編按：

在數位化的浪潮之下，步上數位轉型之路是公益界不可忽視的重要議題。然而，2021年爆發的捐款人各資外洩事件，讓許多依舊在探路的公益團體上了一課── 踏上數位轉型之路，同時勢必得建立好資安意識。

NPOst採訪投身在資安領域的趨勢科技專家：台灣區暨香港區技術支援部資深經理簡勝財、台灣區經銷業務部業務協理黃家寶。藉此機會讓關心資安議題，以及需要資安知識的工作者與大眾，能對此議題有更清晰的認識。

文／黎育如

「其實在資安議題上，公益團體跟企業沒有很大的差別」簡勝財與黃家寶在了解此次公益界的資安危機之後，回望自身多年投入企業資安領域的經驗，認為資安議題其實不分領域，特別是思維與觀念的建立，才是翻轉資安困境的關鍵。

資安迷思：不是懂資訊，就懂得安全

簡聖財感嘆「在IOT時代，講求功能好用又要便宜，安全性往往就會被犧牲」，一語道破當今數位現況下的兩難。對照此次網軟公司的疏失，確實也反映了這樣的現實。早期進行系統開發，通常都是一條龍式的服務，對於廠商來說運作順暢才是首要，功能性的考量會大於安全性。然而資安攻擊變化相當快速，若沒有及時注意就可能淪為攻擊目標。

簡勝財強調，身為使用者必須清楚，有系統開發的專業，並不代表也有資訊安全的專業。「雖然會開馬路，但不代表懂的交通安全」精準的比喻，說明了現今大眾使用數位服務時具有的迷思。

甚至系統商將主機放置在有名聲的品牌下代管，也不能百分百確認其安全性。因為代管就如同租用空間，內部的規劃還是要自行負責，如果程式語法沒有寫好，依舊會被破解。由此可知，公益團體經歷危機之後，應當思考在使用資訊服務時，要如何正確看待服務相關的安全措施。

「以不信任為前提」是在使用資訊服務前，必須要有的基本假設，才能徹底檢視安全程度。趨勢科技長年提供電商服務，有豐富協助經驗的黃家寶表示，過去電商經歷過駭客與詐騙的攻擊，大眾已有警覺心，但公益團體的詐騙卻是相對少見，自然容易取信於人。詐騙在現今已是一個成熟的「產業鏈」，上下游分別有不同的專業，像是前端有竊取資料的駭客，後端則是能言善道去取人信任。

反制詐騙產業鏈，先了解資安攻擊趨勢

在詐騙產業鏈的陰影壟罩之下，資訊安全雖然難以做到百分百的滴水不漏，但至少能從建立危機意識切入，幫助公益團體認清問題核心，才不會如此手足無措。

簡勝財說資安攻擊趨勢一直在變化，也會隨著科技不斷演進。即使是存在許久的網路釣魚，因為重點在利用人性的弱點──好奇心，所以歷久不衰。過去釣魚是透過電郵，近幾年隨著社群網站興起，駭客用熱門、好康的話題，乃至於假冒官方誘騙目標上當。像今年初發生許多網紅臉書遭盜用，就是駭客利用官方身分取信於人，當點進駭客設置的連結，資料就一筆筆流失。

除了常見的網路釣魚，簡勝財也提到近幾年特別嚴重的勒索病毒，早期是隨機式攻擊，鎖住中毒者的電腦螢幕，後來演進到將中毒者的檔案全部加密。近兩三年，鎖定大企業進行ATP攻擊（Advanced Persistent Threat）更是屢見不鮮，ATP手法可怕之處在於「持續性」的攻擊，直到達到目標──雙重勒索，不但竊取資料還進行加密，若沒有得到相對應贖金，受害者的資料就會被販售至地下的暗網，做不法利用。ATP攻擊難以察覺，在於駭客會先進行探勘，且擅長隱身不讓受害者發現，建立「暗樁」控管電腦掌握伺服器、資料庫，置入病毒程式，持續把相關資訊打包外傳。

簡勝財強調，依照過往經驗的觀察，攻擊的爆發週期會隨著一年三節變化，鬆懈期的連假通常攻擊比較多，所以至少要再追蹤半年此次的資安危機，持續觀察公益界是不是又有另一波攻擊，留意潛藏的暗樁。

