知識產權(IP)是企業的命脈,同時也是競爭對手和黑客攻擊的熱門目標。知識產權失竊往往會給企業或項目造成致命打擊,例如好萊塢娛樂業曾遭遇一連串黑客攻擊,給《加勒比海盜》和HBO的《權力的游戲》這樣的“大IP”帶來了滅頂之災。
知識產權保護也是復雜而艱巨的任務,涉及法律、IT/安全、人力資源等多個部門的職權范圍。通常來說,企業的首席安全官(CSO)或風險委員會負責統一協調和管理知識產權保護工作,但是由于網絡攻擊威脅日益嚴峻,首席信息安全官(CISO)在知識產權保護工作中的作用越來越關鍵。
以下,我們將介紹知識產權保護的十個關鍵步驟,這些步驟是確保知識產權安全的最低要求:
一、了解知識產權是什么
開展知識產權保護工作首先要讓所有員工都知道需要保護的知識產權(資產)是什么,然后才是如何保護知識產權。為此,首席安全官(CSO)必須與負責知識產權的高管保持溝通,至少每季度與CEO、COO以及人力資源、營銷、銷售、法律服務、生產和研發部門的代表會面一次,公司領導層必須協同工作才能充分保護知識產權。
二、了解知識產權資產在哪
如果您對知識產權保護的關注點主要集中在核心IT系統上,往往會忽略其他可能存儲或處理知識產權資產的區域,例如:
打印機、復印機、掃描儀和傳真機:您的輸入/輸出設備會存儲它們處理的文檔,并且它們通常聯網并連接到遠程管理系統。需要制定適當的政策和程序來清除這些文檔并防止未經授權的訪問。
云應用程序和文件共享服務:這些服務可能是公司管理的,也可能是影子IT。你需要了解員工在使用什么服務,以便限制未經授權的云服務并確保公司批準的服務得到正確配置和安全。
員工個人設備:員工可能會出于善意將文檔電郵回家。教育您的員工如何正確處理知識產權,并制定監控系統來跟蹤知識產權內容被發送到何處。
第三方系統:知識產權通常會與商業伙伴、供應商或客戶共享。確保與第三方的合同規定了這些第三方必須如何保護你的知識產權,并制定控制措施以確保第三方遵守這些條款。
三、確定知識產權保護的優先級
一些擁有多年知識產權保護經驗的首席安全官建議企業進行風險和成本效益分析。繪制公司資產地圖,并確定丟失哪些信息會對公司造成最大損失。然后考慮哪些資產最容易被盜竊。將這兩個因素結合起來將幫助您確定最佳的保護措施(和資金)投入何處。
四、標記高價值知識產權
在醒目位置標記包含高價值知識產權信息的敏感或機密文檔(橫幅、標簽或登錄屏幕提示),這看起來無足輕重,但如果企業要在法庭上證明某人竊取了其無權獲取的信息,往往需要證明這些信息已經有明確標注或提示受到保護。
五、物理和數字雙重保護
知識產權保護需要物理和數字雙重保護,二者缺一不可。物理保護包括鎖好存儲敏感數據的房間(無論是服務器機房還是陳舊的紙質檔案室),嚴格的鑰匙管理等。數字保護則包括使用強密碼并限制員工訪問重要數據庫。
六、員工知識產權保護意識培訓
人通常是防御鏈中最薄弱的環節,那些過于依賴防火墻和版權控制的知識產權保護工作,如果不關注員工意識和培訓,注定會失敗。知識產權保護意識培訓可以有效防范知識產權泄露,但前提是培訓要對特定員工群體提供針對性的培訓內容。
在大多數情況下,知識產權是由于偶然事件或人員疏忽而泄露的。確保員工意識到他們可能會如何無意中泄露知識產權。
即使是一些行業巨頭關鍵崗位的人員,往往也缺乏基本的知識產權保護意識產生重大疏忽,例如2017年一名蘋果工程師因女兒(參觀了父親的辦公室后)在社交媒體上發布iPhoneX原型機的視頻而被解雇。
