这事发生在深圳,一家做智能硬件的创业公司,三年拿了两轮融资,团队四十多人,产品马上就要量产了。结果一个普普通通的U盘,把这个公司直接送进了ICU,最后连抢救的机会都没有。
事情要从一个周五的下午说起。研发总监老张要赶着去参加一个行业峰会,临出发前有个技术方案的文件需要带上做演示。公司的文件传输系统有点慢,他嫌麻烦,就把U盘插上拷贝了一份。这个U盘是两个月前他在楼下便利店买的杂牌子,二十块钱一个,用了两个月也没出过问题,他就没多想。
峰会结束后当天晚上,老张跟几个同行吃了个饭,多喝了几杯。第二天早上酒醒了发现U盘不见了。他在包里翻了个遍,又打电话问了一起吃饭的朋友,都没找到。当时老张觉得多大点事,U盘里虽然有一份技术方案,但也不是公司的核心机密,丢了就丢了,大不了回公司重新拷一份。
他完全没想到,这个U盘会落在什么人手里。
两个月后,一件奇怪的事发生了。公司提交的一项核心专利的申请,被国家知识产权局驳回了,理由是存在在先申请。这个在先申请的提交时间,刚好比他们晚了三周,但技术方案几乎一模一样。老张当时就蒙了,这个技术方案是团队花了将近一年时间打磨出来的,怎么会被人抢先申请专利?
公司紧急成立了调查组,排查了所有可能泄露的渠道。研发文档管理系统没有异常登录记录,办公区的监控也查过了,没有任何可疑人员。最后大家把目光集中到了老张身上。他回忆了很久,才想起了两个月前丢的那个U盘。
那个U盘里的技术方案虽然不完整,但包含了公司新一代产品的核心技术框架和部分关键参数。如果落到同行手里,人家用这些信息逆向推导出完整方案,提前申请专利,是完全可能的。
公司立刻报了警。警方调取了峰会那天老张活动区域的监控,发现在他和朋友吃饭的餐厅里,有个穿深色夹克的男人在他们离席后迅速靠近了座位,不到十秒就离开了。但因为监控清晰度不够,加上时间过去太久,查不到这个人的身份。
更要命的是,这件事传开后,公司的投资人开始不淡定了。第二轮融资的条款中有关于知识产权保护和数据安全管理的严格约定,出现这种核心机密泄露的情况,按照合同条款投资方有权暂停后续资金。投资人找公司谈了好几次,核心意思就是先解决安全问题再谈钱。
公司一边打官司应对专利纠纷,一边到处筹钱维持运营。可屋漏偏逢连夜雨,竞争对手拿到那部分技术框架后,加速了自己的产品研发,比公司提前两个月发布了类似功能的产品,抢占了大量市场份额。公司的产品虽然技术更好,但失去了先发优势,上市后销售远不及预期。
坚持了八个月后,公司资金链彻底断裂,创始人卖掉了所有资产还债,四十多人的团队原地解散。曾经被行业看好的黑马,就这么无声无息地倒下了。
回过头来看这件事,最让人唏嘘的是,造成这一切的源头太微不足道了。一个二十块钱的U盘,一次图省事的违规拷贝,一顿酒后的疏忽大意。
如果老张用公司的加密传输系统,哪怕慢几分钟;如果他选一个有硬件加密功能的安全U盘;如果当天晚上他少喝两杯;如果丢了U盘立刻向公司报告并启动应急预案……任何一个如果成立,这家公司现在可能还在正常运转。可惜没有如果。
这个案例给我们几个很现实的教训。第一,移动存储设备一定要管好。公司核心数据不应该通过个人U盘携带,如果确实需要用,必须使用带加密功能的专用U盘,而且要有明确的借还登记制度。第二,任何数据丢失事件不要自己判断重不重要,丢了就要上报,让公司去评估风险。第三,重要的技术方案一定要定期做知识产权保护,早点申请专利,不给别人可乘之机。第四,聚餐应酬的时候不要带敏感资料,喝酒误事不是一句空话。
现在的企业信息安全,很多时候不是被什么高科技手段攻破的,而是栽在最不起眼的小细节上。一个U盘、一张纸、一次随手拍,都可能是多米诺骨牌的第一张。千万别觉得事小就不当回事,在商业秘密保护这件事上,大堤溃于蚁穴的教训太多了。
