1. 创业头条
  2. 创业故事
  3. 正文

拿单时请注意安全:别再随意拿客户信息当成功案例来作秀

 2017-06-13 13:51  来源:用户投稿  我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

未经客户同意,擅自在拿单走秀的过程中使用客户的系统或其他保密信息做演示,你干过这事没有?小心退潮时被人发现“裸泳”!

《网络安全法》从2016年11月7日公布到2017年6月1日起正式施行,网络安全问题可以说在互联网和科技圈引起了空前的关注,《网络安全法》在第三章网络运行安全部分的第21条中规定:网络运营者应当按照网络安全等级保护制度的要求,履行法定的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

除了广受关注的个人信息采集和使用(譬如出售)之外,简法帮今天给大家分享一个关于企业客户信息不当使用的案例和潜在问题,可以不夸张地说,在中国企业圈这样的案例并不罕见。

案例:网络安全公司拿单走秀,登陆客户的系统做功能演示

硅谷网络安全公司Tanium近期遭遇到了一系列困境,其中一项就是媒体披露的未经客户同意擅自在拿单走秀的过程中登陆客户的系统做功能演示。

这家网络安全公司提供的软件能够帮助客户以极快的速度进行网络映射,帮助客户在内部网络中找到需要更新防病毒软件的每台计算机,或者要求安装最新的微软Windows系统补丁。该产品的优越性在于能够快速检测和修复企业安全威胁,该技术能够在构成物联网的传统计算机基础设施和系统中广泛使用。

这家公司在2017年5月份的危机处境中仍然拿到了1亿美元的新一轮融资,此前已经获得几亿美元的投资,2016财年的收入增长超过100%,在安全和IT领域属于少见的典范公司。客户群包揽美国15家顶尖银行中的12家和十大零售商中的6家,包括众多财富100强公司以及美国的政府机构。当然,在其业务增长迅速的背后却也存在着一些过于激进甚至涉嫌违法的拿单做法。

2017年4月,华尔街日报报道了这家公司在软件产品演示期间暴露了加州一家医院网络的问题。在产品推销的视频中,这家公司的产品演示暴露了加州El Camino医院的私人网络信息,包括安全漏洞、服务器和计算机名称、可能已过期的防病毒软件版本以及一些人员信息。通常情况下,客户公司都会密切监控这些信息,因为这些信息可能会被人利用来恶意访问公司网络。

Tanium的软件会向连接到公司网络的设备发送信号,它会询问正在运行软件的名称,最后一个安全补丁的日期和其他问题,然后每个设备都对网络上的其他设备发起这种数字对话,最终结果就是迅速发现连接的设备有哪些以及哪些设备是最容易受到攻击。该公司表示可以在15秒内了解整个网络的安全状况。

这家公司在向潜在客户推销这种技术时,Tanium销售人员曾使用这家医院的内部网络进行现场演示。据媒体披露, 2010年至2015年期间,该公司CEO也在各种产品演示中使用了该医院的网络;Tanium的软件产品是由其合作伙伴之前被在安装在该医院系统中。

据媒体报道,在数以百计的现场演示中,这家医院有时被指名道姓,有时则被模糊称为某家医院;没有指明医院名称时,现场观众有时会要求该公司销售代表进行具体查询,然后查询结果就会返回医院的名称及其网络当时所包含的计算设备信息。

此外,据称该公司CEO也经常出席这样的演示活动,活动通常面向企业的首席信息安全官员和首席信息官。Tanium公司的产品演示暴露了连接到该医院网络的设备名称以及其他严密保密的信息,譬如哪些计算机没有打软件升级的补丁。

东窗事发后公司该如何应对?