根據Egress Software Technologies2019年2月的一項研究,意外泄露敏感數據(例如知識產權)最常見的技術是:
外部電子郵件(51%)
公司電子郵件(46%)
通過FTP共享文件(40%)
協作工具,例如Slack或網盤(38%)
短信或即時消息/社交媒體應用程序(35%)
使用電子郵件時,知識產權可能會因以下原因發送給錯誤的人員:
發件人使用了錯誤的地址。例如Outlook自動插入了目標收件人以外的其他人的電子郵件地址
收件人轉發了電子郵件
附件包含隱藏內容,例如Excel表格(中隱藏的行、列信息,或工作表)
數據被轉發到個人電子郵件帳戶
七、了解和使用知識產權保護工具
越來越多的軟件工具可用于跟蹤文檔和其他知識產權存儲。數據泄露防護(DLP)工具如今是許多安全套件的核心組件。DLP不僅可以定位敏感文檔,還可以跟蹤其使用方式以及由誰使用。
在某些情況下,加密知識產權信息可以降低丟失風險。Egress調查數據顯示,只有21%的公司在外部共享敏感數據時要求加密,只有36%的公司在內部要求加密。
八、全局視角和跨部門管控
如果有人掃描內網并觸發了入侵檢測系統,IT部門的人員通常會致電正在掃描的員工并告訴他們停止行為。如果該員工給出一個“合理的“解釋,事情往往不了了之。后來,夜班保安看到同一名員工攜帶受保護的文檔,后者的解釋是:“哎呀……拿錯了文件。”
隨著時間的推移,人力資源部門、審計部門、嫌疑者的同事都注意到了零星孤立的事件,但沒有人將這些事件關聯起來并意識到這些違規行為都是同一個人所為。這也凸顯了公司信息安全和安保部門之間缺乏溝通是多么致命。知識產權保護需要所有公司職能部門之間的緊密聯系和溝通。不僅是法律部門,人力資源、IT、研發、工程、設計、安保等部門也必須在知識產權保護中協同發揮作用。
九、反情報思維
如果你是競爭對手的間諜,想要竊取一家公司的情報,你會怎么做?經常從攻擊者的角度思考問題,你會重視以下這些安全衛生工作,例如:保護電話聯系人列表、粉碎回收箱中的紙張、召集內部委員會審核研發人員公開發表的論文(以及GitHub項目、社交媒體帖子等)。
競爭情報專家倫納德·富爾德(Leonard Fuld)表示,公司安全措施松懈造成的損失比竊賊造成的損失更大!以下是競爭對手采集情報的常見渠道:
銷售人員在展會上介紹新產品
技術組織在職位列表中描述其研發設施
供應商在其網站上吹噓銷售情況
宣傳部門發布有關新專利申請的新聞稿
監管機構針對的行業中的公司向環保局等監管部門報告有關制造設施的信息,這些信息可能會成為公共記錄的一部分
員工在互聯網論壇和社交媒體上發表的評論
派遣情報人員偽裝成應聘者參加目標公司面試,或者邀請目標企業的員工參加面試
十、全球化威脅感知
對于有拓展海外市場需求的企業來說,必須了解全球不同地區的知識產權威脅。多年來,法國、拉丁美洲和前蘇聯國家是工業間諜活動被廣泛接受甚至被鼓勵的地方,以此作為促進本國經濟的一種方式。
企業在全球開展業務前,需要評估不同地區的知識產權威脅,一個頗具參考價值的資源是“透明國際“每年發布的《腐敗感知指數》。2020年,《腐敗感知指數》將以下5個國家列為“被認為最腐敗的國家”:南蘇丹、索馬里、敘利亞、也門和委內瑞拉。此外,中亞和東南亞很多國家(例如吉爾吉斯、泰國、越南)的排名也非常低。
聯系地址:甘肅省蘭州市城關區南濱河東路58號
?版權所有 2011-2020 甘肅安信信息安全技術有限公司
Copyright ? 2011-2020 Gansu Anxin information Safe Technology Ltd