資安危機下 協會面臨的挑戰
發佈日期:2021-12-23 文/企劃部 陳光銘 精選主題
資安危機下 協會面臨的挑戰
當疫情趨緩,經濟生活也正在回到正軌上,協會在疫情期間面臨捐款下滑與服務調整之際,已經歷過一波陣痛與改變。然而一波未平,一波又起,協會與公益界正經歷一場更嚴重的「資安危機」事件,並且與協會最重要的支持者——捐款人息息相關。
危機是如何開始的
協會在8月2日收到網軟公司Email 通知,請協會在公開社群與網站做「防詐騙宣導」,當時我們還不知道發生了什麼狀況,為什麼要做這方面的公開宣導。因為不確定,詢問網軟公司也僅得到如此回覆:他們客戶反應捐款人有接到詐騙集團電話,懷疑疫情下降後,詐騙反而升溫。建議協會可以公開宣傳,提醒捐款人小心詐騙。
協會正在評估與了解情況之際,隔日網軟公司再次通知說明:旗下捐款系統因遭受駭客攻擊,已通報檢調單位並進入偵查階段,為保護捐款人,請配合防詐騙相關宣傳。我們發現大事不妙,網軟公司是協會捐款系統的網頁與後台之供應商,協會歷年的捐款人資料皆建檔在捐款系統上。但與網軟公司求證是否協會的資料也遭到駭客竊取,始終得不到明確回覆。
於是開始找尋一下網路相關新聞,發現在7月底時,有少數幾個公益團體接到捐款人反應,詐諞集團假扮公益團體工作人員,利用捐款人個資進行詐騙。「捐款設定錯誤,依照指示進行更改」、「捐款業務需要相關詳細個資」,是捐款人最常遇到的詐騙狀況。令人不齒的是,有別於商業行為詐騙,詐騙集團利用公益團體累積多年的正面形象,以及捐款人的善心與信任,讓受害者更加信以為真。
事件持續蔓延 協會也無法倖免
之後事件持續延燒,當一家又一家公益團體接連遭遇詐騙情況,大多是利用假日趁捐款人也無法電話求證。後續警方調查發現遭到詐騙影響的公益團體,所使用之捐款系統皆屬於網軟公司所提供的服務。駭客看準公益團體捐款人的可利用價值,網軟公司至少承接了200多家公益團體的服務。駭客竊取個資之後轉賣給詐騙集團,詐騙集團再利用個資進行詐騙行為。
當協會了解大致狀況,後續在官網與FB皆發布詐騙提醒公告,提醒捐款人留意詐騙電話。我們真的很希望駭客「只」是拿走網軟公司捐款系統部分的個資,而協會不在其中。然而不幸的是,在8 月15 日協會的捐款人開始陸續接到詐騙電話,許多捐款人因而上當受騙遭受錢財損失。協會之後也立即在8月16日再次在各公開平台提醒反詐騙宣傳,且說明詐騙事件原委。
爾後經查與推估網軟公司的捐款資料庫之資料,應該早在6月就遭駭客入侵竊取,最終將捐款人的資料賣給詐騙集團之手,於是在7月底開始,一個團體一個團體的進行詐騙。但網軟公司始終無法確定遭駭客攻擊之範圍,所以只能假定所有捐款人資料,都已被駭客竊取。足足有200 多家的公益團體規模,可見此次詐騙影響範圍相當廣大,並且會在公益團體界持續發展。
當危機發生時 該如何應對
當8月15日協會陸續收到捐款人反映,協會是否個資外洩,有詐騙集團假冒員工進行詐騙。隔天協會也馬上在官網與FB發布聲明,並且發送電子報與簡訊提醒所有捐款人注意詐騙行為。整起事件對協會影響重大,因為捐款人個資外洩會造成連鎖效應,必定會影響捐款人與協會之信任關係。捐款系統部分的個資,而協會不在其中。然而不幸的是,在8月15日協會的捐款人開始陸續接到詐騙電話,許多捐款人因而上當受騙遭受錢財損失。協會之後也立即在8月
16日再次在各公開平台提醒反詐騙宣傳,且說明詐騙事件原委。
在事件初期,網軟公司與協會之間的往來也相對消極,只能說是處在被動狀態在與協會溝通,對於協會提出的問題幾乎沒有正面答覆,而且在通知協會相關之消息與應對措施也是慢了半拍。因為這會影響協會對於訊息的公告程度與相關決策,協會是否要全面通知捐款人?這樣是否會引起恐慌?協會又該如何對捐款人交代事件因果?
