文/特約記者 洪于倫
進入數位時代,公益團體為了管理大量捐款人資料、定期與捐款人聯繫以及核對捐款項目,在多數組織內部未設有網路資訊管理人員的前提下,便向外尋求資源,導入第三方支持者管理系統。
系統服務商監控的龐大資料庫遂成為詐騙集團求之不得的目標。若遇上個資外洩疑慮,系統服務商要第一時間面對公益團體的慌張與求援,還要清查系統及確保資料安全,這才發現,即便系統早已擁有配套資安防護功能,卻因為多數公益團體缺乏資安意識,在導入系統服務時,忽略資安防護相關設定,也未落實確認雙方權責及資安條款訂定。
因此,瞭解系統服務商在數位轉型歷程中扮演的角色,以及如何與公益團體達成互助、互信的關係,是我們下一步要學習的課題。
今年(2021)公益界爆發捐款人個資外洩,像網軟公司這樣作為系統服務商的角色再次被重新檢視。同樣作為雲端系統服務商的「網絡行動科技股份有限公司(以下簡稱NETivism)」即刻清查netiCRM作業系統,確認沒有遭受入侵;接續啟動相關應變措施,包含:向客戶宣導資安知識、進行駭客入侵時的模擬演練,希冀藉由網路科技專業技術,與公益團體共體時艱。
資訊透明化 建立互信關係
因應此次捐款人個資外洩事件,netiCRM 產品營運經理Klavier認為最重要的是與客戶間有良好、透明的溝通:「這次事件爆發,雖然我們的系統沒有受到波及,但在事件尚未明朗之前,客戶還是會恐慌。服務端應該要重視與客戶間的溝通,藉由透明資訊達成互信關係。」共同創辦人 Charles 也提及:「客戶來詢問時,我們都會建議組織使用netiCRM資安防護的功能,例如協助組織開啟兩步驟驗證、從後台設定管理員的權限範圍。除此之外也會說明我們是如何強化系統安全的。」
談及NETivism與客戶間的協作關係是否受影響,Charles和我們分享:「當時有兩個客戶向我們反應有捐款人接到詐騙電話,我們就先詳細詢問詐騙發生的時間點、過程,同時清查當月系統動態,確認不是我們的問題,讓客戶能夠放心。」在事發第一時間,NETivism除了要回應組織的疑慮,也開始發布電子報或於Facebook社團公告,向組織宣導資安相關知識。NETivism積極主動的應對流程讓組織信賴度提升不少,「經過這些溝通,客戶的回饋都是正面的。」
透明之下依舊看不見的疑慮
自2016年導入NetiCRM系統的Glocal Action全球在地行動公益協會,在事件中所受的影響不大,專案經理小八與我們分享:「過去幾年都沒有重大的資安問題需要協助,一直到本次詐騙事件爆發,才覺得和系統服務商有關,沒多久就收到電子報。也因為這次事件,我覺得NETivism有更提高警覺。」回憶與NETivism的互動過程,小八認為:「時常收到公告,通知我們有新的服務內容,平常也會有組織在Facebook社團發問。基本上NETivism和組織的聯繫是有的,唯一不足的是,平時組織無法以電話直接聯繫到他們,都是透過線上客服系統尋求解答,如果有緊急狀況會比較不知所措。」
對此,Klavier回應:「客戶如果有問題,會請他們到線上客服系統通報,並提供相關網址、截圖,以利我們釐清問題,必要時我們也會登入客戶的後台查看是否有異常。透過客服系統能夠保留對話紀錄、處理流程,是保障雙方的方式。」
當組織面對系統操作問題,若系統商能透過截圖、圖示等步驟說明,對組織而言比起電話溝通更為清楚;然而一旦組織碰上的是個資外流、金流異常等急需釐清的疑問時,通過系統回報、等待回覆的時間成本或許太高了。
除此之外,系統商持有查看客戶後台的服務管理權限,也存在著資安疑慮。儘管要求內部人員:非客戶主動要求協助,不得登入客戶系統;然而真被有心人士操作,仍可能成為資安破口。也因此,在資安危機遍佈的世代,如何平衡系統商權責與客戶隱私,是雙方仍須積極溝通與協調的一環。
資安不可忽視的第一步:完整了解系統功能
為求資訊對等,協助非營利組織跨越數位轉型挑戰,Charles說明:「協助組織進行資安規劃不是我們的工作範圍,netiCRM主要還是以提供系統功能為主。但這次事件我們觀察到公益團體在資安這塊仍有進步空間,因此我們還是會做到提醒組織的責任。針對舊客戶,我們發布電子報解釋netiCRM的資安規劃,在與新客戶簽約時,也會說明如何應用資安防護功能,提供基本的注意事項。」
