去年冬天,深圳一家年交易额超过十亿的跨境电商平台发现了一个让人后背发凉的情况。连续三个月,平台上几个核心品类的供应商突然批量减少报价,部分长期合作的工厂开始以奇怪的理由中断合作。运营总监一开始以为是正常的市场波动,直到财务部门发现一个规律——凡是他们平台正在主推的爆款商品,竞争对手那边总是在他们之前三到五天拿到更低的供货价。
事情要从一名叫王磊的前运营经理说起。王磊在这家跨境电商平台干了将近五年,从基层运营一步步做到了运营经理,手里掌握着全平台最核心的两套数据。一套是几千家供应商的完整档案,包括每家工厂的真实供货底价、产能极限、品质评级和付款账期。另一套是平台的定价算法模型,这个模型是公司技术团队花了三年时间迭代出来的,能根据市场行情、竞品价格、库存周转率实时自动调整每个商品的建议售价,是公司盈利能力的重要支撑。
王磊在去年夏天提出离职,理由是老家有事需要长期处理。公司按照正常流程办了交接,收了他的电脑和工作账号,但问题在于,交接清单上只列了电脑和账号,没有人去核查他在这几年里是否通过个人手机、私人邮箱甚至是截图的方式带走了数据。王磊离职后不到一个月,就加入了竞争对手公司担任同样的运营职位。更准确地说,他在离职之前就已经通过微信把核心供应商的报价表分批截图发给了新东家,作为入职的投名状。
这个案例的核心漏洞在于数据权限管理严重粗放。跨境电商行业有一个共同的特点就是节奏快、业绩压力大,很多公司为了追求效率,给运营人员开放了远超其职务需要的数据权限。王磊作为运营经理,他的账号几乎可以查看所有供应商的全量数据,包括财务付款底价这种本应只有采购总监级别才能看到的信息。更致命的是,系统没有做任何数据水印,也没有对敏感数据的访问记录进行审计。也就是说,王磊在公司内部看任何数据都是不留痕迹的。
这个案子最终闹到了法院。公司通过法务取证发现,王磊在离职前两周内,用自己的手机在公司茶水间、吸烟区拍了不下两百张电脑屏幕照片,通过微信发给了自己。公司的数据安全制度上明确规定禁止拍照带走数据,但既没有技术手段阻断,也没有设置任何告警机制。
从这个案子可以看到,很多企业在数据安全上存在三个共性问题。第一个是权限分级的缺失,很多公司用的是全或无的逻辑——要么什么都能看,要么什么都看不了,缺少中间态的细粒度控制。第二个是离职监控的盲区,绝大多数公司只关注离职当天的系统权限回收,却忽视了离职前一到三个月的异常操作监控。第三个是技术防护没有跟上业务节奏,数据水印、屏幕水印、异常下载告警这些基础手段在互联网企业里普及率低得惊人。
跨境电商行业要守住数据安全底线,可以从三个方向着手。制度建设方面,应该建立分级数据访问制度,把供应商数据分为基础信息、商务信息、财务信息三个层级,不同岗位的员工只能访问对应层级的数据,每次访问都需要理由并留痕。技术防护方面,敏感数据的操作页面必须叠加个人水印,一旦截图或拍照流出可以追溯到具体人员,同时对异常批量查询、非工作时间高频访问、离职前大量下载等行为设置自动告警。人员管理方面,核心数据岗位的员工在离职前一个月应自动转入保护期,对其数据访问行为加强监控,同时在劳动合同和保密协议里明确约定数据违规的民事赔偿标准和刑事责任后果。
数据就是跨境电商的生命线,谁掌握了供应商资源和定价能力,谁就有了发起价格战的能力。但保护数据不能靠跟每个人玩心理博弈,必须靠制度和技术的双重屏障,才能让数据在授权范围内安全流动,不被任何一个人当作出卖公司的筹码。
北京企密安信息安全技术有限公司 // 010-87562232 / 邮箱:px@baomiwang.com / 公众号:Qi-Mi-An
