这个故事不是编的,是我亲身参与的一个案子。一家做芯片设计的公司,核心研发团队的负责人带着整个项目的设计图纸跳槽到了竞争对手那边。图纸被带走两年后,公司才知道。为什么两年后才发现?因为这家公司根本没有意识到自己丢了东西。
出事之前,这家芯片公司大概有一百五十人,研发团队占了将近一半。公司的商业秘密保护有一套基本的制度——员工入职签保密协议、重要文件标注密级、核心区域有门禁。表面上看,该做的都做了。但问题出在几个细节上。
首要个细节:保密协议签了,但没有培训。所有研发人员入职时都签了一份条件严格的保密协议,但签完之后没有人跟他们解释过协议里到底写了什么。我问过一个在那家公司工作了四年的工程师,问他协议里"涉密信息"的具体范围是什么,他想了想说"核心的技术资料吧"。再问他什么是"核心的技术资料"、哪些文件属于这个范围,他的回答是"反正领导说保密的东西就不要往外传"。这个认知水平,保密协议签了等于没签。
第二个细节:核心资产没有清单。这家公司做了十几款芯片,每一款的设计图纸、源代码、测试数据都在内部服务器上。但公司从来没有正式梳理过"哪些是我们的核心商业秘密资产"、这些资产保存在哪里、谁有权限访问、访问记录怎么审计。没有资产清单,丢了东西根本发现不了。
第三个细节:离职流程形同虚设。核心研发负责人离职时,公司走了一套标准的离职流程——提交离职申请、工作交接、归还电脑和门禁卡。但没有人检查他电脑里的文件访问记录,没有人确认他在离职前有没有下载异常数量的文件,没有人验证他归还的电脑里数据是否完整。他离职后,公司把他部门里另外两个骨干也陆续离职了,公司也没有警觉。
两年后,竞争对手突然发布了一款和这家公司核心产品功能高度相似的芯片,连技术路线和内部代号都几乎一样。公司这才警觉,回头去查两年前的系统日志。日志显示,那位研发负责人在离职前两个月内,密集访问了公司所有核心芯片的设计文档,总访问次数是正常工作量的五倍。其中三分之一的文件被压缩打包后从内网传输了出去。但当时没有任何告警,因为公司根本没有设置异常行为告警规则。
这个案子最后走了法律途径。但因为中间隔了两年,部分证据已经无法获取。而且因为公司没有建立核心资产清单,法院在认定"哪些信息属于商业秘密"时遇到了困难。官司打了一年多,最终达成庭外和解,赔偿金额远低于公司实际损失。
事后复盘,这家公司做对了三件事:签了保密协议、限制了物理访问、有基本的门禁系统。但做错了更多:没有员工培训、没有资产清单、没有离职审计、没有异常行为监控、没有定期检查。对的管住了"门",错的漏了"人"。
这个案子的教训其实很简单:保密不是看门,是管人。门禁再严,门里面的人不知道什么该保密,该怎么做才能不泄密,那么所有制度都是虚的。
北京企密安信息安全技术有限公司
企业保密体系建设咨询:010-63711822 / jess@baomiwang.com
