Ataki wąglikiem z 2001 roku są już wspomnieniem i większość przedsiębiorstw pozwoliła sobie na rozluźnienie procedur związanych z bezpieczeństwem przychodzącej poczty. Paczki i listy płyną w sposób niekontrolowany do środka wielu firm, a CSO, którzy nie zwracają uwagi na potencjalne niebezpieczeństwo, mogą znaleźć się w obliczu niespodziewanego zagrożenia.

Gdy Tom Brokaw z NBC Nightly News, patrząc w październiku 2001 r. na bursztynową butelkę leku na wąglika, deklarował: "In Cipro we trust", oświadczenie to było uosobieniem strachu przed atakiem bakteriologicznym w USA. Wszyscy pracownicy NBC w Nowym Jorku zostali uprzedzeni o działaniu wąglika i mieli pod ręką odpowiedni lek. Na wszelki wypadek. Oczywiście, NBC nie był jedyną firmą, której udzielił się atak histerii. Panika spowodowała, że firmy w całym kraju zapewniały lateksowe rękawiczki i opracowywały ekspresowo szczegółowe procedury dla swych pracowników - wytyczne otwierania przychodzącej poczty. Wieczorne wiadomości były pełne obrazów Amerykanów przywdziewających rękawiczki i maseczki do otwarcia skrzynki pocztowej.

Chociaż 22 zakażenia i 5 przypadków śmiertelnych to dzieło bakterii wąglika, dziś niewiele osób pamięta o tamtych przeżyciach. Wiele z zabezpieczeń, w które inwestowały przedsiębiorstwa, zostało stopniowo wycofanych - jako zbyt kosztowne w użyciu - a w większości firm praca z pocztą powróciła do dawnego stanu, traktowana jest tylko jako zajęcie administracyjne, niewiążące się z żadnymi wymogami bezpieczeństwa.

Mike Guevremont, wiceprezes Executive Protection Systems (EPS), firmy doradczej związanej z bezpieczeństwem, która dostarcza zabezpieczenia i szkoli pracowników w Senacie USA, Izbie Reprezentantów i Departamencie Obrony, mówi, że "Przerwa pomiędzy incydentami była tak długa, iż ludzie zapomnieli o tym, a firmy lekceważą zagrożenie. Do otwierania poczty używano kiedyś rękawiczek, ale po co robić to teraz? Przecież nic się nie dzieje".

Niewiele organizacji rozumie bezpieczeństwo poczty tak dobrze jak United States Postal Service (USPS). Dwóch pracowników poczty USA zmarło wskutek wdychania wąglika w 2001, siedmiu udało się przeżyć. Terminal pocztowy w Waszyngtonie wymagał wydania 130 milionów dolarów na odkażanie i remont, nim otwarto go ponownie w 2003 r. Thomas Day, wiceprezes inżynierii w Poczcie Stanów Zjednoczonych, twierdzi, że wąglik dokonał swoistej transformacji pracy - z tendencji do jak najszybszego dostarczania przesyłek do wzmocnienia obrony przed przyszłymi zdarzeniami. CSO odgrywają istotną rolę w zapewnieniu bezpieczeństwa poczty i ważne jest, by to rozumieć. "Ludzie mają skłonność do zapominania o zagrożeniach. Myśląc o bezpieczeństwie, skupiamy się zwykle na głównych drzwiach, podczas gdy inne mogą być większym zagrożeniem. Wchodząc od frontu, nie unikniesz identyfikacji. Poczta natomiast wprowadzana jest zwykle tylnymi drzwiami, co ułatwia obejście tej procedury" - mówi Thomas Day.

Postanowiliśmy zatem porozmawiać z inspektorami, ekspertami i dyrektorami ds. bezpieczeństwa, by skorzystać z ich doświadczeń i pokazać wyzwania, z jakimi zetknęli się w czasie zabezpieczania firmowej poczty.

Problem z mufinką

Ze wszystkich incydentów ogłaszanych w mediach, związanych z "podejrzanym białym proszkiem", przykład poczty USA najlepiej ilustruje ludzką bezmyślność i to, w jaki sposób dezorganizuje ona działanie całego przedsiębiorstwa. Wystarczy spytać Molly McMinn, inspektora pocztowego i rzecznika poczty Stanów Zjednoczonych, która widziała już prawie wszystko - od plażowego piasku po zgniecione ziarna grochu, wszczynające alarm, wysypując się z paczki jako pył. Pewna kobieta była tak niezadowolona z powodu jakości angielskiej babeczki, że włożyła ją do koperty i odesłała z powrotem do producenta. Koperta została oczywiście zgnieciona przez mechanizm maszyny sortującej listy, tworząc drobny biały proszek, który spowodował zaniepokojenie personelu placówki. Koperty listowe nie są jedynym powodem do niepokoju. W centrali Citizens Bank w Bostonie paczki są sprawdzane z użyciem promieni X, urządzeniem dostarczonym przez Michael Stapleton Associates (MSA). Produkt ten, zwany SmartTech, pozwala personelowi przeglądać paczki, ujawniając podejrzaną zawartość.

