一次视频会议的录屏被外泄,让一家企业数月的谈判准备化为乌有,数千万的合作项目签出了远低于预期的条件。这不是网络安全攻击,而是内部管理的一个疏忽缺口。
某消费品企业经过数月准备,即将与一家国际品牌进行品牌授权合作谈判。谈判前夕,项目团队通过远程视频会议系统多次召开内部策略讨论会,详细推演了谈判中的各种可能情形和应对方案,包括己方的授权费支付能力上限、可接受的品牌使用限制以及备选替代合作方案。
团队中一名市场分析人员为了方便后续回顾,未经许可开启了会议录屏功能,将全部策略讨论会的音视频录制下来,保存在个人电脑的工作文件夹中。后来这名员工将电脑送到公司附近的维修店进行硬件升级。维修店技术人员在操作过程中浏览了电脑文件,发现了标注着敏感项目名称的录屏文件,私下复制了这些文件。
更糟糕的是,这名技术人员恰好与谈判对手公司的一名员工有私交。对方公司在掌握了企业完整的谈判底牌后,在谈判中处处占据主动,不断施压至底线附近。企业谈判团队一直困惑对方为何对自己底牌了如指掌,最终签出的协议条件远比预期糟糕。
这个案例的教训是多层的。第一层,会议录屏需要严格的权限管控。远程会议系统的录屏功能应当设置权限限制,普通参与者不应拥有录屏权限。企业管理制度中也应明确禁止未经授权的会议录屏行为。第二层,涉密人员的终端设备必须受到安全保护。存储了高度敏感会议录像的个人电脑没有任何技术保护措施,可以被第三方维修人员轻易浏览和复制。对于涉及商业秘密的文件,企业应强制使用加密存储,并为涉密人员设备维修建立专门的管理流程——送修前清除涉密数据,或在可信环境中监督维修。
第三层,也是最深刻的一层,是许多企业非常重视技术秘密的防护,却忽略了对经营活动和商业策略的保密。重大商业谈判中,谈判策略的保密与技术秘密的保密同等重要,有时甚至更为关键。企业安全主管应意识到,远程会议已经是日常高频使用场景,保密管理必须覆盖到这个场景。业务负责人在重大项目的策略讨论中,应当评估是否适合使用远程会议方式,建议核心策略讨论在物理保密环境中进行。
北京企密安信息安全技术有限公司为企业提供远程会议安全评估和培训服务,旗下保密网品牌持续科普远程办公保密管理的实战知识。你们公司的远程会议有没有录屏管控措施?
