机密就是财富|爱宠大机密

　　面对来自内部人员和竞争对手的威胁、国家发起的商业机密窃取行为，以及造假和盗版等有组织的犯罪，企业到了该采取行动的时候了。毕竟，对于企业乃至国家而言，机密就是拥有力量的秘诀所在。
　　我们发现CEO当中普遍存在两种严重误解。其中一个严重误解就是，经济间谍行为或者商业机密窃取行为带来的威胁只是性质不太严重的问题――只有拥有类似于可口可乐配方或者英特尔下一款微处理器设计方案的机密时，问题才会很严重。本文介绍的一些个案调查表明了这种想法是错误的：以为这种威胁只是别人的问题，与己无关。
　　虽然有许多CEO承认自己面临这样的威胁，但也还存在另一种严重误解：这种威胁的性质已经得到了充分了解；这种威胁也已得到了充分解决。认真分析一下，就会发现这些商业领导人依赖的信息保护计划往往囿于工业时代的思维，面对经济全球化和信息时代兴起带来的动态、危险的新环境，这些旧思维并没有应时而变。
　　在十年之前，类似的威胁很少诉诸法律，但如今却已经司空见惯。但遗憾的是，防范这些威胁所需的安全意识和防范措施却不是那么司空见惯，尽管这些措施并不需要高昂的成本，且富有成效。
　　面对不同的攻击手段，企业该如何落实包括信息安全技术、方案在内的必要防御措施。我们不防看看一些已经发生的实际案例。这些案例大致可分为三类：来自内部人员和竞争对手的威胁、国家发起的商业机密窃取行为、造假和盗版等有组织犯罪。面对这些不同的攻击，企业该采取哪些相应的防御手段？
　　
　　针对知识产权的攻击
　　
　　内部人员与竞争对手的威胁
　　
　　内部人员、竞争对手或者两者共同为之的经济间谍行为或知识产权窃取行为，是最明显、最常见也是最具破坏性的威胁。这类攻击有多种形式，譬如来自员工、管理班子成员、企业董事会成员、第三方合同承包制造商或者合资企业中的合作伙伴。
　　在近期的几个例子，有的卑劣无比，而有的轰动一时。比如，光波微系统公司（Lightwave Microsystems）眼看就要倒闭了，主要原因是这家公司的一名IT主管窃取了公司的商业机密，并卖给他人；美国在线（AOL）的一名软件工程师用同事的密码获得了3000万AOL客户的资料，后来卖给了垃圾邮件发送者；卡西亚诺通信公司（CCI）指控，一名前任员工窃取并卖掉了公司的专有数据库；康宁公司的一名员工在装有等待销毁的材料的箱子里面发现了含有商业机密的设计图纸。他非但没有销毁材料，反而卖给了亚洲的竞争对手。
　　
　　国家发起的商业机密窃取行为
　　
　　国家发起的经济间谍行为和知识产权窃取行为是最错综复杂、最难以对付的威胁。
　　为什么国家也要参与经济间谍行为和知识产权窃取行为呢？原因主要是为了获取技术，从而推动军事计划，或者提升国家工业基础的经济竞争力，或者只是为了确保对国内生产总值有贡献的主要公司和实体继续做出这种贡献。国家是如何获得它们觊觎已久的知识产权的呢？在有些情况下，它们会派本国的执法或者情报部门偷偷窃取；而在另一些情况下，它们公然要求知识产权所有者交出知识产权。政府方面认为，这符合全体公民的最佳利益。
　　国家发起的经济间谍行为和知识产权窃取行为是全球性问题。这种威胁不是只有美国的公司企业或者研究人员所面临的，有许多国家在从事这类活动，也有许多国家的利益成为了别国的目标。
　　如果内部人员被情报部门收买，这种活动会变得更加错综复杂，要想侦察这种活动以及/或者加以防范，大多数企业的安全机制是无能为力的。
　　我们可以看看几个例子：2005年1月，俄罗斯总理下令俄罗斯联邦安全局（FSB）加大扶助俄罗斯商业企业的力度。这其实等于公开宣布，俄罗斯政府的情报和安全部门参与扶持俄罗斯商业企业的情报搜集和报告活动；2001年5月，美国俄亥俄州的律师对两名日本研究人员起诉，指控两人窃取属于克里夫兰诊所基金会勒纳研究所的知识产权，并把偷到的研究资料提供给了日本政府所有的一家研究机构；2005年，巴西卫生部部长向美国芝加哥的雅培制药公司下达了最后通牒，要求降低哈皮那韦和利托那韦（Kaletra）的价格，否则巴西将宣布专利失效、自行生产这种药。
