V organizaciji IVK Inštituta za varnostno kulturo (Sekcija za Korporativno obveščevalno dejavnost) in Slovenskega združenja za varen svet je dne 22. 06. 2021 potekala okrogla miza na temo »Primerjave delovanja obveščevalne dejavnosti na državnem in zasebnem nivoju«. Njena strokovna gosta sta bila doc. dr. Miha Dvojmoč, nosilec predmeta Državna in korporativna obveščevalna dejavnost na Fakulteti za varnostne vede Univerze v Mariboru in dr. Jaroš Britovšek, strokovnjak s področja varstvoslovja in dober poznavalec državne obveščevalne dejavnosti.
Na okrogli mizi smo obema gostoma postavili 7 strukturiranih vprašanj in zaprosili za odgovore oziroma mnenje obeh udeležencev pri vseh vprašanjih.
Po mnenju dr. Britovška se obe obveščevalni dejavnosti lahko prekrivata na področju ekonomije. Država potrebuje obveščevalne podatke za svoje strateške gospodarske odločitve, prav tako pa podjetja sama potrebujejo podatke pri svojem poslovnem odločanju. Področji se prekrivata pri zbiranju podatkov o geopolitičnih in ekonomskih razmerah po svetu, ki vplivajo na varnost države in varnost podjetij oziroma njihovih investicij. Pri državni obveščevalni dejavnosti je cilj nacionalno varnost, pri korporativni obveščevalni dejavnosti pa gre bolj za varno poslovanje in dobiček.
Dr. Dvojmoč potrjuje povedano in dodaja, da se pri nas premalo zavedamo pomena korporativne obveščevalne dejavnosti, predvsem zato ker jo premalo izkoriščamo. Že v osnovi se podjetja zelo malo poslužujejo korporativne obveščevalne dejavnosti ali angl. business intelligence, mogoče sedaj v zadnjih petih letih nekoliko več. Če bi določena podjetja pravočasno odreagirala z svojimi službami, če bi jih imela na razpolago, in če damo na stran politično voljo, bi v Sloveniji težko prodajali strateško pomembna podjetja. V nadaljevanju vam bom prikazal tabelo o različni intenzivnosti izvajanja obveščevalne dejavnosti ali korporativne obveščevalne dejavnosti (business intelligence).
Dr. Britovšek meni, da je razlika med državno in korporativno obveščevalno dejavnostjo tudi v stopnji intruzivnosti metod dela. Državne obveščevalne službe imajo intruzivnejša pooblastila, ki pa so omejena z zakonodajo ter nadzornimi institucijami. Pri zasebni obveščevalni dejavnosti imajo izvajalci manj intruzivnejša pooblastila, kar pa ne pomeni, da se določene metode, kljub temu, da so nezakonite, ne izvajajo. Pri državni obveščevalni dejavnosti imamo parlamentarne in sodne nadzorne mehanizme, pri zasebni pa tega ravno nimamo. Pri državni obveščevalni dejavnosti ima država vendarle pravico, da ob določenih pogojih posega v zasebnost posameznika. Pravna razlika obstaja, kaj se pa dogaja v v ozadju zasebnega sektorja pa je drugo vprašanje. Nekatera podjetja incidentov, da so izgubili določene informacije, niti ne želijo izpostavljati, ker se bojijo izgube ugleda. Mogoče se nekatera podjetja tudi sama poslužujejo vohunjenja. Znani so primeri podjetij, ki so neupravičeno zbirala podatke o svojih zaposlenih.