NETivism發布的資安電子報,向客戶傳達資安防護內容,包含:1.系統永遠不會儲存信用卡資訊、2.入侵偵測機制、3.資安監測機制、4.資安更新機制、5.風險控管、6.內部管控機制 、7.安全加密連線、8.密碼管控技術。
netiCRM採用自動化監測機制,能夠偵測並即時通報異常流量、惡意入侵;監測系統人員的登入時間與操作指令;以及定期進行安全性更新、系統升級與維護作業。
瞭解系統資安規劃後,NETivism認為最重要的是組織自身如何維護資料安全,例如:1.管理信用卡機敏資訊、2.個人資料儲存與內部控管、3.權限控管、4.帳號安全。
公益團體在仰賴系統服務商協助管理資料、提供資安建議之餘,也需要積極落實內部控管:即刻開啟登入時的兩步驟驗證、內部人員取用資料的權限劃分、不設立「公用帳號」、以及停用離職員工的帳號等。Charles提及:「過去系統就有這些說明和功能,但很少組織使用,尤其是對獨立帳號的意識感較缺乏。共用帳號沒有辦法追查資料外洩的元兇,透過獨立帳號我們才能追蹤不同系統人員的操作歷程。」透過NETivism的提醒,公益團體立即就能自主檢核上述項目,並寫入未來的內部資訊管理程序。
資安權責與賠償?合約中缺失的一角
即便系統商提供資安設定服務,協助組織預防惡意入侵或個資盜竊,然而,網路駭客推陳出新的犯罪手法防不勝防,系統隨時都在面臨挑戰。當發生個資外洩,組織與系統商之間若沒有清楚的權責劃分、以及賠償機制的訂定,第一時間誰該領導啟動止血機制、後續雙方如何咎責與求償,都將成為組織與系統商共同面臨的資安疑慮。
今年初導入NetiCRM服務的福爾摩莎山域教育推廣協會秘書長Gaga回憶:「跟NETivism沒有簽訂紙本合約,是在填寫線上的NetiCRM服務申請表時,有先請我閱讀『使用條款』(等同合約)與『隱私權政策』,同意後才會啟動服務。當時沒有談到資安相關的權責或賠償,比較多是針對功能使用的講解和帶領。一直到個資外洩事件發生後,收到電子報提醒,我才趕緊開啟兩階段驗證。」
當今組織在與系統商簽訂合約時,仍以功能為主要協議內容。回顧本次個資外洩事件,許多公益團體在事發當下手足無措,後續也不清楚是否能向系統商求償,種種衍伸問題凸顯組織與系統服務商協作時,對於權責與賠償內容的忽視。未來,系統商除了提供資安防護功能,期待能將資安相關協定納入合約條款。
金融資料:穩定的金流方協作
除了個資外洩危機,公益團體也時常接獲捐款人信用卡遭盜刷的案件,同樣是資料外洩爭議,組織往往直覺地找系統服務商求援。而針對金流相關問題,Klavier說明:「netiCRM系統並不會儲存任何金融資料,因此客戶如果有金額收款問題、或信用卡盜刷疑慮,我們會先釐清是netiCRM還是金流公司的問題。如果是金流方,會請組織直接向金流方反應,而netiCRM會同步追蹤、掌握進度。」
Charles也補充:「早期我們與藍新科技、綠界科技介接,他們都是市面上專業的金流服務廠商,並且通過支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,簡稱PCI DSS) ,安全性十分可靠。」如果客戶有期望使用的金流平台,若有得到相關安全標準驗證、公司資本穩定,NETivism也會評估是否進行介接。
公益圈下一步:科技專業挹注
事件爆發後,組織的資安意識提升,希望透過系統服務商提供的資訊課程補足長久以來的資安缺口,小八認為:「NETivism的客戶幾乎都是公益團體,希望未來能舉辦實體工作坊,團體之間彼此分享各自遇到的問題。」Gaga也期待:「不只是這段時間,系統服務商未來也可以定期分享網路科技時事與議題,幫助非營利組織適應科技時代,防範未然。」
NETivism持續以電子報、Facebook社團與客戶溝通,除此之外,也透過「網路星期二」網路社群開辦非營利組織資安自保線上講座,邀請資訊專業講師分享,為公益圈挹注更多科技資源。談到公益圈未來的發展,Charles認為:「事件後,有非營利組織開始關注資安議題或發起相關課程,例如自律聯盟、臺灣數位文化協會,但若只有少數組織參與,專業能量還是很缺乏。除了非營利組織與廠商自主學習,後續如果有第三方協助,像是與科技社群交流,我相信公益圈會有更好的生態。」
