如何防止内部人员盗窃知识产权

知识产权 (IP) 通常是公司拥有的最重要的资产，因为开发创新解决方案是公司在全技术世界中竞争的最有效方式。与可以通过公开披露换取排他性权利的专利不同，知识产权包括所有者不能披露且需要特别严格保护的商业秘密和专有技术。

不幸的是，一些有权访问 IP 的员工可能对其安全性持松懈态度。一项针对英国、美国和德国 1,700 名商界领袖反馈的研究显示，72% 的 CEO 承认他们从前任雇主那里窃取了知识产权。 Netwrix 的 2018 年 IT 风险报告支持了这一点，该报告发现 39% 的公司认为离职和解雇员工是其知识产权面临的最大风险。如果公司没有及时发现内部人员，那么该人就可以将窃取的数据提供给竞争对手。防止知识产权盗窃是很困难的，因为所有接触机密数据的员工都可能是其中的同谋。以下是一些简单的技巧，可以帮助组织减轻这种风险。

第 1 步：了解您的机密数据所在的位置以及谁可以访问这些数据

如今，许多公司将 IP 存储在云中或将其分布在多个系统和应用程序中。此类机密信息的示例可以包括源代码、配方、方法和过程。此外，用户在笔记本电脑上远程工作时经常将数据复制到个人设备，这使得消除数据泄露的风险变得非常困难。

为了能够保护此类信息资产，公司需要确定其持有哪些敏感数据，并将其从最不敏感到最敏感进行分类。完成此步骤后，有必要识别有权访问它的所有用户、承包商和合作伙伴，并定义潜在的妥协点。例如，如果员工可以访问公司的新产品开发信息，那么他们就属于高风险群体。

第 2 步：为整个组织制定数据安全策略

保护公司知识产权的一个重要步骤是确保敏感信息仅可供授权人员使用，这些人员的访问权限在需要知道的基础上受到严格限制。正如上例所示，新产品开发数据文件的访问权限应仅限于参与研发的员工。还需要定期更新访问权限，并在员工最后一天停用所有用户帐户。另一个重要步骤是确保所有从事知识产权工作的员工都了解安全策略以及忽视这些策略的处罚。

第 3 步：控制所有用户遵守政策

在现实生活中，员工很容易忘记或忽视安全策略。卡巴斯基实验室的研究发现，只有 12% 的员工了解其组织的 IT 安全策略。这适用于各种规模的公司：即使是企业也不能说他们的知识产权 100% 受到保护，免受内部威胁。例如，美国当局最近逮捕了一名苹果前员工，当时他正准备携带与苹果自动驾驶汽车项目有关的机密信息飞往中国。

因此，组织应尽一切努力确保安全策略的执行。特别是，有必要实施特定的方法来监控用户行为并跟踪未经授权或不必要的访问尝试。这些方法应使 IT 安全专业人员能够在需要终止可疑会话时进行干预。

有人试图违反安全策略并窃取 IP 的一些迹象示例包括：

1. 活动激增。例如，如果有人复制了大量敏感数据，网络安全团队应该收到有关此事件的警报并立即进行调查
2. 营业时间以外的活动
3. VPN访问异常

第 4 步：让首席执行官参与网络安全文化的建立

为了消除流氓员工窃取知识产权和扰乱运营的风险，信息安全部门负责人应与首席执行官合作制定网络安全策略。首席执行官应该为管理团队和人力资源部门设定目标，以提高整个组织内的网络安全意识。

这个目标应该包括某些特定的任务。管理团队的作用是确保其下属遵守安全策略。人力资源部的作用是对员工进行网络安全培训，提醒他们如何处理机密数据并鼓励人们报告事件。 HR在招聘时也应该制定一套规则。这包括在工作面试时提出具体问题，以了解个人对道德的态度。建议要求员工自我证明他们已阅读并理解组织的安全政策（无论是与知识产权还是其他数据资产相关），并确保每年执行此过程。

每家公司都应该制定减轻对其知识产权的内部威胁的策略，因为每家公司都有各自的数据泄露点并面临特定的威胁参与者。将这个问题的解决方案外包出去是不可能的。公司的安全策略没有任何外部算法可以最大限度地降低这种风险。高级管理层应与网络安全经理合作，确定既保护数据和系统又符合业务流程的最有效策略。