Niektóre przesyłki nie wymagają korzystania z aż tak nowoczesnego rozwiązania, by zostać uznane za podejrzane. Omer Recore, dyrektor ds. bezpieczeństwa we wspomnianym Citizens Bank, wspomina: "Dostaliśmy kiedyś taką paczkę, koperta w opłakanym stanie i adres napisany wyjątkowo nieczytelnym charakterem pisma. Po jednej stronie przekreślony napis ‚Sąd Najwyższy Stanów Zjednoczonych Ameryki', a po drugiej - ‚Citizens Bank, Boston' i żadnego adresu zwrotnego. Takie listy są łatwe w identyfikacji - naturalnie od razu je wyrzucamy".

Wielu CSO potraktowało wszystkie kwestie związane z bezpieczeństwem korespondencji bardzo poważnie, inwestując w drogie techniki i ustanawiając procedury, które dziś - gdy panika ustąpiła - wydają się zbędne. Teraz ci CSO mają poparcie kierownictwa tylko wtedy, gdy obawia się ono o własne życie.

Warto dbać o bezpieczeństwo korespondencji, a to nie musi być drogie. Stworzenie procesów i procedur zarządzających obsługą przychodzącej poczty jest z natury tanie, w porównaniu z kosztem odpowiedzi na rzeczywistą groźbę w postaci dobrze przeprowadzonego ataku na firmę. "Rozpatrzmy tę sytuację w naszym banku" - mówi Recore. Gdyby pracownik zetknął się z niebezpieczną substancją albo z bombą, "musielibyśmy chwilowo wstrzymać działalność i tym samym stracić pieniądze. Mielibyśmy problem, policja i straż chodziłaby po budynku, zakłócając działalność. Jeśli wiedza i szkolenia mogą wyeliminować to zagrożenie, zaoszczędza to wiele czasu i pieniędzy. Koszt jednego incydentu to prawdopodobnie równowartość kosztu wszystkich urządzeń, które nas przed nim chronią".

EPS pracował z organizacją zwaną Project Hope, która otrzymała paczkę zawierającą niezidentyfikowany proszek. Przedsiębiorstwo musiało zostać zamknięte na kilka dni, podczas gdy próbki były sprawdzane w laboratorium. Substancja okazała się niewinna, co nie zmienia faktu, że firma nie dbająca do tej pory o bezpieczeństwo korespondencji nagle musiała zmierzyć się z tym wyzwaniem. Mimo że alarm był fałszywy, firma zdecydowała się wprowadzić procedury zapewniające bezpieczeństwo korespondencji. "Szkolenie pracowników nie kosztuje zbyt wiele, poza tym daje ludziom poczucie bezpieczeństwa" - mówi Guevremont. "Większe szkody wywołają panika wśród personelu i ewentualne koszty procesów oraz odszkodowania, jeśli już coś takiego się wydarzy, a ty będziesz nieprzygotowany".

ostrożność wskazana

Warto pamiętać przy tym, że choć celem ataków z 2001 r. były głównie najwyższe urzędy Stanów Zjednoczonych, nie znaczy to jednak, że zagrożenie nie może dotknąć także ciebie, więc lepiej nie bagatelizować zagrożenia. "Osobą, która powinna zająć się takim zagrożeniem, jest dyrektor bezpieczeństwa" - stwierdza R. Douglas Nunes, profesjonalista ds. bezpieczeństwa i były inspektor poczty USA, z 30-letnim doświadczeniem w bezpieczeństwie paczek, przesyłek zawierających bomby i bioterroryzmu. "Jeśli w miarę upływu czasu nic niepokojącego się nie dzieje, to powód do zadowolenia dla CSO. Jednocześnie, nie znaczy to, że należy zaniedbywać środki ostrożności - nigdy nie wiesz, kiedy staniesz się celem. A jeśli już tak się stanie, to CSO będzie musiał odpowiadać, że nie wszczął alarmu na czas".

Poprawne stworzenie polityki bezpieczeństwa przesyłek pocztowych, wraz z odpowiednimi procedurami jej stosowania, wymaga zrozumienia zakresu ryzyka, jakie niesie działalność firmy. Dlatego też należy wziąć pod uwagę czynniki, takie jak branża przemysłu czy geograficzna lokalizacja korporacyjnych aktywów. "Gdy twoja firma jest dostawcą rozwiązań bezpieczeństwa lub też działa na wielu rynkach zagranicznych, wtedy ryzyko jest znacznie większe niż w przypadku dostawcy leków czy instytucji finansowej" - mówi Nunes. Z drugiej strony, wiele firm o potencjalnie niskim ryzyku może działać obok niebezpiecznych jednostek, takich jak konsulat, lub też dzielić budynek z firmą, która mogłaby być zagrożona.