在社交网站、博客和推特上活动时,也要保持警觉。这些地方可能是你和亲朋好友保持良好关系的地方,但在使用它们时,你应该想一想是否会有人怀着不良的动机来看你发表的帖子。在注册账户资料时,无论你多么注重安全设置,也一定要记住:建立社交网络工具是为了共享数据,而不是保护数据。
不要被某种亲密感或某些专业资质提供的安全错觉所蒙蔽。工作室中坐在你相邻隔间的同事,闲话突然比平时多了好多,可能是因为他正在和你竞争某个职位,这正如在展销会后你遇到的坐在你旁边的那个人一样——看上去很友好,接二连三问的问题却是别有用心。
要相信你的直觉。如果你的“反情报感”告诉你有地方不对劲,那就要立即行动。可以转移话题来分散谈话伙伴的注意力,有必要的话,离开谈话的房间。如果你的谈话伙伴坚持用连珠炮似的提问来刁难你,他(她)就是对你粗鲁无礼、无视你的存在,或是执意要从你那儿得到信息。在这种情况下,你完全有理由结束这个谈话。
面试时,要坚定地把握好界限。在去一家以前的竞争对手公司求职面试时,向面试官透露一些信息,证明你拥有丰富的知识,这看起来似乎很诱人。但一位信誉良好的面试官,了解你本人的兴趣应该远远大于你以前的雇主。
公务在身,宴会放后。在疲惫不堪的红眼航班飞行中,或是在你的生物钟不适应多时区时间变化时,使用酒精和睡眠辅助药帮你临时打打盹,这看起来似乎很奏效。不过,你要注意,酒精可能成为间谍最好的助手。我经常不停地用酒水来灌醉我的目标,从而影响他们的判断力,促使他们讲话口无遮拦。可能你会认为只要你不喝醉,保持大脑清醒,就能控制好自己。但请相信我,只要你稍微受到一点酒精的影响,你就会成为别人的目标。
在这个信息极具价值的世界里,一定要对信息保持警惕。然而,我要以冒着出卖自己的风险提醒你,不要对保护信息过于偏执。我认识许多美国中央情报局官员,他们都太过于保护自己的秘密身份,甚至连一些无关紧要的个人信息都不愿向别人透露。由于他们这样过于神秘,不但使人们和他们进行正常的谈话变得极为困难,还让他们自己变得格外可疑。
此外,在现实中,商业反间谍一般更多涉及的是企业组织而非个人。除企业高管人员外,企业极其个别的人员也会因为除亲密关系和个人疏忽之外的原因被间谍分子瞄上(换句话说,他们是在错误的地点和错误的时间被瞄上的)。除非你身居特别敏感的职位或你有特权访问严密归类的数据,否则,信息窃贼一般会认为你和普通同事没什么区别(就像当初认为你与众不同一样!),只是把你当作他们获取数据的不同来源之一。所以,即使你只是拥有基本的防备措施和警惕性的感知能力,你也可以大大减少被骗的机会。这就像一个小偷选择目标时会剔除有狗看门的家庭,而去偷隔壁防备性差的家庭一样,数据窃贼也会选择最容易的目标去窃取信息。
如此看来,无论是应对有组织的商业间谍活动带来的威胁,还是应对一位试图破坏你晋升机会的同事,良好的警觉感和细微的观察能力对任何人来说都是有益的。不管你是乘坐头等舱飞往上海的人,还是坐地铁往返于市郊的人,商业反间谍基本原理都是你极具价值的工具。
有组织的反间谍活动
就反间谍工作而言,有组织的反间谍活动要比个人反间谍活动运作起来困难得多。这是由多种原因造成的。
首先,有组织的反间谍活动过分强调安全性和信息分类保密,结果往往会事与愿违,甚至是有害无益的。而个人反间谍活动,即使过于诡秘,也只会让人感觉是某个人过于冷淡或对他人不友好。倘若一个组织过于神秘的话,那它一定会败露。想象一下,一家公司高层管理团队被禁止共享资料,甚至彼此之间也不能共享资料,那将是什么状况?的确,这样做会确保他们信息的安全性,但也会严重削弱他们做出精明决策的能力。
由组织安全的定义可知,这种安全要求限制了沟通和协作。强行执行安全决议也有利有弊。但不管多么敏感的行业,要充分利用智力资本,最大限度地减少裁员,确保每个人都能得到必需的信息去完成自己的工作,保持一定程度的透明度和组织内部沟通是非常必要的。但要在沟通和确保安全上寻求一个平衡却很困难。美国中央情报局为了满足既分享信息又保护信息的要求,一直在不断纠结。多年来情报分析专家和情报收集者一直在反复争论,前者要使用数据得出完整的情报,而后者因自己必须承担偶然的信息泄露所带来的严重后果而有所顾忌。双方至今仍未解决好这个问题。但中情局官员们已经习惯了面临既保护秘密又分享信息所带来的困难,也适应了分享信息和泄密之间这个始终变化但界限不明的灰色地带。
