这一件事在国内医药研发圈子里悄悄流传开过,因为涉及的企业不想声张,但消息还是在小范围内传了出来。有一家总部位于长三角做创新药研发的企业,规模在国内算中上水平,有几个在研的创新药项目已经推进到了临床一期和临床二期阶段,在行业内属于比较受关注的研发型药企。他们有一位分管研发的副总裁,是个在业内摸爬滚打二十多年的老将,技术功底非常扎实,手里握着好几条核心研发管线的关键技术信息和路线图。这位副总裁上班不喜欢用公司配车,一直开着自己的私家车,一辆空间比较大的德系中高端SUV,已经跟了他五六年,车况一直保持得挺好。这辆车每年常规保养都在一家他熟悉的4S店里做,那家店是国内大型汽车经销商集团旗下的连锁品牌,店面规模不小,装修气派,看着很正规。副总裁一直觉得这家店服务不错,师傅也专业,所以五六年都没有换过保养的地方。事情就是在这家4S店的一次常规小保养过程中出的问题。那次保养项目不多,就是换个机油机滤、做个常规检查,大概四十多分钟就能搞定的活。维修工把车辆举升起来以后,在例行检查底盘和悬挂系统的时候,趁旁边没有其他工位同事注意,把一个体积非常小、外观跟塑料片差不多的磁吸式GPS追踪器塞进了车辆右后轮附近的轮拱内衬里面。那个位置非常刁钻,是在轮拱内衬塑料板的内侧,也就是轮胎和车身之间的夹层区域。这个东西外面裹了一层黑色隔音棉材质的胶布,颜色纹理跟轮拱内衬本身的材料几乎一模一样,就算有人刻意揭开来翻找也未必能发现。这个追踪器从装上去到被无意中发现,在车上安安静静地工作了将近八个月的时间,中间跨越了这家药企好几个核心研发项目的关键推进节点。在这八个月里,副总裁每天的出行轨迹全部被记录和上传了。他去了公司研发总部多少次、去了哪家CRO机构几次、去过哪几个临床试验基地、拜访过哪家原料药供应商、到过哪个大学的实验室谈合作,所有行踪全部透明。竞争对手把这些轨迹数据拿去做了一整套系统分析以后,发现了一个非常有价值的信息:副总裁从某个月份开始,每隔十到十五天就会在同一个实验动物中心门口长时间停车,每次都在里面待三四个小时以上,而且去的频率逐月增加。坐标位置通过地图一查,是某知名大学的实验动物中心。竞争对手再结合这家药企公开披露的研发管线信息一比对,就判断出他们正在推进的那个重点项目的药物候选分子已经进入了动物药效学和毒理学评价阶段。而且通过副总裁在那栋楼前停留时长的变化趋势,对方还大致推断出了实验的进度节奏,比如说什么时候可能出初步数据、什么时候可能申报IND。拿到了这些情报之后,竞争对手调整了自己的研发节奏和申报策略,试图在时间窗口上抢占先机。整个事件过程中,没有文件被盗窃,没有邮件被截获,没有服务器被入侵,就是一个藏在轮拱内侧的小追踪器完成了全部的信息采集工作。
下面我们来仔细解剖这条偷情报的完整链路。第一步是追踪器的安装场景。4S店和第三方维修保养场所其实是一个极其容易被利用又极难被防范的数据窃取窗口。车主把车送到4S店以后,按照流程会把钥匙留在服务顾问那里,然后自己到休息区的沙发上看电视喝茶等着。车辆被维修工开到工位上之后,举升机把车子升起来,底盘、四个车轮的悬挂系统、转向机构、制动管路、排气管路,所有在正常状态下看不到的部位全部毫无遮拦地暴露在维修工面前。一个有预谋的安装者只需要趁人不注意的时候把追踪器往轮拱内侧一塞,整个过程用不了五秒钟,而且因为维修车间里到处都是气动扳手的声音、机器运转的噪音、其他工位同事操作工具的声音,周围根本不会有人注意到什么异常。这跟技术人员水平高不高没有关系,纯粹是工作环境提供了天然的掩护。而且一般的车辆保养流程里,没有哪项规定要求维修工专门去检查轮拱内衬里面有没有被人塞了东西,所以就算有人看到也不会觉得有什么不对劲。第二步是追踪器的技术细节。这次使用的追踪器尺寸非常小,大概只有一枚硬币两倍大小,比之前那个新能源车企案例里用的还要迷你。它内置了低功耗的GPS定位芯片、GPRS或者4G通信模块,使用的是标准尺寸的SIM卡,最大的特点是不需要从汽车电瓶取电,完全靠自带的长续航锂电池工作。这款设备在设计上还有一个很巧妙的地方,就是在非行驶状态下会自动进入深度休眠模式来最大限度地降低电量消耗。当内置的震动传感器感应到发动机启动的震动或者车辆移动的时候,它会立刻从休眠中唤醒,开始定位和上传数据。这样的省电设计让它能够在车上连续工作八个月甚至更长时间而不需要更换电池或者充电。第三步是数据的接收和查看方式。