标价一条几元的价格,谋取不法利益。2022年8月,国内家电制造企业和全球知名网络硬件厂商思科集团几乎同时遭受勒索病毒袭击。8月10日,攻击者将获取的泄露文件列表发布到暗网。疫情之下,采取居家办公模式的企业增多,企业内外网安全边界模糊,企业遭受的安全威胁加大。华为拥有近200人的商业秘密保护机构,对华为的专利、成果、商业秘密进行保护。华为还设立了强大的知识产权部门,不但囊括了国内知识产权界的精英,而且其从业人数
长期从事数据安全保护工作的李全接到了一个陌生电话,对方直接说出了他的姓名、订单号、发货时间等,声称只要提供银行卡号就能获得赔偿。凭着职业敏感性,李全一下子意识到自己的个人信息被泄露了。他试图与打电话的人进一步沟通,寻求更多信息,然而不法分子也很快警惕,迅速挂断电话。
类似这种个人数据泄露,近年来,已经形成了一个完整的产业链。从手机APP、电商平台、快递面单等多种源头被内部工作人员、快递工作站人员等谋取不法利益的人泄露后,就流入了个人数据灰色产业链。
这些灰色产业链分工协作,专业门类齐全。有专门收集数据的人员,也有把收集来的数据进行归类、清洗的人员。最后将这些数据被整理成姓名、电话、地址、商品名称、单号,甚至人脸等生物信息齐全的完整数据。这些被整理过的完整数据随后进入各大电商平台、不法分子自己组建的服务器信息信息,地下黑市进行流通。标价一条几元的价格,谋取不法利益。严重损害了消费者的个人利益,严重者,近年来发生的电诈事件源头,都是这些个人数据被泄露所引发。
个人数据如此,企业数据也不例外在全球数字经济快速发展的大背景下,数据已经成为国家基础性战略资源和企业的重要资产,在促进经济发展、激发产业创新、提高人民生活水平等方面发挥了重要作用。但与此同时,由于管理不善、黑客攻击、系统安全漏洞等原因,企业数据也一直面临着被泄露的潜在安全风险。
据2022年7月27日,美国IBM安全部门发布的《2022年数据泄露成本报告》显示,全球数据泄露的平均成本创历史新高,达到435万美元。此外,相关数据机构分析,2022年数据泄露数量比过去15年的总和还多。
在大数据时代,企业面临数字化转型的压力,如何在激烈的竞争环境下继续生存和快速发展依靠的就是企业的核心竞争力。这些核心竞争力除了资金实力、人员团队外,更多的时候是表现为特有的技术,如工业配方、工艺方法、机械设计等商业秘密。也可以是经营性商业秘密,如客户资料、采购计划、定价策略等等。能否有效保护好自身的这些商业秘密,则往往决定一个企业的生存与发展。
勒索病毒窃取高科技公司商业机密勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,进以加密硬盘上的文档乃至整个硬盘,之后向受害者索要数额不等的赎金后才予以解密。
2017年,全球知名娱乐集团迪士尼感染勒索病毒,因其拒绝向黑客支付比特币赎金,遭到黑客威胁,黑客放言将迪士尼计划于5月26日上映的《加勒比海盗5:死无对证》和在6月16日上映的《赛车总动员3:极速挑战》提前向公众泄露。
2022年8月,国内家电制造企业和全球知名网络硬件厂商思科集团几乎同时遭受勒索病毒袭击。先是国际知名服务器厂商思科公司网络被阎罗王勒索软件集团入侵,2.75G数据被窃取。而后是中国知名家电厂商美的集团(000333)遭受勒索病毒攻击,致使工厂部分电脑被感染。思科被窃取的数据包括大约3100个文件。许多文件是保密协议、数据转储和工程图纸等商业秘密。8月10日,攻击者将获取的泄露文件列表发布到暗网。
据IBM新近发布的《2022年数据泄露成本报告》显示,2022 年,勒索软件和破坏性攻击造成的数据泄露成本比平均成本更高,而涉及勒索软件的违规事件占比增长了41%。
