為你量身打造的詐騙、沒駭客也可能有風險！藏在日常互動與工作流程中的資安危機

2024 年，瑞士非政府組織（NGO）「網路和平研究所」（Cyber Peace Institute）指出，非營利組織（NPO）已成為駭客等網路罪犯高度鎖定的攻擊目標。由於預算有限，這些組織多將資源投入服務本身，再加上資安意識不足，更容易讓捐款人與服務對象等敏感資料暴露在風險之中。

近年來，臺灣也陸續傳出針對 NPO 的數位攻擊與資料外洩事件。當資安風險成為現實挑戰，組織該怎麼正確理解資訊安全、怎麼開始著手？又會面臨哪些新的風險與考驗？

資安不只是駭客入侵，更是維持組織運作的「風險管理」

談到資安，許多人的第一想像是裝好防火牆、避免駭客入侵。不過，曾協助組織資安稽核與輔導的海棠文教基金會專案部主任吳佳倫指出，資安的本質其實是「風險管理」，不只關乎技術防護，更牽動組織日常運作的工作流程、治理文化與人員習慣。像是密碼是否共用、重要資料會不會放在個人筆電、資料能不能帶回家處理等，這些都是防範數位攻擊的關鍵。

「防毒軟體只是資安防護中很小的一環，更重要的第一步是『資產盤點』，先釐清組織要防護多少東西、目前有哪些缺口。」吳佳倫補充，資安風險也不只關乎捐款人或服務對象的個資，還包括組織是否能持續運作。若設備故障、系統無法使用，導致服務中斷、無法馬上回應捐款人或服務對象的需求，即使沒有發生駭客入侵，也同樣屬於資安事件。

她說明，一個組織的資產盤點通常涵蓋多個面向，包括平時使用的軟硬體設備、員工或捐款人等個資、辦理活動或課程參與者的資料等。此外，重要合約、內部文件、組織長期累積的專業經驗和知識，也都是需要被保護的資產。甚至連辦公室的電力設備、環境安不安全，以及「誰能使用哪些資料或設備」，都應一併納入盤點，才能了解風險會出現在哪裡。

不少 NPO 常擔心資安要求高、太複雜而無從下手。對此，吳佳倫建議，不如回到組織本身，先找出「最重要的核心業務」，再從該業務著手梳理流程。以社福團體為例，捐款人與服務對象的資料管理通常最為關鍵，就可以先釐清這些資料如何被蒐集、從哪些管道流動、由誰在什麼裝置上使用。

她舉例，曾有組織僅針對單一活動的報名流程做盤點，就討論了近 2 小時，才發現因報名管道多元、又是以人工方式建檔，過去曾誤植資料，導致行前通知信未順利送達、甚至可能將夾帶他人個資的信件傳錯人。也曾發生志工以個人電腦協助整理資料，卻未存回組織，等到需要時才發現資料找不到、還一時聯繫不上對方。

「問題發生後，我們通常只會想怎麼解決，不會視為資安事件，但確實是風險。」吳佳倫強調，資安的概念其實很常出現在日常生活中，只是大家容易把它想得太嚴重，「這些盤點流程，很需要 NPO 靜下心花時間梳理，找出自己的弱點加以防護。」

陪伴組織從日常工作情境出發，切身理解資安威脅

2022 年，時任美國聯邦眾議院議長裴洛西（Nancy Pelosi）來臺訪問期間，開放文化基金會（OCF）觀察到大量針對臺灣的網路攻擊，其中許多民間團體的網站相繼遭到威脅。同時，透過資安領域的夥伴，更發現長期投入中國、香港等人權與政治議題的組織都成為目標。

開放文化基金會技術經理蔣偉志指出，這些看見讓團隊開始協助公民團體提升數位安全意識，近年除了舉辦資安防護課程外，也推出《CSOs 數位防禦手冊》，以淺顯易懂的方式說明數位攻擊的基本概念、引導組織評估自身風險與因應策略。日前還公開了「資訊安全資源指引」，統整各方資安資源供組織使用。

今年初，OCF 首度啟動為期 1 年的資安培訓計畫，實際陪伴 6 個性質、規模各異的 NPO／NGO。不只有授課，更強調長期陪伴，從資安基礎觀念出發，手把手協助組織檢視內部資安狀況、逐步調整改善。蔣偉志說：「過去組織可能只接觸過零散的單點課程，但如果沒有先理解資安為何重要、要保護什麼、跟自己有什麼關聯，就很容易無感、難以真正落實。」

「要保護的東西不一定都是有形的，也可能是組織倡議的理念和價值。假設有天遭到挑戰，該怎麼捍衛？」蔣偉志說明，假設組織將舉辦激烈的街頭倡議，會透過粉專宣傳，那帳密怎麼管理？外出行動時是否要使用 VPN？從日常的工作情境切入，才能意識到資安與自己密切相關。

而培訓結束後，OCF 希望參與的組織都能制定一份內部的資安政策，過程中他們也會分享範本、提供建議，其中雖然有共通性的原則，但也會依照組織性質、面臨的風險不同而有所差異。

蔣偉志以人權團體為例，指出成員可能需出國參與國際會議或閉門會談，若外派地點與組織倡議的議題有衝突，就需要事先評估風險，例如是否規畫緊急聯絡或撤離機制、是否有投保，或出國時是否要用 VPN 連網、改帶沒有存放敏感資料的電腦等，都應納入考量。