　　这种国家针对知识产权的攻击，不管是秘密的还是公开的，它们都会产生全面而深远的影响。
　　据美国创新协会（www.省略）在2005年10月发布的一项调查表明，仅美国的知识产权具有的价值就高达5万亿~5.5万亿美元，这相当于美国GDP的45%。无疑，这些知识产权对国家的经济安全至关重要。
　　据美国全国反情报执行官在2005年2月向美国国会提交的报告表明，美国在经济上面临攻击。该报告比较深入地分析了哪几种类型的外国实体在从事工业和经济间谍行为，这些外国实体瞄准哪几种信息，以及哪些外国实体试图获得敏感的美国技术（包括机密技术或者专有技术）――不管它们是私营部门的实体，还是政府部门的实体。
　　报告表明，来自100个国家的个人曾试图获得敏感的美国信息。报告在提到由外国支持的针对美国技术和知识产权的情报搜集行为时说：“不过显而易见，一些外国包括一些大国也在继续雇用国家行为者――包括情报部门，以及商业企业。它们在竭力获取最敏感、最难获得的技术时，更是如此。”
　　对于企业来说，问题的关键在于采用有效的安全手段，保护自己的知识产权不被心怀叵测的外国政府所窃取。这一点对于美国经济来说很是重要，当然，对于经济处于快速发展中的中国也同样重要。
　　
　　有组织犯罪瞄准品牌产品
　　
　　产品的造假和盗版活动的幕后主使往往是有组织的犯罪分子，它们给知识产权带来了最隐蔽的威胁，无疑也是影响整个全球经济的最普遍的威胁。
　　美国商会估计，假冒和盗版产品占了全球经济的5%~7%，导致美国有超过75万人失业，销售额大约减少了2500亿美元。
　　在英国，反知识产权窃取联盟（Alliance Against IP Theft）制作了长达40页的简要报告――《证明知识产权窃取行为和有组织犯罪之间的关系》，详细介绍了知识产权窃取行为对英国经济带来的不利影响、有组织的犯罪分子或明或暗参与违法行为。该联盟估计，这些非法产品的价值超过了90亿英镑。
　　这些盗版行为正愈演愈烈：据美国商业软件联盟委托他方进行的全球调查表明，50个国家的盗版率比前一年有所增长；假冒鞋子在东南亚的公开市场随处可见；因非法共享文件起诉个人取得成功的少数几个案例对遏制电影盗版并没有多大帮助。据估计，电影盗版带来的损失高达30亿美元。
　　据《DOPIP安全造假情报报告》表明，仅在2005年10月，造假事件就超过341件，案值逾10亿美元，涉及54个不同国家。不足为怪的是，假冒现象最严重的前十个品牌包括：阿迪达斯、耐克、路易威登、微软、香奈尔、古驰、普拉达、芬迪、曼联和彪马。
　　该报告还强调了有证据表明版权和商标侵权行为与性质更严重的犯罪活动之间有联系：在37%的案例中，造假者涉及贩毒行为；在20%的案例中，造假者非法携带武器；在11%的案例中，他们犯有其他诈骗活动；在26%的案例中，他们实施了其他犯罪行为，譬如暴力袭击、敲诈勒索、谋杀、盗窃、违反移民法、洗钱、盗窃身份及抢劫。使用暴力的犯罪分子越来越多地牵涉其中，这主要是因为利润更高了，而惩罚力度及被逮捕的可能性相对较小。
　　
　　机密是拥有力量的秘诀
　　
　　如今，美国经济面临许多威胁，其中包括急剧上升的能源成本、企业治理方面出现滥用现象、巨大的联邦赤字、外国人拥有国债、离岸外包导致失业以及灾难（包括恐怖活动相关的灾难或者自然环境灾难）带来的影响。当然，也有可能爆发禽流感大流行或者其他全球性卫生突发事件，从而导致边境关闭、公司业务中断、旅行终止以及成千上万人死亡。
　　不过你可以从本文中看到，还有另一个威胁难以量化、甚至难以察觉，这个威胁还没有登上新闻标题，也没有引起大众的注意，却给美国和全球经济予巨大的威胁：商业机密被窃取带来了极大的破坏，也就是经济间谍行为。
　　经济间谍行为是与恐怖活动或者全球气候变暖一样真实而严重的威胁。但它具有很大的隐蔽性。就算美国愿意认真对付它所面临的许多威胁，这种偷偷窃取专门知识和商业机密的行为仍有可能在美国还没有意识到这种威胁的严重性之前，就对美国在全球经济世界的领先地位给以致命一击。