Tudi dr. Dvojmoč se strinja s povedanim in dodaja, da lahko govorimo o klasični in korporativni obveščevalni dejavnosti. Poznamo zeleno, rumeno, rdečo in črno cono. V zeleni coni je velika in enostavna dostopnost različnih informacij, če to ni izrecno prepovedano, viri so odprti in javno dostopni. Gre za odprte informacije in samo pridobivanje ne predstavlja kršitev zakonskih norm. Večina ljudi pozna samo klasične brskalnike, kot so Google in podobni. V »open source« bazah lahko pridobimo 90% podatkov, brez da smo prekršili kakršno zakonsko normo, če to znamo narediti. Ali imamo programsko opremo, ali je brezplačna ali plačljiva. Poznamo ruski Yandex, in če nismo še slišali za njega, kako se pa potem lahko gremo pridobivanje informacij, če uporabljamo tri najbolj pogoste brskalnike na katerih najdemo samo 5-9% informacij. Tisti, ki se lotevajo pridobivanja informacij predvsem iz tujine, ko želijo pridobiti informacije, se pa tega lotevajo že blizu meje med črno in rdečo cono, kjer pa je interes države, da v nekem trenutku zaščiti naše gospodarstvo. Potrebno se je vprašat, kdaj je gospodarstvo slišalo za protiobveščevalno dejavnost in lansiranje napačnih informacij, zato, da bi zaščitila svoj interes. Dr. Britovšku se je zdela preglednica zelo zanimiva in dobra, še posebej razlika med zasebnim in državnim. Če poenostavimo, državni organi lahko počnejo izrecno tisto kar jim zakon nalaga, medtem ko državljani počnejo lahko načeloma vse, razen kar je izrecno prepovedano.
Dr. Dvojmoč nadaljuje, da pri izvajanju korporativne obveščevalne dejavnosti trčimo na vprašanje financ, sposobnost razumevanja potreb. Kritična infrastruktura bi morala začeti razmišljati o korporativni obveščevalni dejavnosti predvsem za namen zaščite. Pri trgovskem delu pa večina količina tujcev v Sloveniji že izvaja delno korporativno obveščevalno dejavnost (skrajšano KOD). KOD se ne začne vedno na visokih obratih. Lahko gledamo na potencialne cene znotraj gospodarstva, ki bodo veljala čez pol leta. Kako in na kakšen način bomo lansirali nov produkt na trg? Ali smo naredili primeren »research«? Ali je konkurenca močnejša in zakaj? Analitike nam primanjkuje. Vsako podjetje bi potrebovalo takšne osebe, če želi na trgu uspeti. Vprašanje je samo o širini KOD. Ali se uporablja namen ali način protiobveščevalne dejavnosti lansiranja konkurenci delno resničnih ali neresničnih podatkov. Analitiki za podjetja pripravljajo pogled korporativne obveščevalne dejavnosti, v kolikor bi to podjetje želelo vstopit na tuje trge. Slovenska podjetja, ki vstopajo v tuje trge premalokrat izvedejo primerno analizo. Vprašanje je do katere meje ali nivoja bi potencialno lahko tako vrsto gospodarske obveščevalne dejavnosti za potrebe strateških odločitev opravljale tudi državne obveščevalne službe predvsem gre tukaj za civilno SOVO.
Dr. Britovšek opozori, da se dejavnosti razlikujejo tudi pri velikosti podjetji. Manjše kot je podjetje, večja je odgovornost na lastniku podjetja, ki dela svojo raziskavo trga, sam varuje svoje podjetje, sam preverja zaposlene ipd. Večje kot podjetje bolj se lahko posamezne dejavnosti specializirajo. V večjih korporacijah poznamo oddelke za raziskavo trga ali varnostne oddelke (zaščita delavcev in komunikacij). Tudi detektivi po Zakonu o detektivski dejavnosti, lahko opravljajo določene naloge, ki se vežejo na zaščito informacij ter zaščito delovnih mest. Detektivi opravljajo preverjajo podatke oz. izvajajo »due dilligence«. Že sami, ko iščete določeno storitev ali blago, vas zanima, kateri ponudnik je dober in zanesljiv. To so zelo pomembne informacije. Potrebno se je prepričati, da je določen ponudnik zanesljiv, da bo naredil v roku, da bo naredil za točno določeno dogovorjeno ceno ipd. V poslovnem svetu je predvidljivost izredno pomembna. Na kriznih žariščih ni gospodarskega razvoja ravno zaradi tega, ker je predvidljivost izredno nizka. Korporativna obveščevalna dejavnost uporabnikom lahko nudi večjo gotovost o tem kaj lahko pričakujejo od poslovnih partnerjev, od določenega tržišča in pa mogoče tudi od konkurence.
