“以完全数据显示,问题通常来源于你的雇员,并非专业间谍。”全世界40% 的公司由于此种原因导致其造成的平均经济损失在350000美元至400000美元之间。而这40%的公司之中有些是已经公布了公司内部的事变。
2000 年,软件主管Jeffrey Chang 离开了当时工作的台湾芯片设计厂商D-Link公司,重返之前所在的VIA 科技公司。但去年12 月Jeffrey Chang却站在了台北的被告席上,他涉嫌将D-Link公司的软件代码泄漏给VIA 公司。一条强有力的证据可以证明这一点:他就职于D-Link公司的同时,VIA 公司仍旧付给他薪金,这是来自VIA一位高层管理者的可靠消息。
对Jeffrey Chang的审判,在台湾引起了绝大多数人的广泛关注。尤其涉及此案件的还有VIA公司的主席Cher Wang女士,她的父亲是台湾塑料制造业享有盛名的王扬。这些案件强调在最近几年公司内部信息泄漏给竞争对手的事情,多数被怀疑是自己公司的雇员所为。其实不难看出:间谍不再需要像James Bond 那种拥有高超熟练技术的类型,现在的商业间谍很可能是在公司中地位低微的雇员,他们使用那些可以在任何亚洲计算机商业区都可以找到的廉价的小工具。
“以完全数据显示,问题通常来源于你的雇员,并非专业间谍。”Kroll 驻中国风险管理经理Samuel Porteous说。无论怎样,雇员总能接触技术工具,并可以从中抽出大量有价值的信息,这将极大地损害雇主利益。
尽管损失是难以估量并且惨重的。但很少有公司愿意报告他们最终损失的情况以及在自身安全性上的疏忽。但根据2002 年Pricewaterhouse-Coopers 的一次较为全面的调查报告中显示:
全世界40% 的公司由于此种原因导致其造成的平均经济损失在350000美元至400000美元之间。而这40%的公司之中有些是已经公布了公司内部的事变,而有些仅是被怀疑造成了损失但并没有得到证实。这些案件多数发生在北美洲,但是亚洲也占据了13% 的份额,成为了此类案件的第二高发区。
专家认为在亚洲的商业间谍行为,范围很可能更广。因为像PWC这样的调查经常不包括那些小型的软件公司或者客户数据库的被盗部分。而这部分恰好构成了亚洲地区最主要的损失。
同样,亚洲的公司更不可能及时向有关部门反映情况,台北私人咨询服务办公室负责人Moray Taylor-Smith 说。在这个地区的公司更喜欢自己内部解决问题并且很要面子。例如,去年香港计算机应急行动小组报告存在超过900 个安全漏洞,但是只有不到2% 的公司向权力机关报告这些安全漏洞。
克罗尔的Porteous 指出亚洲的盗版率高和对货物商标名称的伪造早已臭名昭著,这就充分反映了亚洲广泛的商业间谍行为。他说:“显而易见,一些人必须从他原先所在的公里那里窃取到这种产品。”
导致问题的其他因素:在这方面亚洲缺乏一种强大的法律框架,以严惩那些数据偷窃行为;开展外包业务,实现更牢固的控制数据,以及树立相关的知识产权保护意识。在新加坡,很多公司都不将他们的产品申请专利,这便导致很难去保证知识产权,曾当过侦探如今开办技术调查公司的Kelvin Low 说。
商业间谍的根基也在不断提高。过去,高水平高智能的偷窃案件大多数情况发生在北美洲,因为那里集中了大规模的研究与开发设备。但近年来随着亚洲特别是中国R&D 开支的大量增加,根据巴黎发达国家的经济合作与发展组织调查表明:2001年中国的R&D 花费大约为600 亿美元,这一数字使中国成为继美国和日本之后在R&D 花费方面的第三大国。
技术变革
根据美国反间谍活动办公室的调查显示:窃取工业机密的大多数人往往不是专业的计算机人士。他们一般采用的方法是使用最简单的电子邮件、传真或者电话。
那些雇员通过晚归并趁机影印文件的日子已经一去不复返了。现在他们更大程度上仅需要短短的几分钟,使用便携式的数据存储设备即可完成这项工作。最近TecBizFRisMan 调查的一个案件中,一个雇员就利用他的hand-held Palm Visor轻易地将整个公司的客户资料下载下来并传送给了竞争对手。
当今的社会,在办公室的周围到处都有用于信息存储的小设备,例如iPods、数码相机这些很小型的便携式磁盘驱动器。去年7月,手机制造商三星公司出产的照相手机被禁止在一些它自己的工厂内使用,用以防止那些最新款式的手机模型被间谍虏获。
法律
即使许多公司在与雇员鉴定的契约中包含禁止将公司内部信息泄漏给竞争者的条款,执行起来却毫无成效。不仅证据难收集,有关安全专业人士表示:目前亚洲涉及商业间谍行为的法律还十分不健全,一次成功检举的机会很低。台湾的Taylor-Smith 说:“以我多年的经验,这种仅一次起诉就能成功的机会只有50%。”
而且,与美国关于间谍方面的法律相比,台湾这方面的法律还不是十分明朗及透明。Taylor-Smith 说:“就台湾而言,你得到的赔偿远不能弥补你的损失。”而在美国就市场份额而言,原告可以得到和损失同样多的补偿。
解决方案
常常是最简单的,但是没有必要是最便宜的,解决方案是用来预防问题的。安全专家说:最好的控制信息泄漏的方法就是控制和限制必须与这些信息打交道的人的访问权限。彼特·顾安全咨询服务的合伙人,推荐公司应该对每一个员工制定他们依照不同的安全级别访问公司的资料。顾说:这种步骤不是最便宜的,因为它增加了管理的成本和持续更新的要求。他还说:这种方式在大型的组织还是值得使用的,因为它最终可以通过集中管理的方式来削减成本,但是它增加的开销是更小公司的一倍到两倍。
“放置一个IT协议在可以限制雇员通过访问破坏驱动设备和外置CD刻录的地方。”
克罗尔中国办事处计算机辩论部门的TorstonDuwenhorst 说。他还说,“比如,不允许雇员把外置CD驱动器加入到他们的没有经过IT部门检查的PC机中。而且,放置一个程序的出口来证实离开的全体职员没有移动公司的重要数据。一旦他们被允许离开就不能允许他们带走微型计算机”,Porteous说。“确信微型计算机在那天被及时上交”。这可以预防病毒或间谍程序被植入到机器中。
尽管这看起来对雇员很残忍,但公司必须做那些对股东们有利的事情,他说。对于那些离开时不高兴的雇员,同公司的联系必须尽快的切断。一旦信息泄漏,损害是非常巨大的。一般来说,公司必须花费50000 至100000 美元以全面调查并找出盗窃行为是谁干的以及是怎样发生的,Porteous 说。
最新的间谍案件