媒体报道称,Tanium的现场演示通常会在开始的时候呈现免责声明:医院已经允许公司共享其IT环境,以便从创业公司获得免费服务。

然而,这家医院在4月份获悉该情况后做出了相反的公开表态:

“El Camino医院最近获悉,提供桌面管理程序的前第三方供应商Tanium在其产品推广演示中使用了医院的桌面和服务器管理信息,El Camino医院从不知道这种做法,也从未授权过Tanium在任何销售材料或演示中使用医院的资料,El Camino医院正在彻底调查此事,并且会非常认真地承担维护医院系统(安全)完整性的责任。需要着重强调的是,Tanium公司没有获取患者信息,并且根据我们迄今为止的检查,患者信息仍然安全。”

此外,产品销售演示的视频曾被发布在视频网站上。不过,媒体开始调查之后,据称视频就被删除掉了。

2017年4月19日,该公司 CEO在一封致客户的公开信中承认了错误,尽管信中没有明确提到加州这家医院的名称:

首先,我想直接面对我们被问到的问题,即我们是否将客户的环境用于产品演示。我们公司是一个内部部署的平台。除非您明确允许我们(我们绝大多数客户永远都不应该也不会允许),否则我们无法访问您本地内部安装的Tanium产品,我们也不会提出这样的访问要求,除非是为您提供帮助和支持,而且这种情况下的(获准)访问也仅限于提供帮助和支持的目的。我们确实有一些客户已经同意我们使用他们的环境进行外部演示,并为我们提供了访问权限。但从2015年以来,我们坚持要求,在客户愿意让我们演示使用其环境之前,无论他们为我们提供了什么样的访问权限,我们都以书面形式记录并列明我们可以展示哪些数据,以确保不会发生任何误解。除了已经签署了这些文件并为我们提供其Tanium平台远程访问权限的少数客户之外,我们并没有而且也不能使用Tanium展示客户的环境。

即便如此,我们对使用这个特定客户演示环境的错误承担责任。我们本应该更好地将客户的数据匿名化。在过去几年时间里,观众已经不再将演示的环境与该客户相联系,我们相信我们从来没有因为使用我们演示的数据让我们的客户面临风险。再次观看这些产品演示,使我们意识到我们本应该采取但没有实施的简单措施,让相关信息进一步模糊化和匿名化。

拿客户信息作秀的法律问题

平心而论,按照Tanium公司CEO所表述的方式展示过往客户的信息(网络环境)并没有什么法律问题,关键是公司有没有得到客户的明确许可。

在媒体披露的医院案例中,医院表示自己不知道这种使用自己网络环境信息的做法,也从未授权过Tanium公司在任何销售材料或演示中使用医院的资料。而这家公司在公开信中没有针对性地表态到底有没有拿到这家医院的授权。

具体情况目前无法知晓,但媒体报道称Tanium的软件产品是由其合作伙伴之前被安装在该医院系统中,所以很有可能的情况是合作伙伴将Tanium的软件产品装在了前者医院客户的系统中,如果医院像声明主张的那样没有给过使用授权,即便有授权也可能是从合作伙伴手中获得,或者根本没有以正式书面形式获得授权。

如果没有合法有效授权,擅自使用客户的保密资料或信息就可能违反与客户签署的协议,尤其是其中的保密义务。

譬如下文示范合同范本中约定的保密义务:

即便没有签署单独的保密协议,常见的业务及合作协议中也会包含相应的保密条款,未经授权擅自披露或非正当使用(主要是用于约定项目之外,譬如用于自己的产品演示等市场或销售活动)就会违反保密义务,面临停止侵权、赔偿损失等违约的后果。

哪怕双方没有约定任何保密义务,擅自使用客户商业秘密(如登陆客户的系统)也可能违反《反不正当竞争法》等禁止侵犯商业秘密行为的规定,面临行政处罚和受损害方的诉讼赔偿要求,严重情况甚至可能构成侵犯商业秘密罪。

最尴尬的是,擅自使用客户保密信息不仅可能导致客户的保密信息被公开,面临公开的风险(譬如被人不当利用或攻击),客户甚至可能因此因为信息安全措施不到位而面临政府处罚或用户的诉讼。

在前文案例中,医院特别强调“Tanium公司没有获取患者信息,并且……患者信息仍然安全”,其实医院最担心的就是自己信息安全措施不到位可能会面临政府处罚以及患者(客户)的*。

2017年6月1日起正式施行《网络安全法》也在法律上正式确立了网络安全等级保护制度,网络安全级别越高,信息安全的责任越大,尤其是在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,会被国家重点“关照”。

