以企業為鏡,探尋資安危機的拆彈策略/專訪讀冊生活

文/劉彥良

公益團體個資外洩風波不斷。刑事局近期公布詐騙高風險清單,仍有公益團體名列其中。許多團體為強化資安、重拾捐款人信任而疲於奔命。卻因初次遭遇此類事件,在解決問題上如同摸石渡河。此時是否有相似案例提供借鏡,讓公益團體少走一點冤枉路?NPOst為此專訪TAAZE讀冊生活(以下簡稱讀冊),觀察企業界如何處理相關問題,提供公益界作為危機處理的參照。

讀冊自2016年起,陸續遭到駭客攻擊、冒名詐騙。最嚴重時,曾連續兩年(2019、2020)遭刑事局列入年度高風險賣場。但今年開始,刑事局的高風險名單,已不見讀冊身影。與犯罪集團的爭鬥如同一場長期抗戰,為了在槍林彈雨中脫身,讀冊做了哪些嘗試?

內部管理:組建資安小組、強化員工資安意識

詐騙事件頻繁發生時,讀冊集結IT、客服、法務部門,成立資安小組,每天進行會議,檢討系統維護狀況、客訴內容,針對層出不窮的系統攻擊與詐騙手法思考對策。「很多人把讀冊講得只會推諉卸責,其實我們每天都花很多心力想解決問題,但這種東西(指竊取個資)總是道高一尺、魔高一丈」讀冊董事長張天立無奈說明,當時公司承受外界抨擊、加上內部自我檢討,使士氣降至低點,不少IT員工因此求去。

即使有資訊部門編制,讀冊在面對資安危機時仍相當吃力。人力更為精簡的公益團體,身處詐騙攻擊的暴風圈,又能如何應對?讀冊公關經理張秀明建議,各公益團體仍可針對詐騙事件成立應變小組。人力有限的狀況下,先以蒐集資料為主,針對個資外洩情形、詐騙手法進行彙整,掌握事件的嚴重度,才知道怎麼跟捐款人說明,向外界求援時,也能明確表達組織的需求。

Scott Graham@ unsplash

除了成立資安小組思考對策。讀冊也意識到,所有員工都須有基礎資安意識,才能避免駭客趁虛而入。因此讀冊聘請資安顧問,舉行多次講習。公益團體的人員編制雖少,也可透過聯合舉行資安講座等形式增進資安意識。另外,也須訓練組織內部,嚴格執行文件保密機制。張秀明觀察,「出版界跟公益界很像,對人都有高度信任。相信身邊的人都是為文化、為社會公益努力,覺得大家都很善良,可能無意間降低了自我防備」。在資安危機爆發後,強化組織成員自我防衛與資訊素養,將是公益團體的當務之急。

外部應對:改變敘事觀點、讓防詐訊息無孔不入

面對資安事件,就算做好內部管理,不斷撥出的詐騙電話,仍逐步侵蝕捐款人信心。讀冊同樣面臨冒名詐騙的問題。為防範神出鬼沒的詐騙集團,只能讓防詐訊息跑得比詐騙電話更快、更加無孔不入。

讀冊在詐騙事件發生後,除了透過e-mail請消費者提防詐騙電話,也修改了網站版面,現在點進讀冊官網,首頁上方即會看到防詐提醒,在會員登入的頁面,同樣也有圖卡提醒消費者小心詐騙。張秀明說明,「我們去思考消費者會從哪些地方接觸讀冊,也去檢視網站購物流程,在每個管道、每個操作步驟,都盡可能置入防詐資訊」。

圖/讀冊官網防詐訊息(截自讀冊官網)

公益團體目前雖然也有透過簡訊、e-mail提醒捐款人小心詐騙,但仍有捐款人未具收信習慣,進而受騙的憾事發生。張秀明建議公益團體,檢視所有可能接觸捐款人的媒介,包含組織介紹、捐款流程、感謝信、活動文宣等等,任何會讓大眾關注公益團體的地方,都可以加入醒目的防詐標示

防詐訊息除了以量取勝外,也可從「質」的部分下手,凸顯差異化。部分公益團體在詐騙事件發生時,會直接轉發165的官方文宣,請捐款人小心詐騙。但張秀明提醒,制式文宣不會在大眾心中留下印象,當大家對類似的訊息過目即忘,公益團體就容易被誤會在消極處事。因此,防詐資訊除了「說」,更要說得讓人「有印象」。但是該如何做到?

