最近收视率第一的电视剧《猎场》,胡歌饰演的主角郑秋冬,通过猎头介绍工作到一家外资银行当“商业间谍”,盗取客户资料。剧中,胡歌拿手机对着电脑屏幕偷拍客户名单的一幕,触动了我——这是我熟悉的场景,也是身边朋友和客户最大的痛点之一。
我从事政企数据资产保管服务多年,借这部热播剧,很想跟大家聊聊我对“信息泄露”这件事的看法、以及可行的应对方法,希望能对大家有所帮助。
黑客“正面攻击”并非的主流泄密方式
随着信息化和移动办公的普及,隔三差五就有“黑客窃取机密信息”的新闻曝出,以致于不少人对此存在误解,以为“高超的电脑入侵技术”就是黑客最重要的标签。
以此为题材的影视作品有很多,例如在好莱坞大片《剑鱼行动》中,休·杰克曼就扮演了一名无所不能的黑客,他单凭技术就能破解FBI系统的密码。
但在现实中,这种“正面”的黑客攻击却是效率最低的入侵手段,原因有三:
第一,随着科学技术的不断发展,目前IT系统安全性已经日趋完善,基本可以抵御常见的黑客攻击;
第二, 信息及网络安全已经是一个成熟的产业,有众多专业的预防黑客入侵的网络安全解决方案公司可以选择;
第三,出于成本考虑,并不是所有人都有能力和资源调动类似《剑鱼行动》中休·杰克曼这种级别的黑客来实施数据盗窃。
因此,许多所谓黑客的“正面技术攻击”在现实中成功的例子并不多,只要大家在平时保持良好的电脑使用习惯,定期为系统打安全补丁,有条件的更可以配上一些网络安全软硬件产品,是可以预防绝大多数“黑客入侵”的。事实上,大家更需要防备的,是其他窃取机密信息的手段,比如接下来我要说的“内鬼作案”。
“内鬼作案”泄密
《猎场》就给大家演示了这一套路——窃取信息并不需要多么高超的科技。剧中胡歌明为入职公司,实则是为了盗取客户数据。这种“无间道卧底”的情节固然有着编剧的艺术创作成分,但它却向大家展现了一个事实——政企内部人员作案泄密的手段不在少数。
在深圳市检察院所公布的真实数据泄露案件中,“内鬼作案”已经成为了一个非常显著的特征。就在上周2017年11月20日深圳市公安局所破获的一起公民隐私信息外泄的刑事案件中,某商业银行深圳分行信贷部的3名职员涉嫌非法贩卖超过千份的公民征信报告。这直接导致了很多人都陷入恐慌,如果连银行的职员都信不过了,我们的隐私信息到底何处可以安放?
事实上,针对这种“人祸”,目前是可以通过技术手段加以防范的,我举三个要点:
首先,政企单位需要搭建一个靠谱的IT信息数据管控系统,做到机密文件“不落地”——即将机密文件控制在一个闭环中流转,U盘拷贝和下载是绝对不允许的。
其次,这套系统中必须包含一个可靠有效的泄密溯源机制。例如,当“内鬼”对着电脑屏幕拍照片的时候,这些照片流传出去时,我们可以很快知道照片是从谁的电脑上被拍照的。
最后,我们还需要将数据信息在系统里进行权限划分、并规范数据处理流程。比如这些客户信息只有员工A和主管B可以接触,当泄密发生的时候,我们便有足够的线索可以追溯。
以“合作”和“投资”为名,套取机密信息
无论是“商业合作”还是“投资”,都需要企业一定程度开放自己的隐私信息,来换取商业机会。这其中就存在商业秘密被泄露的风险。
先说说商业合作,跟大家分享一个我自己的,同《猎场》类似剧情的奇葩经历。
猎头曾推荐给我一个高级职位候选人,面试时我发现他的行业知识丰富,却对目前就职公司的情况、为什么要看新机会等问题闪烁其词;随着谈话深入,我逐渐意识到这位面试者对我公司核心产品和营运经验的兴趣远大于职位本身。后来经调查,我掌握了这位“面试者”是竞争对手派来“刺探情报”的确凿证据!
因此,我建议大家在寻求外部合作时应多留个心眼。
再说说“投资”的泄密风险。现在市面上海量的VC创投机构对于创新创业来说,本该是件好事;但有一小搓机构以“投资”为诱饵,其实背后想达到这三个目的:一、获取竞品情报,有些机构有可能和你的直接或潜在竞争对手有关系;二、挖人,将你的核心团队信息列入到猎头的人才库中;三、调研市场,充实自身的行业资料,为了更好的说服LP募资。
要预防以投资为名套取机密信息,这对创业者来说是特别困难的,因为创业者对资金和资源的渴望决定了我们不可能拒资本于千里之外。在这里我有几个建议,一是对投资机构做背景调查,创业者和VC的背景调查是相互的,做到知己知彼;二是使用好的文件分享工具,同时别忘了在涉及机密文件共享之前,签订相关的保密文件;三是把控好节奏,什么时候做什么事情很重要,太快“全部招供”,或是太过谨慎导致沟通不畅,都是不适合的。
在不远的将来,一切动作反映在云端,都会成为一串数据,整个社会将成为数据和信息的聚合体,没人能脱离这套体系独立存在。“数据保存和流转”的安全性,应该成为每个人都掌握的基础知识,这也是我如此不遗余力布道的原因。
希望大家在各种真实和虚构案例里吸取教训,跟上时代、善用工具,在工作和生活中,保护好自身利益。