資安風暴──中小型非營利團體數位轉型的現形記/專訪沐風關懷協會

Alexander Sinn@ unsplash

文/特約記者 洪于倫

延續今年震盪公益界的捐款人個資外洩事件報導,為了帶讀者進一步理解公益團體在事件中所受的影響,以及不同規模與性質的公益團體是如何應對、反思資安危機,NPOst專訪遭受事件波及的中小型服務機構──陪伴經濟弱勢家庭與兒童的沐風關懷協會。

自2005成立,沐風關懷協會即開始為低收入、單親、隔代教養、新住民與經濟新貧家庭中的兒童,提供免費課後安親環境,透過老師與志工的陪伴,培養孩童的學習力與潛能。至今已於台中市設立8個分校、台東縣1個分校,共計50名工作人員,成為在地深耕的中小型服務機構,持續守護台灣的弱勢家庭與孩童。

中小型非營利團體轉型的漫漫長路

探究協會的數位轉型歷程,自2012年開始招募資訊人員,從編寫單機系統至網路個案系統;直至2018年,隨著組織規模與需求擴大,才引進網軟股份有限公司的NPO捐款管理系統。

Campaign Creators@ unsplash

沐風關懷協會在事件中遭遇的衝擊與挑戰,是眾多中小型非營利團體的縮影。回首臺灣非營利部門的成長歷程:社會服務民營化的風潮萌芽於1980年代,隨著社會參與的實踐,促成今日非營利團體多元且蓬勃發展的面貌,至今仍方興未艾。在資源分散與稀缺的環境中,上萬個非營利團體爭相競逐有限的社會資源。也因此,當財務成為許多組織首要面對的內部困境,專業人才、資安投資的流入更顯得困難。緊接著數位時代的來臨,對非營利團體而言既是催化劑,又像是一顆難以掌握的不定時炸彈。許多中小型團體誤以為只有大型團體才會遭受駭客攻擊,然而專業技術與資源的缺乏,讓帶著資安缺口的中小型團體逐漸成為駭客眼中的待宰肥羊。

在中小型非營利團體的數位轉型過程中,本次事件作為重要里程碑。面對大型資安危機,沒有歷史經驗參考、沒有專業知識與資源挹注,團體該何去何從?組織除了採取應變措施、提升資安環境與意識,如何在與第三方資訊服務商協作時守護自身權益,是中小型非營利團體應當深思熟慮的議題。

始出於「信任」,卻在資訊漏洞上摔了一跤

回憶事發的第一時間,沐風關懷協會社工師楊怡亭和我們分享:「當下就先聯繫了網軟,想瞭解資料外洩的範圍與情況。我們購買網軟的服務,系統商應當善盡管理之責,因此一得知系統遭受入侵,我們只想釐清對方是否立即採取止血措施,以及我們現在能做什麼改善。」對於網軟事後未能回覆具體的應對方針,只透過信件一再告知已將資料庫加鎖、提醒組織向捐款人通報,楊怡亭回應:「我們對此感到很失望。因為組織是信任廠商的,今天碰到資料外洩,我們會想知道原因,是不是管理上出了問題。另一方面,對於客戶的權益都沒有談到,也沒有表示歉意。」

Romain Dancre@ unsplash

談及一開始與網軟股份有限公司合作的過程,楊怡亭說明:「我們有去上網軟的NPO整合系統說明課程,認為操作上蠻順暢的,也看到很多大型團體都有使用,當下覺得安心就簽約了。」事件爆發後,協會才發現當初與系統服務商簽約時,並未確認後續的資安維護權責、損害賠償責任以及法律歸屬。「比起合約,看起來更像是一般的產品購買單!」這次的學習,除了讓沐風關懷協會提高資安維護意識,更重視契約簽訂過程與組織權益保障。楊怡亭說:「希望未來政府能提供相關合約範本,並協助組織瞭解資訊安全的相關知識,以及與系統服務商之間的權責,保障非營利團體的財產與權利。」

