2023年8月,中国国家安全部通过官方公众号披露了一起典型案例:某地方机关工作人员李某,在参与一项内部会议后,将涉及国家秘密的会议材料通过拍照的方式传输至个人微信,随后通过微信工作群进行传阅。材料经多人转发后在互联网上大面积扩散,造成了严重失泄密后果。李某因涉嫌故意泄露国家秘密罪被依法追究刑事责任。这起案例不是孤例,近年来多地通报了公务人员通过微信等社交软件处理涉密信息导致泄密的案件,暴露出数字化办公环境下的信息安全管理漏洞。
微信作为国内普及率较高的即时通讯工具,已经深度融入了企业和政府机构的日常工作。从内部通知、文件传阅到工作汇报,微信几乎替代了传统的邮件和纸质公文流程。然而,这种便利性的背后存在着巨大的安全隐患。微信的数据传输走的是公共互联网,存储在国内第三方服务器上,聊天记录可以被截获、备份和恢复。对于涉及商业秘密或国家秘密的信息,在微信上传播几乎等同于在公共场所大声宣读。
调查显示,微信泄密案件呈现出几个共同特点。首先,行为人往往无主观恶意,并非蓄意泄露,而是保密意识淡薄、保密习惯缺失导致的无心之失。拍照翻拍是微信泄密的主要方式,一张会议材料的照片在群聊中发出后,被接收者保存后随意转发,层层扩散之下便不可控。第二,群聊环境下的信息管控完全失效。微信群中的成员构成复杂,一旦有人在群内发布涉密信息,群内所有成员都可以下载、转发和截图,没有任何的技术限制手段。第三,泄密渠道以社交软件为主。涉密信息在社交软件上传播的路径难以追溯,发现的时机往往滞后于扩散的速度。
对于企业而言,微信泄密风险同样不可忽视。企业的战略规划文件、客户合同、技术方案、财务报表等敏感信息,如果出现在微信群中,泄露的风险将大幅增加。很多企业虽然制定了禁止在微信中传输敏感信息的规定,但执行层面缺乏刚性的技术管控手段。员工在便捷的工作习惯面前,往往会降低对信息安全的警觉性。解决问题的关键不在于完全禁止使用微信,而在于建立分级分类的信息处理规范。
企业需要制定清晰的信息分级标准和对应的处理规则。根据信息的敏感程度,将企业信息分为公开信息、内部信息、商业秘密和核心商业秘密等不同级别。公开信息和一般内部信息可以通过微信等社交软件传递,但商业秘密以上级别的信息必须通过企业自建的安全通信平台进行传输。安全通信平台应具备端到端加密、数据不落地、访问权限控制、水印溯源等安全功能,从技术层面杜绝信息被截图转发和二次传播的风险。
安全意识的持续教育和考核机制同样至关重要。人员防泄密培训中应当包括社交软件使用规范的专项内容,定期组织保密意识测评,让员工清楚地知道什么信息可以在工作群发,什么信息必须走安全渠道。企业还应建立泄密事件的快速响应机制,一旦发现涉密信息在社交软件上传播,能够及时采取措施阻断扩散路径,缩小影响范围。数字时代带来的便捷不能以牺牲信息安全为代价,把握好办公效率与安全管控的平衡,是企业数字化转型中不可回避的重要课题。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
