以下是现场速记。
乐普生物科技股份有限公司 信息技术部 高级总监 毛磊
毛磊:非常感谢我们主办方包括范总的邀请,能有这么一个机会来向大家学习以及做一些心得的分享与交流,非常感谢!
时间已经到11点半了,大家已经听了一个上午,也比较累了,但是我发现在座的还是座位非常的满。大家都非常的喜欢学习,这个我觉得就非常好,我也很喜欢学习。我也想把我这些在工作跟实践中学到的东西跟大家做一些分享。
对于药企来说我可能是个新兵,我最初是在电子设备制造业做的时间比较久,后来又去了服务行业,在一个公关跟广告行业里头中国NO.1企业做IT负责人,后来又回归到制造业,回到了传统,因为制造业还是我们强国的根本。
稍微介绍一下我现在所在的公司,乐普生物科技股份有限公司是一家制药企业,是以自己的开发、研发去针对肿瘤治疗的企业,是挺新的企业,18年才成立。到今天为止我们已经实现了公司的上市以及产品的上市,我们公司的使命始终是以通过医药的创新,提高患者的生存质量,这是我们的使命。
公司因为是一个创新型的公司,所以基于三个大的基础平台:包括之前的单抗,现在比较注重的是ADC还有一款是针对于肿瘤的溶瘤病毒,已经上市的产品是单抗部分,去年上市了,有两种适应症是它针对的对象。
因为我们是做IT的,我们来交流我们自己的核心内容。刚才开篇的时候咱们雷博士提到了未来的数据也会成为公司的战略资源,这个发展趋势已经得到了越来越多的人以及企业的认同。
数据是资源,这个大家毫无疑问的。但是现在它给坠上了战略两个字,是它的地位和它对公司的价值产生的变化。它在公司里头有没有真正成为战略级的资源?这个可能每个企业还在不同的理解跟不同的发展阶段。
对于一个药企尤其是创新型的药企来说,确实数据是蛮致命的。因为我们可能做了无数次的实验,花了很多、很多的投入,时间与金钱,最终得到的可能也就是很核心的一点-数据。这些数据,如果说有遗失或者被窃取,对我们公司是相对致命的打击。
保护好数据,我们现在面临的挑战确实越来越严峻了,大家会列举的很多了。有的是被动型的,别人要来攻击,窃取你,甚至我们还发现一个公司上市之前跟上市之后,由于你的关注度不同,你受到了攻击的程度有可能是十倍级的,上市之前你可能是个小公司,大家不太会关注到你。一旦你成为公开市场的公司,你就会被关注,你受到的攻击会成倍甚至成十倍的增长。
最近几年勒索病毒很厉害,它不仅仅是搞破坏,以前更多的病毒是搞破坏,现在不是了。人家是有非常明确的经济利益的诉求之下,一批很专业的人士来攻击我们。
相比较而言我们的专业水平跟他们比还是有弱势点的,因为大家跟我一样日常的工作有大量的是在满足各个部门的诉求,真正能把时间跟资源投大安全上的其实蛮少的。人家是专门做这个行业,专门以此为利益诉求的,所以一个非专业的跟一个专业的在对抗的过程当中,我们的挑战是非常大的。
老板也知道,安全重要。但是老板常问的是你的投入和你的产出。我们始终是在一个有限的资源,包括时间包括人力包括我们自己的关注度,在一个非常有限资源的情况下,怎么去应对?并且我们也不敢跟老板夸海口说投了这个钱安全就解决了,我相信我们在座的也很难回答这个问题。
第二个是这个行业的变动带来的人员频繁变动。
生物制药这几年还是蛮火的,所以人员在行业里头的流动是蛮频繁的。因为火嘛,不停的有新的公司不停的有不同的行业的人涌进来,所以人员变化的频繁会带来的是知识产权的泄露的风险会很大。大家也都是看中的是在公司的经验。
往前三年疫情,疫情的影响对大家来说,可能是工作的不方便。对IT来说,逼着我们有更多的要把开放到互联网上,因为大家要居家办公,居家办公的时候只能是通过远程的方式来接入,远程的方式接入就意味着我们要把更多的开放出去。原先的做法是保护起来,我把我们数据锁起来,这种方式可能会越来越困难,因为毕竟人家是在居家办公,你就得给人家提供办公的条件。
第四块是法规的要求。
因为整个制药行业跟我之前从事过的几个行业比,相对来说在法规的要求上面会更高一些,是一个强合规性要求的行业。这些年也看到了无论是国家还是行业、监管,对企业拥有的数据来证明你自己的质量也好或者是你的管理也好是要求越来越高。所以你的数据性的要求会被提得很高。
