这个案例的戏剧性很强,发生在某家拥有极高保密等级业务的企业身上。他们在郊外设立了一个独立的研发基地,专门负责某类新型安全设备的研发工作。这个基地的位置对外是不公开的,甚至连公司总部里的大部分员工也不知道具体地址。进出基地需要多重身份验证,所有人员不得携带手机进入核心区域,基地的建筑外墙上没有任何公司标志和铭牌。安全部反复强调,任何关于基地的信息,包括周边环境照片、位置坐标、通勤路线,都不得在任何社交平台上发布。即便如此谨慎,还是出了问题。基地里一名年轻的技术工程师周末时和女朋友去周边的一个水库钓鱼,拍了几张照片发到了自己的微博上。他拍的虽然是风景照,但照片中水库的地理特征非常明显,而且他发的微博的定位标签精确到了具体的水库位置。一个对这家企业有浓厚兴趣的竞争对手的研究人员,通过他的微博历史内容、图片中的背景山体走向、以及定位标签,结合网络公开的卫星地图和用地规划信息,最终锁定了这家企业在郊区的那片区域,并进一步推断出了大致范围。对手虽然没有拿到任何保密资料,但仅凭着知道了这个基地的所在位置,就已经在战略层面获得了很多有价值的情报,比如可以估算他们的研发人员规模、物流配送品类从而推测研究方向,甚至可以派人到周边监控出入车辆和人员构成。
这个案例对于任何从事敏感业务的企业来说都是一个极具价值的警示。互联网时代的社交平台定位信息、照片中的地理标志、甚至是照片的EXIF元数据里记录的光圈、时间、GPS坐标,这些信息都可以成为竞争对手分析企业活动的情报来源。很多员工并没有意识到,发一张看似无害的风景照片,就可能已经把公司不希望公开的信息暴露了出去。这不是员工有意出卖公司,而是安全意识上的盲区。尤其对于从事保密技术研发、国防相关业务、高精尖设备制造的企业来说,员工在上网活动中无意识泄露的信息,往往比内部人员恶意窃取造成的损失更加难以防范,因为你不可能要求员工完全不使用社交网络。
我对这类高风险企业的建议是,对于涉密岗位的员工,必须在入职时就签署非常明确的信息安全承诺书,将社交媒体的使用规范作为行为准则的一部分,明确禁止在社交平台发布涉及工作地点的任何信息。企业可以对涉密人员进行定期的社交平台内容抽查,作为内部合规的一部分,而不是等到出事才去翻。从技术层面考虑,涉密区域周围应建立电子围栏系统,在区域内禁止手机拍摄和使用公共社交网络。更彻底的做法是对涉密人员使用专用的安全通信设备,日常工作沟通和生活分享设备做物理分离。还有一个经常被提及但实际执行效果很好的建议是,在涉及敏感项目的阶段,可以鼓励员工主动调整社交媒体账号的隐私设置,或者使用企业提供的虚拟身份来分享必要的内容,从根本上切断社交平台信息与企业真实位置之间的关联。
