夜渐渐深了,原本聚满了展销会参会人员的宾馆酒吧,只剩下了为数不多的几个人。一个衣衫不整的男人,独自喝着闷酒,酒杯马上就要见底了,这时,来了一位女士,手上提着一个沉沉的、印有本次展会标志的帆布包。她走近男人,坐在了他旁边的吧凳上,无精打采地把包放在了自己身旁的空位上。女人瞟了一眼这个孤单男人标有姓名标签的胸牌,又指着自己的胸牌,暗示他们都是这场展销会的参会者,然后问道:“嘿,你是在庆功呢,还是在借酒消愁?今年想把产品销售一空,看来还真难啊!”
其实,男人最近的销售时运一直不佳。几杯烈酒下肚之后,他并不介意告诉这位身穿职业正装的陌生人,自己已经厌倦了目前的工作。当得知女人了解一个与他背景相关的、极有可能的空缺岗位时,他立即兴奋起来,并迅速将自己调整到面试时应有的样子。为了很快给这个很可能帮助自己获得更赚钱的职位的女人留下深刻印象,他对自己当前的工作表现和之前自己作为技术人员在国家某政府实验室的工作经历夸夸其谈。过去的成就很可能被他描述得有点夸张,但女人似乎已被深深感动,还坚持说要再买几杯酒水。
故事中身穿职业正装的女人就是我,而那个男人正是我盯上的一个目标。我在远处观察了他很长时间,发现他只是一个人坐在那儿,并没有任何同事或者同伴,还喝了好多酒,已变得口无遮拦。我意识到这是和他搭讪的千载难逢的好时机。他带着浓重的口音告诉了我想知道的关于他背景的所有信息,包括一些致命信息,这些信息正好与他在国内工作过的那个高度机密的政府实验室正在进行的研究项目密切相关。我花了几杯酒水的钱,顺便提供了一点就业机会的线索,就从一个展销会参会者那儿换取了对美国政府极有价值的信息。
我们大多数人都相信自己才不会那么容易被骗。在嘲笑那个男人轻易上当之前,先进行一下换位思考吧。想象一下,你一直奔波忙碌,从展销会到客户的公司,再到公司专用会所,最后又得回到展销会。白天你得待在机场,晚上得一个人住酒店,日复一日,漂泊不定,很少见到家人朋友。在这种境况下,一位素不相识的衣冠楚楚的业界同仁想和你友好亲切地聊聊天,难道你不会欣然接受吗?这个男人肯定不是一个容易上当的人,他只是一个典型的孤身漂泊在外的商客。我敢肯定,他无论如何都不知道自己所提供的信息具有机密性或者极具价值。
如果你身处他的境地,你会认识到这是一个骗局吗?这一点我表示怀疑。如果不会的话,你如何提高个人和企业反间谍工作的意识?接着往下看!多年来中情局官员一直在和骗取情报的活动作斗争。如今,公民个人也越来越多地面临着信息被骗的威胁。本章的目的就是要告诉你在这个竞争激烈的商业环境中,你需要了解些什么来保护自己和自己的公司。
新现实催生新规则
反情报工作的关键就是要避免自己在不知情的情况下被情报分子盯上而沦为一名受害者。如果你因为你的工作没涉及什么“机密”,觉得自己可以随意地跳过本书这一章的话,我劝你再想想,因为机密情报的定义及其价值都是在不断变化的。
冷战结束后,间谍游戏的流行方式发生了很大变化。各国实施新的开放政策,敌对势力改善了彼此之间的外交关系,这些都大大降低了国家机密的重要性。然而,随着经济全球化理念的发展,技术进步使得世界顿时变得小了很多,企业商业机密的价值开始一路暴涨。冷战后全球政治经济的变化使得间谍在原有的领域里无用武之地。忽然之间,传统的政治舞台对情报人员的需求大量减少,而商界则对他们的需求大幅增加。间谍人员,这个本质上充当中间商角色的一个群体,也就欣然接受了这种转变。
然而,这些变化大大降低了间谍活动的可预测性。例如,在过去,苏联国家安全委员会很清楚他们搜寻的目标是什么,也很清楚他们得花多长时间才能彻底破解一次间谍活动。但现在,忽然之间出现了一些全新的目标。出差的商务高管开始怀疑自己不在酒店时,有人一直在他们的房间里。销售代表在高度专业化的展销会上突然变得大受欢迎,还莫名地发现自己收到了大量的社交邀请函。世界某些地区的商务旅客会惊奇地发现,深更半夜,衣着暴露的魅力女郎敲开他们酒店房间的门,却声称是怀着一种“练习英语”的强烈的愿望。那些经不住诱惑的人会经常发现第二天早上他们的钱袋变轻了,随身携带的公文包和笔记本电脑也屡屡被盗。有些中国官员接触美籍华裔工程师后,极力追问关于种族和文化忠诚等敏感信息。间谍战术就这样渗透进商业世界里,着实令许多高管措手不及。
很快,间谍活动的规则和参数便发生了根本变化。
