拿单时请注意安全:别再随意拿客户信息当成功案例来作秀
未经客户同意,擅自在拿单走秀的过程中使用客户的系统或其他保密信息做演示,你干过这事没有?小心退潮时被人发现“裸泳”!
《网络安全法》从2016年11月7日公布到2017年6月1日起正式施行,网络安全问题可以说在互联网和科技圈引起了空前的关注,《网络安全法》在第三章网络运行安全部分的第21条中规定:网络运营者应当按照网络安全等级保护制度的要求,履行法定的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
除了广受关注的个人信息采集和使用(譬如出售)之外,简法帮今天给大家分享一个关于企业客户信息不当使用的案例和潜在问题,可以不夸张地说,在中国企业圈这样的案例并不罕见。
案例:网络安全公司拿单走秀,登陆客户的系统做功能演示
硅谷网络安全公司Tanium近期遭遇到了一系列困境,其中一项就是媒体披露的未经客户同意擅自在拿单走秀的过程中登陆客户的系统做功能演示。
这家网络安全公司提供的软件能够帮助客户以极快的速度进行网络映射,帮助客户在内部网络中找到需要更新防病毒软件的每台计算机,或者要求安装最新的微软Windows系统补丁。该产品的优越性在于能够快速检测和修复企业安全威胁,该技术能够在构成物联网的传统计算机基础设施和系统中广泛使用。
这家公司在2017年5月份的危机处境中仍然拿到了1亿美元的新一轮融资,此前已经获得几亿美元的投资,2016财年的收入增长超过100%,在安全和IT领域属于少见的典范公司。客户群包揽美国15家顶尖银行中的12家和十大零售商中的6家,包括众多财富100强公司以及美国的政府机构。当然,在其业务增长迅速的背后却也存在着一些过于激进甚至涉嫌违法的拿单做法。
2017年4月,华尔街日报报道了这家公司在软件产品演示期间暴露了加州一家医院网络的问题。在产品推销的视频中,这家公司的产品演示暴露了加州El Camino医院的私人网络信息,包括安全漏洞、服务器和计算机名称、可能已过期的防病毒软件版本以及一些人员信息。通常情况下,客户公司都会密切监控这些信息,因为这些信息可能会被人利用来恶意访问公司网络。
Tanium的软件会向连接到公司网络的设备发送信号,它会询问正在运行软件的名称,最后一个安全补丁的日期和其他问题,然后每个设备都对网络上的其他设备发起这种数字对话,最终结果就是迅速发现连接的设备有哪些以及哪些设备是最容易受到攻击。该公司表示可以在15秒内了解整个网络的安全状况。
这家公司在向潜在客户推销这种技术时,Tanium销售人员曾使用这家医院的内部网络进行现场演示。据媒体披露, 2010年至2015年期间,该公司CEO也在各种产品演示中使用了该医院的网络;Tanium的软件产品是由其合作伙伴之前被在安装在该医院系统中。
据媒体报道,在数以百计的现场演示中,这家医院有时被指名道姓,有时则被模糊称为某家医院;没有指明医院名称时,现场观众有时会要求该公司销售代表进行具体查询,然后查询结果就会返回医院的名称及其网络当时所包含的计算设备信息。
此外,据称该公司CEO也经常出席这样的演示活动,活动通常面向企业的首席信息安全官员和首席信息官。Tanium公司的产品演示暴露了连接到该医院网络的设备名称以及其他严密保密的信息,譬如哪些计算机没有打软件升级的补丁。
东窗事发后公司该如何应对?