这款追踪器跟市面上常见的同类产品一样,通过移动通信网络把定位数据上传到服务商提供的云平台上。使用者只需要在电脑浏览器或者智能手机上打开对应的管理平台网页或者App,输入设备的独立编号和登录密码,就能看到车辆的实时位置和全部的历史轨迹路线。数据上传的频率可以通过后台远程配置,最快可以设成每十秒钟上报一次位置点,用来实时追踪车辆的一举一动;最慢可以设成每小时甚至每天上报一次来延长电池寿命。为了在续航和精度之间取得平衡,对手设置的大概是每两分钟上传一次的频率,这样既能获得足够密集的轨迹点来精确还原每天的完整路线,又能保证电池续航到半年以上。第四步是情报的提取和商业反制行动。竞争对手的数据分析团队拿到这批轨迹数据以后分了几步走。第一步做常规的轨迹还原,把所有采集到的坐标点按照时间顺序投射到电子地图上,画出副总裁过去八个月每一天的完整出行路线。第二步做停车热点识别,把所有停车超过二十分钟的位置全部标记出来,形成一个高频停留点的热力图。第三步用地图反向查询的API接口,依次查询每个停留热点对应的单位名称和建筑用途,所有地点对号入座。第四步做频次和时长的统计分析,梳理出副总裁在哪个位置出现了最多次、每次待了多久、频率有没有随时间发生变化。数据分析师发现在某个时间点之后,副总裁去一家特定实验动物中心的频次和时长出现了非常明显的跃升。再结合这家企业当时的公开研发公告和新药注册进度,就能推断出是哪条管线进入了动物实验阶段以及大概的推进速度。第五步是策略调整。竞争对手基于对这家药企研发进度的掌握,做出了两方面的应对。一个是在自家同类在研项目上加快速度,争取在申报时间窗口上实现反超。另一个是提前布局,对潜在的临床中心和关键意见领袖做定向接触,试图在临床资源上制造竞争壁垒。这些行动单独拎出来看都是正常的商业决策和研发管理动作,但放在掌握了对手研发人员行踪情报的背景下来理解,每一个动作的针对性和时机选择就太精确了,明显不是碰巧。
这个案例给所有研发驱动型的企业提了好几个非常实在的醒。第一件事,研发高管和核心技术骨干的私家车安全,往往比企业统一管理的配车更容易被忽略。企业配车通常有一定的管理流程和定期检查机制,出了问题公司能够追踪和介入。但私家车完全游离在企业的安全管理体系之外,从采购到保养到停放全部是员工个人行为。而恰恰是这些掌握了企业核心技术情报的人员,他们每天开什么车、去哪里保养、停在哪里过夜,公司完全不知情也没有管控。研发高管开着私家车去拜访科研机构、穿梭于各大供应商和合作方之间,行踪被完整记录下来之后,反推出来的就是这家企业的研发路线图。第二件事,4S店和第三方汽修保养场所是一个很难被监管的安全盲区。车主把车交出去以后,车辆脱离了自己的视线,而整个保养流程中车辆的各种隐蔽部位完全暴露在维修工面前。4S店的内部管理再严格,也不可能做到每个工位每分每秒都有人监督每个维修工的操作。只要有维修人员被外部人员收买或者渗透,做手脚的机会要多少有多少。我不是说4S店有问题,而是说这个业务流程的设计本身存在一个可以被利用的安全缝隙。第三件事,对研发类和医药类企业来说,核心情报不仅仅是文件夹里的实验数据报告和专利申请文件,研发人员每天的动线本身就是高度敏感的商业情报。对手不需要拿到具体的实验数据,甚至不需要知道分子结构式,只需要知道你研发团队的负责人每隔半个月跑去哪个实验动物中心、每次待多久,就能反推出你的研发进度到哪一步了。给医药和科技类企业的建议有这样几个。一是建议把核心研发岗位人员的私家车安全也纳入企业的协同安全管理范畴。企业不用去管员工私车的日常使用,但可以为核心研发人员提供周期性的车辆安全检测服务,比如每季度做一次免费的车辆深度检查,重点区域就是底盘、轮拱内衬、前后保险杠内侧、发动机舱底部这些容易被安装追踪器的位置。二是建议核心研发人员定期轮换保养的渠道,不要长年固定在同一家4S店做保养,送车保养期间尽量本人或委托同事在场看着,不要让车辆在未知状态下脱离视线太长时间。三是有条件的企业可以在重点项目推进的关键阶段,给核心项目成员统一提供企业管理的代步车辆,暂时把私家车停用一段时间。四是把物理安全意识和车辆防追踪知识纳入研发部门的内部培训内容。要让科学家们也明白,他们的车不仅仅是代步工具,更是对手获取情报的感应器。医药行业的研发竞争太激烈了,一个季度的先发优势可能决定一个项目的生死。不要让一辆私家车轮拱内侧那个不起眼的塑料片,把你的研发路线图在对手面前铺开一整年。