进入大数据时代,数据成为企业竞争实力最重要的资源。一些企业设计图纸、源代码、数学模型、配方、药物试验数据、过程文件等商业机密都以数字方式存储在企业内部服务器或者企业私有云中,数据本身的价值重要程度不言而喻,而随着技术手段的广泛应用,黑客和恐怖分子窃取或者破坏数据的机会增加,手段更加高明和隐秘,从而导致数据泄露产生的诸如身份盗窃、欺诈行为、数据滥用等触犯法律的行为。
疫情之下,采取居家办公模式的企业增多,企业内外网安全边界模糊,企业遭受的安全威胁加大。数据统计,一些严重依赖数据生存的行业,比如金融、咨询公司、高校科研单位、高科技企业、设计开发行业在此期间都不同程度受到过勒索病毒的攻击,致使商业机密被窃取,数据损坏现象层出不群,严重干扰了高科技企业正常生产经营秩序。
他们如何进行商业秘密保护海尔:以攻代守
作为中国家电的龙头企业,海尔集团是国内较早采取商业秘密保护的企业之一。在商业秘密保护方面,在大多数企业还在采取防守策略时,海尔在商业秘密保护时采取了以攻代守的策略,成立了海尔中央研究院作为情报中心,对全球的家电企业进行竞争对手情报分析。
海尔中央研究院的核心工作包括:(1)动态跟踪、采集、分析全球经济、市场和技术动态,为集团决策提供依据;(2)为集团在全球制造、采购和服务部门提供研发能力和技术支持;(3)整合全球科技资源,实现超前技术项目的商品化,为公司国际化发展提供源源不断的技术支持。
伴随着海尔的国际化战略,公司在洛杉矶、东京、悉尼、里昂和香港都设立信息站,及时搜集国内外的科技和市场情报,监测竞争对手的发展趋势和变化。同时,海尔还在国内构建了深入到县级市场的情报网络,情报站点将搜集到的国内外市场需求和情报快速反馈到总部,技术转化部负责对专利情报的分析,并快速将情报分析结果以专项报告、情报课题的形式呈送给高层管理者,同时反馈给彩电和冰箱事业部负责人,中层管理者也能收到行业内最新信息和重要的情报分析。海尔竞争情报工作以情报分析和情报分享为重点,大大提升了情报价值的利用。
此外,海尔还与国际知名企业进行合作,通过双方技术优势获得一种“增值效应”。海尔已与多个企业建立了不同的技术联盟,如从日本引进三菱重工空调技术,从意大利梅洛尼公司引进滚筒洗衣机技术。海尔与国内外知名企业以项目牵头的形式成立了若干研究中心进行联合研究,这些对海尔的情报网络都是难得的延伸机会。
华为:攻守兼备
华为在商业秘密保护方面,采取了攻守兼备策略。在进攻方面,华为加大对核心技术和技术研发的投入,加强专利技术情报收集、分析和专利保护上,形成了自己的方法论。
特别是在情报搜集与研发定位、情报整合和价值判断、情报分析和决策支持上华为不断总结,做到了在法律许可的范围内不侵权同时又能形成华为自有的核心技术实力。
华为拥有近200人的商业秘密保护机构,对华为的专利、成果、商业秘密进行保护。在商业机密保护制度上,甚至领先世界。
作为一项系统工程,化为将商业机密保护分为制度设计,二是管理授权设计,三是技术设计三个层面。
在制度设计上,华为有一整套管理文件,并赋予该管理文件以最高权力,如果有工程师触犯相应的管理规定,就要承担非常严重的后果。
在管理授权方面,华为建立了基于国际信息安全体系架构的流程和制度规范。举例来说,在“进驻安全”和授权的控制上,华为采取“相关性”原则和“最小接触”原则,所有的文档和技术根据其保密的分级分层来进行不同的授权,只有一个完全必要的人才能接触相关技术,而且接触是在相应的控制和监督的情况下进行的。为此,华为的《信息安全白皮书》对该过程做出了明确的规定和约束。
在技术设计的手段方面,华为的研发网络与互联网是断开的。在全球化异域同步开发体系中,研究人员开发的成果并不在本地的计算机上,而是在一个设控状态的服务器上,任何从该服务器发出的信息都有备份,如果有问题可以回溯和检查。
华为还设立了强大的知识产权部门,不但囊括了国内知识产权界的精英,而且其从业人数的比例达到甚至超过了国际企业对法务人员要求的比例,足见企业对知识产权的重视。
