por Benoit Grenier
As empresas do Quebec, sejam elas pequenas, médias ou grandes, estão cada vez mais expostas a ameaças de espionagem por parte de agentes estrangeiros. Estas ameaças não são ficção, mas uma realidade tangível que afecta vários sectores da economia. Como consultor em inteligência e contra-inteligência, é crucial sensibilizar os departamentos de recursos humanos (RH) para os riscos associados à interferência estrangeira e para as medidas a tomar para proteger as informações sensíveis desde o momento da contratação dos empregados até ao fim do seu contrato de trabalho.
O ambiente de ameaça: uma realidade em constante mutação
Os serviços de informação estrangeiros procuram constantemente obter informações valiosas sobre as inovações tecnológicas, os processos industriais e as estratégias comerciais das empresas do Quebeque. De acordo com um relatório do Serviço Canadiano de Informações de Segurança (CSIS), estas ameaças provêm principalmente de países que procuram reforçar a sua competitividade económica através do acesso ilegal a tecnologias de ponta desenvolvidas no Canadá.
As empresas dos sectores das tecnologias da informação, da biotecnologia, da indústria aeroespacial e das energias renováveis são particularmente visadas. No entanto, nenhuma empresa está imune, uma vez que qualquer organização com informações sensíveis ou estratégicas pode tornar-se um alvo.
Os métodos utilizados pelos actores estrangeiros
Os métodos de espionagem utilizados pelos actores estrangeiros são variados e estão em constante evolução. Eis alguns exemplos concretos que ilustram a diversidade das abordagens utilizadas:
1.Recrutamento de pessoas internas: Os actores estrangeiros podem tentar recrutar empregados da empresa para obter informações. Este recrutamento pode ser feito de forma direta ou indireta, recorrendo a agentes de influência que abordam funcionários-chave em conferências, feiras ou mesmo através das redes sociais. Um exemplo notável é o caso de uma empresa tecnológica canadiana em que um engenheiro foi abordado por um “caçador de talentos” sob o pretexto de uma oportunidade de emprego no estrangeiro, mas que na realidade era uma tentativa de recrutamento para obter segredos comerciais.
2.Roubo de propriedade intelectual através de ataques informáticos: Os ataques informáticos estão a tornar-se cada vez mais sofisticados. Os adversários podem utilizar software malicioso para penetrar nos sistemas informáticos, como foi o caso de uma empresa de biotecnologia do Quebeque, onde os piratas informáticos conseguiram extrair dados sobre uma nova vacina em desenvolvimento. Os ataques de ransomware, em que os sistemas são bloqueados até ao pagamento de um resgate, também são comuns e podem ser utilizados como cobertura para o roubo de dados.
3.Parcerias e joint ventures fraudulentas: alguns intervenientes estrangeiros estabelecem parcerias com empresas do Quebeque com o único objetivo de obter acesso a tecnologias ou processos específicos. Por exemplo, uma empresa aeroespacial acordou uma parceria com uma empresa estrangeira para desenvolver uma nova geração de drones, apenas para descobrir mais tarde que o seu parceiro estava a transferir discretamente informações críticas para terceiros.
4.Engenharia social: As técnicas de engenharia social são muitas vezes utilizadas para manipular psicologicamente os empregados para que divulguem informações sensíveis. Por exemplo, um empregado administrativo recebeu uma chamada telefónica de alguém que se fazia passar por membro do departamento de TI da empresa, solicitando informações de acesso aos servidores sob o pretexto de uma atualização urgente.
5.Vigilância física e eletrónica: Podem ser instalados dispositivos de escuta ou de vigilância nos escritórios da empresa, nas salas de reuniões ou mesmo nos computadores dos empregados. Um exemplo revelador é o de uma empresa do Quebeque onde foram descobertos microfones escondidos na sala de reuniões, gravando discussões estratégicas críticas.
6.Ataques por pessoas de dentro da empresa: Um antigo funcionário descontente pode ser uma fonte de fugas de informação. Por exemplo, um empregado despedido de uma empresa de telecomunicações tentou vender informações sensíveis a uma empresa estrangeira rival, pondo em risco os planos futuros da empresa.
7.Phishing direcionado (Spear phishing): Podem ser enviadas mensagens de correio eletrónico aparentemente inofensivas a determinados funcionários, levando-os a clicar em ligações maliciosas. Por exemplo, um gestor sénior recebeu uma mensagem de correio eletrónico aparentemente legítima do seu CEO, pedindo-lhe para descarregar um documento que continha spyware.
8.Ataques físicos diretos: Por vezes, os actores estrangeiros não se contentam com métodos discretos e podem tentar penetrar fisicamente nas instalações da empresa para roubar equipamento, documentos ou instalar dispositivos de vigilância. Um desses casos foi relatado por uma empresa de alta tecnologia em que os intrusos foram apanhados a tentar roubar servidores.
