Marţi, 21 iunie a.c., am găsit lângă un tomberon de gunoi situat în spatele Casei de Cultură din Târgu Jiu două documente ce poartă antetul Complexului Energetic Rovinari, cu titlul “Borderou alimentare carduri – Chenzina II”, şi care conţin date personale, bancare şi financiare ale unor angajaţi ai Complexului Energetic Rovinari, respectiv: numele şi prenumele, codul numeric personal, contul bancar de la BRD şi cuantumurile sumelor ce trebuie virate în conturile angajaţilor (!).

Documentele respective, deşi au un regim special, prin natura datelor conţinute, fuseseră aruncate la voia întâmplării. Ca urmare, oricine a putut vizualiza CNP-urile, conturile bancare şi sumele primite de fiecare salariat în parte al Complexului Energetic Rovinari. Riscurile la care au fost, astfel, expuşi sute de salariaţi sunt inimaginabile şi greu de cuantificat. În facsimilele alăturate puteţi citi o parte din numele prezente pe acele liste.
Acest nou incident generat de „specialiştii” Complexului Energetic Rovinari denotă debandada existentă în interiorul acestui mastodont economic. Potrivit legilor în vigoare, orice om are dreptul de a-i fi apărate acele caracteristici care conduc la identificarea sa, în acest sens statul fiind obligat să adopte toate măsurile necesare asigurării unei protecţii eficiente. În România, neîndeplinirea obligaţiilor privind confidenţialitatea şi aplicarea măsurilor de securitate constituie contravenţie şi se pedepseşte cu amendă de până la 500 milioane lei vechi.
Cele întâmplate sunt imposibil de explicat, deoarece acele date nu trebuia să circule pe suport fizic (listate) între Complexul Energetic Rovinari şi BRD. Circuitele fireşti şi legale sunt cele electronice. Nimeni de la Complexul Energetic Rovinari nu avea voie să iasă pe poarta unităţii cu acele înscrisuri, cu atât mai puţin să le arunce la întâmplare. După ce i-am pus la dispoziţie documentele găsite, directorul general Tiberiu Trotea a replicat, lipsit de orice urmă de bun simţ, că „acele documente nu figurează în evidenţele Complexului Energetic Rovinari”. Este firesc ca, în situaţia în care sunt copii ale unor documente interne, să nu figureze în evidenţe. În mod normal, Trotea trebuia să ordone imediat o anchetă internă şi să ceară scuze publice angajaţilor săi care au fost expuşi unor riscuri greu de evaluat prin diseminarea acelor documente.
Atât conducerea sucursalei Gorj a BRD, cât şi staff-ul central au evitat, până la închiderea ediţiei, să formuleze un punct de vedere.
Ziarul de Investigaţii GORJNEWS s-a adresat Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi Inspectoratului de Poliţie al Judeţului Gorj, pentru stabilirea responsabilităţilor şi aplicarea măsurilor legale. La rândul lor, fiecare din sutele de angajaţi ai Complexului Energetic Rovinari poate depune plângere pentru că le-au fost încălcate drepturi şi libertăţi fundamentale.

Opinia expertului: “Există riscul unor furturi de identitate”

„1. Lipsa clasificării datelor
În mod clar documentul conține date care ar trebui clasificate cel puțin ca uz intern. Conform standardelor, asemenea documente nu trebuie sub nicio formă să ajungă în afara locației celor ce le prelucrează. Mai mult, asemenea documente trebuie să fie accesibile doar unui grup restrâns de operatori, strict în limitele sarcinilor de lucru. Distrugerea acestui tip de documente trebuie făcută cu echipamente specifice, pentru a preveni exact acest tip de accidente, cu informații făcute publice.
2. Date personale
Documentele conțin Numele și Prenumele, Codul Numeric Personal. Aceste date cu caracter personal sunt protejate de legislația română, care prevede obligativitatea deținătorilor și operatorilor de a proteja aceste informații. Deși s-ar putea sugera că acest document este contrafăcut (vezi data Decembrie 2011 precum și răspunsul oferit de Complexul Energetic Rovinari), nu există îndoială privind autenticitatea codurilor IBAN și a CNP prezente în cele două pagini.
3. Informații care pot duce la conflicte interne (salarii)
Bunele practici specifică confidențialitatea salariilor pentru a preveni conflictele  interne între angajați. De asemenea, majoritatea oamenilor preferă să nu își facă publice veniturile, motiv pentru care prezentele documente pot fi considerate “sensibile” .
Aceste informații, verificabile, pot constitui o bună bază pentru contactarea acestor persoane de către alte bănci sau companii, pentru a propune diverse servicii: un alt tip de card, asigurări, diverse produse.  Unele bănci și companii folosesc CNP sau date derivate din acesta (data nașterii) drept element de identificare a clienților, așa că publicarea unor asemenea date poate duce la furturi de identitate și aflarea unor alte informații financiare sau de altă natură. Indiferent de cei care au pierdut aceste documente, CE Rovinari sau BRD, riscurile la care angajații, respectiv clienții, au fost expuși nu sunt neglijabile și dovedesc slăbiciunile unor sisteme incomplete sau incorect folosite. ”
Eugen Aciu, CISSP (Certified Information Security Systems Professional)
Analist Securitate Informaţională
www.azurit.ro