文/特約記者 洪于倫
NPOst 延續今年震盪公益界的捐款人個資外洩事件報導,專訪支持亞洲兒少發展的至善社會福利基金會。事件中,至善基金會為其中一間遭受波及的社福團體,除了在第一時間發布反詐騙聲明、先後共寄發三次簡訊通知捐款人,後續也積極配合台灣公益團體自律聯盟,加強組織的系統管理與資安防護。在快速變化的數位時代,藉由至善基金會的經驗談,幫助我們思索公益團體的生存之道。
公益團體進入網路募款新紀元:金流線上化、資訊管理系統化、捐款人溝通社群化,資訊安全遂成為組織與捐款人的信任基礎。因此本次捐款人個資外洩事件,無論組織是否深陷其中,都是一場所有公益團體無法置身其外的震撼教育。面對事件,若是大事化小、小事化無,並無助於公益團體的數位轉型與募款動能,那麼在面對捐款人個資外洩時,組織對內如何採取緊急應變措施、如何與捐款人溝通,以及事件過後,如何提升資安意識,是當今公益團體刻不容緩的議題。
首要之務:捐款人溝通
今年8月11日,至善基金會陸續接獲捐款人反應,有心人士盜用組織名義進行詐騙。在確認遭受詐騙集團攻擊後,至善基金會即刻主動聯繫資訊服務商網軟科技,同步寄發簡訊通知捐款人,亦於Facebook公告反詐騙聲明。
在第一時間選擇向捐款人坦承個資外洩,至善基金會副執行長武庭芳說明:「捐款人是詐騙案的直接關係人,我們認為最該優先溝通的就是捐款人,必須確保後續不再有人受害,因此我們透過不同管道一一聯繫捐款人。」碰上詐騙事件,組織最擔心捐款人是否因此失去信任,武庭芳也和我們分享:「雖然部分捐款人接獲詐騙電話會選擇先停止捐款,但多數捐款人給予我們的反饋都是正向的!組織若能儘早聯繫捐款人,清楚告知詐騙手法與處置方式,他們會感受到組織是願意解決問題的。我們也發現捐款人之間會彼此提醒,如有接獲詐騙電話,也會先聯繫我們確認狀況,如此一來大幅降低了捐款人受害的機率。」
除此之外,至善基金會在每一個與捐款人的接觸點都新增了相關訊息,例如:在官方網站、Facebook粉絲專頁、捐款頁面上註明「組織不會撥打電話口頭向捐款人更改捐款金額」、「組織會聯繫捐款人的時間」,以及提供「165反詐騙專線」,與捐款人共同拉起第一道防線。
然而詐騙集團的手法與策略鬼出神入,讓人摸不著頭緒。「9月中旬,我們發現詐騙集團進行第二波攻擊,利用上次竊取的資料分批聯繫,詐騙話術更從原先的『捐款設定有誤,需要詳細個資進行更改』到『詢問刷卡銀行,並假冒銀行方聯繫捐款者』,同時增加時效性讓捐款人緊張。」武庭芳坦言,第二波的爆發讓捐款人以為個資又外洩了,間接對組織失去信任。「同仁們都很自責與心疼,因為被詐騙的對象往往是跟隨組織多年,且行善心大半輩子的老年人。」也因此,除了寄簡訊通知捐款人,協助其辨別詐騙電話,組織內部啟動資訊系統革新、提升人員的資安知識刻不容緩,至善基金會的下一步就是要編織嚴謹的資安防護網,在組織與捐款人之間重新搭起一座堅固的信任橋樑。
從意識到行動:設立資管資源
回顧數位轉型歷程,多數公益團體欠缺資安意識與資源,在導入網路系統服務時只重視功能性、低成本,卻忽略最重要的資安防護;近年來,越來越多系統供應商開始開發公益團體適用的資料管理系統,以滿足公益界要大量管理捐款人資料、定期與捐款人聯繫及核對捐款細節等需求。然而捐款人是公益團體最重要的資產,在本次個資外洩事件中,我們也看見龐大的捐款人資料庫是詐騙集團求之不得的目標。系統供應商跨足公益界,卻因為不了解公益團體最重要的資安防護需求,沒辦法提供組織健全的建議與保障。
走過數位轉型的層層困難,武庭芳認為:「過去因為不瞭解而導致資安破口,雖然這次事件帶來傷害,卻紮紮實實地為團隊上了寶貴的一課。」至善基金會未來將系統部署至微軟Azure,由至善內部MIS專人維護與管理;網軟則負責程式碼維護。武庭芳也說明:「組織內建置MIS (Management Information System )專職,在未來將由專人與系統服務商溝通,進行資安管理與系統維護,定期檢核以強化資料庫的安全。;如有資安危機時,也有能力立即應變。我們也聘請專業人士,對全體同仁進行資安相關課程,提升組織的資安意識。除此之外,也將加強資料庫的權限管理:透過多因子驗證的方式,避免帳號資料外洩;限縮使用人員、存取範圍與登打資料內容;以及不再將新增捐款人的個資留存於資料庫。」
至善基金會對內補足專業技能,對外更要求資訊系統商加強防護措施,例如:清查與清除惡意程式、改善驗證機制、全面提升網路安全層級等。資安相關知識是組織面臨數位轉型時最重要的一環。
緊急止血之後:組織革新,邁向數位轉型
在數位轉型的世代中,公益界如何因應快速變動的網路環境以謀求生存之道,是所有公益團體共同的挑戰。作為台灣公益團體自律聯盟的一員,至善基金會在事件延燒後,便與聯盟及其他受害團體共同成立Line社群,彼此更新事件調查的進度報告,以及探討後續的行動方針。「聯盟可以協助釐清法律歸屬,並協助團體向刑事單位溝通,加速偵辦。」談及加入聯盟的益處,武庭芳認為人多力量大,團體彼此攜手,藉由聯盟能夠向外尋找更多資源。「未來希望能有更多資安教育的資源挹注。」
梳理至善基金會的經驗,面對資安危機,公益團體能以兩個面向來應對:
一、如何與捐款人溝通?組織發生個資外洩時,第一時間主動聯繫捐款人,讓捐款人瞭解狀況並提供協助。同時在捐款流程中,增加個資保護相關訊息,提前提醒捐款人組織聯繫時間與確認資料方式,預防捐款人受騙。
二、組織內部如何進行改革?對內加強資訊系統安全防護措施、改善組織內部的權限管理方式與驗證機制、在與第三方系統商合作時,明確訂定雙方的權利及資安條款。此外,提供全體人員資安教育,防範未然。
這次的資安危機歷時數月,影響的範圍不只是受害團體,更為公益界投下震撼彈,然而衝擊過後,公益團體是否能樂觀且快速應變,才是在數位轉型浪潮中的成敗關鍵。回首台灣的公益捐款歷史,在資源不平均的現況下,要達成改革,更需要團體共同協作、創新思考,期待公益團體能寫下新的扉頁。