媒体报道称,Tanium的现场演示通常会在开始的时候呈现免责声明:医院已经允许公司共享其IT环境,以便从创业公司获得免费服务。
然而,这家医院在4月份获悉该情况后做出了相反的公开表态:
“El Camino医院最近获悉,提供桌面管理程序的前第三方供应商Tanium在其产品推广演示中使用了医院的桌面和服务器管理信息,El Camino医院从不知道这种做法,也从未授权过Tanium在任何销售材料或演示中使用医院的资料,El Camino医院正在彻底调查此事,并且会非常认真地承担维护医院系统(安全)完整性的责任。需要着重强调的是,Tanium公司没有获取患者信息,并且根据我们迄今为止的检查,患者信息仍然安全。”
此外,产品销售演示的视频曾被发布在视频网站上。不过,媒体开始调查之后,据称视频就被删除掉了。
2017年4月19日,该公司 CEO在一封致客户的公开信中承认了错误,尽管信中没有明确提到加州这家医院的名称:
首先,我想直接面对我们被问到的问题,即我们是否将客户的环境用于产品演示。我们公司是一个内部部署的平台。除非您明确允许我们(我们绝大多数客户永远都不应该也不会允许),否则我们无法访问您本地内部安装的Tanium产品,我们也不会提出这样的访问要求,除非是为您提供帮助和支持,而且这种情况下的(获准)访问也仅限于提供帮助和支持的目的。我们确实有一些客户已经同意我们使用他们的环境进行外部演示,并为我们提供了访问权限。但从2015年以来,我们坚持要求,在客户愿意让我们演示使用其环境之前,无论他们为我们提供了什么样的访问权限,我们都以书面形式记录并列明我们可以展示哪些数据,以确保不会发生任何误解。除了已经签署了这些文件并为我们提供其Tanium平台远程访问权限的少数客户之外,我们并没有而且也不能使用Tanium展示客户的环境。
即便如此,我们对使用这个特定客户演示环境的错误承担责任。我们本应该更好地将客户的数据匿名化。在过去几年时间里,观众已经不再将演示的环境与该客户相联系,我们相信我们从来没有因为使用我们演示的数据让我们的客户面临风险。再次观看这些产品演示,使我们意识到我们本应该采取但没有实施的简单措施,让相关信息进一步模糊化和匿名化。
拿客户信息作秀的法律问题
平心而论,按照Tanium公司CEO所表述的方式展示过往客户的信息(网络环境)并没有什么法律问题,关键是公司有没有得到客户的明确许可。
在媒体披露的医院案例中,医院表示自己不知道这种使用自己网络环境信息的做法,也从未授权过Tanium公司在任何销售材料或演示中使用医院的资料。而这家公司在公开信中没有针对性地表态到底有没有拿到这家医院的授权。
具体情况目前无法知晓,但媒体报道称Tanium的软件产品是由其合作伙伴之前被安装在该医院系统中,所以很有可能的情况是合作伙伴将Tanium的软件产品装在了前者医院客户的系统中,如果医院像声明主张的那样没有给过使用授权,即便有授权也可能是从合作伙伴手中获得,或者根本没有以正式书面形式获得授权。
如果没有合法有效授权,擅自使用客户的保密资料或信息就可能违反与客户签署的协议,尤其是其中的保密义务。
譬如下文示范合同范本中约定的保密义务:
即便没有签署单独的保密协议,常见的业务及合作协议中也会包含相应的保密条款,未经授权擅自披露或非正当使用(主要是用于约定项目之外,譬如用于自己的产品演示等市场或销售活动)就会违反保密义务,面临停止侵权、赔偿损失等违约的后果。
哪怕双方没有约定任何保密义务,擅自使用客户商业秘密(如登陆客户的系统)也可能违反《反不正当竞争法》等禁止侵犯商业秘密行为的规定,面临行政处罚和受损害方的诉讼赔偿要求,严重情况甚至可能构成侵犯商业秘密罪。
最尴尬的是,擅自使用客户保密信息不仅可能导致客户的保密信息被公开,面临公开的风险(譬如被人不当利用或攻击),客户甚至可能因此因为信息安全措施不到位而面临政府处罚或用户的诉讼。
在前文案例中,医院特别强调“Tanium公司没有获取患者信息,并且……患者信息仍然安全”,其实医院最担心的就是自己信息安全措施不到位可能会面临政府处罚以及患者(客户)的起诉。
2017年6月1日起正式施行《网络安全法》也在法律上正式确立了网络安全等级保护制度,网络安全级别越高,信息安全的责任越大,尤其是在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,会被国家重点“关照”。
这就意味着,作为甲方的客户需要根据自己的情况更加关注信息安全的责任,及时采取必要的技术(网络安全)和法律措施(合同、制度等),更要提高信息安全的意识。譬如说,“大多数客户永远都不应该也不会允许”第三方访问你的系统,使用公司保密信息,从而换取更优惠甚至免费的服务。
另一方面,作为乙方的公司在拿单时要注意安全:别再随意拿客户信息当成功案例来作秀,即使迫不得已也需要经过严格的数据“脱敏”过程,最好能在合同中事先拿到客户明确具体的书面同意。否则,你就可能成为退潮之后被人发现原来是在“裸泳”的人。