真正的反间谍活动变化性极强,这也增加了有组织的反间谍活动的难度。这种变化性取决于多个要素,包括反间谍活动所涉及的行业、产品、你的竞争绝对优势、关键技能、相对优势和地理位置,甚至还有经济运行状况。然而,无论你是一个人穿着睡衣居家创业,还是在业务遍布全球的跨国公司任职,商业反间谍原理对你都有实际用处。如果你有一个竞争对手,不管它是一个同事,还是一家公司,你都有充分的理由去保障你的竞争优势。
大多数企业都陷入一个误区,认为有了适当的电脑体检和信息技术安全设置就足以保护自己的业务免受商业间谍活动或其他形式的破坏。但是,如果你仅仅依靠门锁和防火墙来保护信息安全,任何一个有钥匙和密码的人仍然可以获取你的信息。你的事业也将只能像你的大多数雇员一样停滞不前,他们或是道德欠缺,或是愁眉苦脸,或是邋遢凌乱,或是债台高筑(这里也是在数落你的窘态,如果有可能的话)。下面以一位多年来从他人那儿窃取机密信息的人为例,揭示反间谍活动在保障信息安全性和反间谍计划中忽视人性的弱点,最终导致计划彻底失败的道理,希望你在反间谍活动中引以为戒。
在长达数十年的时间里,美国中央情报局都相信自己运作着一个蓬勃发展的古巴情报收集项目。在很多情况下,心怀不满的古巴官员会走进美国驻古巴大使馆,自愿为美国效劳,并贡献他们所知的情报,这些官员也成了美国中情局运作古巴情报收集项目的最大资产。他们声称自己由于仕途受挫或受到菲德尔·卡斯特罗(Fidel Castro)政权的迫害,而转向中情局,并愿意提供有关古巴的详细情报,这些情报都可以通过古巴其他投奔过来的、互不关联的官员提交的报告得到印证。这些印证,再加上大多数古巴官员都通过了测谎实验这一事实,都有力地证明了他们是在真心实意地为美国做间谍活动。由于古巴官员提供的情报在美国外交政策和军事决策制定中发挥着至关重要的作用,情报购买者和政策制定者迫切需要更多的情报细节。久而久之,古巴官员也被委派收集越来越敏感的情报,还被训练通过秘密通讯手段进行交流和活动。
接着,就发生了美国中情局历史上最糟糕的间谍事件。二十世纪八十年代末,几名古巴高层情报官员背叛美国,中情局在古巴暗中从事的情报活动计划惨遭曝光。据这些“真正”的背叛者透露,如果不是全部,那么也有大部分投奔中情局的古巴官员实际上都是双重间谍。他们不但一直在给中情局提供假情报,还把中情局官员给他们部署的敏感任务和他们接受的培训都报告给了古巴政府。结果,古巴情报官员明确掌握了美国的所有情报。更糟糕的是,古巴获悉了美国中情局所使用的方法和技术,并且弄清楚了许多中情局卧底人员的身份。在中情局的古巴官员的身份被揭露后,古巴时任领导人卡斯特罗还得意洋洋地公开谈论古巴长期对中情局的间谍活动,古巴电视台更播出了令中情局官员们备感羞辱的镜头——镜头里播出了秘密录制的活动画面,中情局官员们却一直以为这些活动极为保密。
古巴双重间谍案的惨败是美国中情局历史上极为尴尬的一个章节,中情局也花费了很大精力想弄明白到底是哪里出了问题。事后报告和相关调查不计其数,几乎严厉责问了与此相关的每个人。从那些未能抓住在测谎考试时实施欺骗手段蒙混过关的古巴官员的测谎主考人员,到未能发现项目一举一动被跟踪监视的情报负责官员,再到尽管面对越来越大的误差和警告标志,还不断向中情局施加积极收集信息压力的决策者,无不受到相关的责任追究。问题的根源在于古巴的双重间谍既能够规避技术性的安全措施(接受的大量训练使得他们能够通过测谎考试),又能避开实际监视(针对古巴情报部门的监测后来被证明都是无效的)。
那么,对私人企业构成类似上面这样的威胁,到底有多难呢?真可惜,构成这种威胁一点也不难。请看下面的这个类似事例:
南森(Nathan)是一家中等规模建筑公司的创始人,他自认为自己不但安全意识强,还是个技术高手。在职业生涯早期,在工作场所连续失窃了几台设备之后,他变得特别注意维护办公室和工作地点的安全,并要求雇员每个工作日结束后都进行一系列的安全检查,确保没有任何漏洞。此外,他还聘请了一位IT顾问来定期更新公司的电脑安全软件。雇员们并不知道他会定期监测他们的网络使用情况,也不知道他会阅读他们的电子邮件。但他认为了解雇员们在工作时间内做什么是他的管理特权。南森还觉得自己看人看得特别准。多年来,尽管他公司的人员大增,但他仍然坚持亲自面试每位求职者。很多时候,他拒绝一位求职者仅仅因为他的直觉告诉他该求职者不诚实。