「從故事的角度著手,公益團體不要忘記自己的故事」,張秀明舉例,許多公益團體都是在極其有限資源中,致力讓社會產生良善互動。資源不足的情況下,有什麼細節無暇注意?讓不法份子有機可乘?面對受騙捐款人,公益團體如何和受害者站在一起?「讓人看到你的故事、同理你的處境,接著提醒大家務必小心」。公益團體若能改變防詐聲明的敘事角度,一方面可以讓人感受到面對問題的誠意,其次,也能讓人在深刻印象中,特別警戒該團體的冒名電話,進一步防止詐騙發生。

從源頭解決問題:資安升級、督促政策改善

「誠實說明情況,或許能暫時平息大眾的怒火,但要重拾信任,還是得從根本解決問題」。張天立提醒公益團體,重拾大眾信任的關鍵,還是要回到資安防護上。

讀冊為解決資安問題,曾洽詢多家資安廠商,「我們曾經找兩家公司,兩邊同時付錢,公司所有電腦、甚至手機都要防護,一台裝置幾千塊的付,比較他們防護方法與防護效果,最後總算找到一家讓人滿意的公司」。張天立說明,能夠從詐騙的高風險名單中脫身,主要還是找到了適合的資安公司。找尋資安公司的過程無疑下了重本,找到資安公司後,每個月仍要支付數十萬元維護系統安全。但每月增加數十萬的支出,公益團體能否承受?

Visual Stories || Micheile@ unsplash

張天立認為,經濟能力足夠的公益團體,就該下定決心提升資安維護成本。不要將資安經費當成額外支出,而是看作公益團體維護社會信任的保險金。至於中小型的公益團體,則該探討另一層次的詐騙防治辦法。

「資安問題就像水管破洞,要解決漏水,除了把破洞補起來,是不是能從更源頭的地方,直接把水龍頭關掉?」張天立分析,詐騙集團的運作,分別有「電信」、「金流」兩個源頭,許多詐騙集團透過網路電話偽造來電號碼,電信商只要在來電顯示時,將網路、境外通訊標註警語,就能有效提醒民眾。在金流層面,銀行則應善用洗錢防制法、金融科技,加強異常金流的管控。

張天立表示,NCC、行政院等政府部門,應透過法規修訂,讓電信、金融業者在詐騙防治上投入更多心力。先前讀冊遭遇詐騙時,已向政府部門倡議此事,現在受害單位擴及資源更薄弱的公益團體,政府應盡速負起責任,從源頭解決詐騙問題。

面對詐騙:除了被動回應,更要積極作為

詐騙事件已經發生,儘管再怎麼努力防範,仍無可避免「公益」將在一段時間中,與「詐騙」等負面標籤掛勾,增加各組織的運作難度。面對詐騙案件,時時更新偵辦進度、詐騙手法、資安狀況等,固然能讓大眾了解事件發展概況。然而如此措施卻只能跟著警方、詐騙集團與系統商的步調做出回應。身為公益團體,面對詐騙事件,能否有更主動的作為?

張天立建議,公益團體可以思考,如何在詐騙防治中扮演更積極的角色?以讀冊為例,未來讀冊可以和具心理學專業、或有興趣探討詐騙問題的公益團體,舉辦公益書展,探討受騙者的心理狀態。使讀者了解詐騙集團常運用的心理暗示,提升大眾防範意識。公益團體也可思考自己的組織性質,能否透過異業結盟、或善用自身組織優勢,在防詐事務中貢獻心力。讓大眾看到公益團體積極處事,同時更關注詐騙防治議題,對公益團體、社會發展而言都是好事。

Jessica Ruscello@ unsplash

「如果有公益團體想積極打擊詐騙、改善資安,都歡迎和讀冊聯繫。只要有讀冊幫得上忙的地方,我們都很樂意與公益團體分享、合作」。張天立在建議公益團體主動行事後,也向公益界聲援,表示願意積極投入協助,讓公益團體知道面對危機時,大家並不孤單。

個資外洩事件,使經營公益團體出現新的挑戰。從強化內部數位能力到重振社會信心,將是一項項艱鉅的工程。儘管險阻重重,但應對危機並非無往例可循。汲取他人經驗、審視團體特質、迅速擬定對策、積極向外界溝通,才有機會跳脫無助慌亂的狀態,從事件被動方轉換為行動者,以實際作為重拾大眾信任。

NPOst 編輯室

NPOst 公益交流站,隸屬社團法人臺灣數位文化協會,為一非營利數位媒體,專責報導臺灣公益社福動態,重視產業交流、公益發展,促進捐款人、政府、社群、企業、弱勢與社福組織之溝通,強化公益組織橫向連結,矢志成為臺灣最大公益交流平臺。另引進國際發展援助與國外組織動向,舉辦每月實體講座與年會,深入探究議題,激發討論與對話。其姐妹站為「泛傳媒」旗下之泛科學、泛科技、娛樂重擊等專業媒體。NPOst 臉書:https://www.facebook.com/npost.tw

You may also like...