知识产权(IP)是企业的命脉,同时也是竞争对手和黑客攻击的热门目标。知识产权失窃往往会给企业或项目造成致命打击,例如好莱坞娱乐业曾遭遇一连串黑客攻击,给《加勒比海盗》和HBO的《权力的游戏》这样的“大IP”带来了灭顶之灾。
知识产权保护也是复杂而艰巨的任务,涉及法律、IT/安全、人力资源等多个部门的职权范围。通常来说,企业的首席安全官(CSO)或风险委员会负责统一协调和管理知识产权保护工作,但是由于网络攻击威胁日益严峻,首席信息安全官(CISO)在知识产权保护工作中的作用越来越关键。
以下,我们将介绍知识产权保护的十个关键步骤,这些步骤是确保知识产权安全的最低要求:
一、了解知识产权是什么
开展知识产权保护工作首先要让所有员工都知道需要保护的知识产权(资产)是什么,然后才是如何保护知识产权。为此,首席安全官(CSO)必须与负责知识产权的高管保持沟通,至少每季度与CEO、COO以及人力资源、营销、销售、法律服务、生产和研发部门的代表会面一次,公司领导层必须协同工作才能充分保护知识产权。
二、了解知识产权资产在哪
如果您对知识产权保护的关注点主要集中在核心IT系统上,往往会忽略其他可能存储或处理知识产权资产的区域,例如:
- 打印机、复印机、扫描仪和传真机:您的输入/输出设备会存储它们处理的文档,并且它们通常联网并连接到远程管理系统。需要制定适当的政策和程序来清除这些文档并防止未经授权的访问。
- 云应用程序和文件共享服务:这些服务可能是公司管理的,也可能是影子IT。你需要了解员工在使用什么服务,以便限制未经授权的云服务并确保公司批准的服务得到正确配置和安全。
- 员工个人设备:员工可能会出于善意将文档电邮回家。教育您的员工如何正确处理知识产权,并制定监控系统来跟踪知识产权内容被发送到何处。
- 第三方系统:知识产权通常会与商业伙伴、供应商或客户共享。确保与第三方的合同规定了这些第三方必须如何保护你的知识产权,并制定控制措施以确保第三方遵守这些条款。
三、确定知识产权保护的优先级
一些拥有多年知识产权保护经验的首席安全官建议企业进行风险和成本效益分析。绘制公司资产地图,并确定丢失哪些信息会对公司造成最大损失。然后考虑哪些资产最容易被盗窃。将这两个因素结合起来将帮助您确定最佳的保护措施(和资金)投入何处。
四、标记高价值知识产权
在醒目位置标记包含高价值知识产权信息的敏感或机密文档(横幅、标签或登录屏幕提示),这看起来无足轻重,但如果企业要在法庭上证明某人窃取了其无权获取的信息,往往需要证明这些信息已经有明确标注或提示受到保护。
五、物理和数字双重保护
知识产权保护需要物理和数字双重保护,二者缺一不可。物理保护包括锁好存储敏感数据的房间(无论是服务器机房还是陈旧的纸质档案室),严格的钥匙管理等。数字保护则包括使用强密码并限制员工访问重要数据库。
六、员工知识产权保护意识培训
人通常是防御链中最薄弱的环节,那些过于依赖防火墙和版权控制的知识产权保护工作,如果不关注员工意识和培训,注定会失败。知识产权保护意识培训可以有效防范知识产权泄露,但前提是培训要对特定员工群体提供针对性的培训内容。
在大多数情况下,知识产权是由于偶然事件或人员疏忽而泄露的。确保员工意识到他们可能会如何无意中泄露知识产权。
即使是一些行业巨头关键岗位的人员,往往也缺乏基本的知识产权保护意识产生重大疏忽,例如2017年一名苹果工程师因女儿(参观了父亲的办公室后)在社交媒体上发布iPhoneX原型机的视频而被解雇。
根据Egress Software Technologies2019年2月的一项研究,意外泄露敏感数据(例如知识产权)最常见的技术是:
- 外部电子邮件(51%)
- 公司电子邮件(46%)
- 通过FTP共享文件(40%)
- 协作工具,例如Slack或网盘(38%)
- 短信或即时消息/社交媒体应用程序(35%)
使用电子邮件时,知识产权可能会因以下原因发送给错误的人员:
- 发件人使用了错误的地址。例如Outlook自动插入了目标收件人以外的其他人的电子邮件地址
- 收件人转发了电子邮件
- 附件包含隐藏内容,例如Excel表格(中隐藏的行、列信息,或工作表)
- 数据被转发到个人电子邮件帐户
七、了解和使用知识产权保护工具
越来越多的软件工具可用于跟踪文档和其他知识产权存储。数据泄露防护(DLP)工具如今是许多安全套件的核心组件。DLP不仅可以定位敏感文档,还可以跟踪其使用方式以及由谁使用。
在某些情况下,加密知识产权信息可以降低丢失风险。Egress调查数据显示,只有21%的公司在外部共享敏感数据时要求加密,只有36%的公司在内部要求加密。
八、全局视角和跨部门管控
如果有人扫描内网并触发了入侵检测系统,IT部门的人员通常会致电正在扫描的员工并告诉他们停止行为。如果该员工给出一个“合理的“解释,事情往往不了了之。后来,夜班保安看到同一名员工携带受保护的文档,后者的解释是:“哎呀……拿错了文件。”
随着时间的推移,人力资源部门、审计部门、嫌疑者的同事都注意到了零星孤立的事件,但没有人将这些事件关联起来并意识到这些违规行为都是同一个人所为。这也凸显了公司信息安全和安保部门之间缺乏沟通是多么致命。知识产权保护需要所有公司职能部门之间的紧密联系和沟通。不仅是法律部门,人力资源、IT、研发、工程、设计、安保等部门也必须在知识产权保护中协同发挥作用。
九、反情报思维
如果你是竞争对手的间谍,想要窃取一家公司的情报,你会怎么做?经常从攻击者的角度思考问题,你会重视以下这些安全卫生工作,例如:保护电话联系人列表、粉碎回收箱中的纸张、召集内部委员会审核研发人员公开发表的论文(以及GitHub项目、社交媒体帖子等)。
竞争情报专家伦纳德·富尔德(Leonard Fuld)表示,公司安全措施松懈造成的损失比窃贼造成的损失更大!以下是竞争对手采集情报的常见渠道:
- 销售人员在展会上介绍新产品
- 技术组织在职位列表中描述其研发设施
- 供应商在其网站上吹嘘销售情况
- 宣传部门发布有关新专利申请的新闻稿
- 监管机构针对的行业中的公司向环保局等监管部门报告有关制造设施的信息,这些信息可能会成为公共记录的一部分
- 员工在互联网论坛和社交媒体上发表的评论
- 派遣情报人员伪装成应聘者参加目标公司面试,或者邀请目标企业的员工参加面试
十、全球化威胁感知
对于有拓展海外市场需求的企业来说,必须了解全球不同地区的知识产权威胁。多年来,法国、拉丁美洲和前苏联国家是工业间谍活动被广泛接受甚至被鼓励的地方,以此作为促进本国经济的一种方式。
企业在全球开展业务前,需要评估不同地区的知识产权威胁,一个颇具参考价值的资源是“透明国际“每年发布的《腐败感知指数》。2020年,《腐败感知指数》将以下5个国家列为“被认为最腐败的国家”:南苏丹、索马里、叙利亚、也门和委内瑞拉。此外,中亚和东南亚很多国家(例如吉尔吉斯、泰国、越南)的排名也非常低。