我想把我这些年在这个领域的一些实践跟心得我们总结一下。
因为每个人面临的环境跟问题可能都不一样,我更多的分享不是说我做了什么,而是说我在针对我们作为这样的一个群体,是在企业里头去从事IT的工作,我是怎么思考的?我是怎么去解决问题的方法,这个可能有通用性更强一些。因为具体的内容是每个企业都有自己的特殊的诉求,所以可能内容上面会有差异。
通过这些年的实践与思考,我觉得做安全这个角度上来说,可以跟所有人打通的或者跟老板去对话的,这两条是比较关键的。一个是合规,对于药企来说合规是一个下限不是一个上限。合规就意味着有些东西是必须做。第二条利益,老板肯定关心的是投入产出比,老板经常说的是不要跟我讲那些专业的术语,确实专业术语是我们要掌握的。核心跟老板对话的还是利益,我们这么干保护的是什么?花的代价是什么?这个事情发生的概率是什么?如果说我们花了很大的钱,保护的是一个很低的概率的事件,可能老板想想这个事情,要不我们买个保险行不行?我们换个思路去解决问题了,哪怕它损失了我买个保险可能也就解决这个问题了。所以合规与保护公司的利益可能是我们可以跟高层甚至跟所有的人去交流的,我们做安全的一个很好的目标。
怎么做?有了目标以后,我们说怎么去实现这个目标?我的理解是要三位一体:管理上面一定要重视,一定要在管理上面去付出努力。因为我们自己搞技术,容易陷入到技术的圈圈里头。今天看了一个新的防范技术,比如我买了一台新的防火墙,这个技术很好。但是其实大家仔细去看,我们企业里头买新设备的也不少,但是你那些最基础的管理是不是到位了?防火墙的设置是不是还是当初厂家给你做的设置?有没有根据公司业务的变化做很颗粒度越来越细的设置?有没有动态的更新?甚至很低级的问题,就是咱们管理员的密码有没有设得很复杂并且能做到定期的更换。
据我的了解咱们很多数据库的密码是不敢换的,为什么?理由当然有很多。因为这个数据库可能跟外面连接很多,很多都会跟这个数据库连接。如果你换了密码以后,有可能服务就会中断,但就是因为这个连接越来越多,数据库的密码不能换,其实这个风险比我们说你花很多的代价去买高级的防护,那这个风险来得更大一点。
所以我们说三位一体的思想是管理上一定要重视并且要落地的,技术上面依据我们的能力,就跟我们家里头买车,有钱买奔驰,没钱买普通的车一样能过。技术上面,就目前而言我们更多的技术是买来的,还不是自己的团队开发出来的。如果说我们手头有足够的技术力量,我说我们要开发这个逻辑上是可以的,但是成本与效率相对来说会是低下的。
再其次就是第三块所有的管理跟技术都需要人去落地,对人的这种教育也好、提醒也好,罗嗦、多说两遍总还是需要的。
我们谈数据的安全管理,首先一条我们要先了解我们自己企业的数据分布在哪,哪些数据是我们的很核心的数据?这一条很关键。我们上来说所有的数据都重要,如果要这么干的话,我们就没法开展工作了。老板给你的预算就那么点,你说你有本事把所有数据都保护好,这个是大概率做不到的事情。
所以我们肯定讲,我们要抓重点。抓重点就会牵扯到我们要跟数据的拥有方和产生方去谈你的数据的关键在哪?这种关键性可以从两个维度上去谈:一个是它的价值,这个数据带来的价值是正向的并且很大的,那这个数据很关键;还有一个是从反向去谈,如果说这个数据丢了会怎么样?如果说一个数据被你的竞争对手窃取了,你也没有什么损失,这个事情其实反过来说你对社会做贡献了。
我们跟这些数据的持有方去谈数据关键性的时候,大家可能都会遇到一个共同的点。就是说我们不搞业务,我们距离人家的业务还是有差距,比如说我到一个制药企业来,对于医药的很多知识,我跟那些研发部门、临床部门谈的时候就很匮乏。在很匮乏的情况下,你去问人家你这个数据什么是关键的?人家可能很礼貌性的拒绝了我,可能会说都关键,这个数据都重要。
因为你是个门外汉,他跟你觉得谈不到一块去。我有没有可能成为门内汉,有没有可能成为专业比他更高的呢?我觉得成为专业比他更高的不可能,因为每个专业都需要花大量的时间和精力,我能把我自己的这点工作整明白,我已经付出很多的努力了。