国家机密已不再是商业间谍活动选择的目标,间谍游戏已经转向了私营企业。原因很简单,说白了就是钱。事实上,据美国联邦调查局估计,每年因商业间谍活动造成的损失高达数十亿美元。数十亿!这并不奇怪。想一想,有多少合法的——也包括非法的——从公司获得敏感数据的方法吧。下面只列举了一小部分:
电子监视
偷窃电脑
专利审查
身份盗用
装扮求职者
采访前雇员
电脑网络入侵
网络蠕虫病毒
挖走核心员工
跟踪商业特刊
制作钓鱼网站
分析公司网站流量
分析员工出行方式
栽培公司里的特工人员
没收因公务出行海外官员数据
通过《信息自由法》监管裁定信息
从咨询人员或承包商那儿获取信息
从他人公司心怀不满的员工处获取信息
在业界活动上从无防范意识的员工那儿收集信息
公共记录搜寻(一种公共情报搜索服务)
垃圾搜寻(一种实体攻击的方法,攻击者搜寻垃圾以找出可能含有密码或机密讯息的废弃文档)
逆向工程(根据已有的东西和结果,通过分析来推导出具体的实现方法)
不要以为这些极端的事例只会发生在汤姆·克兰西(Tom Clancy)的小说里。早在 2005年,美国惠普公司董事会成员在电话记录尚未获取之前便被要求去接受审查;2008年美国副总统候选人莎拉·佩林(Sarah Palin)的个人电子邮件账户遭到黑客攻击。甚至,就在我写这本书的时候,关于美国传媒大亨鲁伯特·默多克(Rupert Murdoch)持股的英国小报的窃听丑闻还在每日更新。这些都是实实在在发生的事情。
你的竞争对手会使出浑身解数来获取信息,所采用的方式或极为平常(数据挖掘)或高调轰动(敲诈勒索)。所得信息都是你不愿意提供的那些对他们而言具有竞争优势的信息。商业反间谍就是要努力识别并挫败这些破坏性的商业间谍活动。
不要从传统意义上认为你的工作没有涉及敏感信息,就跳过这一章。毫无疑问,那些和政府定有绝密合约的公司都实施了大量安全防范措施。通常这些公司会聘请内部安全专家(其中许多人以前都是美国中央情报局或美国联邦调查局官员)为接触机密信息的员工提供严格的反情报训练。但不要认为你每天处理的信息未被美国政府归类为机密信息,就觉得它对别人毫无价值。
例如,在人力资源部任职的职员能够获悉其他员工的个人信息,还会提前知道企业重要的人事变动情况;律师、会计师和财务专业人士会掌握客户的敏感信息;许多政府职员有机会获得对被监管方来说很有价值的监管信息;医务人员严格控制着个人医疗信息;软件工程师有权使用源代码;从事研发的科学家知道公司下一步将推出什么产品;行政专员知道他们老板的家庭地址、度假安排和会议日程(许多情况下,都是老板的助理参与);网络管理员能够获悉任何一家公司的所有电子数据。看门人在无其他人在场的情况下,有机会闯进室内使用电脑。这样的例子不胜枚举,窃取信息的机会更是无处不在。
你会从法律、法规、职业道德操守或道德伦理标准等角度对以上这些本不该发生的泄露信息事件表示抗议,但在抗议之前,请先花点时间来考虑一下现实吧。是的,这些事例可能是非法的、不公正的,还会对正常的活动起反作用,可以说是完全错误的,但它却实实在在发生了。内幕交易的发生;将源代码泄露给海外制造商进行盗版生产;小报杂志获取并高调发布包括布兰妮·斯皮尔斯(Britney Spears)和惠特尼·休斯顿(Whitney Houston)在内的事关名人隐私的医疗数据;电影和音乐专辑海外上映或出版的正式发布日期提前出现;员工倒卖或泄露数据,甚至不小心将带有数据的笔记本电脑遗留在了出租车后座上。这些都是现实中发生的事情。
不管你喜欢与否,窃取信息总有其广阔而强劲的市场。从事黑市数据处理的人总是世故圆滑,操控力强,他们极其擅长从同谋和不知情的人那里获取信息。
是不是觉得有些恐惧呢?传统的情报安全训练和精明的保密协议使用对保护你的敏感数据非常有用,但法律和技术防范措施能发挥的作用毕竟有限。最终而言,也没有什么方法能从根本上防范他人收集情报。从个人角度来说,最好的防范就是要增强自身敏锐的防范意识,提高识别骗局的实践能力。而增强自身的防范意识比了解其他的都显得更有效。
反情报训练
为了体会在不知不觉中收集情报是一种什么感觉,你需要在精细的战略性训练中积累更多经验。本次训练的重点将更多地放在上一章训练过的新技能上。训练看起来会略显重复,但这种不易察觉的引诱性脑力训练进行得越多,你就会越擅长识破他人对你的秘密信息的打探行为。