Dr. Dvojmoč pri tem dodaja, da bi lahko detektivi te stvari izvajali. Kot predsednik Detektivske zbornice Republike Slovenije bi bil zelo vesel, da bi lahko rekel, da imamo usposobljene detektive za delo, katero se navezuje na KOD. Detektivi v Sloveniji se še vedno držijo nekih osnovnih metod, katere so izvajali starejši detektivi. Lahko bi dejali, da bi detektivi lahko izvajali KOD, vendar premalo poznajo ta področja delovanja. Detektivi se zelo malo ukvarjajo s KOD, to je enako kot da bi rekli, da bi se v policiji, ukvarjajo z bagatelno kriminaliteto, ukvarjajo pa se s tem kdo bo napihal, koliko je napihal, kje je napihal in kakšni so potni stroški. Manj pa se ukvarjajo s tem kar bi se lahko ali pa kar bi bilo dobro. Sam razvoj, da bi lahko detektivi to uspešno delali, bi morali zelo dobro poznati OSINT področje in druga obveščevalna področja delovanja. Za kvalitetno opravljanje korporativne obveščevalne dejavnosti je dobro poznati geopolitiko, stanje matične države, aktivnost konkurence, profiliranje dobavitelja in zaposlovanje v protiobveščevalni dejavnosti. Nekatera slovenska podjetja zelo dobro uporabljajo dilligence, OSINT ter prodor na tuje trge. Po navadi so ta podjetja takšna, da jih mi sploh ne poznamo in sploh ne vemo da obstajajo. Ta podjetja javnosti niso tako znana in so umaknjena iz politične vplivnosti in lastništva države, ter delujejo dokaj uspešno. Že pri samem zaposlovanju posameznika ne naredimo intervjujev, ne naredimo »background checka«, ne naredimo testa z detektorjem laži, gre samo za zbiranje indicev. Uporablja se program iDetect, ki zaznava lažne odgovore. Ali je oseba sumljiva? Tudi preprečitev terorističnih napadov je na tak način dela možna, kajti osebje, katero izvaja intervjuje pred zaposlitvijo, lahko ugotovi namere oseb iz določenih držav in z določenimi nameni zaposlovanja v določeni branži.
Dr. Britovšek meni, da je najbolj pomembna osebnostna lastnost posameznika zaposlenega v obveščevalni dejavnosti radovednost. V Veliki Britaniji je skupina radovednih entuziastov preko javno dostopnih podatkov uspela s precejšnjo gotovostjo ugotoviti, kdo je npr. odgovoren za sestrelitev letala nad Ukrajino. Ključno delovanje je povezovanje koščkov podatkov v celoto in narediti strokovno oceno. Za delo v državnih obveščevalnih službah je pomembna tudi lojalnost posameznika. V zasebni korporativni obveščevalni dejavnosti je mogoče drugače, kjer gre vendarle nudenje storitev in tekmovanje na trgu.
Dr. Dvojmoč dodaja, da je z zasebnem sektorju pomembno predvsem to, koliko bomo zaslužili z pridobljeno informacijo, katero bomo prodali. Pri osebnostnih lastnostih v zasebnem sektorju je predvsem pomembno, da posameznik, kateri bo zadolžen za izvedbo akcije in pridobivanje informacij, da te pridobljene informacije ne bo prodal boljšemu ponudniku. Tukaj je naloga korporativno varnostnega menedžmenta, da bo pridobil oziroma izbral ustrezno osebo, kar pa je na trgu relativno težko.
Dr. Dvojmoč dodaja, da zasebni sektor nima nekih pravic. Pred časom se je nekje izvajal notranji nadzor, da ne bom rekel protiobveščevalna dejavnost z lansiranjem informacij znotraj neke gospodarske družbe z namenom ugotavljanja odziva na določene informacije in njihovo ukrepanje. Pri takšnih zadevah lahko gre za kaznivo dejanje, v kolikor se prestopi meja dovoljenega, lahko gre tudi za odpravnino »non disclosure agreement«, da podjetje ostane nedotaknjeno. Slovenska podjetja nimajo tega v svojem uvidu in se zadev lotevajo »at hoc«. V Sloveniji bi se morali zadev lotevati sistematično, ne pa da jih rešujemo takrat ko se nekaj že zgodi in potem posredujemo. Delovati bi morali bolj preventivno in preprečiti možnost, da se zadeva sploh lahko zgodi.