我想进一步了解它的时候,作为IT领域或者从事数字化领域的,我个人感觉两个工具或者两个武器是我们比较擅长的:第一个是我们比较喜欢系统性的思考问题。这是我们工作以及我们现在无论是大系统被严格的这么培训、学习过程中养成的,因为我们总是要想清楚,这个系统跟模块关系,模块跟模块之间的关系,这些东西你不捋清楚,我们在搭实践过程中这个系统会出问题的。所以把我们养成我们想一个事情我们就会从系统性的角度去思考问题。
这张图展现的是我对这个企业的整个流程的梳理,就是这个公司的业务它是一个长流程,它从研发一直到自己的临床实验,一直到最后的产品生产以及与销售。这个流程很长,每个流程,每个环节里头都会有它的很关键的数据。我们拿着这个图跟我们任何一个部门谈的时候,别人起码也获取到一点点价值,说你看你还懂得这一点,能让我看清楚我在整个链条里的哪个位置,上下游的关系,起码在聊天的时候我们有一个比较平等的位置,他讲他生物的东西我不懂,但是起码我能给他看到一个全貌。
这是一种方式,相互有价值的对话是在于我们双方对对方都有价值的产生。再白一点说,他跟我谈话的时间不是白花的,我也给他创造了价值,人家才愿意跟你聊。这是一个思维的方式。
每个企业这个图都会有改变,但是这个思维方式是通用的,这就是系统的一种思维方式。可以体现在流程,也可以体现在价值链的图。就是工具有很多种,上下游、产业链的划分,甚至我们可以把视野再打开一点,因为我们现在要做数字化可能会牵扯到公司内部跟外部,我们在整个产业链的上面我们在哪个位置。
刚才说的是第一个工具就是系统,系统的思考方式。系统的思考方式也不仅仅是我们,其实在中国航天事业,咱们的钱学森钱老最初面对中国这么薄弱的研发环境,材料各方面都搞不上,那怎么办?就取系统的最优。
我们再聊第二个工具-项目。项目管理是我们在整个我们的职业生涯过程中也是会被无数次锻炼出来的一种能力。项目做得好,那就意味着咱们在整个组织资源、协调资源的角度上面来说我们具有我们的优势,我们在跟各个部门协同的过程中,我也发现很多部门它的专业性不错的。但是你说让它干一点超越它本部门的,超越它专业以外的事情。咱们随便说,注册部老板给他一个活,要求什么时间把注册文件交给药监局,这个事可不是注册部自己能干完的,这个需要协调很多个部门去为它提供前期的事情才能够完成的,这个项目管理在这个领域里头具有很大的可以发挥的作用,IT人员就可以进行对话与沟通。
前面说的是我们的两个武器。这一张PPT想说的是作为IT的人,我们可能要想办法挤到制定规则的这一堆人里头去,我们要参与或者说参伙。公司的整个管理体系有很多的IT可能觉得那个管理体系是其他部门的事情,跟我们IT关系不大,我们搞技术的干嘛要搀和到人家的管理体系里去?其实我们所有的事情都被人家管理体系所管着呢。
如果我们有机会甚至我们没有机会我们要想办法创造机会参与到制定规则里头去,这样定出来的规则才是能够实现我们管理意图的这样的一个规则。对于一个药企来说,有GMP,这是民间的划分方法,这个不是很科学的,但是现实中是这么运行的。
我们就积极的参与进去,一开始我对GMP体系了解很少,因为毕竟不是一个行业的。从进入到工厂慢慢的理解它的GMP管理的核心跟它的制度的具体内容。我在去年的时候我就做了一件事情,把我们北京工厂的GMP涉及到自动化系统的整个体系搭建了,之前它的管理体系文件是借鉴了,借鉴别人的体系文件有一个好处就是看起来很高大上,但是明显的弱点是它不落地,它跟我们具体操作实践的落地性方面欠一些,我们就得反过来是以下往上看,我们既要满足合规的诉求也要去实现我们自己在具体管理、具体操作层面上的便利性,同时也要通过这种管理制度去约束我们的这些客户,我们这些用户的使用的规范性。
举个很小的例子,大家如果在药厂里头负责到药基部分,无论是生产的还是实验室的这些设备。用户忘记密码,是一个很常发生的一件事情。如果说在一个洁净车间里用户说忘记密码要求重置,人家生产在那等着你去也得去不去也得去,但是你要金属一个洁净车间,光换衣服来回几次消毒半小时花去了,你进去拿管理员密码重置密码,它还嫌你姗姗来迟,这就是我们的处境。
怎么办?我们说用户不应该忘记密码,这个事情好像有点违反人性。因为我们一方面要求他的密码要三个月更换一次,复杂度要很高。那怎么办呢?我们在管理制度上得想出办法来。
