公益捐款的歷史分頁:深陷資安危機,我們要如何續寫未來?/專訪陳文良

編按:NPOst延續今年震盪公益界的捐款人個資外洩事件報導,專訪曾擔任聯勸秘書長、現任台灣數位文化協會秘書長的陳文良,回顧捐款數位化的歷史,二十多年一路走來,台灣公益捐款的發展已相當多元蓬勃。此次資安事件則象徵另一個歷史轉捩點,也讓我們有機會藉歷史之鏡,思索數位化之後的公益界該走往何方。

NPOst(以下簡稱N):回顧台灣捐款歷史的發展,是如何一步步演進到現今資訊化的捐款形式?

陳文良(以下簡稱陳):921地震前絕大部分是靠郵政劃撥,隨著資訊化與消費金融業務發展而有了不一樣的情況。

金融機構早期還沒全面電腦化的時期,捐款方式除了劃撥,現金袋,也就是直接走進機構大門直接捐款。如果要看機構歷史久不久,就看看劃撥捐款的比例多寡。可見當時捐款人慷慨又勤勞,因為那時候都還沒電腦化。

1990-2005年之間開始快速資訊化,電腦化之後才有轉帳。早期做網路的信用卡捐款是花旗銀行(編按:應為「花旗聯合勸募活動」),當年花旗總部前面用旗桿做募款目標的象徵,有聖誕老人往上爬的裝置藝術,捐越多就往上升,製造共感。另外,中國信託與ICRT每年有募款活動(編按:應為「點燃生命之火」),活動背後是以銀行互利募款為基礎,後來才放入信用卡捐款,呼籲大家在年底做捐款。

921大地震  捐款突破性發展

陳:921地震發生的網路剛興起,很多海外人士想捐款回來,有資訊公司主動說做網路募款機制,募了750多萬,對當時的聯勸來說是個很新鮮的經驗。線上金流系統也剛開始出現,然後這些機制就連結起來。這是最早成功的案例,甚至在國際聯合勸募組織的成員之間也是一樣,台灣聯勸最先開始透過網路募款,那幾年我們都受邀去國際聯勸年會分享網路募款經驗。

Pickawood@ unsplash

後來信用卡發行量在台灣到頂峰飽和的時候,也開始有分期付款刷卡與訂期扣款的支付方式,這個概念套用在公益團體就是定期定額捐款,讓捐款更簡便。以前劃撥要捐款人一個月去郵局一次,公益團體能做到的是套印好劃撥單,讓捐款人不用手寫,捐款人只需到郵局給錢,這已經是當時劃撥進展的極限。所以信用卡定期定額的出現,是另一階段發展,成為公益團體累積捐款的重要管道,對捐款人干擾最少、對捐款人樣態的了解機會最大,藉此與企業合作的空間也相對的提高,當時聯勸的理事長、副理事長都是企業經營者出身,很早就導入CRM的觀念。

捐款管道改變反映了金融環境與基礎建設的變化,後來各種通路、ATM、 7-ELEVEn、全家等便利商店零錢捐、IBON介面上也開始有捐款功能,台哥大可以用電信繳費捐款,一直到最近的Line pay ,街口支付等等,都反映了這些轉變。

公益團體要多站在「消費者」體驗

陳:進入多元的募款管道時期,更重要的是公益團體如何維護、管理捐款系統,無論是自己管理或是委外,公益團體多半不像銀行能夠精準掌握顧客財務資訊,但與時俱進的資訊安全維護是基本投資,不然駭客進來你也不知道。

Joan Gamell@ unsplash

我自己在聯勸也曾經遇過一次駭客事件。IT同事發現後台有陌生程式碼,發現是駭客。於是緊急處理,關台、報警,請公關發新聞稿,找資安人員處理,通知捐款人提高警覺。當時有媒體來採訪,那位記者用了比較尖銳的方式去探討關於安全機制、是不是沒替捐款人著想,但是,報導出來是蠻正面的。之所以發佈新聞的原因,就是為了捐款人的好處,請他們提高警覺。