根據趨勢科技的公告，漏洞一直以來是駭客的攻擊目標。相較於2019年，2020年的漏洞增加了40%，駭客透過執行惡意程式，接著提取檔案、下暗樁執行更多指令，等著做下一步攻擊。漏洞逐漸增加的趨勢，也揭示了公益團體往後需要提高警覺，危機意識不可少。

資訊供應鏈時代  安全議題複雜化

除了常見的資安攻擊，對於當今數位已進入雲端和供應鏈的時代，公益團體不能只享受其帶來的便利，卻忽略了每項服務環節中可能產生的效應，對現今資訊環境保有一定程度的理解，也是重要的課題之一。

回顧此次捐款人個資外洩，就是屬於最常見的供應鏈攻擊。「最弱的一環決定了整體安全的強度」，簡勝財斬釘截鐵的形容。他說從供應商／系統商著手攻擊，只要一次打下供應商／系統商，所有使用廠商服務的客戶都會受到攻擊，像這次多家公益團體就牽連受到影響。

觀看市面上的系統商，數量也不多，所以各組織常常是聽聞推薦，或是自然而然跟進其他使用者，並不會特別注意資訊安全的防護程度。在這之中伴隨而來的就是認知的落差，使用服務者認為將服務外包，廠商應負責全部的問題；但對於廠商而言，專業在於開發系統而非資安，在資安部分的應對就會相對模糊。待危機發生時，雙方對權責的區分就會產生爭論。

所以使用系統商的服務之前，有許多功課需要做足，包含建立檢查機制。黃家寶提到與其要求買哪些防毒軟體、達到哪些技術要求，趨勢科技會使用訪談的形式，以特定的攻擊方式切入最為清楚，詢問對方能否擋下攻擊，如果有風險就要趕快改善。

不公平的戰爭？痛到才知道防禦

「發動攻擊的人都是專業駭客，被攻擊的都是資安常識不足的人員，等於是一場不公平的戰爭。」簡勝財重心長地說。

對照公益團體的經驗，沒有足夠的金錢與技術人力，確實是提升資安的一大困境。但這也代表公益團體在外包資訊服務時，更需要提高意識，在選擇合作對象時一定要多問：「是否有資安服務？是否有資安廠商配合？」公益團體要認知到提升資安需要成本，相較於不確定的損失而言，每一分成本都有其價值。

黃家寶說觀看企業界的經驗，近幾年資安議題較嚴重的是製造業。很多執行長抱持舊有的思維，認為資訊安全是資訊部門的事情，殊不知只要隨意一個部門的員工缺乏資安意識，亂點網頁、下載檔案都可能影響到整個公司。

雖然發生資安危機會讓公司、團體蒙受損失，但何嘗也不是一個教育的時機點。否則觀念要一時之間轉向相當困難，「平常不會聽，痛到才會聽」黃家寶感嘆，這才是許多人開始真正願意正視資訊安全的時候。

陣痛之後，「韌性」是解方

在經歷此次風波之後，受影響的公益團體除了紛紛考量是否轉換系統服務、盤點自身資訊安全的能力，幸運沒有遭遇資安危機的公益團體，也應開始思考平時的資安策略。

簡勝財提醒公益團體可以從基本的防護著手，除了安裝防毒軟體以外，其他例如：網站盡量回到官網操作、個資不要隨便提供、記得進行雙重認證。甚至是最基礎的更新作業系統也不能忽視，因為在更新系統的同時，也是在修補漏洞和問題。此外，也可以善用165、防詐達人等輔助工具。

尤其是在疫情期間，由於轉變成WFH（work from home）的工作模式，許多公司、團體緊急之下來不及建立安全系統，僅能依靠自己個人的防禦能力。雖然資訊環境的風險增加，但也是測試使用者是否具有良好資訊使用習慣的機會。

「韌性」是簡勝財與黃家寶對資訊安全下的重要註解，意味著組織要具備基礎防護力，不要遭受攻擊後就一蹶不振。即使趨勢科技走在時代的前端，不斷開發新的工具，但他們都認為資訊安全沒有唯一標準的作法，除了使用新的科技，使用者的習慣也要跟著改善，才會達到效果。韌性，就在一點一滴的累積中漸漸成形。