电梯是企业最常见的垂直交通工具,也是信息安全管理中容易被完全忽略的空间。在电梯这样一个封闭、短暂且缺乏隐私的公共场所,员工的一通电话、一句交谈甚至一个文件袋上露出的信息,都可能成为商业间谍获取的敏感信息。本文将从电梯间的特殊环境入手,分析乘电梯过程中可能发生的各种信息泄露风险,并提供实用的防护建议。

电梯间的特殊泄密环境

电梯空间具有几个容易被忽略的特征。密闭且拥挤,乘梯人员之间距离很近,对话可以轻易被周围的人听到。电梯运行时间虽然只有几十秒到几分钟,但在这个时间内发生的对话内容往往是员工从一个场景到另一个场景之间不经意间说出的真实信息。电梯是一个跨部门的交汇点,研发、销售、财务、市场等不同部门的员工可能在电梯中相遇并进行相关信息交流,这种跨部门的对话中泄露的信息往往具有更高的情报价值。电梯中的一个通话可能同时被多名不同部门的人听到,信息扩散的速度远超会议室里的正式讨论。

此外,电梯运行过程中的到站提示声会告知乘客哪些楼层有人进出,结合服装和工牌可以推测出该楼层的部门属性。如果企业的电梯刷卡系统没有实施分层管控,访客或者低权限人员可以随意进出所有楼层,电梯内的信息交流加上楼层的自由进出构成了双重安全隐患。

电梯交谈中的信息泄露

电梯内的对话是信息泄露最直接的渠道。员工在电梯中讨论工作内容时往往忽略了身旁可能站着的竞争对手公司的访客、供应商、客户或者与其无关的其他部门员工。有研究表明,在电梯内的对话中,员工会不自觉地说出本应在办公室内部讨论的信息,可能是合同金额、客户名称、项目进度、产品发布计划或者部门人事变动。一句无意中说出的话,落到知情人耳中就可能推导出大量有价值的情报。

值得格外警惕的是两类在电梯中发生的通话。第一类是员工在进入电梯后继续之前的电话会议或客户通话,由于电梯内的信号隔绝效应,说话声往往比平时更大,通话内容几乎等于公开广播。第二类是员工在电梯中接听电话,由于时间紧迫和空间限制,通话内容往往高度浓缩,最核心的关键词如价格、时间、客户名等集中出现,信息的密度和敏感性非常高。

文件与屏幕的暴露

电梯内除了语音信息的泄露,视觉信息的泄露同样值得重视。员工在电梯中手持的文件、文件夹上露出的一角标签、工牌上显示的部门信息、外套口袋中露出的U盘标签、背包中未拉链的文件袋,都可能被电梯中的其他人看到。在携带涉密文件乘电梯时,应当使用不透明的文件夹或文件袋封装,文件袋正面朝内紧贴身体持有,避免文件标签朝向他人。除了纸质文件,手持设备如平板电脑和笔记本电脑的屏幕也是在电梯中容易暴露的信息载体。员工在电梯中查看手机或平板时,屏幕上的信息可能被邻近的人看到。即使在十几秒的电梯下行过程中,一条微信消息的预览文字或者一封邮件的前几行内容已经包含了足够多的信息量。

电梯监控设备的安全性

电梯作为封闭空间往往安装了监控摄像头,用于保障公共安全。但是电梯监控视频的存储和访问如果管理不严格,本身也可能成为信息泄露的渠道。电梯监控视频不仅记录了人员的进出情况,还捕捉到了电梯内的所有对话声音和人员行为,如果监控系统被未授权人员获取,电梯内的所有谈话内容都将毫无保留地暴露。企业应当将电梯监控纳入信息安全管理体系,监控视频的存储应当加密,访问权限严格限制在安保管理部门。监控视频的保存期限和销毁制度应当明确,超出保留期限的视频应当安全清理。电梯监控系统本身也应当定期进行安全检查和漏洞修补,防止被外部黑客非法接入。

针对性的防护措施

提升电梯空间的信息安全意识应当成为企业保密培训的一部分。企业可以在电梯内部张贴简洁清晰的保密提醒标识,提示员工在电梯内不要讨论涉密信息、不要展示敏感文件的文本内容。保密提醒标识的设计应当简洁不突兀,不影响电梯美观但能起到及时提醒的作用。

企业可以实施电梯楼层分层管控。对于高安全级别的办公区域如研发中心、财务部和数据中心,设置只有授权人员才能刷卡的电梯楼层权限,非授权人员无法到达这些楼层,从根本上减少信息交叉传播的可能性。对于高层管理人员的专用电梯,应当实施使用权限管理,减少管理人员在电梯中与普通员工进行非预期信息交流的风险。

最后,建议企业在电梯内不对手机信号进行屏蔽,因为有的员工在电梯中如果发现手机有信号机会主动降低说话的音量来保护通话隐私,反而比在完全隔音空间内无意识地大声交谈更安全。

FAQ

问:在电梯里听到的公司信息能否作为商业情报使用?

答:即使是在公共场所获得的信息,如果明知该信息是被泄露的商业秘密而仍然获取和使用,同样可能构成侵犯商业秘密。员工在电梯中无意听到的信息也不代表企业放弃了保密意图,信息接收者的不当使用可能面临法律风险。企业和个人都应当尊重信息的保密属性。

问:电梯是否需要安装手机信号屏蔽器来防止通话泄密?

答:不建议。首先,安装手机信号屏蔽器需要经过无线电管理部门的审批,未经审批擅自安装属于违规行为。其次,屏蔽手机信号可能导致员工在进入电梯后放弃通话并等待到有信号时再回复,反而增加了通话内容在开放空间中被听到的机会。更有效的做法是在电梯内张贴提醒标识,提示使用免提模式或安静通话。

问:公司内部的货梯是否也需要纳入保密管理?

答:需要。货梯的使用人员包括物流人员、快递员、维修工和保洁等外部或临时工作人员,这些人员在货梯中的交谈和观察同样存在信息泄露风险。货梯的管理应当参照客梯标准,张贴保密提示标识并对货梯的楼层到达权限进行评估和控制。

北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com