奥地利外交部把外交密电用普通邮件发给了全部驻外使馆

这是一个发生在欧洲的外交信息安全事件，涉及的是一个主权国家的外交系统，所以它的分量比一般的企业泄密案例要重得多。这个案例告诉我们的是，即使是最讲究等级和规矩的政府部门，也会在信息安全管理上犯一些在你看来极其基础的低级错误。

故事的主角是奥地利外交部。作为一个欧洲国家的外交机构，奥地利外交部在全球多个国家设有大使馆和领事馆，日常需要和这些驻外机构之间传递大量的外交文书和内部指示。外交文书的传递有一套非常严格的规程，按照不同的密级有不同的传递方式和渠道。涉密级别高的文件可能要通过加密通信线路或者专人信使来传递，级别低一些的外交电报也有专用的加密外交邮袋系统和内部的文档加密工具。总之外交系统的信息传递有它自己的一套安全体系，而且这套体系通常被认为是非常可靠的。

但人为的失误可以绕过大半个安全体系。奥地利外交部在一次面向全部驻外使领馆发送内部指示的时候，工作人员选择了一个让人无法理解的传递方式——通过普通的电子邮件系统群发。而且发送的邮件内容不是简单的日常通知，是涉及某一外交议题的内部讨论要点和立场说明，属于设密级别的外交电报内容，按照规程不应该使用未经加密保护的普通电子邮件渠道来传递。更重要的是，收件人列表写得非常完整，包括了全球范围内所有奥地利驻外使领馆的工作邮箱。这意味着如果任何一个收件邮箱的安全防护存在薄弱环节，或者邮件在传输过程中被截获，这些外交电报的内容就可能暴露给未经授权的第三方。

事故的后果很快就显现了。这些邮件在通过网络传输的过程中被第三方拦截或者通过其他方式泄露到了外界。具体的泄密路径到今天也没有完全对外公布，但已知的情况是这批邮件的内容在网上被公开了，全球多个新闻机构和安全研究机构都获取到了邮件中的外交电报内容。作为主权国家的外交内部指示，这些内容在被暴露之后立刻成为了媒体和分析机构的重点研究对象，奥地利与其他国家之间的外交沟通意图、策略考量和内部立场被广泛讨论。据说有些内容对一些国际关系的走向产生了间接的影响，奥地利外交部门因此承受了相当大的外部压力和国际舆论的关注。

这件事发生之后，奥地利外交部内部进行了严肃的调查和处理，涉事的工作人员被追究了相应的责任。外交部也随后调整了内部的信息传递管理流程，加强了对使用电子邮件系统发送外交信息的限制和审核。但邮件已经发出去了，内容已经暴露了，补救措施只能防止类似的事情再次发生，对于已经造成的后果已经无法挽回。

从泄密链路上看，第一个环节是工作人员没有严格遵守外交文书传递的密级管理规定，在应该使用加密渠道的情况下选择了普通的电子邮件系统。第二个环节是邮件的内容涉及的是设密级别的外交指示，但工作人员在发送前没有对邮件内容进行加密处理，也没有使用授权的安全传输工具。第三个环节是邮件的收件范围设得过大，向全部驻外使领馆群发了一封涉密内容，这增加了信息在整个链条上被截获的风险节点数量。第四个环节是外交系统的信息安全培训和操作规范的执行监督存在形式化的问题，涉密信息的管理制度虽然写得很严格，但在日常工作中并没有得到完全的执行。

这个案例给所有组织传达了一个非常直接的警示。规章制度定的再严再细，也抵不过执行层面的一个随意操作。一个训练有素的工作人员，一个在理论上应该严格遵守规程的岗位，可能在疲劳、疏忽或者图省事的状态下做出一个完全不符合安全规范的操作。向全部驻外机构群发一封设密级别的外交电报，这件事在任何国家的外交系统中都是不应该发生的，但它就是实实在在地发生了。问题往往不是出在安全制度的短板，而是出在安全文化的缺失。如果组织中从上到下都没有建立起对信息安全规范的敬畏感和执行自觉，再多再好的系统也防不住一颗图省事的心。建议各类组织在做信息安全建设的时候，不要只盯着防火墙、加密系统和权限管理这些技术手段，更要关注执行层的安全文化建设。要让每一个经手敏感信息的人从心里明白——你随手按下的那个发送按钮，可能会让整个组织付出难以想象的代价。