quantico, Virginia, Agenţia de Contrainformaţii şi Securitate pentru Apărare va fi responsabilă pentru investigaţiile de fond şi programul de securitate a personalului guvernamental.

De la aceeaşi dată, National Background Investigation Bureau (NBIB) încetează oficial să existe, operaţiunile sale şi cei peste 2900 de angajaţi fiind transferaţi noii structuri, din care face parte şi fosta agenţie a Departamentului Apărării, Defense Security Service (DSS). De asemenea, Charles Phalen Jr., fostul director NBIB (fost vicepreşedinte pentru securitate corporativă la Northrop Grumman Corporation / companie din domeniile aerospaţial şi al tehnologiei de Apărare, persoană al cărei CV include funcţii în guvern, CIA şi FBI) va prelua (interimar) conducerea noii agenţii.

Autorizaţiile de securitate la dispoziţia Pentagonului

De câţiva ani, Casa Albă şi-a exprimat opţiunea pentru consolidarea misiunii investigative în procesul de verificare a personalului guvernamental. Rezultatul: preşedintele Trump a semnat, la 24 aprilie a.c., Ordinul Executiv 13869, prin care a schimbat responsabilitatea în ceea ce priveşte investigaţiile de fond de la Biroul de Management al Personalului (OPM, agenţie independentă a guvernului federal, care gestionează forţa de muncă civilă) la Departamentul Apărării.

Pentagonul devine autoritate în materie de investigaţii şi va deţine portofoliul emiterii autorizaţiilor de securitate.

Potrivit lui Joseph Kernan, subsecretar al Apărării pentru informaţii, fuziunea realizată la 1 octombrie reprezintă un pas înainte în realizarea obiectivelor strategiei naţionale de apărare, pentru îmbunătăţirea mediului de securitate şi protejarea informaţiilor de apărare critice împotriva furtului sau divulgării.

În atribuţiile Agenţiei de Contrainformaţii şi Securitate pentru Apărare se va afla, de asemenea, asigurarea securităţii Pentagonului şi a contractorilor săi din punct de vedere al unui posibil acces neautorizat la infrastructura IT, într-un context în care oficialii federali sunt preocupaţi din ce în ce mai mult de eforturile Chinei şi ale altor adversari de a se infiltra în guvern prin intermediul IT.

Astfel că, la doar trei ani de la înfiinţare, National Background Investigation Bureau (NBIB), principal furnizor de servicii de investigaţii pentru guvernul SUA, structură aflată în subordinea United States Office of Personnel Management (OPM), şi-a încheiat activitatea. Deşi zona de expertiză era cea civilă, în scurta perioadă de funcţionare, sistemele informatice ale NBIB au fost proiectate, construite şi operate de către Departamentul Apărării.

NBIB fusese creat în urma unei breşe de securitate produsă, în anul 2015, la nivelul United States Office of Personnel Management.

Breşa de securitate din 2015 a expus informaţiile personale ale unui număr de peste 21 de milioane de angajaţi şi contractori federali existenţi şi potenţiali. Atacurile informatice care au produs furtul de informaţii (adrese, istoricul sănătăţii, istoric financiar, alte detalii private) au fost considerate ca fiind originare din China, fără ca oficialii americani să specifice o anumită entitate. Se pare că breşa a fost cu atât mai nocivă cu cât sistemele OPM erau conectate electronic la alte agenţii şi baze de date, iar propria bază de date era nesecurizată şi necriptată.

Ceea ce s-a întâmplat atunci, dar şi creşterea numărului de investigaţii destinate autorizaţiilor de securitate, au făcut ca, atât la nivel legislativ, cât şi executiv, deopotrivă în sectorul public, cât şi în cel privat, democraţi şi republicani, să se accepte, unanim, că procesul de verificare şi acordare a autorizaţiilor de securitate este deficitar.

De altfel, sistemele şi procedurile învechite, unele datând din anii ’40 - ’50, bazate pe note olografe, documente trimise prin poştă, cercetări şi interviuri realizate în persoană, prelucrare manuală, au condus la întârzieri în obţinerea autorizaţiilor de securitate şi la calitatea nu tocmai optimă a investigaţiilor. Acest fapt a determinat includerea procesului de autorizare de securitate, de către Government Accountability Office (GAO), pe lista cu zone de risc ridicat, care au nevoie de reformă ca urmare a vulnerabilităţilor lor la infracţiune, fraudă, abuz şi administrare defectuoasă.

Evaluarea continuă – un nou concept, revoluţionar dar … controversat

Ca rezultat al eforturilor comunităţii de Intelligence şi Apărării de redefinire a întregului proces care are drept finalitate emiterea autorizaţiilor de securitate, în martie a.c., Office of the Director of National Intelligence (Biroul Directorului Informaţiilor Naţionale, ODNI) a lansat Trusted Workforce 2.0.

Ceea ce a început ca program pilot pentru Departamentul Apărării şi pentru agenţiile din comunitatea de informaţii se pare că este pe cale să devină elementul cheie al revizuirii de către Administraţia Trump a procesului de verificare, acreditare şi autorizare de securitate, prin adoptarea mai multor politici şi proceduri noi, ce vor conduce la schimbarea tipului autorizaţiilor de securitate, precum şi a standardelor utilizate pentru investigaţii.

