面只列举了一小部分:
电子监视
偷窃电脑
专利审查
身份盗用
装扮求职者
采访前雇员
电脑网络入侵
网络蠕虫病毒
挖走核心员工
跟踪商业特刊
制作钓鱼网站
分析公司网站流量
分析员工出行方式
栽培公司里的特工人员
没收因公务出行海外官员数据
通过《信息自由法》监管裁定信息
从咨询人员或承包商那儿获取信息
从他人公司心怀不满的员工处获取信息
在业界活动上从无防范意识的员工那儿收集信息
公共记录搜寻(一种公共情报搜索服务)
垃圾搜寻(一种实体攻击的方法,攻击者搜寻垃圾以找出可能含有密码或机密讯息的废弃文档)
逆向工程(根据已有的东西和结果,通过分析来推导出具体的实现方法)
不要以为这些极端的事例只会发生在汤姆·克兰西(Tom Clancy)的小说里。早在 2005年,美国惠普公司董事会成员在电话记录尚未获取之前便被要求去接受审查;2008年美国副总统候选人莎拉·佩林(Sarah Palin)的个人电子邮件账户遭到黑客攻击。甚至,就在我写这本书的时候,关于美国传媒大亨鲁伯特·默多克(Rupert Murdoch)持股的英国小报的窃听丑闻还在每日更新。这些都是实实在在发生的事情。
你的竞争对手会使出浑身解数来获取信息,所采用的方式或极为平常(数据挖掘)或高调轰动(敲诈勒索)。所得信息都是你不愿意提供的那些对他们而言具有竞争优势的信息。商业反间谍就是要努力识别并挫败这些破坏性的商业间谍活动。
不要从传统意义上认为你的工作没有涉及敏感信息,就跳过这一章。毫无疑问,那些和政府定有绝密合约的公司都实施了大量安全防范措施。通常这些公司会聘请内部安全专家(其中许多人以前都是美国中央情报局或美国联邦调查局官员)为接触机密信息的员工提供严格的反情报训练。但不要认为你每天处理的信息未被美国政府归类为机密信息,就觉得它对别人毫无价值。
例如,在人力资源部任职的职员能够获悉其他员工的个人信息,还会提前知道企业重要的人事变动情况;律师、会计师和财务专业人士会掌握客户的敏感信息;许多政府职员有机会获得对被监管方来说很有价值的监管信息;医务人员严格控制着个人医疗信息;软件工程师有权使用源代码;从事研发的科学家知道公司下一步将推出什么产品;行政专员知道他们老板的家庭地址、度假安排和会议日程(许多情况下,都是老板的助理参与);网络管理员能够获悉任何一家公司的所有电子数据。看门人在无其他人在场的情况下,有机会闯进室内使用电脑。这样的例子不胜枚举,窃取信息的机会更是无处不在。
你会从法律、法规、职业道德操守或道德伦理标准等角度对以上这些本不该发生的泄露信息事件表示抗议,但在抗议之前,请先花点时间来考虑一下现实吧。是的,这些事例可能是非法的、不公正的,还会对正常的活动起反作用,可以说是完全错误的,但它却实实在在发生了。内幕交易的发生;将源代码泄露给海外制造商进行盗版生产;小报杂志获取并高调发布包括布兰妮·斯皮尔斯(Britney Spears)和惠特尼·休斯顿(Whitney Houston)在内的事关名人隐私的医疗数据;电影和音乐专辑海外上映或出版的正式发布日期提前出现;员工倒卖或泄露数据,甚至不小心将带有数据的笔记本电脑遗留在了出租车后座上。这些都是现实中发生的事情。
不管你喜欢与否,窃取信息总有其广阔而强劲的市场。从事黑市数据处理的人总是世故圆滑,操控力强,他们极其擅长从同谋和不知情的人那里获取信息。
是不是觉得有些恐惧呢?传统的情报安全训练和精明的保密协议使用对保护你的敏感数据非常有用,但法律和技术防范措施能发挥的作用毕竟有限。最终而言,也没有什么方法能从根本上防范他人收集情报。从个人角度来说,最好的防范就是要增强自身敏锐的防范意识,提高识别骗局的实践能力。而增强自身的防范意识比了解其他的都显得更有效。
反情报训练
为了体会在不知不觉中收集情报是一种什么感觉,你需要在精细的战略性训练中积累更多经验。本次训练的重点将更多地放在上一章训练过的新技能上。训练看起来会略显重复,但这种不易察觉的引诱性脑力训练进行得越多,你就会越擅长识破他人对你的秘密信息的打探行为。
本次训练将包括两个部分,一部分涉及一位陌生人,另一部分涉及的是你的一位同事。你将会明白为什么后者对反情报工作更重要。
首先,你需要找一位与你素不相识的陌生人