更艱辛的未來
時值十一月。有兩個人正準備登機從舊金山國際機場飛往東南亞。在他們的行李箱中有著價值數百萬美金竊取而來的商業機密。這些失竊的專案設計圖、文件、光碟、磁片以及第三方授權的原料將可以讓邪惡的外國買家解開美國最創新公司的秘密,並且在自由市場中和這些創新公司進行侵略性的競爭。但是正當他們剛要踏上飛機之時,他們被FBI和電腦犯罪與智慧財產(CHIP, Computer Hacking and Intellectual Property)調查小組的成員逮捕。
這聽起來像是電視中所演出的一場犯罪現場。卻是實際發生在2001年,兩個男人試圖帶著數家在矽谷知名廠商所竊得的商業機密潛逃出國。在這個案例中,罪犯只是在犯罪過程中作短暫的停留,但是商業機密的盜竊已經大幅成長並成為嚴重的問題,擔任美國司法部電腦犯罪與智慧財產小組在聖荷西分部主管與美國助理律師的Matt Parrella說。
「我們所起訴的商業機密案件的數量以及種類都大幅的在成長中,」Parrella說。「在三到五年之前,我們看到的都是實體文件的失竊,然而今日數位化的綱要、資料表、製造流程和原始碼都面臨著巨大的危險。建檔和調查的案件也戲劇性的大量增加。」
核對清單
1. 找出公司企業中能夠在您執行影響整個企業計畫時能夠給予支援和援助的長字輩高級主管。
2.對公司的商業機密進行調查並找出他們存在的形式(文件形式、電子化、沒有正式文件化的員工知識)。
3. 根據遺失、洩漏或失竊時的風險對商業機密進行優先順序的排定。為了簡單化整個過程,可以考慮使用高/中/低三階級的評量分數來評估可能性和衝擊性。
根據美國貿易代表機構(USTR, United States Trade Representative)在2006年的報告指出,美國企業該年因為商業機密的竊取而損失了大約2,500億美金的金額。聯邦法律執行官員表示被當作主要竊盜目標的產業包含生物基因與藥物研究、先進材質、尚未列為機密的武器系統、通訊與加密技術、奈米科技和量子運算(quantum computing)。
企業一定都會聽過媒體報導說:「這只是冰山的一角」,Sonnenschein Nath & Rosenthal 在華盛頓D.C的拍檔,同時也是這個企業資訊安全與智慧財產維護團體的一員Randy Sabett說,「在許多的狀況之下,人們甚至沒有察覺到他們的商業機密已經被竊取了。」
4. 分析您公司商業機密的生命週期如何對應到組織的商業過程中。
5. 對已經對應出的商業機密進行風險評估,決定哪一個商業機密暴露出弱點的可能性最高,以及被暴露後可能替組織所帶來的損失。
6. 依據風險評估的結果,建立一個清楚文件化的企業等級的資料保護架構來規範各種過程和程序中的行為,建立角色和職責,並且監視與實施員工可以輕易遵循的行動。
7. 執行「缺失分析(gap analysis)」來決定正在執行中的商業機密保護措施和資料保護架構的強度。
8. 針對缺失結合使用安全與資料保護政策和程序、過程階層控制、技術控制、實體控制、以及教育訓練/認知訓練來進行改正。
9. 建立衡量指標並持續性的評估保護方案的效果。
盜取商業機密損失龐大
根據美國貿易代表機構(USTR, United States Trade Representative)在2006年的報告指出,美國企業該年因為商業機密的竊取而損失了大約2,500億美金的金額。聯邦法律執行官員表示被當作主要竊盜目標的產業包含生物基因與藥物研究、先進材質、尚未列為機密的武器系統、通訊與加密技術、奈米科技和量子運算(quantum computing)。
企業一定都會聽過媒體報導說:「這只是冰山的一角」,Sonnenschein Nath & Rosenthal 在華盛頓D.C的拍檔,同時也是這個企業資訊安全與智慧財產維護團體的一員Randy Sabett說,「在許多的狀況之下,人們甚至沒有察覺到他們的商業機密已經被竊取了。」
無價之寶
