二零二二年一月,重庆一家做汽车零部件的企业发现了一件让人发愁的事。他们给一家合资整车厂独家供应的发动机支架产品,竟然在同一时间段出现在了整车厂另一家供应商的报价单上。而那家供应商提供的图纸参数和他们公司高度相似,但价格便宜得多。
重庆这家公司生产发动机支架已经快十年了,工艺成熟,和整车厂配合得很默契。产品图纸由整车厂设计完成后提供给重庆公司,图纸上不仅标注了产品尺寸和材料要求,还包括整车厂在多年实践中积累的工艺经验参数。按照和整车厂签署的保密协议,这份图纸只能用于该款发动机支架的生产,不得提供给任何第三方。
顺藤摸瓜调查后发现,问题出在双方共用的一个紧固件供应商身上。这家紧固件供应商同时为多家汽车零部件公司供应螺丝螺杆类产品。在收到重庆公司发来的配合件尺寸需求后,他们的工程师把完整的发动机支架图纸保存在了公共服务器的共享文件夹里,没有设置访问权限。紧固件供应商内部几个销售人员在处理其他客户业务时,无意间把这张图纸当成了参考案例展示给了另一家零部件公司。而那家公司正苦于没有整车厂的配套资格,拿到图纸后如获至宝,直接用差不多的工艺打样报价了。
整车厂得知这件事后非常恼火。按照供应商管理的要求,配套图纸属于整车厂的核心技术资产,零部件供应商对图纸有严格的安全管理责任。整车厂不仅暂停了重庆公司的后续新项目准入,还要求对所有历史图纸的流转去向做全面审查。重庆公司虽然也是受害者,但因为对下游紧固件供应商的图纸管理失察,同样需要承担违约责任。
汽车零部件行业的供应链通常层级较多,从整车厂到一级供应商,再到二级供应商甚至三级供应商,图纸和技术文档在下游流转过程中每经过一个环节就多一层风险。很多汽车零部件供应商在对下游进行图纸传递时,没有建立足够严格的管理制度。图纸多以电子邮件附件形式发送,接收方收到后可以随意转发、打印和复制。有的甚至直接通过即时通讯软件发送高清截图,这些未经加密的传输方式让技术参数的风险敞口变得很大。
这套流程的根本问题在于,零部件供应商和上游企业签署了严格的保密协议,但没有把同样的约束力传导到自己的下游。而图纸一旦从一级供应商流向二级供应商,管理的可控性就大幅下降。二级供应商的员工流动性大、保密意识参差不齐,图纸在他们手中很难得到和一级供应商同样水平的保护。
重庆公司和整车厂后续重新梳理了图纸传递的安全流程。所有涉及核心零部件的技术图纸统一通过加密的供应商协作平台传送,不再使用电子邮件或即时通讯软件。图纸权限按项目时间限制自动回收,项目结束后供应商无法再查看图纸。每一份图纸的访问和下载记录都留存日志,方便在出现问题时追溯。他们还建立了图纸使用的定期审计制度,整车厂每个季度对一级供应商的图纸保密管理进行抽查,一级供应商也相应地对二级供应商进行传导审核。
北京企密安在为汽车及零部件企业做保密体系建设时发现,图纸管理往往是供应链信息安全中最容易被忽视的环节。一张看似普通的工程图纸,背后凝聚的是企业多年的技术积累,一旦泄露带来的损失不亚于丢了几个大客户。把图纸管理的传送、存储、使用和回收全流程做严谨了,企业的核心信息才算有了一道相对可靠的防线。
