商業(yè)秘密是企業(yè)重要的資產(chǎn),決定了現(xiàn)代企業(yè)的競爭優(yōu)勢和持續(xù)發(fā)展能力。有的企業(yè)沒有任何的商業(yè)秘密保護(hù)概念,導(dǎo)致自己的商業(yè)秘密被輕易泄密,投巨資研發(fā)或畢生心血積累的商業(yè)秘密毀于一旦,企業(yè)發(fā)展受阻或夭折;還有的企業(yè)對商業(yè)秘密很重視,也采取了一些保密措施,配備了許多防竊密設(shè)施,但最終商業(yè)秘密還是被泄露了,同樣導(dǎo)致企業(yè)不能正常發(fā)展。到底是什么因素決定了商業(yè)秘密能否被泄露以及泄密的可能性?哪些措施能杜絕或降低泄密事件的發(fā)生?如何以最低的成本保證商業(yè)秘密的安全?
要真正的保護(hù)商業(yè)秘密,就有必要了解商業(yè)秘密的泄密和保護(hù)原理,分析商業(yè)秘密泄密的影響因素,有的放矢的采取控制措施,防止泄密。
泄密事件的發(fā)生以及發(fā)生的可能性,實質(zhì)就是泄密風(fēng)險的構(gòu)成和大小,當(dāng)各種因素構(gòu)成了泄密風(fēng)險,商業(yè)秘密就可能被泄露,風(fēng)險越高,泄露的可能性越大,反之亦然。
商業(yè)秘密的泄密風(fēng)險,由三個要素構(gòu)成,這三個要素的此消彼長,決定了商業(yè)秘密是否存在泄密風(fēng)險以及風(fēng)險的大小。同樣,根據(jù)三個因素的現(xiàn)實狀況,采取準(zhǔn)確的控制措施,可以用最少的成本,將泄密的風(fēng)險控制到最小。
一、商業(yè)秘密泄密三要素
1. 三要素
商業(yè)秘密被泄露的風(fēng)險,取決商業(yè)秘密的價值、商業(yè)秘密存在的薄弱點、對商業(yè)秘密的威脅這三個要素。詳見圖一。
商業(yè)秘密的價值越高,吸引力就越大,就越容易受到各種威脅的攻擊。
威脅是指能夠?qū)ι虡I(yè)秘密造成泄密破壞的各種潛在原因。
薄弱點是指商業(yè)秘密存在的能夠被威脅所利用的弱點。
實例:力拓商業(yè)間諜案中,中國鋼鐵企業(yè)礦石原料庫存的周轉(zhuǎn)天數(shù)、進(jìn)口礦石平均成本、噸鋼單位毛利、生鐵的單位消耗等數(shù)據(jù)屬于商業(yè)秘密,具有很高的價值,澳大利亞力拓公司的胡士泰等人屬于威脅,利用中國鋼鐵企業(yè)、行業(yè)協(xié)會管理和制度上的薄弱點,采取拉攏收買等手段,將上述中國鋼鐵企業(yè)的機(jī)密數(shù)據(jù)竊取到手,并在與中方的談判中,利用這些寶貴的數(shù)據(jù),迫使中國鋼企在近乎訛詐的進(jìn)口鐵礦石價格上多付出7000多億元人民幣的沉重代價,相當(dāng)于全國鋼鐵行業(yè)同期利潤總和的一倍多,澳大利亞GDP的10%。
圖一:商業(yè)秘密泄密風(fēng)險三要素構(gòu)成
2. 三要素的相互關(guān)系
商業(yè)秘密具有價值,威脅利用商業(yè)秘密存在的薄弱點,對商業(yè)秘密造成損害,導(dǎo)致商業(yè)秘密失密(詳見圖二)。
圖二:商業(yè)秘密泄密風(fēng)險三要素的相互關(guān)系
3. 泄密風(fēng)險隨三要素的變化規(guī)律:
泄密風(fēng)險與三要素存在正相關(guān)的函數(shù)關(guān)系,三要素的作用越大,風(fēng)險就越大,反之亦然;
R=F(Vs,Vv,Vt)
R:泄密風(fēng)險
Vs=商業(yè)秘密價值
Vv=薄弱點
Vt=威脅
缺少任何一個要素,就不存在商業(yè)秘密泄密的風(fēng)險。
