本文聚焦服务外包这一在经济社会发展中常见的业务模式,深入剖析了涉密机关、单位在服务外包过程中存在的失泄密隐患,通过具体案例揭示了疏于管理、审查不严、遭遇境外间谍情报机关攻击等问题,并给出了相应的防范建议,以保障国家秘密安全。
据国家安全部微信公众号消息,在当今经济社会飞速发展的大背景下,服务外包已逐渐成为众多单位优化资源配置、提升运营效率的关键手段。对于涉密机关、单位来说,服务外包确实带来了一定的便利,但同时也如同隐藏在暗处的“炸弹”,暗藏着失泄密的巨大隐患。因此,机关、单位必须时刻保持高度警惕,采取切实可行的有效措施加以防范。
外包泄密需警惕
——疏于管理酿大案。部分服务外包人员由于工作的特殊性,可能会长时间在单位办公,或者协助开展专项工作,这就使得他们有机会接触和知悉国家秘密。倘若机关、单位不严格落实保密管理措施,极有可能引发严重的失泄密案件。
例如,某重要涉密单位长期将办公楼物业管理外包给某物业服务公司,却并未对该公司开展必要的保密监管。该公司保洁人员段某为了满足个人私欲,主动联系境外间谍情报机关。在境外间谍情报机关的指使下,段某借从事保洁服务的机会,通过盗取、偷拍等恶劣手段,为境外间谍情报机关提供了1项机密级、2项秘密级国家秘密及其他6项情报,给国家造成了重大失泄密,严重危害了我国国家安全。
——审查不严有隐患。个别机关、单位在进行服务外包时,对承包单位的资质审查不够严格,将涉密工作外包给不具备保密资质的公司。又或者,涉密人员由于轻信他人、疏忽大意,将涉密文件资料随意提供给服务人员,由此引发的失泄密案件屡见不鲜。
比如,有关部门在工作中发现,有网民在文库类网站出售5份涉密文件。经过详细调查,原来是某公司不具备涉密档案数字化资质,通过欺骗手段骗取了多个机关单位档案管理部门的信任,从而承包了档案资料数字化业务。该公司员工蒋某利用工作便利,先后窃取、复制了档案资料中几十份涉密文件并带回家中。为了谋取私利,蒋某又将其中几份放在互联网上出售,最终导致国家秘密泄露。
——合围拉拢遭攻陷。境外间谍情报机关一直高度关注我国重点安全领域企业,他们企图通过钓鱼邮件、网络探扫等手段,持续不断地对相关企业发动攻击。并且,他们把掌握系统管理权限的运维人员作为攻击窃密的首要目标,这对我国国家安全构成了现实威胁。
就像小李,他是某邮件系统厂家运维人员,拥有远程管理账号和系统管理员账号权限,负责为客户的邮件系统提供技术支持。为了图方便,小李经常在个人电脑上记录甲方客户的账号密码和系统管理员账号密码。境外间谍情报机关利用开源情报信息锁定了小李的运维人员身份,并对他的电脑进行了网络攻击,成功窃取了其电脑中的客户账号密码信息。随后,通过网络跳板,对上千家重点要害部门邮件系统实施窃密,获取了大量重点要害部门内部邮件数据,造成了严重的现实危害。
国家安全机关提示
服务外包中的失泄密隐患绝不能被忽视,涉密机关、单位必须时刻保持警惕,加强管理和防范,全力确保国家秘密安全。
——夯实责任防风险。涉密机关、单位应切实夯实保密管理主体责任,明确“发包”部门的监管责任。在签署外包协议时,要在外包协议中清晰明确自身的保密监管权力和承包方的保密管理义务。同时,要从严审查承包单位的资质条件,特别是在购买服务涉及国家秘密的情况下,一定要把好资质关口,签订保密协议,并提出明确的保密要求。
——强化监督堵漏洞。涉密机关、单位应与承包方共同建立健全各项规章制度和安全操作规范,并采取切实有效的措施确保这些制度和规范能够落实到位。要积极构建人防、物防、技防“三位一体”的安全防护体系,通过多种举措筑牢安全保密防线。此外,还要对承包单位提供服务的过程、保密制度的执行情况、服务人员的保密行为等进行全面的监督审计,定期排查问题隐患,及时防范出现偏差和风险。
——加强教育保安全。涉密机关、单位应严格落实上岗审查要求,加强对服务外包人员的背景审查,确保他们具备相应的专业技能和从业资格。同时,要关注外包服务公司对员工的管理情况,定期对外包服务人员开展保密教育培训,提出具体的保密要求,切实提升服务人员的保密意识和防泄密能力,共同织密织牢安全保密防护网。
本文围绕涉密机关、单位服务外包存在的失泄密隐患展开,通过具体案例阐述了疏于管理、审查不严、受境外攻击等问题,同时国家安全机关给出了夯实责任、强化监督、加强教育等防范建议,强调涉密机关、单位需重视服务外包保密工作,保障国家秘密安全。