Na vprašanje o varnostnem preverjanju, specifičnih znanjih, kompetencah, izpitov in certifikatov zaposlenih posameznikov v državni obveščevalni službi in zasebni korporativni obveščevalni dejavnosti je dr. Britovšek odgovoril, da imajo državne službe to notranje urejeno ali pa se izobražujejo skupaj s partnerskimi službami ali preko mednarodnih organizacij. Pri detektivih je potreben certifikat oziroma licenca. Danes najdemo na zasebnem trgu podobna izobraževanja in usposabljanje kot jih nudijo državne institucije.
Dr. Dvojmoč dodaja, da detektivi so licencirani in obstaja osnovno varnostno preverjanje dokaj podobno kot na državni ravni (MNZ, SOVA). Obstajajo posamezniki, kateri opravljajo zasebno korporativno obveščevalno dejavnost, ki niso detektivi in niso varnostno preverjeni. Z samo obveščevalno dejavnostjo kot tako, se v Sloveniji ukvarja relativno malo oseb. Gre za detektive, uslužbence SOVE in v nekem segmentu tudi OVS MORS. Teh oseb naj bi bilo okrog 20, vendar to so izključno tisti, ki vedo kaj delajo. Vprašanje je, ali bi korporativno obveščevalno dejavnost izvajali izključno licencirani detektivi? S tem bi lahko regulirali področje in zaprli konkurenco.
Mnenje glede obveščevalnega cikla s strani dr. Britovška je, da ga on sam še ni zasledil. Gre za bolj kompleksen proces kot je prikazan v teoretičnem modelu cikla in je zelo odvisen od posameznikov in organizacije dela. Mogoče je še najbližji približek tega v vojaški obveščevalni dejavnosti. Poveljnik oz. njegovi podrejeni pripravljajo t. i. PIR-e (angl. Priority intelligence requirements), ki so nato poslani po svoji strukturi navzdol vse do obveščevalno-izvidniških enot, ki na podlagi teh PIR-ov zbirajo podatke ter jih posredujejo nazaj poveljnikom. Pri podjetjih pa je spet odvisno od velikosti in za kakšno podjetje gre. Pri manjših podjetjih gre pogosto za »ad hoc« odločitve iz danes na jutri. Večja podjetja oz. korporacije, pa lahko načrtujejo tudi strateško in na daljši rok.
Dr. Dvojmoč dodaja, da je v zasebnem sektorju potrebno vedeti, kam smo vezali osebo, katera je za delo odgovorna. Vezati jo je potrebno na odločevalca. Če govorimo o družbah večjih velikosti – vodji upravi, predsedniku/direktorju ali najmanj članu uprave. V manjših družbah direktno na direktorje ali lastnike. Na varnostnem in korporativno obveščevalnem področju smo doživeli filtriranje informacij s strani druge stopnje menedžmenta na način kakor je njim bilo všeč. S tem odločevalec ne pridobiva podatkov, kateri so za njega pomembni za odločanje. On ne potrebuje filtriranih informacij, ampak surove informacije, na podlagi katerih se bo odločal.
Okroglo mizo smo zaključili z dodatnimi vprašanji udeležencev in dodatnimi mnenji.
Ali menite, da se bo v sistemu nacionalne varnostni okrepila obveščevalna dejavnost? Dr. Britovšek meni, da se bodo verjetno morali določeni segmenti okrepiti, vendar sorazmerno z grožnjami ter seveda skladno z zakonom. Imamo zakon o Slovenski obveščevalno varnostni agenciji, kjer je zapisano s kakšnimi metodami ter pod katerimi pogoji lahko službe zbirajo podatke. Nekatere države imajo širša pooblastila, kot npr. Velika Britanija, ki je sicer pred kratkim izgubila na Evropskem sodišču za človekove pravice, ker so bila določena pooblastila za masovno zbiranje podatkov enostavno preširoka.
