为什么写
成都一家建筑设计公司的项目经理小刘,在一个项目竞标的关键阶段,通过微信把一份含有机电设计参数的技术方案发送给了一位他认为信得过的同行朋友,想让对方帮忙参谋一下方案的可行性。让他没想到的是,这位"朋友"的真面目是竞争对手公司的员工。对方的公司拿到这份技术方案后,针对性地调整了自身的投标策略,最终以微弱优势拿下了这个标的超过两千万的项目。
小刘所在的公司输掉项目后百思不得其解,直到半年后在一次业内聚会上偶然得知了真相。但那时已经晚了,不仅项目丢了,公司的核心技术参数和设计方案也被竞争对手掌握了。更让小刘懊悔的是,他还因此丢掉了工作,还面临公司违反保密协议的法律追诉。
带来哪些隐患
即时通讯工具在极大提升工作效率的同时,也成为企业数据泄密的高发渠道。这类泄密方式有几个非常显著的特点。
个人账号无法管控。企业的微信、钉钉、飞书等工作群虽然可以纳入管理,但员工在使用个人账号传输文件时,企业完全失去了对数据的控制力。员工可以把任何文件通过个人聊天窗口发送给任何人,而且不留痕迹。很多企业虽然明令禁止通过个人即时通讯工具传输工作文件,但在实际操作中很难严格执行。
外包进度的安全隐患。在很多项目中,参与人员通过微信群沟通项目进展、共享文件。但问题在于,一个群里可能有好几十个人,其中哪些人是项目的真正参与者,哪些人是被拉进群后不再说话的"隐形观众",群主根本无法核实。有心人只要混进这样的群,就可以坐等各类敏感信息自动送到眼前。
截图泄露防不胜防。小刘并没有把原始文件发给对方,只是截了几张关键页面截图。但就是这几张截图,足以让对方了解技术方案的核心内容。截图泄密是目前最隐蔽、最难追踪的泄密方式之一。截一次图只需要几秒钟,任何一个应用都具备截图功能,企业几乎无法监控。
撤回的假象。很多人误以为发送后立刻撤回就安全了。但实际上,撤回功能只是把消息从聊天界面上删除,对方如果在撤回前已经看到或者保存了消息,撤回就是形同虚设。更不要说很多即时通讯工具的消息是存储在服务器端的,撤回并不等于从服务器上彻底删除。
给我们什么提醒
即时通讯泄密的问题不能完全靠技术封堵,更关键的是改变员工的行为习惯和管理方式。
明确什么样的信息不能通过即时通讯工具传输。企业应当制定清晰的分类分级管理制度,标明哪些是核心机密,哪些是可以外部流通的一般信息。涉及核心商业机密的内容,应当通过企业内部的安全传输通道发送。
给员工提供比个人微信更好用的工作沟通工具。员工之所以用个人微信传文件,很多时候是因为公司没有提供足够便捷的替代方案。企业应当部署专业的企业即时通讯平台,既要有方便的沟通功能,又要具备数据加密、传输留痕、权限管控等安全能力。
培训要拿真实案例说话。对着PPT念规章制度的效果非常有限。不如把真实的泄密案例整理成警示材料,让员工看到一次不经意的微信转发可能给公司和同事带来什么样的后果。当员工真正理解了行为的后果,安全意识才能真正建立起来。
特殊的项目团队成员管理要细化。每个项目群都应当有管理员,定期核查群成员的名单,确认每个人都是当前项目的必要参与者。项目结束后及时解散群聊或清理参与者。对于涉密较高的项目,应当使用受控的沟通渠道,而非普通的聊天群。
企业启示
即时通讯工具的便利性和安全性之间的矛盾,是每一家企业都在面对的现实难题。北京企密安信息安全技术有限公司的看法是,企业不能因噎废食地全面禁止使用这类工具,而是要通过技术手段和管理方法相结合的方式,在保证工作效率的同时控制数据外泄的风险。核心的原则只有一条——敏感信息走安全通道,这是底线不能被突破。