在這次危機中,最困難的是如何確保現在與之後的資訊安全。因此協會也向網軟公司提出應取得第三方資安認證,確保目前捐款系統安全無虞。同時網軟公司也應由獨立第三方進行事件整體事件之調查,藉由調查報告才能對協會的捐款人有所交代。但因為網軟公司態度過於消極保守,協會也正在積極找尋新的合作系統商,替換掉正在使用的捐款系統,進一步確保捐款人的資訊安全。
協會下一步 加入集體的力量持續前進
個資法明確提到:「個資洩漏時,應查明後以適當方式通知當事人。」協會有義務告知捐款人個資外洩狀況,盡可能的與受影響之捐款人進行公開透明地溝通。第一時間主動告知捐款人,讓捐款人了解狀況並提供協助,提前提醒捐款人協會聯絡時間與確認資料方式,預防捐款人受騙。
在網軟公司服務的200多家團體中,台灣公益團體自律聯盟的盟友就有60多家受到影響,作為盟友之一,協會參與自律聯盟及其他受害團體共同成立Line 社群,彼此更新事件調查的進度報告,以及探討後續的行動方針。透過集體的力量,公益團體之間彼此合作,並由自律聯盟主動向外尋找更多資源協助,同時也集體採取法律途徑進行報案,盡力將駭客與詐騙集團繩之以法。也持續釐清法律歸屬關係,探討後續民刑事求償的可能性,更希望未來能有更多資安教育資源的挹注。
真誠的面對 友善的回應
8月中當協會捐款人開始接到詐騙電話時,協會也更積極處理相關問題,很多捐款人來電詢問,為什麼會這樣?協會也在第一時間向捐款人說明個資外洩的問題。捐款人是詐騙事件最直接關係人,也是最優先溝通對象,面對個資外洩的詐騙事件,最擔心的就是捐款人是否因此而失去了信任。
為什麼協會因為資安不足,造成捐款人受騙而有財務損失?他們也會糾結,為什麼做善事反而可能會被詐騙錢財?而協會同仁也非常自責與難過,因為被詐騙的捐款人都是在行善,有些更是協會長期支持者。在面對捐款人的質疑,同仁保持同理心不斷溝通,雖然有部分捐款人接獲詐騙電話會先停止捐款,但多數捐款人給予的反饋都是正向的。
挽回捐款人信心 當務之急
對於協會來說,當務之急是挽回捐款人信心,不要因為害怕失去而錯失最佳的溝通時機。此次資安外洩事件是個重大警訊,協會如果沒有持續跟上腳步,未來的數位落差只會越來越大。
以捐款人的角度思考,捐款就像是消費概念,協會必須要對捐款人負責。在數位時代下募款管道是多元的,協會如何維護、管理捐款系統,與時俱進的資訊安全維護是基本投資。未來對症下藥,支持的力量不會遠去,協會才得以持續前行,下一步就是要嚴謹地做好資安防護,在協會與捐款人之間重新建立信任關係。
面對資安危機 協會的挑戰與革新
協會正在積極找尋新的合作捐款平台系統商,要求其提供合格的資安認證,並且也將捐款系統部署在更安全的雲端平台,同時也透過專員與系統服務商保持溝通,進行資安管理與系統維護,定期檢核以強化資料庫的安全。後續更會邀請專業人士,對協會同仁進行資安課程,提升資安意識,資安相關知識是協會面臨數位轉型時最重要的一環。
簡而言之,對內補足專業技能,對外更要求資訊系統商加強防護措施。加強資訊系統安全防護措施、改善組織內部權限管理與驗證機制,在與第三方系統商合作時,明確訂定雙方的權利及資安條款。
對捐款人的抱歉與提醒
雖然此次協會為受害者,但針對個資外洩事件造成捐款人財物損失以及捐款人的諸多困擾,協會表達無限歉意,也希望後續的積極作為,可以阻止詐騙集團以公益之名行詐騙之實。
最後,再次提醒捐款人如接獲可疑來電,聽到「解除設定」、「分期付款」、「重複扣款」、「ATM」、「安全碼」、「客服電話」、「系統被駭」、「信用卡號」等關鍵字,請直接反問對方是否為詐騙,並立即掛斷電話。同時撥打警政署165 反詐騙諮詢專線,通報詐騙電話號碼,並電洽本會確認。
