有个化工企业,做催化剂做了快二十年了。那种催化剂配方不是随便能搞出来的,是老板带着最早的几个老师傅,一个一个实验跑出来的,前前后后花了十五年。真金白银砸进去,市场地位也是靠这个配方撑起来的。
2019年,公司招了一个博士,挺优秀的,研究方向和他们的催化剂体系刚好匹配。公司也很重视,给了核心研发岗位。博士进来之后干得不错,三个月实习期下来,领导觉得这个人靠谱。但没想到的是,这三个月里,人家做的事情远远超出大家的想象。
这个博士在实习期间,利用自己的工号和权限,陆陆续续访问了公司最核心的几个研发文件夹。他不是一口气全下载的,那样太显眼了。他每天下载一点,混在正常的实验数据里。导师和主管一般也不查他的下载记录,谁会想到一个新来的博士在偷公司的家底呢。
等到实习期满,这个博士就提了离职,理由是"个人职业规划"。公司也没多想,好聚好散嘛。结果三个月之后,市场上突然冒出来一家新公司,做的产品一模一样,价格还低。老东家一查,这家新公司的法人,就是那个博士。
而且这个博士的配方和他们的几乎完全一样,只改了几个无关紧要的辅料比例。因为核心的催化活性成分和载体结构一模一样。再查下去,那个博士在实习期间下载的文件夹,正好覆盖了这个配方从实验记录到量产工艺的全套资料。
说到底,这个案例暴露了两个大问题。第一个,权限管理。一个新入职的实习期员工,为什么能访问十五年积累的核心配方?公司文档管理太粗放了,人一进来就给"全园通行证"。第二个,没有行为监控。他每天都下载很多文件,累计下载量远超正常工作需要,系统没有任何告警。公司根本没有建立异常访问行为监控机制。
这类事情在化工行业特别多,因为配方是命根子。一旦泄了,损失不是说补就能补的。一个产品打下去,客户认可的是你的质量稳定性,配方一泄,别人用一样的配方做一样的货,用便宜的人工和租金来打价格战,很快就扛不住了。前面十几年的研发投入就等于打了水漂。
面对这种内部威胁,靠信任是不够的,得靠制度。权限分级、员工行为分析、敏感操作日志脱敏后自动审计,这些基础东西得做起来。还有,核心文档加密后和权限挂钩,离开公司立刻就失效,别让人家带走了还能用。再就是化工企业一定要把配方按组分拆分管理,没有任何一个人能看到全部配方,只有几个老师傅各管一段,最终由生产系统自动合成。
打一个东西花了十五年,别人三个月就拿走,这种事哪个老板顶得住。化工行业的同行们真的要注意了,你们的核心竞争力很可能就在一张权限表上放着的。