这就意味着,作为甲方的客户需要根据自己的情况更加关注信息安全的责任,及时采取必要的技术(网络安全)和法律措施(合同、制度等),更要提高信息安全的意识。譬如说,“大多数客户永远都不应该也不会允许”第三方访问你的系统,使用公司保密信息,从而换取更优惠甚至免费的服务。

另一方面,作为乙方的公司在拿单时要注意安全:别再随意拿客户信息当成功案例来作秀,即使迫不得已也需要经过严格的数据“脱敏”过程,最好能在合同中事先拿到客户明确具体的书面同意。否则,你就可能成为退潮之后被人发现原来是在“裸泳”的人。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
创业经验

相关文章

  • 来学吧 | 薛利华:要想获得成功,取决于你有没有骑上好马

    【编者注】薛利华老师,来学吧创始人、乐咖功场创始人、乐产功场®首席讲师、乐品功场®首席教练。他是OOLC®理论的先驱、DH2W®模型的发现者、ODIT®(成果驱动创新)思维的始创者、CPST®(创造性问题解决)思维的推动者。

    标签:
    创业经验
  • 创业一般流程介绍 创业需要做哪些准备?

    当今社会,阶级固化越来越严重。高层享受优质的教育生活资源,整体地位稳定,低层享受不到这些优质资源。因此,想要反击成功,途径越来越少,创业几乎是许多屌丝反击的唯一途径。但创业是九死一生的事。如果你在创业前没有做好充分的准备,你的创业之路会更加困难。必须注意以下几点。

    标签:
    创业经验
  • 关于创业 我想和你分享这些建议

    创业之路注定不会一帆风顺。马云有一句名言:今天很残酷,明天更残酷,后天很好,但绝大多数人死于明晚,只有那些真正的英雄才能看到后天的太阳。

    标签:
    创业经验
  • 分享给创业者们 创业应该注意哪些原则?

    越来越多的人选择离开舒适区和创业。创业是一件具有挑战性的事情,高风险和高回报并存,离开意味着决心。离职创业该怎么办?

  • 创业需要用什么思维?推荐这三个给你

    每个人都需要好的想法来武装自己的头脑,拓宽我们的高度,升华我们的思维,让我们的思维足够理性,用科学的方法优化我们脑海中一些不完整的思维。我们在创业的过程中也是如此。在这个过程中,我们可能会遇到各种棘手的问题需要解决。在创业方向的选择、创业团队的建设、时机的把握、投资者的寻找等方面,我们都需要优化自己

    标签:
    创业经验
  • 华为宁可赔掉10个亿,也要辞退这7000名老员工

    任正非曾说:华为宁可赔掉10个亿,也要辞退这7000名老员工,而且年龄大多在34岁以上。到底怎么回事?2019年,华为7000多名工作满8年的老员工,相继向华为公司提交请辞自愿离职,辞职后的老员工需要重新竞聘才能上岗。任正非之所以如此大费周章,原因其实很简单就是:狼性精神不能灭!

    标签:
    华为
  • 创业35年,黄光裕依然是他

    黄光裕也在进化。除了高举高打的早年风格之外,他似乎也变得更具策略性。例如,他开始与先前的竞争对手走到一起,甚至包括零售后起新秀,他试图以成本更低、效率更高的方式为国美提速。

    标签:
    黄光裕
  • 联拓宝实力服务商曹金龙,如何做到日激活266台设备

    联拓宝是一款专为支付人打造的支付管理平台,随着平台的发展,涌现出一大批优秀的合作伙伴,为此我们专门推出“实力派”频道,为你介绍成功合作伙伴的心路历程,他们曾经也是普通人,结缘支付,通过一些思路和方法闯出了自己的一片天地。相信你能从他们的故事中受益。

    标签:
    移动支付
  • 上市连续12季高增长的秘密|多肽链对话1药网于刚

    国内增速常年维持在100%左右的互联网企业很少,而在这其中,能不囿于巨头围堵之困境、靠独立新打法而实现连续高增长的互联网医药健康企业,更是少之又少。然而,不走寻常路的1药网(Nasdaq:YI)做到了。

    标签:
    互联网医疗

编辑推荐