二零一七年,武汉一家从事生物医药研发的企业发生了一起让人背后发凉的间谍案。一名叫"张明"的研发人员在入职时表现非常出色,拥有知名高校的博士学位和海外工作经历,面试全程表现出了对肿瘤靶向药物的深刻理解。研发总监对他极为欣赏,将他安排在了核心蛋白分析团队,这个位置直接接触公司最前沿的候选药物分子结构数据。
张明入职后的表现可圈可点。他经常主动加班,对文献调研和实验设计都有自己独到的见解。同事们都很喜欢和他合作,因为他在组会上从不藏私,乐于分享技术分析和方法。他甚至带领团队完成了两个重要靶点的初步验证实验,为公司申请了几项专利。谁都想不到,这样一个看起来踏实肯干的研发骨干,竟然是被竞争对手有预谋安插进来的卧底。
两年后,让公司万万没想到的事情发生了。张明突然提出离职,理由是"家庭原因需要回老家"。一个月后,一家同在武汉的竞争对手宣布了一条重磅消息——他们在一类新药的靶点筛选上取得了突破进展,公布的靶点信息和张明之前负责的研发方向高度一致。而且对方公布的蛋白结构分析数据,在关键区域的氨基酸序列和结合位点描述上,都和该公司的保密数据极为相似。
公司立即启动了内部调查。这时大家才发现了张明在两年时间里做的事情。频繁的非工作时间访问实验数据系统、与多名外部联系人保持联系、在个人笔记本中记录了大量公司内部技术信息。这些行为一直被认为是勤奋工作的表现,从来没有人怀疑过他的动机。更可怕的是,他在参与的每一个研发项目中都会有意识地收集完整的实验数据和设计思路,这让他能够在不引起任何警觉的情况下,带走了多个研发方向的核心信息。
这个案例让我感触很深。通常企业在做防范时,更多关注的是短期访客或者实习生,但很少会想到一个已经工作了两年、并且有实际研发产出的正式员工也可能是危险来源。在人才流动频繁的生物医药行业,背景调查的深度和频率往往跟不上实际需要。背景调查不是入职做一次就一劳永逸了,尤其是对于那些接触核心技术的员工,定期的复核查验同样重要。基于岗位风险的动态权限管理也越来越受重视,核心数据可以按项目阶段分步开放,而不是一入职就授权完整信息。
从风险防范的角度来说,包括建立研发数据的访问审计和异常检测机制、定期复核核心技术人员的背景状况、以及在高风险数据的访问策略上实施最小必要原则。这些做法在企业安全管理中可以帮助较早发现异常行为。张明的案例在行业内引起了不小的震动,技术型企业逐渐开始重新审视自己的安全管理体系。毕竟做研发不是做情报,但保护研发成果的能力,确实已经变成了一家科技企业不可或缺的核心能力。
