我有个朋友在一家制药公司管质量,前段时间他跟我吐槽了一件事,说是他们GMP车间的环境监控数据被离职员工拍走了,公司到现在还在追查泄密源头。这事儿说起来挺憋屈的。
这员工在公司干了两三年,岗位是车间里的质检员,平时工作就是记录GMP车间的环境参数,包括温度、湿度、压差、悬浮粒子数这些关键指标。GMP车间对环境的控制非常严格,这些参数直接关系到药品生产的质量稳定性,也是制药企业的核心技术数据之一。
离职的当天早上,这个员工去人事部办完手续,按规定交还了工牌、门禁卡、电脑,看起来很配合。人事部的人也核对了归还清单,觉得没有遗漏,就让他走了。但问题出在哪儿呢?他离职前回了车间一趟,说是要去取自己的私人物品。车间里的人跟他关系还不错,也没多想,就让他进去了。
他进车间以后很快找到了自己的储物柜,把私人物品收好。但在这个过程中,他经过车间里的环境监控显示屏,那个屏幕就挂在走廊墙上,实时显示着各个洁净区间的温湿度、压差、粒子计数。他掏出手机,装作看消息的样子,对着那个屏幕快速拍了几张照片,然后若无其事地离开了。
泄密链路是怎么形成的呢?第一,这个员工离职当天的门禁权限并没有被及时撤销。按理说办完离职手续应该立即停用所有权限,但流程走得太慢,系统里他的门禁卡还是有效的。第二,车间里的环境监控屏幕挂在公共区域,缺乏遮挡或者访问控制,谁路过都能看见。第三,车间同事对他的防备心基本为零,觉得都要走了的人不会干什么坏事。
拍到屏幕上的数据之后,他把这些照片发给了以前认识的一个同行,那人现在在一家小型药厂做事。这家小药厂的GMP车间正好在做环境验证,有了这批数据做参考,就知道正规的GMP车间各项参数控制在什么范围,省了自己花时间和成本去做验证研究。当然,他不可能白给,对方付了一笔钱。
后来这家制药企业是怎么发现的呢?是有一次行业会议上,那家小药厂的人在同业交流时无意中说漏了嘴,提到了一些跟他们企业非常接近的环境参数数据。这边的人一听就觉得不对劲,回来一查,发现只有内部人员才可能知道这些详细参数。再往前追溯员工离职记录和车间出入日志,才锁定到这个人。
这件事说明一个问题。制药企业的数据不是只有配方和工艺才值钱,环境监控数据、设备运行数据、工艺参数这些看似基础的信息,在竞争对手眼里同样是宝。离职人员的管理不能只看还没还工牌,关键是权限能不能在被回收前就失效。还有就是关键数据展示区域得做好物理防护,不能让离职人员或者访客随便路过就能拍走。一个环境参数而已,人家说大不大,说小不小,但落到竞争对手手里,等于免费送了一份做车间验证的模板。