智慧財產(IP, Intellectual property)對於美國的經濟來說更是重要。華盛頓D.C的顧問公司Economists Incorporated的首長Stephen Siwek表示在2003年,智慧財產的價值已經超過500兆,佔美國經濟的33%。但還是有許多企業並沒有做好保護智慧財產的準備,以面對日與劇增的竊取威脅。
「這個問題的部份原因是因為美國廠商為了經濟問題而控制成本所造成的,」位於聖荷西(San Jose)的美商智霖(Xilinx)資訊安全長Abe Michael Smith說。有越來越多的企業將部份或所有的研發和產品發展活動外包給海外的合作夥伴,因此重要資訊也相對面臨被竊取的重大風險。而且當這些海外國家沒有強健的智慧財產保護法時,這些海外分公司如果未在發展智慧財產中扮演重要角色將會產生許多風險。「平衡增加收益的需求與提供適當智慧財產保護的安全要求是非常困難的,」Smith說。
此外,公司獨一無二的商業機密被竊取更是會造成企業龐大的損失。
「商業機密就如同潑出去的水一樣覆水難收,」Sabett說。「如果我們談論的像是原始碼這一類的事,這些原始碼就是屬於公司的無上至寶。而且當這些原始碼被當成商業機密時,一旦遺失了就永遠無法挽回。」
更糟的是,可能需要經過多年之後才會發現商業機密已經被竊,Smith說,「您可能不曉得您的智慧財產已經失竊長達五年,直到某個競爭對手忽然發表和您同樣的產品但價格卻是您定價的三分之一到五分之一。」
必須注意商業機密不只容易被惡意的竊賊盜取,也很容易在日常的商業活動中被洩漏。例如,某個沒有被適當教育的工程師將商業機密放在看似無害的會議簡報之中。
將商業機密視為營業秘密
某些美國企業難以進行智慧財產保護的原因是因為誤解了什麼是商業機密,以及智慧財產在法律上擁有什麼樣的保障。商業機密是智慧財產的一種類型,代表著公司無形的資產。不同於土地、建築物、辦公設備或者生產設施這些有形的資產,無形的資產無法被看見或被觸摸,而且無形的資產不是透過物理原料被製造而是透過人力或思想被製造的。
根據統一營業秘密法(UTSA, Uniform Trade Secret Act)的定義,商業機密包含配方(formulas)、樣式(patterns)、編輯物(compilations)、程式裝置(program devices)、方法(methods)、技術(techniques)或程序(processes)。也可以是圖表與流程圖、供應商資料、定價資料與策略、原始碼、行銷計畫和客戶資訊。各式各樣的東西都可以是商業機密,因此您的員工可能甚至不曉得他們正在經手的就是商業機密。
對於那些重度依靠研發來開發產品的組織來說商業機密更是重要。專利也同樣重要,但是商業機密和專利還是有顯著的不同。商業機密就如同名字中所代表的意義—必須是秘密。專利代表著公開揭露一項發明並透過政府取得獨家販賣的權利,而商業機密是公司認定只能自己知曉的內部資訊或知識,是一種有價值的無形資產。
「訴訟的成功要素是您必須提出證明您過去已經採取了足夠的程序來保護您的商業機密,」FBI特別幹員Joseph Schadler說。「這表示必須包含各式包羅萬象的機制,從在電腦中放置標語,到提供安全的登入機制,到保密切結書(NDAs, Non-Disclosure Agreements)的要求,到對於某個房間的實體進出控管。」
不安全的機密
為何會有如此多的公司對商業機密沒有提供足夠的保護呢?除了未充分瞭解什麼是商業機密之外,更多的公司是因為沒有辨識出什麼是他們的商業機密。就算公司進行了商業機密的辨識,很多公司卻沒有決定商業機密在哪裡,以何種形式(例如數位或紙本)存在以及被誰給使用。
「如果您的員工不清楚什麼該被保護,那麼他們如何去保護它,」Cisco資訊安全長Christopher Burgess說。
此外,某些公司將創新的優先權高於安全。「小型科技公司必須要非常敏捷,因此經營者的焦點經常是在產品開發與客戶服務而不是智慧財產的保護,」CHIP單位Parrella說。
許多已經進行智慧財產保護的Fortune五百大企業還是經常發生商業機密洩露的問題。安全程序的脆弱點、商業程序的先天弱點、風險管理程式的錯誤以及教育與認知專案的低效率都會造成商業機密外洩的問題。
