这个案例的主角是国内一家大型矿业集团的采购谈判代表。这家矿业集团业务规模很大,每年在矿山设备、开采技术、运输服务方面的采购金额非常巨大,前前后后涉及到几十亿的合同金额。每年有几家海外设备供应商会参与他们的年度招标竞争,每一轮谈判都直接影响着接下来几年的采购成本和合作关系。就在这样一次关键谈判的前夕,出了一件非常离谱的事。这家的采购谈判代表团队核心成员一共有三个人,包括一位采购总监、一位技术专家、一位法务,他们按照计划准备飞往谈判地。航班是提前两周就订好的,相关信息只有公司内部少数几个人知道。但在飞前两三天的时候,谈判代表团队发现对方供应商对他们在这次谈判中的底线和策略似乎已经有所掌握了。双方在前期电话沟通的时候,对方说出来的话明显带着对谈判代表团队底线的了解,连做让步的空间都卡得比较准。集团内部的保密部门介入调查后发现了一个非常严重的问题。谈判代表之一的航班信息被公司里面的一名行政人员泄露了。这名行政人员能接触到团队成员的出差信息,包括航班号、座位号、出发时间和到达时间、入住的酒店名称。她把这些信息通过私人通讯工具透露给了第三方,第三方向卖方供应商收取了一笔费用之后提供了这些情报。卖方供应商拿到航班信息以后进行了非常周密的布控。他们安排人在目的地的机场入境大厅等着,远程拍摄了谈判代表团队出闸的视频和照片,确认了团队的具体人数、到达时间、行李数量。然后用这些信息反推出代表团在当地的住宿安排,在代表团的酒店房间里面做了事先的技术准备。根据事情后来自查,代表团入住酒店以后发现房间里的座机电话有一些不太对劲的异常,可能有被接入录音设备的痕迹。他们紧急更换了谈判场所和住宿地点,才避免了更大范围的信息泄露。虽然发现了问题,但航班信息已经泄露这个事实无法改变了,前期的谈判优势已经受到了影响。
这条泄密链路我们来逐层拆解。第一个环节是信息在系统内部的暴露面太大。这家矿业集团的差旅审批系统有一个很老的问题,就是内部权限控制颗粒度不够细。一个行政文员级别的账号就能查看核心谈判团队成员的出差行程,包括航班号、座位号、酒店名称。她在日常工作中确实需要接触到这些信息来做行程协调,但按照信息安全的最小权限原则来看,她其实不需要知道谈判代表的座位号和出发时间的具体小时分钟级别,只需要知道出差日期和目的城市就够了。系统权限的过度放权给她获取完整行程信息提供了便利。第二个环节是信息被主动外传。这名行政人员跟外部第三方建立了联系。第三方向她承诺提供谈判代表团队出差行程的信息可以获得一笔可观的报酬。她通过内部系统截图把航班信息发给了第三方。这里没有复杂的技术手段,没有黑客没有渗透没有数据攻击,就是内部人员通过截图的方式把敏感信息传出去了。这是所有数据泄露案例里面最常见但也是最难防范的一类。第三个环节是外部人员利用信息做了物理布控。卖方供应商拿到航班信息以后组织了现场观察。他们在目的地机场的到达大厅安排了一个人,在对应航班的到达时间举着接机牌假装接人,实际上是在观察代表团的真实人数、人员特征、行李量。通过这些细节,他们推算出了代表团的整体行程安排和住宿预算,然后通过酒店方面的某种渠道确认了入住酒店。第四个环节是物理层面的信息窃取尝试。在确认了入住房间以后,卖方供应商通过酒店内部人员或者外部技术人员,在房间的固定电话线路或者电源插座上做了技术处理,试图录制谈判团队成员在房间里讨论商业策略的通话内容。这种操作在商业谈判中虽然属于违法行为,但在现实中并不是特别罕见。
这个案例给所有有重大商务谈判需求的企业提供了几个非常关键的教训。第一,企业内部的差旅审批和行程管理系统需要进行严格的权限分层管理。不要默认所有人都能看到完整信息。应该按照角色和岗位的需求进行权限细分,行政人员只看到跟行程安排相关联的必要信息而不是整套行程细节。航班座位号、酒店具体房号这类细粒度信息应该只有当事人和必要协调人员才能看到。第二,重大商务谈判在关键阶段需要引入行程保密机制。对谈判代表团队成员的出差信息做单独的访问控制和保密处理。避免把行程信息登记在通用的差旅系统里被过多不相关的人看到。可以设置临时的保密差旅审批通道,在谈判结束前对行程信息做加密或脱敏处理。第三,谈判团队在到达目的地后进行必要的物理安全排查。进入酒店房间以后检查一下有没有异常的设备、座机听筒里有没有杂音、电源插座表面有没有不正常的痕迹。同时注意不在酒店房间或者车辆里讨论敏感商务内容。第四,内部人员的数据访问权限应该与人员的信任审计机制相匹配。对能够接触到核心商务行程信息的人员,建议进行定期的背景审查和行为审计,及早发现异常的数据访问行为。矿业行业的每一轮重大采购谈判背后都是几千万甚至上亿的合同金额差异。在这样的利益面前,一个航班信息足以引发一次精心策划的物理窃听行动。