A importância da vigilância no recrutamento e o papel crucial dos recursos humanos na prevenção
Os departamentos de recursos humanos estão na linha da frente da proteção das empresas contra a espionagem. Têm o poder de influenciar a segurança desde o primeiro contacto com os candidatos e ao longo da sua carreira na empresa. Eis o que os RH devem fazer para identificar potenciais ameaças e proteger os processos:
1.Verificações minuciosas dos antecedentes: Os RH devem garantir que todos os candidatos são submetidos a uma rigorosa verificação de antecedentes, especialmente no caso de cargos sensíveis. Isto inclui a verificação das qualificações, experiência profissional anterior, filiações políticas ou religiosas que possam representar um risco e a reputação do candidato em empregos anteriores.
2.Entrevistas centradas na segurança: Durante as entrevistas, é essencial fazer perguntas específicas sobre a gestão da confidencialidade e a segurança da informação. Os RH devem avaliar a consciencialização dos candidatos para os riscos de espionagem e a sua capacidade de cumprir os protocolos de segurança.
3.Formação contínua em segurança: Após o recrutamento, os funcionários devem receber formação regular sobre os riscos de espionagem e a forma de os identificar. Esta formação deve incluir exercícios práticos, como o reconhecimento de tentativas de phishing ou cenários de engenharia social.
4.Contratos de confidencialidade e cláusulas de não divulgação: Os contratos de trabalho devem incluir cláusulas estritas de confidencialidade e não divulgação que permaneçam válidas mesmo depois de o empregado ter saído.
5.Monitorização e auditorias regulares: Os RH devem trabalhar com as equipas de segurança para realizar auditorias regulares das práticas de segurança e monitorizar comportamentos invulgares dos empregados, como acessos não autorizados ou actividades suspeitas fora do horário normal de trabalho.
Medidas a adotar para proteger as informações sensíveis
Para além das práticas de RH, as empresas devem adotar medidas técnicas e organizacionais para proteger as suas informações. Estas medidas incluem:
- Segmentação das redes informáticas: Para limitar os riscos em caso de ataque informático, é aconselhável segmentar as redes informáticas de modo a restringir e controlar o acesso às informações sensíveis.
- Cifragem dos dados: As informações sensíveis devem ser encriptadas, tanto em trânsito como em repouso, para impedir o acesso não autorizado.
- Sensibilização contínua: Os programas de sensibilização devem ser actualizados regularmente para informar os empregados sobre as novas ameaças e as melhores práticas de segurança.
Conclusão: Um desafio que tem de ser enfrentado atualmente
As ameaças de espionagem industrial e de interferência estrangeira são muito reais e representam um perigo para as empresas do Quebeque. A sensibilização e a formação dos departamentos de recursos humanos são passos cruciais para reforçar a segurança desde o processo de recrutamento. Como especialistas em inteligência e contraespionagem, é nosso dever orientar as empresas na adoção de medidas de segurança adequadas para proteger os seus bens mais valiosos.
Levando estas ameaças a sério e adoptando uma abordagem pró-ativa, as empresas do Quebeque podem não só proteger-se contra a espionagem, mas também reforçar a sua capacidade de resistência face a um ambiente internacional cada vez mais competitivo.
Links úteis
- https://www.canada.ca/en/security-intelligence-service/corporate/publications.html
- Communications Security Establishment (CSE) – Ameaças cibernéticas
- Governo do Canadá – Segurança Industrial
Estes recursos fornecem informações adicionais sobre as ameaças de espionagem e as medidas que as empresas podem tomar para se protegerem.
Por último, algumas questões críticas para os Recursos Humanos
Para garantir a segurança da empresa, os recursos humanos devem ter sempre as respostas a estas perguntas cruciais:
1.O funcionário tem alguma afiliação política ou religiosa que possa representar um risco de segurança?
2.O funcionário já trabalhou para empresas ou governos estrangeiros?
3.O funcionário tem um historial de manuseamento de informações sensíveis?
4.O funcionário compreende a importância da segurança dos dados na nossa atividade?
5.O funcionário esteve envolvido em incidentes de segurança em empregos anteriores?
6.As referências do candidato confirmam a sua fiabilidade e integridade?
7.O funcionário tem relações pessoais com pessoas ou entidades em risco?
8.O funcionário teve acesso a informações sensíveis em cargos anteriores?
9.As redes sociais do candidato revelam algum comportamento ou afiliações suspeitas?
10.O funcionário viajou recentemente para países com um elevado risco de segurança?
11.O funcionário foi recomendado por uma pessoa ou entidade de confiança?
12.O funcionário esteve envolvido em alguma disputa ou controvérsia relativa a informações confidenciais?
13.O funcionário está disposto a assinar um acordo de confidencialidade rigoroso?
14.O funcionário está familiarizado com as boas práticas de segurança da informação?
15.O funcionário tem acesso a redes ou sistemas informáticos críticos?
16.O funcionário relatou incidentes de segurança em empregos anteriores?
17.O funcionário esteve envolvido em actividades de espionagem ou contraespionagem?
18.O funcionário está familiarizado com as ameaças colocadas pelos ataques informáticos?
19.O funcionário compreende os riscos associados à engenharia social?
20.O funcionário teve acesso a dispositivos de vigilância física ou eletrónica em empregos anteriores?
21.O funcionário tem um registo criminal relacionado com segurança ou fraude?
22.O funcionário foi sujeito a pressões externas para divulgar informações sensíveis?
23.O funcionário está familiarizado com os protocolos de segurança quando viaja para o estrangeiro?