步步為營,觀察捐款人動向

當組織規模小,任何外部衝擊都可能攸關組織存亡,必須謹慎處理。在個資遭竊取後,沐風關懷協會的捐款人開始接獲詐騙電話,協會也陸續接到捐款人來電詢問。回溯捐款人的反應,楊怡亭分享:「他們一開始會覺得緊張、錯愕,但瞭解事實後,大部分的捐款人反而會提醒和關心組織。好在多數定期捐款人是在協會的關係圈中,彼此是認識的,他們會先來電瞭解情況,並沒有選擇直接停止扣款。大家都很善良,能夠理解組織。」清查捐款人的受害情況,楊怡亭也說明:「第一時間我們便透過Facebook粉專、官網、Instagram和簡訊向捐款人告知,有效阻絕了詐騙的擴大,大部分捐款人有接獲詐騙電話,但真的受到財務損害的人並不多。」

Liza Summer@ Pexels

事件後,協會是否有需要改革之處?楊怡亭也說明,現況下,沐風關懷協會的捐款人資料管理程序相對單純,捐款相關問題直接由組織的財務部門作為對口,如捐款人需調閱個人資料,只有財務部門有權限管理。「捐款人的問題通常在財務部門就會被解決,因此我們並沒有特別向捐款人解釋組織的個資管理程序;但事件後捐款人變得比較敏感、有意識,因此未來我們也會再觀察捐款人的反應,進行調整。」

面對成本、風險、效益……在挑戰中繼續前行

比起與捐款人溝通,當時讓楊怡亭感到一籌莫展的是:「我們有撥打反詐騙專線想要報警,但警方告知受害者是網軟,因此我們只能備案,不能報案。」對於詐騙事件立即的法律處置程序,楊怡亭認為這也是組織未來能更加留意的。目前協會及其他受害團體,已委由臺灣公益團體自律聯盟協助警調單位偵辦,針對網軟系統的管理疏失,未來團體是否提出聯合訴訟求償,將與律師商討後續事宜。

Tingey Injury Law Firm@ unsplash

談及與聯盟在此事件中的互動,楊怡亭回憶:「我們是第一個打電話給聯盟的單位。當時他們很錯愕,擁有的資訊也很零散,後來得知許多單位都受到波及後,聯盟便開始動員與行動,除了協助我們與網軟討論如何善後,也邀請警調單位介入,目前則是展開聯合訴訟的相關討論。」

省思過去,楊怡亭認為協會內部太仰賴線上化作業,當資料都集中在同一個地方,一旦遭受資安危機,組織的重要資產可能一夕間就損毀。對此,楊怡亭提及:「協會目前在思考雲端資料是否要在不同的系統備份,分散風險。但對於小型組織而言,要使用不同的系統或升級資安防護軟件,都將增加組織的成本,對我們來說又是另一個挑戰。」

無論組織的下一步是什麼,此次事件都為沐風關懷協會注入一劑強心針。走進數位時代,計算轉型效益的同時,盼望中小型非營利團體都能更重視資安議題、了解自身權益。除此之外,期盼政府部門能協助非營利團體提升資安投資與專業知識,攜手共好。


延伸閱讀:公益數位轉型浪潮下,我們如何與資安危機共處?/專訪至善社會福利基金會

作者介紹

NPOst 編輯室

NPOst 公益交流站,隸屬社團法人臺灣數位文化協會,為一非營利數位媒體,專責報導臺灣公益社福動態,重視產業交流、公益發展,促進捐款人、政府、社群、企業、弱勢與社福組織之溝通,強化公益組織橫向連結,矢志成為臺灣最大公益交流平臺。另引進國際發展援助與國外組織動向,舉辦實體講座與年會,深入探究議題,激發討論與對話。其姐妹站為「泛傳媒」旗下之泛科學、泛科技、娛樂重擊等專業媒體。臉書:https://www.facebook.com/npost.tw