　　据美国商务部声称，知识产权窃取行为每年带来的损失估计高达2500亿美元（相当于四场“卡特里娜”飓风造成的损失），另外导致美国大约75万人失业；而国际商会估计，全球财政损失每年因此超过6000亿美元。但这两个估计似乎都严重低估了事态的严重性：另一些部门估计，单单2005年8月损失的知识产权或者没收的非法财产就超过了2510亿美元。
　　机密是拥有力量的秘诀。如果国家机密如政治和军事机密被窃取，就会出现政府垮台、战争输掉、名誉扫地、人员伤亡的后果。如果商业机密如科学和技术机密被窃取，公司就会失去竞争优势、小公司就会倒闭、各个经济领域的实力就会减弱、失去在全球市场的领先地位；人们也就会失去生计及子女的将来。
　　经济间谍行为、知识产权窃取、造假和盗版的威胁是全球性的、危险性极大，而且日益普遍。你所在的企业将成为很难攻击的目标，还是容易得手的目标，完全取决于你自己。现在是该采取行动的时候了，你应当有所防备。
　　
　　该采取行动了
　　
　　需要切记的是，应当根据所保护的资产的价值，投资于相应的保护措施，这很重要。以下是为制订全面计划提供的几点建议：
　　组织机制。向组织里面的哪个人汇报安全工作也许是其中最重要的问题。应当考虑任命一位首席安全官，他向首席执行官或者首席财务官负责汇报。这个人应当负责人员安全、物理安全和信息安全方面的工作，也应当是董事会所熟悉的人员。
　　安全意识和教育。要不断对你的工作人员进行以下几方面的教育：经济间谍行为、知识产权窃取、造假和盗版的威胁。帮助他们了解你的预期目标：他们需要保护企业的知识产权，这其实也是保护他们的生计。为全部工作人员提供一般教育，另外为主管、经理和技术人员等提供专门教育。
　　人员安全。实施内容包括背景调查和解雇程序的“人员安全”计划。你需要明确制衡机制的政策，还要加以执行。了解你准备雇用的人员，他们在为你工作期间，要经常与他们进行联系。如果他们离开企业，就要积极主动地管理好解雇过程。
　　信息安全。招聘获得认证的信息安全专业人员（譬如信息系统安全认证专业人员和认证信息安全经理等），采取最佳实践，并且建立一套基准。充分利用合适的信息安全技术，譬如防火墙、入侵检测、加密和强验证设备等。除了数据访问外，还要注意数据保留及数据销毁。
　　物理安全。不要仅关注高端的防御措施，而忽略了基本的安全措施。如果肆无忌惮的竞争对手或者外国政府的特工人员能够轻而易举地获得他们垂涎的资料，那么投资信息安全或者致力于背景调查也就毫无意义。
　　搜集情报。你需要商业情报和安全情报，以了解你的竞争对手、合作伙伴及客户，调查市场环境，并随时了解黑客攻击、有组织犯罪、金融欺诈及国家发起的经济间谍行为等方面的最新动态。当然，你可以把这项工作外包出去。
　　行业接触。积极参与同你所在行业和环境有关的行业组织、会议。多与同行交流，了解他们遇到的攻击或者威胁的类型。
　　政府联络。充分利用作为纳税人的权利。利用从各个渠道搜集到的威胁信息，提供给譬如执法部门、外交部门、当选官员、贵企业所在的国家及开展业务的国家的监管和行业组织。
　　法律策略。要认识到，即使你没有做错，也仍有可能失去市场。保护全球市场的一部分有时候是个切实可行的生存策略。诉讼不是解决问题的办法，这只是证实了知识产权窃取事件已发生。要竭力保护你的知识产权，避免承担与诉讼相关的成本。别让不知名的法律人员就重大的法律问题作出决策，应当向专家寻求知识产权问题方面的法律建议。
　　总而言之，你的安全取决于你自己。员工往往根据管理人员对知识产权保护问题的重视程度，来投入相应的精力以解决这个问题，明智的员工会追随提供方向、指导和支持的领导人。能否提供这样的领导，对贵企业在21世纪的全球经济环境下继续生存下去至关重要。(译/沈建苗)
　　
　　作者简介
　　
　　Christopher Burgess。供职于美国中央情报局（CIA）已有三十年，在此期间，他曾兼任情报站站长和高级行动官员两职。
　　Richard Power。先后担任过计算机安全学会（CSI）的编辑主任和德勤会计师事务所（DTT）的全球安全情报部门主管，他研究网络犯罪和经济间谍行为已有十多年。