在市场不景气的情况下,南森的业务运转得非常好。但在2008年,他开始在竞标中频频失利,并在年中被迫裁掉了几个项目经理和他的办公室经理。出于一种公平性原则,他实施了“后进先出”的政策,首先裁减了那些资历最浅的员工。裁员后不久,他开始时来运转,连续在几个大项目的竞标中取胜。好转的光景令他满怀欣喜,对公司的未来更是充满信心。于是,他决心帮助近期下岗的公司职员,让他们重返岗位。在公司业绩不稳、盈利下滑的日子里,南森忙得不知所措,也不知道把自己的联络簿放在了哪里。他在网上做了一个快速的搜索,查到了在公司任职还不到一年就辞职离去的前任办公室经理的联系方式。
出乎意料的是,他在网上查到的信息远远不只是那个前任办公室经理的联系方式,他惊恐地发现,一直以来,自己认为的那个勤勉高效的公司助手,原来是自己最大劲敌的儿媳,而对手爱耍手段的传闻他早已知晓。盯着这个前任办公室经理近期发布的结婚启事,凝视着结婚启事上她和她公公微笑的表情,南森意识到公司之前的低迷期远远不只是时运不佳造成的。难怪在与照片中这个洋洋得意的男人共同竞标中,自己会屡屡失败,负责公司所有投标编制并最终完成密封拍卖的,正是这个男人的儿媳。南森信任的助手一直在向其公公的公司泄密,使得她公公能够以低于南森公司的价格赢得竞标。知道这一切实在令人痛苦不堪。雪上加霜的是,在这个办公室经理上班的最后一天,南森多年积累的行业人脉关系联络簿竟然不翼而飞。
极其沮丧地和自己的律师进行了一番讨论后,南森决定不再追究此事。但这件事极大地伤害了他的良心底线和自尊,他内心常常会觉得竞争对手一直在嘲笑他竟是一个傻瓜。他知道,遭受这样一个重创,即使经济上能够振兴,但他内心永远也不再相信自己看人看得很准。
在上面这两个事例中,“双重间谍们”能够对他们的目标造成巨大损失,在很大程度上是因为这两个组织机构都过度依赖各自并不完善的筛选体系。一旦间谍们通过了初步筛选,便取得了目标的信任,他们就很容易在内部给目标造成严重破坏。
还有一点值得注意:在这两个事例中,被盯上的目标组织都过于关注技术和实体安全,而间谍们对目标机构造成破坏的方法却都相对比较简单。在第一个事例中,许多古巴双重间谍分子直接走进美国大使馆,并自愿提供服务。在第二个事例中,行为人很容易就谋到了一份初级职位的工作,这份工作能够直接将原始数据汇报给竞争对手。如果你能把情报人员安放在竞争对手身边,那又何必采用入侵他人电脑、窃听电话,或冒着侵犯他人风险的方法去获取情报信息呢?然而,许多公司在维护电脑和实体这些活动上花费巨大,却一直在忽视来自组织内部的基本安全风险。
在这两个事例当中,筛选程序都未起到应有的保护作用,所以古巴双重间谍们能够蒙蔽测谎官员,并能为彼此的信息相互印证;那个办公室经理也表现得值得信赖,勤勉能干。尽管有效的筛选程序至关重要,但它们仅仅只是职业反间谍实践活动的一小部分,下一章会详细讨论这部分。事实上,要从根本上保护公司不受商业间谍活动或某些蓄意行为的破坏,你必须假想你的公司内部已经潜伏了间谍分子。
假想内部存在信息安全威胁,这种想法听起来可能有些偏执和极端,在那些对雇员和同事特别信任和重视的人看来,尤为如此。如果你开始视你的同事为潜在的间谍,从长远来看,你身边不大可能会有一个忠诚的团队。因此,对于你来说,非常重要的一点就是:不要把这种内部的假想当作一种思维定势,而要在反间谍实践活动中把它当作一种实际的假设去鞭策你加强信息安全防范。
下面教你如何积极而有建设性地假设内部存在信息安全威胁:
第一,要确保自己的人脉根深叶茂。许多企业高管在职场的晋升之路上,平步青云,一往无前。毕竟,人人都想事业有成。但如果你的人脉网络都是由与你同等级别以上的人员组成,那你就失去了一个重要的信息源。你觉得对美国中情局来说,招聘一位来自富裕家庭的高级外交官困难,还是招聘一位在使馆邮件收发室任职十年也未晋升,还在为赡养体弱多病的父母、抚养三个年幼之子努力打拼的邮务员困难?与外交官相比,邮务员有更明显的劣势,但他与外交官一样能够接触到同样敏感的文件资料,所以中情局会将他作为招聘的主要目标。
