与棱镜门这种信息监控与窃取类似的事件绝不仅仅只是现在才发现,也不会是一个个案,除了国家层面,企业层面其实早有很多相似的情形,商业间谍无孔不入,让很多企业为此损失惨重。浙江搬运工演绎的“间谍魅影”导致百家企业商业秘密被盗;维尔康与江山制药案、浙江电力采购底牌泄密、力拓案等影响甚大。微软VS甲骨文、联合利华VS宝洁、IBM VS 日本三菱、通用VS大众都发生过著名的商业间谍纠纷。
为此,我们专门采访了国内专注于数据安全领域的溢信科技研发总监黄凯,他谈到,棱镜门让更多的企业开始正视安全问题,开始将注意力放到内部的信息安全上,警惕那些可能造成数据泄露的漏洞。
▲溢信科技研发总监黄凯
提升企业数据保护意识
在提升企业保护数据的意识方面,黄凯认为,要想让企业重视安全首先得让其了解安全,很多企业之所以不重视安全,是因为他们在安全方面的了解太少,而且存在许多固有的成见。因此,可以通过破除成见,普及科学安全观来提升企业的安全意识。黄凯总结几点企业应具备的数据泄露防护观念:
第一:信息安全是企业的一种生产要素。这是针对“安全不重要,安全只花钱不赚钱”的观念来讲的,首先,在现在这样一个高度信息化的社会里,信息对于企业的作用与人力、资金、设备等传统生产要素相比,渐渐趋于平衡,对企业的影响力空前提高。对于有些产业如信息产业,信息就是企业的命脉。其次,既然是生产要素,就会存在一个投入产出比。在某个临界点之前,安全投入得越多,收益就会越大,而过了这个临界点,投入收益比就会降低。但目前国内企业的安全投入还远远未达到临界点。
第二:未发生事故并不意味着就足够安全。很多企业易被眼下的平静所迷惑,看不到潜在的风险。在安全界有一个海因里希法则:当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。很多企业只看到最后的一起重大事故,这样就会错过最佳的风险防御时机,亡羊补牢悔之晚矣。
第三:预防措施往往比纠正措施更节约成本。中国有个成语叫曲突徙薪,说的是一个人不听朋友劝,结果新房子酿成火灾,他感激邻居帮他灭火,却忘了当初提醒他的朋友。现实中很多企业都有类似情形,忽略事先预防,结果酿成悲剧,才亡羊补牢,但付出的代价比当初预防所需的要多得多。英特尔前员工将商业机密泄露给竞争对手ARM,造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元,名列《财富》(Fortune)全球1000强的大公司,平均每年因信息泄露导致的损失总数高达450亿美元。泄露出去的信息就如泼出去的水,覆水难收,还不如提早加强信息安全建设。
第四:没有绝对的安全,需要平衡在安全上的投资与回报。很多企业认为既然花了钱,就应该确保绝对安全,不出任何问题,这显然是不现实的。安全并不是说没有什么问题,而是说即使出现问题,也都在企业可接受的范围内,不会对企业造成明显的损失。所以企业要认清自己的安全范围,然后予以相应的投入,实现两者之间的平衡。
企业该如何做好数据安全策略?
要做好数据安全策略,最重要的就是要对企业进行全面的风险评估,只有清楚地了解问题,才能有的放矢地解决问题。评估需要通过三大过程。一是通过内部问卷调研、人员访谈等方式,了解清楚企业各部门资产的情况,哪些资产是真正需要保护的。通常,企业中的机密数据应当包括:技术、方法、工作模式、处理流程、生产计划等,以及各种图表、供应商信息,新产品设计图纸和营销战略,或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失,都会给企业带巨额的经济和无形资产的损失;二是识别这些关键信息所面临的威胁,并检查信息系统的脆弱性,并确定系统抵抗威胁的能力。如果将信息比作一个人,那威胁就是他的敌人,而脆弱性则是到他的缺陷,如无力的拳头等;第三,评估风险发生的可能性和所产生的影响,还是以人为例,可能性就是被敌人伤害到的机率,产生的影响是说如果被敌人伤到,会带来多大的后果。
评估之后接着是确定风险处理措施。企业需要根据不同部门的涉密程度以及所面临的风险级别,部署轻重有别的防护系统。需要强调的一点是,切忌武断地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟,但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息,如果缺乏有效的管控措施,信息很可能就无声无息的流失了。
谈到如何处理员工个人隐私和公司数据安全之间的矛盾时,黄凯介绍到,“近年来,企业机密被内部员工窃取而造成重大损失的案例可以说是层出不穷;但另一方面,企业被状告侵犯员工隐私的新闻也不少见。就拿电子邮件来说吧,企业监视员工的电子邮件时,必将出现‘维护企业信息安全’和‘员工个人隐私’间的矛盾。作为一个企业,进行数据保护使必要的,但为了防止侵犯第三方的权利,就必须采取合理的措施,进行信息安全管理。但为了解决安全与隐私的矛盾,企业在实施监视时,一是要提前让员工知道,赢得他们的理解,而且尽可能非针对性地进行监视和管理;二是在监控时采取灵活的策略,比如分时段控制,工作时间进行监控,休息时间则解除监控。”
