有一家做智能水表出口的杭州公司在东南亚市场做得还不错,但后来发现了一个让他们非常头疼的问题。他们的产品在东南亚几个国家的定价策略和投标方案,几乎每次都会被当地竞争对手提前知道。他们在投标公告发出之前制定的底价,竞争对手的报价总能精准地低那么一点。公司辗转查了大半年,最后发现是当地办事处的一个销售主管,因为个人经济问题,长期把公司的投标信息通过中介卖给竞争对手。这个销售主管的级别并不高,但因为参与投标方案的制作,接触到的是这个公司核心的商务情报。
这个故事说明,在企业出海的征程中,光有情报收集能力是不够的,还得有自己的反情报防御体系。简单说,反情报就是保护自己的机密信息不被竞争对手或者其他恶意对手获取的能力。对于出海企业来说,反情报体系的重要性有时候甚至超过了情报收集,因为一旦自己的情报被对手获取,所有的战略规划和战术执行都会变得毫无意义。
反情报防御体系的首要步是识别自己的核心信息资产。很多企业对自己的机密信息没有清晰的清单,所以连保护的目标是什么都不清楚。做反情报的起点,就是先把企业最需要保护的几类信息列出来。一般包括战略规划信息,比如未来一两年的市场扩张计划、新产品发布时间表。价格信息,包括成本结构、定价策略、折扣权限和投标底线。技术信息,比如核心产品的设计图纸、源代码、工艺参数和配方。客户信息,包括客户名单、合同条款、采购规律和客户需求分析。
把核心信息资产识别出来之后,第二步就是对信息的访问权限做管理。访问权限管理的核心原则是最小必要和分级授权。每一位员工只能访问他当前工作所必需的那部分信息。比如销售经理可以看到自己负责区域的价格信息,但不能看所有区域的价格信息。研发工程师可以看到自己参与项目的源代码,但不能看其他项目的代码。这种看似严格的管控,其实对企业运营的影响比很多人想象的要小,但对反情报的作用却非常之大。
第三步是建立异常行为监控机制。围绕信息资产的访问记录,建立起一套异常行为的发现和响应流程。比如一个员工在短时间内大量下载或者打印文档,或者在非工作时间访问了大量不相关部门的文件,或者在离职前突然访问了很多平时从不接触的知识库内容,这些都可能是泄密的前兆。企业应该为这些异常行为建立报警机制,设置专人负责审核报警信息,发现真实风险后及时处置。
内部泄密是企业反情报工作中最难防范的威胁,因为内部人员有合法的访问权限,有正常的业务理由进出公司的信息和物理空间。对付内部泄密,除了权限管理和行为监控之外,还需要一个重要的手段,就是离职管理的强化。员工在提出离职之后到正式办理离职手续之前,应该立即收回或者限制其系统访问权限,防止在离职前的最后几天里批量窃取公司信息。离职面谈时明确告知离职后的保密义务,并要求员工签署离职保密承诺书。
第四步是对外合作中的信息保护。企业在海外经常需要跟当地的合作伙伴、代理商、供应商和技术服务商共享部分信息。每一份共享出去的信息都应该经过信息脱敏处理,只共享合作必需的内容,不共享多余的内容。合作协议中应该有明确的保密条款和违反保密义务的赔偿责任。对于特别敏感的合作,可以考虑安排分阶段的信息披露,只有在确认对方可靠之后才逐步释放更多信息。
第五步是定期做反情报测试。反情报体系的有效性需要通过测试来验证。可以委托外部的专业安全团队进行模拟攻击测试,比如尝试通过社交工程获取员工的信息,或者尝试物理潜入办公室。测试可以发现反情报防线中的薄弱环节,帮助企业有针对性地加强防御。比如测试发现前台人员在接到假冒总部的电话时会直接把管理层的信息告知对方,那就要加强前台的来电确认培训。
反情报防御体系最后还要建立一套事后追踪和追责流程。当企业发现有信息泄露时,能够快速启动内部调查,确定泄露的范围、渠道和责任人。对于确认的泄密行为,应该根据情节严重程度采取包括内部处罚、民事诉讼、刑事报案在内的追责措施。追责的目的不只是惩罚当事人,更是在组织中建立一个明确的信号:泄露公司机密是要付出代价的。
反情报是一个工作量很大但并不经常直接产生收益的工作。很多出海企业都抱着这次应该不会轮到我的心态,忽视了这方面的投入。但真正轮到的那一次,失去的可能是整个市场的竞争优势。
