二零二零年,成都一家做工业物联网平台的企业发生了一起让人始料未及的泄密事件,源头竟然出在日常业务沟通最常用的工具上——微信群。这家企业的研发团队有一个用于日常技术讨论的微信群,群里除了研发人员之外,还有产品经理、测试工程师和几位核心的技术骨干。群里的日常讨论内容五花八门,从产品迭代计划、客户反馈的问题到技术方案选型讨论,信息量很大。
一天下午,技术负责人在浏览行业论坛的时候,无意中发现一篇帖子里的配图让他感到非常眼熟。那张图是一张微信聊天记录的截屏,对话内容涉及对某款新产品的测试指标讨论,提到了几个尚未公开的性能参数和产品上市时间。这篇帖子来自一个匿名用户,发布在一个人气颇高的技术社区,发帖标题是"某公司的工业物联网平台好像是这么搞的,大家看看靠谱不"。
技术负责人当时就惊出一身冷汗。他马上把截屏图片发到研发群里,让大家确认。群里几个人都对这段对话有印象,确认这是上周三下午研发群里的讨论内容。但问题是,这个群是研发团队内部群,群里一共也就二十来个人,都是平时一起做项目的老同事,谁会把群聊内容截屏发到公开论坛上呢?
调查结果让人很矛盾。截屏确实来自研发群里,但发出这个截屏的并非研发团队的成员——而是一个被拉进群聊已经好几个月但几乎从不发言的商务人员。这名商务人员不是研发团队的正式成员,之前因为某个项目对接需求,被临时拉进了这个技术讨论群。项目结束后也没有把他移出群聊,他就在群里安安静静地待了几个月。按照他的说法,他当时觉得论坛上有人讨论自家公司的技术话题,就把群里的一段讨论截屏发过去回应,没想到自己公司内部讨论的内容本身就是不应该公开的。
这起事件的起因非常典型。很多跨部门协作群在增加成员时没有考虑信息保密需求,一个非研发岗位的员工被拉进了讨论高度敏感技术内容的群聊。群成员的权限和群内发布内容的敏感度之间存在严重的不匹配,这种不匹配没有引起任何人的注意,直到泄密事实发生。事后处理也让管理层感到棘手,因为根本分不清那名商务人员是无心之失还是受人指使,但无论哪种情况,信息已经泄露出去,造成的竞争劣势已经无法逆转。
这件事之后,这家企业做了一件看似简单但效果显著的事情:所有跨部门协作群根据讨论内容的敏感级别作了区分。涉及产品规划、技术方案、性能指标等未公开信息的群聊,群成员仅限于研发和产品部门的核心人员。其他部门的同事如果需要了解相关信息,由指定对接人统一传递,而不是直接拉群。群聊管理员每个月对群成员名单做一次清理,把不再参与该项目的人员移出。这些做法的执行成本几乎为零,但对保护企业内部信息起到了立竿见影的效果。在日常工作中,我们往往把群聊当成一种便捷的协作手段,却忽略了它的另一种属性——每一个群聊成员都是一个信息出口,而出口的管控一旦失序,泄密的通道也就随之打开了。
