谁偷窥了你的商业秘密?(之一)

作者: TEC 分类: 安全前沿 发布时间: 2011-03-24 10:24 ė 6没有评论

来源:互联网

寂静的夜里,办公室里一台电脑忽然自动打开,密码很快被破解,屏幕上不断闪现着大量数据。在这个城市的某个角落里,另一台电脑正在接收着这些数据。

你可能认为这只是电影中的情节,但如果你不小心,终有一天会发生在你身上。

科技的进步和信息全球化让公司安全危机四伏,住友集团伦敦办事处险些被人通过网络搬空2亿英镑;美国约4000万VISA信用卡用户资料被盗;2008年法国兴业银行的魔鬼交易员杰洛米·科维尔秘密进行期指买卖,导致银行损失高达71.4亿美元……除了科技手段,权限较大、掌握资料较多的高管的跳槽也成为商业秘密流失的忧患,当年李开复、叶伟伦、吴世雄从微软跳槽Google,曾在业内掀起轩然大波,引发双方对是否泄漏商业秘密的激烈争论。

2009年6月,前高盛员工阿利尼科夫因涉嫌窃取包括网上股票、期货交易密码在内的“商业机密”而被捕。他所窃取电脑密码用于“高端、快速和大量交易”,这些交易每年涉及上亿美元金额。

高盛集团2008年在金融危机拖累下,仍实现盈利23亿美元,其市场竞争力较大程度上仰仗它的电子交易系统。高盛采取多种措施保障网上交易安全。和其他员工一样,阿利尼科夫签署保密协议,承诺不泄露包括网上交易密码在内的公司商业机密。另外,公司为防止交易密码外泄,还设置公司办公电脑监视程序,监视所有向外发送的电子邮件。但此次阿利尼科夫使用家用台式电脑、手提电脑和计算机移动记忆存储设备窃取网上文件,并上传至设在德国的一个网络服务器。这给高盛信息安全维护提出新难题,同时也引发投资者质疑华尔街市场金融交易安全。

为何偷窥商业秘密行为屡禁屡犯、层不出穷?

“90% 的企业在去年遭受过黑客攻击;30% 的对等请求是下载内容;1/3 的公司网络上有间谍软件;45% 的 IT 经理曾经报告公司网络感染了病毒;70% 的因特网内容流量发生在上午九时到下午五时的工作时间。”

看了Websense在美国所统计的数字,你会怎么想?

网络的普及与电子商务的广泛应用扩大了商业安全的隐患。根据2009年1月13日中国互联网络信息中心(CNNIC)发布的《第23次中国互联网络发展状况统计报告》显示,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。2008年使用手机上网的网民较2007年翻了一番还多,达到1.17亿,博客用户数量为1.62亿。

安全是相对的,不安全是决对的,只要有数据,数据的安全就永远是个问题。互联网不再是“自由”的代名词,反而是偷窥隐私的重灾区。据美国媒体报道,美国Proofpoint公司对400多家拥有1000多名员工的美英公司进行调查时发现,38%的受访公司表示曾雇人专门查看和分析员工的电子邮件。而员工人数超过两万的美国大公司中则有44%采取这一做法。此外,近三分之一的受访美国公司还表示,在过去一年中曾因电子邮件问题解雇员工。调查一出,一片哗然。

信息安全的风险无处不在,而且无法预期。信息安全公司Cyber-Ark对美国和英国超过400名资深IT专业人士的调查显示,35%的受访者承认有偷窥资料的行为。受访者最常窥探的是人力资源记录、客户数据库、并购计划、裁员名单,以及营销资料。与一年前相比,明显有更多的人选择带走对公司竞争力和安全至关重要的数据和信息——选择带走财务报告或并购计划的人较一年前增加了五倍,选择窃取高管密码和研发计划的人增加了三倍。Cyber-Ark首席执行官优迪埃·默卡迪说:“这些特权账户看起来似乎没什么害处,实际上给了一些员工‘打开王国的钥匙’,他们可以获取非常敏感的信息。”