一方面是以前对于这种忘记密码的事情,默默的都呈现在IT人员日常工作里面了,我们把它凸显出来,我们让忘记密码去提申请,让他的领导知道。他自己也不好意思啊,比如一个月要提三次忘记密码,他的领导估计也该说他了,你不能老忘记密码。让这个问题浮出来。
第二个是我们要正向的引导用户,说咱们设密码怎么设,密码放在哪比较合适,又安全又方便记忆,这些小技巧得传递给人家。要不然的话,你光把问题暴露又没有给他很合适的解决方式,这样就会造成矛盾的激化。矛盾激化对于IT部门来说也不是什么好事,因为IT部门在药企里面相对来说属于支撑地位,虽然我们自己想成为一定的跟别人成为合作伙伴,人家未必看得上我们。所以我们用管理制度,用我们的服务的改变去影响到我们的用户,这就是我们要提的参与到整个管理体系的搭建。
管理体系的搭建,不仅仅是说面上的参与,可能还需要付出很大的代价,要把我们的管理思想与措施落实到一个一个的管理体系文件里头。因为管理体系不是一个文件构成的,刚才上面的结构显示了前面有最高级的也要SMP还有SOP还有操作记录,起码是四个等级的构成。这张图怎么来的?这张图是我去年想动我们厂的GMP体系,我在动之前总是要花点功夫把人家的体系先完全的融会贯通,这就是把它融会贯通的基础上面重新再造。这张图是这么来的。
讲完了前面的管理这一部分,我们再说中间的人员培训。
人员培训,老生常谈了,做信息安全都在讲员工的安全意识很重要。我们谈怎么样能够把这个安全意识真正的给员工树立起来?除了家长式的唠叨以外,因为唠叨多了人家可能也不见得听,我们还是要想尽一些办法。这就是我们想的办法,把它放到法律层面,让HR跟我们一起合作,跟员工去进行签保密协议也好或者说把它落到更细节的地方,然后再进行宣惯、培训,可能还要再加上一些技术手段。
这是年前的时候,趁着春节之前,大家要返回回家。趁着春节之前,我就组织了一次全员的信息安全的培训。因为大家要离开熟悉的无论是工厂还是办公环境,大家的电脑要带走,电脑带走以后你所处的环境就会比在工厂里面的会更复杂一些,这个我们就跟大家要提勒索病毒带来的危害。
最起码大家年前的时候有一点点意识,年后我也收到反馈,用户意识到了,比如他收到一些来历不明的邮件他会及时的跟我们分享,说这个邮件帮我们看看是不是垃圾邮件或者是不是一种伪造的骗取信息的文件?起码我们感觉到用户的意识在增长。
技术体系的防护,其实我不想成为这方面的重点,因为这方面每个公司的技术架构、逻辑都有差异,没有完全可参考性,这是一方面。第二方面在专业的安全公司可能会给大家出更多的安全的建议,这里面只是想提一条我们始终是在有限资源的条件下做事情。有的时候我们会觉得人家的建议很好、方案也很好,我们怎么办?如果我有钱不在乎钱当然没问题,但是我没有遇到到。
在紧张资源情况下,怎么去开展工作?一定是要找到切入点,找切入点是每个IT从业者要自己去想办法的。从整个规划蓝图到每个层面,每个层面基础性的工作要做到扎实,甚至提到管理员密码的更换,关于管理员密码的更换,相信在大家的职责范围跟权限范围内是能做到的,有的时候多一事不如少一事,你换了数据库密码说不定哪个系统会跑出来用不了了。
所以这些事都是可以去做,把它做到一个扎实的角度就能够让大家的安全有一个基础保障。其实就是我们尽可能的花少成本的基础上获得更大的收益。是不是能够足够安全?这件事情还要重新评估,这些是属于基础性的工作。但是我们看到的很多时候是说我们的基础性的工作并没有做到位,带来的一些事故。
对我刚才的分享进行小结:
我们整个的安全建设的目标可以跟老板谈的无外乎合规和利益,两大条。从它的解决的方法跟思路的角度上来说,我总结下来我倡导的是管理、技术、人员三位一体的立体的推进,在实践过程中我发现这三者的关系不是加法而是乘法,这三者任何一个环节有出现大的漏洞都会拉低你整体的安全,它是个乘数关系。任何一个环节做得好一样会被放大,所以我的观点就是把这三者平衡的去发展好,尤其是在我们现有的约束性条件下。
我的分享就到这,也感谢大家!
京公网安备 11010502049343号