Revoluţia pe care urmează să o realizeze Trusted Workforce 2.0, ce se va baza pe mecanisme de Inteligenţă Artificială şi machine learning, va consta nu doar într-o îmbunătăţire a procesului de verificare, ci, în special, în trecerea la aşa numitul model de evaluare continuă.

De asemenea, nivelurile de investigaţie, corespunzătoare autorizaţiilor de securitate ce vor fi emise, vor fi reduse de la cinci - încredere publică cu risc scăzut, încredere publică cu risc moderat, secret, încredere publică cu risc ridicat şi top secret - la trei: încredere, secret şi top secret (Trusted, Secret şi Top Secret).

Astfel că întregul proces greoi care presupunea investigaţii iniţiale, urmate de reinvestigări periodice laborioase, la 5-10 ani, va fi revizuit, prin extinderea spectrului metodelor de investigare, inclusiv utilizarea canalelor de interviuri digitale, precum şi prin posibilitatea de accesare şi utilizare a unor informaţii deja existente în diverse baze de date ale guvernului sau ale unor entităţi private.

Cadrul nou conceput urmăreşte crearea unui program prin care agenţiile şi organizaţiile din sectorul privat, ce desfăşoară propriile lor activităţi de investigare, să poată oferi acces la ceea ce au colectat (de pildă, rapoarte de credite).

Algoritmii machine learning, Inteligenţa Artificială şi metodele din ştiinţa comportamentală vor face posibilă prelucrarea şi analiza datelor din diferite surse şi realizarea, astfel, a verificării continue şi identificarea problemelor importante de securitate.

Vor fi monitorizate tranzacţii suspecte, călătorii în străinătate sau potenţiale legături cu terorismul, orice elemente ce pot oferi Departamentului Apărării o imagine aproape în timp real asupra unei persoane. De pildă, având informaţii în timp real despre eşuarea plăţii făcută cu un card de credit de către un angajat, Pentagonul şi alţi angajatori ar trebui să răspundă la întrebări de genul: care a fost rezultatul acţiunii întreprinse? A fost responsabilă sau nu persoana în cauză în modul în care a acţionat?

Social media va fi o componentă importantă a investigaţiilor, Trusted Workforce 2.0 urmând să realizeze verificarea obligatorie a reţelelor de socializare. Date text, video şi contextuale, modele statistice precise vor fi utilizate pentru a genera tipare, tendinţe comportamentale, intenţii.

Iar, odată ce o persoană este înscrisă în sistem, aceasta va beneficia şi de protecţie, fiind verificate şi evaluate, continuu, riscurile potenţiale şi ameninţările la adresa sa. Cel puţin aşa susţine Mark Nehmer, director tehnic în cadrul fostului DSS.

Programul conceput la nivelul Pentagonului presupune corelarea amprentei digitale a unei persoane, a activităţii sale cibernetice, adică a ceea ce face online, cu alte date pe care Departamentul Apărării le deţine despre persoana respectivă. Date din evaluarea continuă, un efort pentru monitorizarea evenimentelor de viaţă ale deţinătorilor de autorizaţii de securitate, căsătorie sau divorţ, datorii la bănci, declaraţii fiscale, arestări, călătorii inopinate în străinătate. Mark Nehmer consideră procesul ca fiind o fereastră, nu doar în trecutul unei persoane, ci în starea sufletească actuală … monitorizând orice micro-schimbări în comportament.

Ceea ce, evident, ridică semne de întrebare cu privire la cât de departe poate să meargă o asemenea monitorizare şi cât de dispuşi sunt angajaţii ca angajatorii lor să detecteze micro-schimbări în comportamentul lor, mai ales dacă se aşteaptă că ar putea fi consecinţe negative în plan personal pentru ceea ce indică aceste schimbări.

Unii sunt optimişti, aşa cum este Mark Nehmer, care consideră că dacă treaba este făcută corect, sistemul poate ajuta la prevenirea sinuciderilor, a protecţiei de date, în general, a lucrurilor pe care oamenii le fac, atunci când sunt sub stres. Alţii (Griff Ferris, Big Brother Watch, organizaţie britanică ce activează în domeniul confidenţialităţii şi libertăţilor civile) se tem, însă, că se poate crea un precedent îngrijorător, folosirea inteligenţei artificiale pentru a monitoriza îndeaproape fiecare mişcare la locul de muncă, precum şi viaţa personală, în încercarea de a prezice ceea ce vor face angajaţii în viitor, reprezentând începutul supravegherii totale.

Dar cei care au iniţiat evaluarea continuă consideră că atâta vreme cât îţi doreşti un loc de muncă ce presupune autorizaţie de securitate îţi asumi, implicit, şi transparenţa asupra informaţiilor personale.

Şi atunci oferi la schimb viaţa personală pentru imensul privilegiu şi puterea care ar veni la pachet cu deţinerea unor informaţii clasificate.