事件結束後捐款人回覆都覺得很完善、負責,之後每天都清捐款頁面,不留檔,定期做弱點掃描。一般網頁消費者可以刷卡的地方,代表信用卡發卡單位有針對電商做弱點掃描,或是轉換到經過認證的金流服務公司。近年來偽卡集團是打擊跨國犯罪的重點,一旦發現大規模信用卡個人資料外洩都會換卡,直接寄新卡,通知銷毀舊卡。金融業對於資訊洩漏有固定成熟的SOP。所以我常說,捐款人也是消費者,一樣很精明,但公益團體負責人也都是消費者,轉換身份時卻忘了自己精明的消費者經驗。

還原個資外洩事件的來龍去脈

N:當初為公益界建構資訊系統的考量是什麼?大家後續疏忽了什麼,造成今日的漏洞?

陳:公益團體常說自己缺人跟缺錢,能省則省,成本越低,效益越高。但這個迷思,讓規模小的團體不敢、或是不知道花錢下去是否值得,而對轉型卻步。

公益團體開始建立捐款管理系統的時候,喜馬拉雅基金會用資訊部門成立網軟,根據公益團體的需求寫網頁、後台資料庫。

公益團體對捐款管理系統的想像是薄弱的,當時都是手key資料,資料平台超過7人在線就會當機,資料量無法負荷。當時工程師對公益界不太了解,所以大家浪費了金錢在無效的系統上,當時也沒有根據公益團體的特殊需求而生的系統。所以喜馬拉雅基金會投入資源,設立一個資訊部門,變一家公司,這也就是現在的網軟公司。因為他們了解公益團體,所以很多家團體都使用他們的服務。

FLY:D@ unsplash

這次個資外洩發生時,我聽聞情況覺得不解,聯繫網軟負責人,但他是工程師出身,表達方式不容易讓一般人放心。我有點擔憂他講不清楚,像是公益團體擔心的問題究竟解決了沒?系統商對於被駭入的反應,他說:「不排除機構在登入系統的裝置、密碼的管理存在破口。」這當然是可能的原因,但是,聽著讓人覺得是把責任推給公益團體沒盡責保護帳密資料。這個系統商,對於事態嚴重性的想像,和公益團體對這件事的憂心差距很大。

知道這情況後,我請網軟提供名單,通知所有公益團體知會捐款人提高警覺,原本他們持保留態度,但是,我提醒他們,網軟成立初期推薦公益團體使用他們服務,我也有責任,網軟才提供名單,轉請衛福部,通知各地社會局,知會所轄境內公益團體,要他們通知捐款人注意。並跟劉世芳委員以及來自公益圈的吳玉琴委員反應此事,尋求更多的協助。

同時也向明怡基金會創辦人張明正先生求助,他也推薦了有資安技術的前員工,協助了解問題受影響的範圍。

最諷刺的「詐騙食物鏈」

陳:除了ATM詐騙大眾較熟悉,信用卡盜刷反而較不熟。因為銀行重視盜刷,有OTP的機制,但公益團體沒有機制保障,有人填寫的授權書在資料庫被存取,之後被盜刷運用,邏輯上來講,這是駭客搶銀行的管道,盜刷跟詐騙集團是不費一槍一彈的在搶銀行。

公益團體因資安不足,造成財務上損失,捐款人會糾結,為什麼做好事反而被騙得一無所有?

StockSnap@ pixabay

更諷刺的是,詐騙集團透過車手轉帳,很多都是未成年,真正幕後都不會被抓。遭到逮捕後的非行少年會被送去哪?可能就是由公益團體營運,安置司法少年的安置機構,這些機構也可能是被詐騙過的團體。這形成詭異的食物鏈,很荒謬,但就是現在的狀況,要趕快改善。 

詐騙產業鏈中駭客攻擊重點和偷的名單,會評估含金量、變現機率大不大。後面若資料本身足以進行盜刷,盜刷方式會藏在消費裡面,消費者沒有一筆一筆對資料不會看見,這些都是漏洞,會變成損失來源。

衝擊之下,公益團體學了一課?

