上萬公民團體血淚資安事件:NGO 該從哪些小地方著手,維護個案、員工和親友安全?

這篇不能只有我看到

去年(2021)7 月底時,臺灣許多 NGOs 使用的捐助管理系統的資訊服務商遭駭,大量捐款個資被盜,捐款人因此接到詐騙電話,讓 NGOs 與捐款人的關係受損,苦不堪言。而即使不是這麼災難性的重創,NGOs 也有越來越多業務轉到線上處理、資料也逐漸採數位化儲存。

確保數位安全,才能保護 NGO 服務個案的資料不外洩,對常處理敏感事件的人權團體來說,私人訊息和機密文件被竊,或安置據點、行動路徑、救援名單被發現等,更是攸關個案與工作者人身安全、危及組織存亡的事。這些攻擊不僅會來自獨裁/極權政府、意圖打擊公民社會,也可能因為私人企業的消極、放任自家技術被有心人士濫用而發生。

不幸的是,雖然針對 NGO 的數位攻擊越來越多,但國內外 NGOs 普遍都還缺乏足以應對這些攻擊的資源、能力和技術。

去年 7 月,專為公民團體處理資安事件的國際組織 Digital Security Helpline(DSH)發表了觀察報告,整理出 10000 個公民團體遭遇的資安事件,呈現各國 NGOs 常見的資安問題。專門協助臺灣 NGO 處理資安問題的 Civil Society Cyber Sshield(CSCS)社群也於 2020 年提出報告,不僅整理臺灣公民團體常見的資安困境,也提供一些 NGO 可以上手的資安強化資源。

帳號外洩最常見,人權團體與獨立媒體較易遭惡意軟體攻擊

在 DSH 接到通報的案件中,最常見的是帳號外洩,亦即使用者喪失對自己帳戶的掌控。這類通報光是在 2020 年就有 487 件,狀況包含帳號資訊外洩、出於未知原因而無法登入,或是線上平臺封鎖使用者帳戶等。

如圖一所示,DSH 在 2016-2020 年處理的帳號外洩事件中,最多起事件發生在 FB,次之在 Google, Instgram 的案件數則急起直追,名列第三。這些平臺對 NGO 來說都是「第三方服務」,亦即 NGO 對這些平臺沒有掌控權。

2016-2022 通報 DSH 處理的公民團體帳號外洩事件中,不同資訊平臺的通報案件數。圖/DSH 觀察報告 p.19

在 DSH 協助處理的事件中,少有資訊服務商能積極且投入足夠的資源協助公民團體,或是幫助他們避免帳號再度外洩。臺灣近年也有越來越多 NGO 設立 FB 粉絲專頁宣傳,或是用 Google 的雲端服務寄信與記錄資訊,確保在這些網路平臺上的帳號安全,同樣是臺灣 NGO 的當務之急。

據 DSH 分析,攻擊者為了取得帳號控制權,發展出非常熟練的策略:第一步,假扮成社群媒體的支援團隊,向受害者騙取可用來證明其身分的個資,以駭入受害者帳戶;若受害者有設置兩階段驗證(註),攻擊者只要能攔截發送驗證碼的簡訊內容,或是掌握受害者的電話、電子信箱等個資,改要求將驗證碼發送到攻擊者的裝置上,便可成功掌握該帳戶。

針對這類攻擊,DSH 建議使用者仍需開啟兩階段驗證,為自己多設一層保護,但同時要記得定期確認自己平常要求發送驗證碼的電子信箱或電話號碼是最新的,避免白白將帳戶的登入權限奉送給別人。

報告中也指出,記者、獨立媒體及人權團體是較容易遭受惡意軟體攻擊的對象,這類型攻擊往往會帶來嚴重的傷害,例如由以色列公司 NSO Group 開發的、惡名昭彰的惡意軟體飛馬座(Pegasus),被極權政府利用來監控異議人士、記者與公民團體的手機通訊,藉此掌握受監控者的聯絡對象與行蹤,成為政要打擊異己的工具。

這不僅嚴重迫害人權,也讓受監控者暴露於危險中。例如 2018 年沙烏地阿拉伯異議人士哈紹吉,在與友人的 400 多封 Whatsapp 訊息中批評沙國王儲沙爾曼,不幸遭飛馬座軟體駭入,國際媒體推測這成為他慘遭殺害的可能原因之一。

2018 年遭到殺害的沙烏地阿拉伯異議人士哈紹吉。圖/@ Wikimedia Commons

註:兩階段驗證是一種加強帳戶保護的機制,使用者在輸入帳號與密碼後,會被要求再加上額外的驗證機制。驗證方式有很多種,例如在指定裝置中點選按鈕,或輸入行動裝置上 app 顯示的數字串等,以確認是「本人」在嘗試登入。

