经济安全

当前位置:首页 > 经济安全 > 相关案例

相关案例

信息安全离我们到底有多远?

发布时间:2010-11-08

文/ 特约记者 饶磊

                                                   

 

  谁也不会想到,那位在酒桌上频频举杯,谈笑风生的澳籍华人不经意间就套出了原料库存的周转天数、进口矿的平均成本等财务数据,并将之运用在以后的谈判中,以至中国钢企在谈判桌上处处碰壁。也没有人能料到,这位谨慎到很少使用手机的精明的职业经理人会在2010年被控“侵犯商业秘密罪”而入狱10年。他是胡士泰,原澳大利亚力拓公司、力拓新加坡公司上海代表处首席代表,2010年“力拓间谍门”的关键人物。

  如果说那则凭照片就推断出大庆油田的确切位置的案例反映了日本人的缜密与执着,其结果也无非是正常商业合作的皆大欢喜局面,那么近几年披露的有关信息安全的案例则透出一股刺刀见红的血腥味。

  在商业活动中,商业间谍与经济信息泄密事件频繁发生,据业内人士透露泄密及损失最惨重的是金融业;其次是资源行业,大型并购很多,而十次并购里面九次会出现信息泄密事故;高科技、矿产等领域也非常严峻,很多行业在经济信息安全保护上都亮起了红灯。仅以上文提到的“力拓案”为例,法庭认定胡士泰受贿646.24万元,认定“侵犯商业秘密罪”成立,四被告共受贿9218万元。法庭一审判决书称:由于四被告的行为,损害了中国钢铁行业的竞争力,导致2009年铁矿石谈判终止,仅首钢和莱钢的损失即达10.18亿人民币,利息1170.3万元。由于钢铁在我国产业结构中举足轻重的重要地位,此案牵一发而动全身,由此引起的连锁反应和长远的负面影响更是难以估算。

  虽然此案基本已尘埃落定,但其中暴露出我国商业信息安全现状堪忧。纵观整个案件,有国际卡特尔式的资源巨鳄,有国内大型国有企业,有在谈判桌上各怀心事的博弈各方,还有“船小好调头”的中小钢企,但更多的还是一个个活生生的人,充满传统智慧、善于钻营算计的人。胡士泰等人都供职于国际大型企业,胡亦被称为“优秀的职业经理人”,而从酒桌上的觥筹交错到酒桌下的秘密交易,从行业调研广交人脉到打听情报知己知彼,从行贿受贿上下打点到运筹帷幄长袖善舞,其行事风格又显示出鲜明的“中国特色”,深得饭桌文化的精髓——一顿饭几杯酒下肚,自然就成了熟人交了朋友,既然是熟人是朋友,那又有什么不能说的呢,信息安全则形同虚设。

 

熟人社会与信息安全

  胡士泰等人利用独特的人脉与信息优势,给矿商集团提供大量的机密信息,让处在谈判桌另一端的中钢协倍感难受,往往还没出手就被对方看透了底牌。如果说这番算计是为了在铁矿石成交价格的谈判上占的先机以最大化企业利润,那么在此案中泄密的各方则更可能是不经意间为他人做了嫁衣裳,这其中既有安全保密意识不足的原因,也有侥幸心理在作祟,但更重要的可能是熟人社会中信任的泛滥使用。

  费孝通先生在《乡土中国》中把熟人社会同乡土文明联系起来,他认为中国传统社会是一个熟人社会,其特点是人与人之间有着一种私人关系,人与人通过这种关系联系起来,构成一张张关系网。这张关系网中有亲人家属,有乡谊同学,也有很多闻风而至攀龙附凤的人。其中好坏难辨,但不可否认的是,一旦攀附上了关系,事情的走向便悄悄发生变化。诸如“冰敬”、“炭敬”这种富有传统智慧的礼节让你难以拒绝下属的好意,时至今日,又发展出以赞助为名义的“免费留学”的行贿方式更让监管方难以取证定夺。在“力拓间谍门”案件中,就涌现了花样繁多的行贿受贿方式。哈佛大学肯尼迪政治学院的一位中国专家认为:“在中国,当前贿赂最主要的形式不再是支付现金,更多可能由公司付费途经洛杉矶或拉斯维加斯到公司总部考察。这种费用可以被看作是合法的营业支出,也可以为官员设立奖学金。”