理解:
如果商業(yè)秘密沒有價值,自然也就不會成為商業(yè)秘密,就不存在泄密的風(fēng)險。
如果沒有薄弱點,就沒有威脅可以利用的漏洞,威脅就不可能對商業(yè)秘密造成傷害,也就不會出現(xiàn)泄密。
如果沒有威脅,天下太平,商業(yè)秘密不會受到破壞,自然不會出現(xiàn)泄密。
4. 三要素舉例
示例 | |
商業(yè)秘密 | 工藝流程 |
薄弱點 | 職責(zé)不明 |
威脅 | 盜竊 |
二、 商業(yè)秘密保護(hù)原理
因為泄密風(fēng)險取決于商業(yè)秘密的價值、薄弱點、威脅三個要素,只要控制了這三個要素,就可以降低泄密的風(fēng)險,所以商業(yè)秘密保護(hù),實質(zhì)就是控制影響泄密風(fēng)險的商業(yè)秘密的價值、薄弱點、威脅這三要素。
圖三:商業(yè)秘密泄密風(fēng)險三要素作用示意圖
1、 降低商業(yè)秘密的價值
將商業(yè)秘密的價值降低,使其對威脅的吸引力變小,而且一旦泄密,造成的負(fù)面影響也小,最終導(dǎo)致泄密風(fēng)險減少。
圖四:降低商業(yè)秘密價值示意圖
降低商業(yè)秘密價值的方法舉例:
數(shù)據(jù)加密
技術(shù)替代
轉(zhuǎn)化為專利
該方法的實施是有限的,因為絕大多數(shù)商業(yè)秘密有其自身的使用價值,不可能被降低。
2、 減少威脅
各種威脅是導(dǎo)致商業(yè)秘密泄密的主動因素,將威脅減少,意味著對商業(yè)秘密的破壞因素或強(qiáng)度減少了,商業(yè)秘密的泄密風(fēng)險自然也就降低了。
圖五:減少威脅示意圖
降低威脅的方法舉例:
通過網(wǎng)絡(luò)隔離,避免黑客攻擊導(dǎo)致的泄密
通過對人員的甄別,減少商業(yè)間諜的混入
通過標(biāo)準(zhǔn)化的操作流程,避免人員失誤導(dǎo)致的泄密
減少威脅的實施也是有限的,能夠減少的威脅性質(zhì)多屬于無意識的失誤,對于主動性的威脅,很難避免和減少。
3、 減少薄弱點
薄弱點的存在,是商業(yè)秘密被泄露的必要條件,如果沒有薄弱點,商業(yè)秘密就不會暴露,再多的威脅也不會導(dǎo)致商業(yè)秘密的泄密。因此,減少薄弱點,也可以降低商業(yè)秘密的泄密風(fēng)險。
圖六:減少薄弱點示意圖
降低薄弱點的方法舉例:
加強(qiáng)物理隔離,可以防止入室盜竊的威脅
安裝使用反病毒軟件,可以防止惡意軟件的威脅
實施員工培訓(xùn),可以防止操作失誤的威脅
薄弱點是一個企業(yè)自身存在的,屬于企業(yè)可控的范疇,實施減少薄弱點的控制,是企業(yè)內(nèi)部自身的活動。因此,在所有降低泄密風(fēng)險的控制方法中,降低薄弱點的方法最具有可操作性,應(yīng)用也最廣泛。
4、 綜合應(yīng)用
在實踐中,一般將上述三種保護(hù)商業(yè)秘密,降低泄密風(fēng)險的方法綜合應(yīng)用,以減少薄弱點為主要控制手段,輔以降低商業(yè)秘密價值,減少威脅,達(dá)到全面控制泄密風(fēng)險的目的。
圖七:同時減少商業(yè)秘密風(fēng)險三要素示意圖
三、 商業(yè)秘密保護(hù)方法
根據(jù)商業(yè)秘密的泄密和保護(hù)原理,我們可以采取兩種不同的方法對商業(yè)秘密實施保護(hù),一種方法是“深度保護(hù)”方法(Detailed Protection Approach)”,另一種是“基線保護(hù)方法(Baseline Protection Approach)”。