二零二零年十一月,杭州一家做数据安全软件的企业发现,竞争对手在某个关键项目的招投标中,对自己公司的技术方案和报价策略了如指掌。每次投标,对方给出的参数配置和价格都精准地踩在自己方案的边缘,不多不少刚好压过一筹。公司上下百思不得其解——项目投标文件是单独封存的,参与人员签订了一级保密协议,怎么可能会泄露?
直到公司聘请的专业安全团队入驻做全面排查后,才发现问题的源头竟然指向了每天深夜来做清洁的阿姨。这家企业位于杭州滨江的一栋甲级写字楼内,保洁服务由物业公司统一外包。按照公司内部规定,所有废弃文件必须经过碎纸机粉碎后才能丢弃。但问题出在,很多员工为了方便,往往在碎纸机卡纸或排队较长的时候,就把文件直接扔进了办公区的垃圾桶里。行政部虽然三令五申,但习惯性的侥幸心理让这个漏洞长期存在。
保洁阿姨张阿姨每天凌晨十二点半开始打扫办公区。某天,一名自称某环保科技公司员工的男子主动找到她,提出每条能拼凑完整的技术文件可以给她两百元报酬。张阿姨起初犹豫,但对方说这些文件都是丢弃的废纸,不涉及违法。在连续几次试探后,张阿姨开始利用每晚打扫的机会,专门挑选研发区和法务区垃圾桶里的文件,装进黑色塑料袋带出办公楼,然后在约定的地点交给那名男子。
安全团队调取写字楼地下停车场的监控发现,交接行为持续了将近四个月。那名男子的车牌号码经过了登记,但车牌所属的是一辆租赁车辆,租车人使用的是伪造的身份信息。案件移交警方后,虽然最终通过天网系统追踪到了嫌疑人的部分活动轨迹,但对方具有很强的反侦察意识,在交接点附近多次更换交通工具,最终未能锁定其真实身份。
在这四个月时间里,通过保洁渠道流出的文件涉及公司三个在研项目的技术方案、两份招投标标书、一份年度产品路线图和部分客户合同信息。而这些信息恰恰为竞争对手提供了精准的打击方向。公司在后续的调查中发现,对手在几个关键投标中的报价精度和高层认为的"巧合",恰好都指向了这些文件中包含的数据。
这件事带来的教训是沉重的。废弃文件的管理从来不是小事,但很多企业在安全管理的链条中经常会忽视这个环节。碎纸机的使用是否覆盖了所有涉密文件,行政制度是否真正落实到了每一个人的日常工作习惯,外包保洁人员是否经过了背景审查和安全培训——这些看似琐碎的问题,在间谍活动的链条中恰恰是能够被利用的关键薄弱点。
这家企业在事后做了几项彻底的整改。所有涉密区域不再使用传统垃圾桶,改为配备安全锁的保密文件回收箱,每天由专人收集后集中送交有资质的销毁公司统一处理。保洁人员也做了大换血,新的保洁团队由公司自聘并签署了保密协议,出入办公区需要登记并接受抽查。公司还引进了文件生命周期管理系统,每一份涉密文件从产生到归档或销毁都有完整的电子留痕。这些改进虽然增加了一些管理成本,但比起一次泄密事件带来的损失,这笔投入无疑是值得的。