另一方面，蔣偉志指出，多數 NGO／NPO 的資安資源稀缺，許多組織光是維持服務就已捉襟見肘，「不少人對資安完全沒有概念。」即使像 OCF 等民間力量能提供協助，但仍仰賴資源支持才能持續推動。既然政府近年重視資安議題，也應投入更多支持。

談到組織經費有限、難以聘用資安人才，他則建議：「許多團體目前是由非本科的財務或行政人員兼做資安，負擔很沉重，所以建議可集結多個組織共聘一至兩名 IT 人員，不僅能分攤成本，也較能確保專業。」

AI 世代加速資安危機，越來越難證明「自己」

在數位化加速、AI 工具普及的時代，NPO 面臨的資安風險也出現新的變化。蔣偉志觀察，近年釣魚信手法明顯升級，從過去假冒 FB、IG 等平臺廣灑信件，大量寄送帳戶異常信件、誘使點擊惡意連結，如今已演變成高度客製化的一對一攻擊。

他舉例，攻擊者可能透過 AI 快速分析組織的理念、服務與近期活動，假裝成報名者或合作對象來信，以精準的語氣和情境來回溝通數封信後，才附上連結或檔案，只要點開就會中招。

也有情況是盜用組織帳號寄信給其他人，內文乍看毫無破綻，甚至寄出後刪除備份，更難察覺異常。蔣偉志無奈表示，面對這類攻擊只能提高警覺，「你會開始懷疑每一封信，分不清寄件人的真實身分，久了也會影響彼此的信任。」

吳佳倫則提醒，在 AI 時代，許多組織開始會使用 AI 輔助自己的工作或服務。即使過程中沒有直接揭露個案姓名，只要累積足夠的背景線索，AI 系統其實已可能快速拼湊出一個人的真實身分。這對 NPO 而言，或許有助於理解服務對象或捐款人，可一旦資料外洩，就可能被用來製造更逼真的假訊息及詐騙內容。

心路基金會公共事務部主任劉又綺、台灣關愛基金會副執行長馮一凡則都強調，組織會明確提醒同仁，使用 AI 整理想法或心情沒問題，但不得輸入可識別的個資、服務細節及機密內容，包括財報、會議記錄等都需留意。

此外，吳佳倫也提到，近年在國際上開始倡議若有使用 AI 工作，需要對外揭露使用情境，若報告或貼文曾透過 AI 協助整理或潤稿，也都應清楚標註。這除了提升資訊透明，也有助於在發生資料外洩時，釐清問題出在哪個環節。

導入「資安揭露」概念，提高透明度、強化社會信任

隨著資安風險日益升高，是否能從法規層面要求 NPO 強化防護，也成為重要課題。但在現行制度下，以「財團法人」為例，依法需揭露的內容仍以「財務報表」與「工作報告」為主。

吳佳倫指出，當組織的服務、募款與內部運作高度仰賴資訊系統時，資安早已不僅是技術問題，更直接關係到組織能否穩定運作、維持與「人」之間的信任。然而，若採取高強度的監管方式，像是目前定期進行資安稽核，無論對主管機關的稽核人員，或被稽核的組織來說，都是勞民傷財。

因此，吳佳倫在論文中提出了「資安揭露」的概念，這借鏡自美國證券交易委員會（SEC）的制度設計，透過要求揭露資安風險，來提高透明度、促進組織更重視資安治理。

若要套用至臺灣，她認為，資安揭露是一種低度介入、強調自律的治理方式，重點在於透過資訊公開，不僅促使組織主動盤點資安風險，也能回應公益團體本應承擔的責信期待。

具體來說，這些揭露內容可涵蓋一個組織持有的個資類型與總筆數、是否辦理過教育訓練、是否定期請資安顧問協助，或有沒有使用防毒軟體、是否通過 ISO27001 國際資安認證等。若曾發生資安事件，也應說明後續的因應與改善作法。

她指出，從美國上市櫃的資安揭露經驗來看，「清楚交代資安事件的來龍去脈和應對方式，並不會長期影響股價，反而更有助於增加社會大眾對組織的信任，而不是摸摸鼻子就算了。」

吳佳倫認為，國外的資安揭露制度同樣是循序推進，回到臺灣現況，現階段可以不必要求太複雜的揭露，而是先聚焦基本項目，建立基本共識，或許就能成為連結制度、實務與社會信任的起點。

---

延伸【資安系列文】：信任流失再難挽回！詐騙捐款人成駭客新招，資訊安全不只是 IT 人員的事

延伸資訊安全＆組織管理：
1. 「電話被打爆、十年捐款資料全遺失」信任崩壞只要一瞬間，公益界防詐刻不容緩
2. 公益生態報告：６類捐款人如何捐、逾４成團體用過募資平臺、如何投入資安防護
3. 2022 數位時代公益調查：手機支付捐款夯、動保議題受重視、資安是必要素養
4. 「數位倫理」是公益團體建立信任的基礎：即使取得同意使用個資，未必就合乎倫理
5. 數位素養全員提升！NPO 轉型的關鍵 3 大步／地球公民基金會

---