Dr. Dvojmoč dodaja, da se bo obveščevalna dejavnost res morala okrepiti, predvsem na gospodarskem področju (cost-benefit na dobiček ali prodajni produkt). Upam trditi, da se premalo dela na korporativno varnostnem področju, predvsem pri zaščiti kritične infrastrukture, saj tako Zakon o kritični infrastrukturi ali pa Uredba o obveznem organiziranju službe varovanja na podlagi Zakona o zasebnem varovanju tega ne zajema. Vprašanje je kaj in na kakšen način želimo stvari zaščititi? To bi morali v organizacijah razmišljati predvsem z novimi tehnologijami, saj poznamo nove IT grožnje. Ne smemo pa pozabiti na klasično fizično varovanje, z novejšo IT opremo, ga še vseeno potrebujemo. Potrebna je pravilna kombinacije tako tehničnega kot fizičnega varovanja. Glede na zagotavljanje obveščevalne dejavnosti na gospodarskem področju, lahko izpostavimo primer pomembnega podjetja v RS, kdo njim dobavlja IT opremo? Na kakšen način dobavlja? Kdo je po novem lastnik, kako je povezan s konkurenco? Država in podjetja se bodo morala strateško odločit na kakšen način se bodo varovala in varovala svojo prihodnost. Država v svojem bistvu vzpostavlja socialno pravičnost, isto stopnjo varnostni za vse, vendar v nekaterih delih ni tako. Mi sledimo logiki, dokler se nam nekaj ne zgodi ni potrebno ukrepati. Udeleženka poudarja, da varnostna kultura ni postavljena na pravem mestu. Bistveni del korporativne obveščevalne dejavnosti, da podjetje sprejema pravilne ukrepe v pravilnem časovnem okvirju. Dr. Dvojmoč dodaja, da pravilne ukrepe vidimo skozi čas. Dr. Britovšek dodaja, da je vloga državnih služb, da ustvarja varno okolje, kjer podjetja lahko delujejo. Da bi državne službe delale za podjetja. Katera podjetja? V večinski državni lasti, kaj pa ko se prodajajo, kaj pa ko delujejo na tujih trgih. Tukaj je preveliko vprašanj in edino kar lahko država nudi, da vsaj poskuša vzpostaviti varno okolje predvsem bolj na varovanju komunikacij, varovanju lastnine in podobno. Podjetja si morajo sama pridobiti obveščevalne podatke in za njih poskrbeti.
Organizator dogodka Andrej Kovačič, je zastavil obema gostoma vprašanje, kako je glede fluktuacije v obveščevalni dejavnosti? Dr. Britovšek je mnenja, da je fluktuacija razmeroma nizka, kar velja sicer za celotno javno upravo, kjer so službe zelo varne.
Dr. Dvojmoč dodaja, da v zasebnem sektorju, ko govorimo o tovrstnih zadevah fluktuacija ni visoka. Vprašanje je kdo in na kakšen način se s tem ukvarja? Delovna mesta, kjer se osebe ukvarjajo z korporativno obveščevalno dejavnostjo ali korporativno varnostjo, je fluktuacija zelo nizka. Ta fluktuacija je bistveno drugačna, kot na primer fluktuacija v zasebno varnostnem sektorju, kjer je znatno večja in je relativno visoka.
Drugo vprašanje organizatorja dogodka je bilo na temo dobre prakse v korporativni obveščevalni dejavnosti, ali obstaja v podjetjih? Dr. Dvojmoč pove, da obstajajo slovenska in tuja podjetja, ki imajo dobre prakse na tem področju. Prednjačijo tuja trgovska podjetja, ki izvedejo celotno zadevo, do te mere, da vedo natančno kje so kupili, kaj so kupili, za kakšen denar so kupili. Tudi njim, se zgodijo določeni incidenti, ko se jim preko kadra v organizacijah vmešajo osebe, ki tam nimajo kaj iskati. Tujci so v teh zadevah veliko boljši, saj vlagajo več denarja.
