这起事件的主角是一家在海外做基础设施投资的大型集团。这家集团在东南亚和非洲多个国家有投建营一体化的项目,项目体量动辄几十亿美金。集团的管理层每年都要多次往返于各大洲之间,参加项目国的高层会晤、签署重大合作协议、考察项目进展。因为涉及的人员多、行程复杂、保密要求高,他们经常选择包机出行而不是订商业航班的散客票。包机的好处是灵活性强、机上可以开小型会议、也能降低在公开机场被关注的可能性。但包机也有一个缺点是涉及的服务链条比商业航班更复杂,需要跟多家服务商协调机场起降时间、机组人员安排、乘客名单、地面服务、油料加注等等。这家集团每回安排包机,负责统筹的是集团内部的一个行政管理部门。这个部门有一个专门处理差旅和包机事务的专员,他手里掌握着每次包机的完整计划,包括出发城市和到达城市的机场、出发时间和预计到达时间、乘客名单和座位安排、在目的地的接机安排。这个专员在一家跟集团有服务合同关系的包机服务公司里有一个对接人。他在安排包机的过程中会把完整的计划表格通过电子邮件反复发送给这家包机服务公司的对接人确认细节。问题就出现在这批电子邮件上。包机服务公司的那名对接人,在离职之后没有按照公司规定彻底清理自己的工作邮箱,而是仍然可以从外部客户端访问自己曾经使用过的公司邮箱账号。他发现了邮箱里面还存有一份跟被盗集团有关的历史包机计划文件。这名前员工出于牟利的目的,把这份包含多次包机航班详细信息的文件卖给了跟被盗集团存在竞争关系的另一家投资机构。竞争对手拿到这份文件以后,根据包机的出发时间、目的地机场、乘客人数等信息后推算出了被盗集团管理层的出国时间和目的地。他们进而联系了被访问国家的政府相关方和合作伙伴,提前做了游说和利益沟通工作,等到被盗集团的管理层落地的时候,发现竞争对手已经先一步建立了关系。
这条信息泄露链路由以下几个环节构成。第一个环节是包机计划信息在邮件流转中的安全失控。集团行政部门把包含包机计划的完整表格通过电子邮件发送给包机服务公司的对接人员来处理飞行计划和确认细节。电子邮件是一种非常基础但也非常不安全的传输方式。邮件一旦发送出去,发件方就无法控制这封邮件的后续流转和停留情况。邮件会留存在发件方的已发送邮箱、收件方的收件箱、两方各自的邮件服务器的备份中,任何一方如果邮箱安全失控,邮件内容就有可能被非授权的人看到。第二个环节是服务商离职员工的邮箱安全没有做好。包机服务公司的对接人员离职以后,公司没有及时撤销该员工的公司邮箱访问权限,或者在他的个人设备上撤销了邮箱的客户端授权。这名前员工仍然能够用自己手机上的邮箱客户端打开并浏览公司邮箱里的历史邮件。他不需要用密码登录公司的网页邮箱,而是直接从手机客户端获取了缓存在本地的邮件内容。第三个环节是历史邮件中的敏感数据被提取。这名前员工在自己的手机邮箱中翻查到了跟被盗集团相关的邮件,打开附件以后看到了完整的包机计划。文件上清清楚楚地列出了每次包机的具体日期和时间、出发机场和到达机场、乘客人数和姓名开头的信息。他截取了这个文件的部分内容然后通过自己的私人通讯方式发给了第三方买家。第四个环节是情报在商务层面的利用。竞争对手拿到这份包机信息以后做了两件事。一是根据计划中的目的地和时间确认了被盗集团管理层接下来的重要商务行程。二是比被盗集团提前联系了目的地的相关政府部门和本地合作伙伴,利用先入为主的优势跟关键决策方建立了沟通渠道。等到被盗集团的管理团队飞抵目的地的时候,发现他们的竞争对手已经以一个合作者的姿态在跟某些政府和本地企业进行接触了。
这件事对高净值企业和经常进行海外商务差旅的高管团队来说是一个很重要的警示。包机出行虽然比商业航班更私密,但包机服务的整个协调链条涉及的服务商环节非常多,任何一个环节的安全漏洞都可能导致行程信息的泄露。特别是邮件作为中介传递详细计划文件的时候,留在服务商邮件系统上的数据会长期存在,而且发件方管控不了。给有包机需求的企业这几个建议。第一,包机计划信息和乘客名单应当作为高等级的商业机密文件进行管理。尽量不要把这些信息通过普通的电子邮件以明文方式发送给第三方服务商。如果确实需要通过邮件沟通,建议对附件进行加密压缩并分别通过不同渠道告知解压密码。第二,选择包机服务商的时候将对方的数据安全管理水平纳入考量标准。了解对方有没有完善的信息安全管理制度和员工离职权限回收流程。如果服务商在员工离职管理上比较松散,那通过他们流转的数据就有较大外泄风险。第三,重要的商务出行行程在最终确认之前可以适当压缩信息知情范围。需要让服务商知道的信息限制在必须的业务操作层面,不要把所有的背景和完整人员名单一次性全部暴露出去。第四,核心管理层在完成重要商务出行之后,可以回顾一下整个差旅安排过程中有哪些信息接触点,评估是否有信息经由第三方渠道留下过长的暴露面。包机出行的私密性很大程度取决于围绕这次飞行而展开的整个信息管理链条的严密程度。一个环节的疏忽,就可能让竞争对手拿到你们的访问行程表。