为了最大程度保护知识产权,华为规定,不生产专门软件,所有研发的软件必须与硬件捆绑打包销售。提高了竞争对手模仿、复制和抄袭成本。这一策略使得以软件方式存在的研发成果得到了最大程度的保护。
普通高科技企业可以采取的商业秘密保护方案——信源密信数字化转型浪潮下,企业数字化转型,是从“人工”到“数据”的转变,其资产必然会数据化,进而形成数据资产。这些数据资产包括不限于采购数据、研发数据、生产数据、销售数据等,对企业数据安全、信息安全以及商业秘密等的担心,成为中小企业数字化转型的关键问题。
首批以信息安全主题在A股上市的北信源较早在国内提出了“保护国家秘密、保护工作秘密、保护商业秘密、保护个人隐私”的企业宗旨。为了满足国内企业数字化转型过程中数据安全的需要北信源早在 2013 年就研发立项,前后投入 12.6 亿元,推出自主研发的安全通信聚合平台——信源密信产品。
随着2021年中国《数据安全法》、《个人信息保护法》等国家重要法律的落地实施,北信源进一步加快了信源密信研发和开拓的步伐,不断调研普通企业、对数据安全有强烈需要的个人的需求,增加了“应用市场”、“在线签约”等功能。主要目的是以信源密信为安全底座,构建基于信源密信,服务于企业商业秘密、专利保护,满足企业安全协同工作需要的全生命周期安全场景。
在高科技企业商业秘密保护方面,信源密信可以做到如下保护措施。
首先,数字化转型过程中,商业秘密、专利等将更多以数据资产形式存在,信源密信可以采用私有化或私有云方式进行部署,减少了企业重要核心数据资产暴露在公有云和其它第三方运营机构面前的风险。在2021年,阿里云员工泄露用户数据被浙江省有关部门处理的案件为公有云数据泄露敲响了警钟。而私有化部署和私有云方式由于减少了第三方人员的参与,可以让企业的核心数据资产牢牢掌握在企业自己手里,没有中间商赚数据资产的便宜,自然能够让商业秘密等核心数据资产得到最大程度保护。
其次,信源密信可以全程保护企业核心商业秘密等核心数据资产的安全。数据资产从产生到消亡,是全生命周期的。比如一份图纸、一份专利,企业在打印机上扫描,这一过程就有数据泄露的可能,另外,作为数据资产存入服务器,此外,这些数据资产被员工授权调用,直至技术被淘汰,企业需要对这些数据资产进行销毁处理,都存在泄露的可能。国外的报告显示:哪怕是企业格式化好几遍的硬盘,有人回收后恢复仍然能够得到完整的数据,不能不引起警惕。采用信源密信的企业可以将信源密信作为企业数字化办公的入口,接入企业各种已有的系统:ERP、CRM都能与信源密信快速整合。一些企业特殊的功能,信源密信开放了API,可以低代码方式快速开发,方便了普通企业技术人员。
再次,信源密信考虑到了很多保密场景,将保密做到了极致。在图片、文件保护上,信源密信后台提供了明水印、暗水印的安全策略。让协同办公中传输的图片、视频等文件,哪怕最终泄露出去了,也可溯源,大大震慑了企业“内奸”非法需要。“橡皮擦”、“阅后即焚”等功能,使得消息在发送方发送成功后倒计时清除,接收方阅读该消息后也倒计时清除,内容可以是文字、图片、视频,看过后自动销毁,真正做到传递消息而不留痕迹,让信息盗窃者“盗无可盗”。
信源密信自带的签到打卡、工作审批、手机邮箱、安全云盘、视频会议、读取信息提醒、工作日报、任务安排等功能满足企业一般的办公需求,可以让普通高科技企业一个APP就能满足安全办公的需要。
商业秘密保护条款中明确,商业秘密保护实施方必须采取了商业秘密保护措施,如果没有采取而导致商业秘密泄露,就不在法律保护范围内。作为已经形成完善产品信源密信来说,毫无疑问就是一套完整的商业秘密保护方案,过去几年,这一解决方案保护了国家安全,保证了党政军领域1000多万终端数据安全。如今,随着国家安全概念的扩大,商业领域的商业秘密安全,受到了国家重视,信源密信作为一套成熟数据安全解决方案,必将在这一领域继续发挥它的独特价值。