  投之以李,报之以桃,在讲究“礼尚往来”的国人看来,私人交情甚过于集体利益、企业利益乃至国家利益。而且在行事过程中,往往以关系代替契约——熟人的情感代替了法律的威严,以人情代替竞争,将亲情、交情、友情这种温情脉脉的手段移植到管理企业、管理国家、管理社会中来,导致经济管理中丧失了追逐利润的冲动,社会管理丧失积极性和创造性的激励。更为严重的是,它还可能引发社会腐败、寻租行为的泛滥,导致整个社会风气败坏。海外大型跨国企业在华纷纷卷入商业贿赂的丑闻,这种南橘北枳局面的发生与我国熟人社会的特性不无关系。

  身处熟人社会中的人们更信任熟人介绍而结交的生意伙伴,看重“乡谊结朋党”而忽略其信用评价与资产背景,更习惯酒酣耳热之际的一言九鼎,而轻视繁文缛节般的正式商业条款,更热衷谈论公司的商业秘辛以显示自己的地位与见识,而视其潜在后果于不顾——事实上,很多商业秘密都是不经意间在平日的交谈中泄露的,真正的如间谍小说一般传奇的商业秘密侵犯案件并不多见。

 

魔鬼藏在细节中

  也许不少读者对上文中提到的熟人社会颇有认同,但对后面提到的信息安全不那么熟悉——我等升斗小民既无权又无势,一辈子只图个平平安安顺顺利利即可,而信息安全一事离我们大概很远很远。其实不然,理论上说,任何信息的载体都有可能成为泄漏消息的源头,而信息安全的大堤往往溃败于一两个看不起眼的漏洞。下文提及的就是那些隐藏在细节中的魔鬼们。

  最容易泄密可能是在办公室使用频率很高的打印机,即使是激光打印机,也有10秒以上的延迟,如果你不守在旁边,第一个看到文件的人可能就不是你了。其次是那些不起眼的纸质垃圾,如果不及时用碎纸机将这些资料处理掉,而被有心人得到的话,就可不费吹灰之力的知道董事会的决议、办公会的决定了。再次是新员工进入公司的培训,在培训过程中大部分的企业会对新员工坦诚相见,新员工能接触公司除财务以外所有的作业部门,这可能会将自己的商业秘密完全暴露给竞争对手。最后是个人电脑(或U盘),国际权威调查机构Ponemon Institute对36个大型机场进行了调查,这份调查报告显示,每年有超过63.7万台笔记本电脑丢失,被调查的864位商务旅行者的笔记本电脑都携带了公司的机密信息,但是约2/3的人都只是设定了简单的windows口令保护。如果笔记本里面存储的机密数据信息丢失,当事人受到的处罚尚且事小,但用人企业不仅仅需要面临经济上的损失,更会牵扯到企业的品牌形象,甚至还会引发一系列的法律问题。英国皇家海军一名军官的笔记本电脑在伯明翰市埃德巴斯顿地区被偷,最为紧要的是,该失窃笔记本电脑内保存了大约60万名申请参军者的详细个人资料,而这60万准新兵未来很可能会成为恐怖分子的袭击目标,英国国防大臣还因此面临辞职压力。

 

建立信息安全的防火墙

  由此可见,信息安全就在我们身边,每个人其实都担负着维护信息安全的重任。但既然无法短时间杜绝外部大环境的流弊,建立现代完善法治社会,那么就只能从内部信息源头入手,建立起完善完备的信息保密制度。根据国内外经验,有以下可供借鉴的经验:

  1.切断源头,设立信息级别制度——对公司的机密文件进行级别划分。比如合同、客户交往、股东情况列为一级,确定机密传播的范围,让所有人了解信息的传播界限,员工由自身的岗位确定相应的信息级别,低层次的岗位级别不能查阅了解、拷贝、接触到高层次的信息级别。

  2.重视保密协议——无规矩不成方圆,无论作用大小,和员工签署清晰的保密协议还是必要的。保密协议的内容越详细越好,如果对方心胸坦白,自然会欣然同意。

  3.责任分解——明确每个人对相关信息的安全责任。所有的机密文件如果出现泄露,可以根据规定找到责任人,追究是次要的,相互监督和防范,提高当事人的风险防范意识才是责任分解的最终目的。

  4.技术防盗——比如我国的华为公司从硬件设备上防止员工拷贝公司资料,根据级别区分,公司的大部分员工电脑是不能安装软驱和移动硬盘接口的。而IBM公司规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间、地点、原因都会被严格地记录下来。

      

上一个: 企业信息安全攻防战 下一个: 简述我国“信息安全”
^