所有的高階管理團隊,高層主管和資深經營者經常都會對商業機密的安全有著錯誤的概念。大都是因為誤解了法律對於商業機密的保護,並且讓日常性安全管理者來面對商業機密的保護。
「經過我們和受害者的交談,我們發現在研發部門負責安全的人員都不是公司企業中『長』字輩的高級主管,因此必須花費時間等待組織高層來決定風險的程度,」Parrella說。
此外,許多公司相信透過像是保密切結書與機密合約這一類的契約可以降低商業機密被竊的風險,但是事實卻不是如此。雖然這類契約在訴訟中是很重要的,可是對於預防失竊卻是沒有甚麼顯著效果,Schadler說:「會想要竊取商業機密的人根本不會理會保密切結書的約束。」
公司可能會開始使用更強健的智慧財產保護策略,而這些策略可能會影響員工執行工作的效率。可能的問題是企業文化和智慧財產安全指引相互衝突,導致員工決定忽略智慧財產安全指引。最糟的狀況是智慧財產保護成為創造力的阻礙,而創造力卻也是讓美國企業成為最大改革者的因素。
技術解決方案
實質上,商業機密只是公司資訊的一部份。如同所有的資訊一樣,都會有它的生命週期—被建立、被使用、被分享、被儲存及最後被銷毀。
保護商業機密最大的挑戰是如何讓它在生命週期中,在企業中如何變更狀態以及擴散。可能是從原本寫在隨身攜帶的筆記型電腦中的化學過程,換句話說就是被記錄在電子文件中,變成一系列製造過程中分離的任務或者甚至結合其他的智慧財產來形成一項產品。這些過程中的每一項構成元素—文件、電子資料、程序、產品—都會有著不同的生命週期。在每一個過程中,智慧財產會面臨不同的風險,而這些風險必須被檢視並適當的緩和這些風險。
在資料的生命週期中的各項階段中,有許多的產品可以協助保護以數位形式存在的商業機密與智慧財產。現在有一些新興的技術可以監控結構化和非結構化資料的活動並且依據客製化的政策來限定資料的行為。然而,對於那些被設計用來保護機密資料的各樣產品,給予一個簡單的警訊:因為大量使用了以角色為基礎的判斷方式,所以可能也會產生了大量的假警報。
保護的步驟
雖然技術日與俱增的改良,但是技術並不是保護智慧財產的萬靈丹。「沒有百分之百可以安全無比保護商業機密的方法,」法律專家Sabett說。「您可以花費所有的時間和金錢利用科技來進行保護,可是您的商業機密還是會透過各種其他的方法被傳遞到組織之外。」
一個有效的保護方案必須包含一系列的策略,這些策略中包含了教育使用者、立下契約者和合作夥伴是什麼組成了商業機密、建立權責管理模型(政策、角色與責任、強制實施)、過程階段的控管與程序化,透過實體和技術控制來讓風險最小化到管理者可接受的範圍。
保護您商業機密的第一步就是透過和商業流程負責人(business process owner)的訪談來辨識出商業機密,並且將之記錄在文件上。下一步,評估這些商業機密的價值。雖然商業機密的價值會隨著時間而有所變化,但是卻是在取得進行保護行動的資金時最重要的參考值。當失竊事件真的發生時,了解失竊物的價值也是很重要的。「價值的估算是一個複雜的過程,但是對於檢察官來說卻是一樣非常重要的要素,」FBI的Schadler說。然後依照商業機密的價值、威脅、弱點和可能風險來進行分類。
教育宣導是成功關鍵。廣泛性的教育訓練和認知訓練方案也是極為重要的步驟;某些專家甚至認為這是最重要的步驟。「教育訓練和認知訓練是您進行商業機密保護解決方案的首要實踐,」Cisco的Burgess說。Adobe的Landwehr也附和這樣的看法:「不論您決定應用哪項科技技術,除非您訂出教育使用者的計畫否則這些技術永遠不會有效。」
最後,您的企業應該定義出計畫性、合乎遵循與運作環境的效果評量,來確保您的商業機密保護合乎當初所定義的指標。缺乏衡量指標,您將不曉得商業機密的保護是否有效的被執行。
對公司的商業機密進行任何保護。美國司法部認定為商業的第一要務就是對商業機密進行保護。「智慧財產竊盜的訴訟案件—尤其是商業機密的竊盜與經濟行為的間諜活動—已經是CHIP unit優先處理的工作並且也危害著矽谷的經濟發展和國家安全,」Parrella說。