本次训练将包括两个部分,一部分涉及一位陌生人,另一部分涉及的是你的一位同事。你将会明白为什么后者对反情报工作更重要。
首先,你需要找一位与你素不相识的陌生人作为目标。最好是找一位自由暂时受到限制而走不开的人作为目标,在飞机上或者火车上遇到的邻座的商务旅客就是很好的人选。用你在第二章学到的引诱性谈话技巧,套出该目标未来职业计划的具体相关事项。这些具体事项是由他(她)现在所从事的职业决定的,可能是一个“跳槽”计划,也可能是一个盼望已久的晋升或退休计划,还可能是一个特定的专业素养培训计划。
包含这些内容的谈话并没有过度侵犯目标的隐私,甚至没有超过与一位商务人员进行的一般聊天范畴,所以,这可能看起来很容易。然而,有一点你必须记住:谈话必须逐层递进,多管齐下式地进行诱导。为了达到目的,首先你要和目标搭讪,建立和谐的关系;然后确定目标的职业,把谈话引向目标所工作的行业,重点谈谈目标的事业状况;最后,引出目标对未来职业计划的安排。
如此看来,与飞机上的邻座进行闲聊来获取想要的信息,还真是一件很自然的事情。然而,在这种训练中,有一个关键问题你需要弄明白,即:你要循循善诱,提问题时必须环环相扣,逻辑严密,使聊天顺利清晰。
如果你发现实现自己谈话目的的时间非常有限,却遭遇了一位爱换话题、老跑题或是一位闲聊高手,不要感到奇怪,美国中央情报局官员就经常遇到这种事情。有时候你只想聊一个简单的技术问题,可你的目标却坚持喋喋不休地谈论他与自己岳母之间的问题。那你就需要在控制谈话和让讨论顺利进行之间找到一个平衡。
接下来,到了训练的第二部分,你需要找一位同事或一位熟识的商务人员,重复上面这个训练。所选目标得是一个你非常熟悉的人,而不只是限于你认识他(她)。这次要收集的是目标未来职业生涯计划或其未来或现在正在进行的某个项目的一些具体信息。
很快,你会发现与同行和有职务往来的熟人进行交谈会更直接。毫无疑问,与他们交谈达成谈话目的速度会远远超过那些陌生人。这种顺利和自然只适用于本次训练的第二部分,因为你在和一位认识你且熟知你职业背景的人交谈,你有内在的缘由去获取一些与职业相关的信息。这与训练的第一部分有所不同,你不必花时间去建立亲近的关系,也不必采取迂回的策略,就能达到谈话的最终目的。
“那又怎么样?”你可能会对本次训练心存疑虑。不过,已有的感情基础还真能对他人产生信任和亲密关系,熟知这一点的人都会利用它来专门窃取秘密信息。我在本章开头描述的那个场景中特别提到:我手提帆布包,佩戴参会胸牌,还穿着一身职业装,就是为了用这些外在的特征即时地建立起我和目标之间的共同之处。我们参加同一个会议,表明我们是同行;也意味着,和十足的陌生人相比,我们彼此能够进行更坦诚的交流。如果我身穿旅游休闲装,在一个很偶然的地方和目标相遇,找机会和他(她)开始闲聊,要把话题转向一些职业方面的事情上就困难多了。目标就很可能对我的做法心怀疑虑,认为我另有图谋。
反情报安全提示
由于你已经有了在各种场合下积极掌控局面的经验,现在若有人试图从你那儿窃取信息,你就能更充分地意识到一些预兆。你可以用下面这些措施来进一步保护自己。
出行时,只带上你需要的有用资料。若想带一台手提电脑服务于你的旅行,那么电脑里不要携带你的个人数据、保存的密码或其他的敏感信息。你可以利用包括生物识别存取设备、移动硬盘驱动器、加密软件、数据消除程序等现有的技术来保护数据。在旅途中,你很可能成为信息窃贼瞄准的对象。所以,一定要提前做好预防安排。
对公共电子场所要保持警觉。尽量避免在网吧、宾馆的商务电脑、公共场所Wi-Fi接入点使用网络。如果你不检查你所使用网络的安全性,想让数据被盗,那你就用吧。
粉碎材料。粉碎材料是保护数据时最基本但很重要的做法。粉碎的文件对那些在垃圾箱里搜集信息的人来说没有任何价值。
留意自己在公众平台上的活动痕迹。通过搜索网络以及查询公共记录中的可用信息,对自己的身份信息进行严格的评估我最近帮一个朋友研究了他的公众活动痕迹,通过短短几分钟的搜索,我查到了他的照片,知道他担任一个体育队的教练,还知道了整个赛季的比赛时间表和比赛地点。此外,我还在一家美食网站上看到了一些帖子,在这些帖子上,他为一次即将到来的国际旅行推荐餐厅提出了一些咨询,相关日期也都能查到。更有甚者,在公开的财产记录详单上,我不仅查到了他的家庭地址,还查到了他买房时的高额花销。可想而知,在他外出时,我要是有兴致盗窃他的豪宅,一定机会无限。
