这个案例听起来特别生活化,但后果一点也不轻松。某政府机关的一名工作人员,手头有一份标着"内部文件"的资料。他下班回到家,吃饭的时候跟家里人聊天,聊着聊着就说到了工作上的事。然后他掏出手机,对着文件拍了一张照片,顺手发到了家庭微信群里,想着"家里人看看不要紧"。
结果怎么样呢?他家里的某个亲戚看到之后觉得内容挺有意思的,就转发到了自己的同学群里。同学群里的同学又发到了工作群、朋友群、邻居群、兴趣群。你看这个扩散链条,像不像病毒传播?每个人转发的时候都没觉得有什么大不了的,但等文件的内容传到网上的时候,已经根本找不出最初的源头了。文件中的敏感信息在互联网上彻底裸奔,涉事单位面临巨大的舆论压力和问责。
很多人不理解,为什么"内部文件"也不能往家庭群里发。原因其实很简单:家庭群不等于保险箱。你觉得群里都是自己人,但每一个"自己人"的社交圈你都不了解。有人转发出去了怎么办?有人截图存到手机里结果手机丢了怎么办?有人跟另一半聊天的时候无意中说出去,对方又发到自己的群里怎么办?家庭群只是个起点,而不是终点。信息一旦发出你的手机,你就失去了对它的任何控制权。
这种泄密模式在现实生活中发生的频率比你想象的高得多。中国机关单位每年因为"随手拍"导致的泄密事件,数量是非常惊人的。而且这一类事件有个共同特点——涉事人员都不是故意的,但主观上没有恶意不代表不需要担责。《保守国家秘密法》和相关法规写得清清楚楚,只要造成了泄密后果,不管你是有意还是无意,都得承担相应的法律责任。
咱们再往深了想一想,家庭群泄密的杀伤力为什么这么大?因为家庭群天然有一种"安全感"和"信任感"。大家觉得群里的都是至亲至爱的人,说点工作上的事没什么。但问题恰恰出在这里——你觉得安全,不代表真的安全。家庭群里可能有老人、有孩子、有各种亲戚,每个人的手机安全水平参差不齐。有的手机可能连个屏幕锁都没有,有的可能装了不明来源的APP,有的手机在公共场所被偷过,有的手机借给别人用过。这些都是潜在的风险出口。
而且你还要考虑到,家里的孩子可能拿着手机玩游戏,不小心就把照片发出去了;家里的老人可能不懂信息安全,别人一问就转发给别人了。这些场景都不是假设,都是在真实案例中发生过的。所以"内部文件不进家庭群"应该成为基本的职业操守,每一个在政府机关工作的人都应该牢牢记住这条红线。
怎么杜绝这种情况?首先是制度上要严格执行"信息不出门"的原则。内部文件不能在办公场所以外的地方出现,需要带回家处理的必须走审批流程,并且使用加密载体。这个看似很简单的要求,在很多单位实际上并没有得到严格执行。很多人图方便,把文件装在包里就带回家了,这本身就是违规。
其次是要有技术手段的配合。文件本身要做防拍照处理,比如在文件上叠加动态水印,手机拍出来的照片自动显示时间、查看人和"内部文件严禁外传"的警示文字。这个技术现在已经很成熟了,成本也不高,但效果非常好。一旦文件被拍照,照片上的水印直接暴露了泄密者的身份,这本身就有很强的威慑作用。还有一些更高级的技术,可以在文件上嵌入肉眼看不见的数字水印,即使照片被裁剪、打码、调色,依然可以溯源。
第三是办公场所的物理防护。重要区域应该严禁私人手机拍照。现在市面上有手机拍照检测系统,可以在敏感区域部署设备,一旦有人在敏感区域使用手机摄像头,系统就自动报警并记录。这种设备可以很好地防范"随手拍"行为,因为很多人在掏出手机的那一瞬间,其实并没有想到自己正在泄密。
第四是信息安全教育必须做深做透。很多单位的保密培训流于形式,签个到、拍个照就算完事了。这种培训起不到任何作用。应该用真实案例做警示教育,让员工看到泄密的后果到底有多严重。一次被追责就可能毁掉一个人的职业生涯和整个家庭的安宁,这个代价是不是每个人都承受得起的。做信息安全培训的时候,可以专门讲"家庭群泄密"的案例,让每个人都知道,连家人都不能随便说。
还有一个问题值得深思。这种通过家庭群扩散的泄密方式,追责的时候非常困难。因为信息经过了很多人的转发,很难找到最初的源头。即使找到了,也很难证明是谁最先拍了照、最先发出去的。所以事后追责的难度非常大,最好的办法还是在事前做好防范。一旦信息上了互联网,想收回来是不可能的。
说到底,信息安全最大的漏洞从来不是防火墙和加密算法,而是人。每个人都是信息安全管理链条上的一个节点,任何一个节点出了问题,整个链条都会断裂。政府机关的工作人员更应该意识到自己手里的信息有多重要。家庭聚餐的时候,少聊工作上的事;朋友聚会的时候,少炫耀自己知道得多。管好自己的嘴,管好自己的手机,这是对工作负责,也是对自己负责、对家人负责。
官网有更多的防偷拍和防信息泄露产品解决方案,欢迎相关单位前来了解和咨询。保护信息安全,从管好手机里的每一张照片开始。千万不要让一次不经意的"分享",变成一场无法挽回的灾难。记住,内部文件就是内部文件,它不属于家庭群,不属于朋友群,不属于任何非工作场景。