攻擊與防守的資源落差過大,NGO 需要更符合情境的協助

DSH 也指出,儘管在數位轉型的趨勢下,建立一個安全的數位環境很必要,但在許多國家中都可見,公民社會與攻擊者的資源落差過大,數位攻擊正在侵蝕公民社會安全與線上交流的空間。

資源的落差包括硬體設備環境的加強,以及 NGO 與資安專業人員合作的成本。其中一個常見的困難是雙方的專業語言和工作環境差異,容易產生溝通隔閡。例如,需要處理敏感資料的 NGOs 重視個案的隱私安全,僅能讓資安專業人員查看部分設備和有限的資料,使資安人員難以深入評估、提出改善方案。

DSH 強調,公民團體需要更多支持資源、建立良好的資訊使用習慣、打好資安觀念基礎,並需要更多專家在「了解 NGO 需求」的情境下,提供他們務實的幫助。NGO 和資安人員之間如何建立信任、簡化溝通成本,也將是對彼此的挑戰。

善用 CSCS 社群面對臺灣 NGO 資安困境、找出協助方案

臺灣 NGOs 大多受限於經費、人力與技術上各層面的資源不足,難以在已經貧弱的組織資安基礎上做有效、長遠的防護。即使想擠出資金,市面上的資安方案大多是為企業打造的課程與配備,對 NGO 來說可能難以理解、所建議的設備也難以負擔。

即便是組織規模較大的 NGO,要聘請一個專職的資安技術人員所費不眥,已經很難做到,遑論要吸引資安技術人員在組織內長久發展,磨合出適合該組織的資安方案。

在上述困境之下,CSCS 社群算是一個折衷的實驗方案。CSCS 由許多關心公民社會的資安人員組成,是一個志工性質的社群,致力於提升臺灣公民團體與人權工作者的數位安全,讓倡議工作者能在安全的數位環境中推動議題。

除了協助臺灣 NGO 檢查設備的安全性、授課以建立資安基礎觀念,CSCS 更根據長年服務的經驗編撰專為 NGO 打造的資安教材並公開授權於網路上,希望能盡可能幫助到華語世界的 NGO。這套教材嘗試用 NGO 聽得懂的語言與工作情境,提醒各團體可能會有(或還未意識到的)資安需求,並說明工作者會需要的資安知識與解決方案。

圖/擷取自 CSCS 專為 NGO 打造的資安教材

例如,說明為什麼需要開啟兩階段驗證、如何選用更能保障隱私的通訊軟體等,畢竟如同哈紹吉遇害的例子,通訊內容遭駭曝光,有時不僅危及自身安全,也可能牽連到與自己聯繫的親友與服務個案。CSCS 希望幫助 NGO 打好資安觀念的基礎,並採取組織能負擔的配備來落實。

根據 CSCS 的報告,臺灣 NGO 常見的資安問題,其實很多都可以從良好的資安習慣開始改善。密碼的安全性就是一大重點── 許多 NGO 工作者為了方便,沒有設定螢幕開機密碼,若讓外人使用到工作電腦,裡面儲存的資料輕易就能被他人取得;或是沒有定期更換所使用的各項網路服務密碼,如信箱、製圖網站等,這些都可能使組織被駭客攻擊致使個資外洩。

另一個常見的情形是,許多組織會將 wifi 密碼公開貼在牆上,或使用非常「好猜中」的數字(例如統一編號或電話號碼)做為密碼。在這種情形下,只要 wifi 機臺遭駭,所有連線到這個 wifi 的傳輸內容都可能被攻擊者一覽無遺。

其他常見的資安問題還包含沒有開啟兩階段驗證、帳號權限疏於管理(例如已離職的前員工依舊可讀取組織業務資料)等,顯見許多資安問題其實都很基礎且容易改善、防範。而協助提升資案的單位如 CSCS 也相信,唯有提供 NGOs 有能力實踐的方案,才能真正改善這些團體的困境、降低資安風險。


延伸閱讀數位管理技巧:
1. 全球精選/3. 簡單幾招讓網路與手機固若金湯,遠離網路攻擊!
2. 「數位倫理」是公益團體建立信任的基礎:即使取得同意使用個資,未必就合乎倫理
3. 全球動態/2. 關於資料搜集與使用,你不可不知的「2 好 3 壞」
4. 有效收集、管理、應用數據與資料,NPO 也可以坐擁「金山」/地球公民基金會


這篇不能只有我看到
鄭婷宇
鄭婷宇

喜歡研究各種公民科技、開源文化、公民參與等議題,尤其對於科技為社會帶來的影響深感興趣,現職致力於推動開放政府與數位人權。

職業技能是研究與寫作,著迷於研究新事物後收斂、結晶成知識的過程,像是探索了一個新宇宙一樣有趣。希望能用自己的技能與關懷,讓社會更美好。

平時是2隻貓的媽,跟貓一樣討厭喧嘩與人群,愛山林大過都市的女子。

文章: 2