有家做外贸的山东企业,海外业务做得风生水起,但有一次他们的核心客户信息被人打包拿到了竞争对子手里。老板气炸了,以为是有内鬼,查了足足一个月,最后发现信息泄露的源头是公司一个销售经理的领英账号。这位销售经理把自己的领英页面当成了个人成绩展示板,在经历介绍里详细列了自己目前负责的大客户名称、合作金额和合作时长。这些信息被他领英上的一位所谓行业同仁全部抓取了下来,转手卖给了竞争对手。这不算什么高科技攻击,就是一个非常常规的社交媒体信息收集行为。
社交媒体已经是现代商业信息泄露的超级高速公路。员工在社交媒体上每发一条动态、每加一个好友、每一次地点打卡,都在以数字化的方式向整个世界提供关于他们公司的近期信息。对于有心收集的人来说,这些公开信息就是一座不需要密码就能访问的数据金矿。
企业社交媒体信息泄露的渠道排查应该从几个最常用的平台开始。领英、微信朋友圈、微博、Facebook和Twitter是目前对商务信息影响最大的几个平台。不同平台有不同的信息暴露特征。领英上暴露的主要是员工的职业信息和工作圈子。微信朋友圈暴露的是员工的私人生活、出行计划和工作状态。Facebook和Twitter的国际化程度更高,跨境业务人员在这些平台上发布的内容容易被境外竞争对手精准定位。
先从领英说起。领英是一个职业社交平台,它的定位就是让人展示自己的职业履历。但这种展示本身就包含着大量的企业信息。员工在自己的领英页面上标注的公司名字、职位名称、职责范围、正在参与的项目、负责的客户区域,这些都是极其有商业价值的情报素材。一家企业的竞争对手可以通过收集这家企业所有员工在领英上的信息,拼凑出这家公司的组织架构、关键人员名单、项目方向和业务重点。
领英的信息泄露排查重点包括:员工是否在公开页面上标注了过于详细的工作职责和项目信息;员工是否在跟不了解背景的第三方互加好友时透露了公司的内部情况;是不是有员工用公司的名义在领英上发布招聘信息时透露了未来的战略方向。在排查之后,企业应该出台统一的社交媒体使用规范,规定员工在领英上可以公开显示的内容范围。
微信朋友圈是中国企业员工最活跃的社交媒体平台,也是信息泄露的重灾区。现在很多做跨境业务的员工喜欢在朋友圈里分享出差动态,在哪个国家、住在什么酒店、见了什么客户、吃了什么饭,这些内容如果不对访问权限做控制,就可能被没有加好友的人通过截图转发等方式泄露出去。更严重的是,有些员工在朋友圈里晒产品照片、生产现场的照片、甚至含有敏感信息的会议照片。
微信的信息泄露排查重点包括:员工的朋友圈对哪些人可见,是否关闭了陌生人查看十张照片的功能;员工在出差期间是否实时发布了行程信息和定位;员工的朋友圈中是否有涉及公司内部信息、客户信息和未公开产品信息的照片或者文字。排查之后鼓励员工在出差期间暂停朋友圈发布,或者等回国之后再补发。
微博和Twitter上的信息泄露往往不是员工个人行为,而是企业的社交媒体运营团队在管理公司官方账号时的操作失误。比如在发布新品预告时不小心暴露了产品的内部代号,在发布招聘信息时暴露了新设子公司的地址和业务范围,在转发行业新闻时评论了过于敏感的行业判断。企业社交媒体账号的运营应该建立严格的审核流程,每一条计划发布的内容都要经过审核人确认后才能发出。
Facebook在个人端的信息泄露风险跟微信类似,员工在Facebook上发布的个人行程、照片和状态也会暴露大量的企业信息。Facebook还有一个独特的问题就是它的第三方应用生态。很多游戏和应用在用户授权之后会读取用户的个人信息、好友列表和发布的公开内容,这些数据被第三方收集之后也可能被用到企业情报收集中。
社交媒体信息泄露排查的最终落脚点不应该是监控或者限制员工的个人社交行为,而是建立合理的社交媒体使用规范并加强员工培训。让每一位员工都意识到,自己在社交媒体上发布的每一条内容,都可能在向外界展示企业的面纱后面是什么。对一些发布行为做合理的引导和约束,效果远远好于出事后追责。
还有一个很多人没想到的排查方向:员工家人在社交媒体上发布的信息。很多做跨境业务的员工的家人喜欢在网上晒自己的成就,比如孩子考上了好学校,老公去欧洲出差回来了之类的。在这些看似日常的分享中,也可能透露出员工的工作行程、出差频率甚至工作内容。建议在员工培训中也提醒员工告知家人注意保护私人信息,不要无意中泄露跟工作相关的信息。
