2024年10月,武汉一家生物科技公司的研发实验室内发生了一起离奇的泄密事件。公司正在研发的新型试剂配方,在尚未申请专利的情况下,被竞争对手抢先发表了相关论文。经过公安机关侦查,最终发现泄密源头来自一名在实验室从事夜间保洁工作的外包人员。该保洁人员利用深夜无人的便利条件,使用手机拍摄了研发人员留在桌面上的实验记录本和打印出的配方数据,每次拍摄后将照片通过聊天软件传给中间人,整个泄密过程持续了四个月,该保洁人员因此获利超过二十万元。
这起事件揭示了企业保密管理中的一个巨大盲区——后勤服务人员。保洁人员、绿化养护人员、设备维修人员、保安人员和其他后勤服务人员,在绝大多数企业的保密制度中处于管理真空地带。他们拥有进入企业所有区域的物理权限,包括高管办公室、研发实验室、资料室和财务室等核心敏感区域。他们工作时间特殊,很多人在非正常工作时间段进行作业,监控覆盖通常不如办公时间密集。更重要的是,他们通常不受企业保密协议的约束,企业与外包服务公司之间的保密条款往往流于形式。
保洁人员接触商业秘密的途径多种多样。2023年,深圳一家金融科技公司发现,其保洁人员在日常卫生清洁过程中,会将桌面上的文件和材料拍照留存。该保洁人员的手机中保存了超过两百张包含客户名单、财务数据和内部流程文档的照片。调查发现,该保洁人员并非有组织窃密的间谍,但其持有这些照片本身就是巨大的安全隐患,一旦手机丢失或被不法分子获取,后果不堪设想。
设备维修人员同样是一个被忽视的泄密通道。2024年初,北京一家律师事务所的服务器出现故障,联系外包IT运维公司上门维修。维修人员在排查故障的过程中,对服务器硬盘上的全部数据进行了备份。该律所半年后发现一起尚未公开的并购案信息被泄露,泄露源头正是那次服务器维修中的数据外流。这起事件发生后,该律所重新制定了第三方设备维修的全程陪同制度和数据保护流程。
企业应当如何管理后勤服务人员的信息安全风险?一个完整的防护体系至少需要覆盖以下几个方面。首要是在准入环节,对外包后勤服务公司实施资质审查和人员背景调查,要求所有进入敏感区域的后勤人员签署保密协议。第二是在作业环节,对保洁、维修等外包服务实施全程陪同制度,核心区域的外包作业必须有公司员工在场监督。第三是在监控环节,在敏感区域部署全覆盖的视频监控系统,记录所有人员的进出和作业时间。第四是在设备管理环节,严禁保洁人员携带手机和拍摄设备进入核心区域,或在作业区域内统一存放个人电子设备。
2024年底,上海市市场监管部门公布的一起典型案例中,一家制造企业的保洁人员利用早晚打扫卫生的机会,多次进入技术研发中心的办公室,拍照获取了多份产品设计图。这些设计图被转卖给三家竞争对手,导致该公司在一年内损失了超过百分之二十的市场份额。该保洁人员最终被判侵犯商业秘密罪,外包保洁公司也承担了连带赔偿责任。
外包后勤人员的管理盲区在各个行业普遍存在。很多企业在信息安全建设上投入了大量资源,设置了严密的网络安全防线,却忽略了物理空间中的安全管理漏洞。保洁人员拿着钥匙在凌晨进入核心办公室时,企业的网络防火墙再坚固也无济于事。后勤服务人员是企业安全管理链条中最薄弱的一环,也是最容易被忽视的一环。
北京企密安信息安全技术有限公司 专业提供企业第三方服务安全管理、物理空间安全评估和商业秘密防护体系建设服务。联系电话:010-63711822 / jess@baomiwang.com