根据《英才》2005年对123名企业高管所做调查显示,只有20.3%的人认为自己从未发生泄密事件。商场如战场,你的大本营也许时时刻刻就在别人的间谍卫星底下生存,当你的秘密武器被别人抢先知道或抢先研制出来,后果会同广岛和长崎的两颗原子弹爆炸一样严重。“大家都知道预防是最好的,但就如同知道抽烟会得癌症,但还要抽,因为总觉得这种事情不会发生在我身上。”信息安全专家杨钦铭认为侥幸心理是导致企业信息安全防范体系失效的重要原因之一。

在软件业摸爬滚打了十几年的书生公司创始人王东临则指出:“事实上,有统计数据显示,80%以上的商业秘密外流是由内部员工引起的。”技术成为高科技企业重要竞争力的当下,研发人员急剧流动带来的商业泄密事件此起彼伏,2002年华为3名技术人员离职,造成1.8亿元损失。对于那些掌握了更多信息的企业高管而言,他们的泄密行为对公司造成的冲击就更大——2004年12月,台北某高科技公司离职研发主管参与窃取研发资料,外泄至竞争对手,导致新台币1.2亿元的损失;2008年,广东某国家级重点科研企业研发部长携价值6亿核心技术离职。

不过,企业保密甚至高度机密信息外泄,并非总是商业间谍或得内鬼所为。企业重要的商业信息外流,有很多原因,不能一概而全。

未雨绸缪、防范未然方为良策

制度、管理上的规范是防止泄密的保证,很多大型跨国公司还是有一些比较健全的制度来保护其信息安全,例如,摩托罗拉设立专门的信息安全官,而且推行了POPI(保护公司专有信息)项目。信息都要确定保密级别,明确公开范围,并定期抽调各部门的人员组成小组检查,违规员工将被警告甚至通报批评,多次犯错会影响绩效考评。这套制度会让员工脑中绷紧一根弦,意识到涉及保密级别的信息不能轻易对外披露或吐露。佳能中国则走了另外一条信息防漏路线——在佳能,外面的客人必须要在与办公区域相对隔离的会议室接待,而公司内部的会议则必须要在办公区内举行。

为了防止保密级别高的信息在各部门之间私下流动,一些大公司选择了信息屏蔽的做法。比如,上市公司业绩只是公开一个笼统的数据,真正敏感的、具体详细的财务信息只有很少人能够确切掌握。有些具体项目的信息还会采用不同会计口径公布。将大部分涉及知识产权的内容都放在服务器里,通常员工不会掌握公司核心竞争力的部分。

很多企业都与员工签订了保密协议或竞业禁止协议,以此来防止商业秘密的泄漏。但这些行为只能防止最坏的结果,却无法保证出现最好的结果。要消除泄密行为对企业带来的负面作用,人力资源管理者还可以做的更多。

塑造一种信任的文化,强化员工的归属感。通过安全软件来防止泄密不能得到绝对的保证,越是安全的软件越复杂,也就会容易存在漏洞。信任是制止公司机密信息泄露的重要方面,不过必须要有制度才能建立信任,杨钦铭指出:“不是我告诉你怎么做,我就能相信你,必须要用工具来让我相信你。你到海关,你不可以拿出假的护照,为什么?因为知道你不敢嘛。没有监控,就谈不到信任。”

对于那些能够经常接触到商业秘密的关键员工,找到他们与企业利益的结合点,唤起他们的工作激情,增强他们对企业的归属感是最为关键的。而这一点,从招聘选人开始要贯穿员工的整个职业生涯:从严格把关的背景调查到频繁的日常沟通,人力资源管理者应该随时关注员工的心理和需求,及时给予帮助和指导。

做好员工的离职管理,重视管理离职员工。80%的泄密行为是由于员工离职所产生的,尽管公司可以采取竞业禁止的方式,在一定程度内限制员工对于竞争对手的贡献;但越是重要的员工,在专业领域上的竞争力也就越强,转行的可能性也就越小,竞争对手也会用一些“擦边球”的方式“挖墙角”,甚至愿意为此付出大量成本。因此,在员工离职时做好离职原因调查,离职后建立离职员工档案,了解其去向并与离职员工保持沟通联络是降低泄密行为行之有效的方式。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=227

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部