陳:所以說資訊安全,除了銀行要顧,機構本身也是,誰掌握名單就要對安全性負責。有些信用卡資料會存在機構資料庫裡面,比較危險。機構有定期定額資料,像是姓名電話,想分析捐款人樣貌,但擁有太多資料又不安全,需要權衡並重新學習。

希望這次事件是轉捩點,網軟說是因為沒升級、沒更新,這是不負責任,不能因為人家沒升級,就把系統設定成最薄弱,這無法說服人。

N:這起事件對捐款人的衝擊?對不同背景捐款人的影響是什麼?

陳:周遭很多朋友是持續會捐款,會問我要怎麼捐、誰真的有在做事。但有些人不太在意要怎麼捐,甚至希望機構不要跟他聯絡,可以扣稅就好。有時候團體跟捐款人之間的想像不一樣,有些人要保持距離、在電視上看到捐款機構的好消息會開心,多半還是希望干擾少一點。

新世代35歲以下,捐款議題更多元。網絡行動科技做客戶分析,議題的廣度相較過去都大,國際事件、環保、人權、動物福利等等都有。之前就是台灣、小孩、沒飯吃募得最好,現在不一樣了。

Alex Mecl@ unsplash

台灣人對國際捐款都蠻大方,國際捐款間的友誼也是一種交流,捐口罩、捐疫苗都同理。不同世代的公益參與行為,現今是跨議題、跨國界,跟過去只關注台灣自身,特殊明顯弱勢議題有差別。

在這個趨勢下,每個人對自己國家的公益組織、資安機制都要有常識,所以新世代需要資安識讀的能力。

拒貼公益團體不思進取的標籤

N:你認為此次風波對公益團體而言是樂觀還是悲觀的?

陳:公益團體沒有悲觀權利。在事件當下,我在自己職務可以影響的範圍內,盡可能找資源解決問題,並進行社會與跨部門溝通,爭取時間,不讓詐騙騙更多錢。我希望引進跨領域知識,看清楚社會往哪走,解決社會問題方法會怎樣變化。

為了應對這次緊急事件,台灣公益團體自律聯盟趕快組織大家作後續的止血,聯盟內成員都正在積極的配合,同時,開拓文教基金會也進來一起提供資訊相關層面的知識輔導。

N:對於公益團體來說,現在的當務之急是挽回捐款人信心,該如何面對?

陳:不要因為害怕而錯失最好的時機,因為不知道、不確定才會害怕,所以要去了解事實全貌。

就像老男人不想做身體檢查,不想知道這麼多,同理,因為害怕不去面對反而更嚴重。用忙碌去推辭,不做資安檢測,決策人員會變成進步的阻礙。

這次事件是警訊,如果連這次都要大事化小、小事化無,未來的數位落差只會越來越大,進步的技術進不來,給外界一個公益團體都不進步的印象、跟公益團體合作太危險,不希望看到這天發生。

作者介紹

NPOst 編輯室

NPOst 編輯室

NPOst 公益交流站,隸屬社團法人臺灣數位文化協會,為一非營利數位媒體,專責報導臺灣公益社福動態,重視產業交流、公益發展,促進捐款人、政府、社群、企業、弱勢與社福組織之溝通,強化公益組織橫向連結,矢志成為臺灣最大公益交流平臺。另引進國際發展援助與國外組織動向,舉辦每月實體講座與年會,深入探究議題,激發討論與對話。其姐妹站為「泛傳媒」旗下之泛科學、泛科技、娛樂重擊等專業媒體。NPOst 臉書:https://www.facebook.com/npost.tw