【關愛消息】「我的愛心被駭客利用了!」個資外洩風暴下,公益團體的重建信任之路
從1964年開始,台灣世界展望會(以下簡稱展望會)每年募集無數台灣民眾的愛心,救援全球緊急災變地區及關注台灣貧童,至今已有近60個年頭。但誰也沒想到,長期致力於慈善事業的展望會,竟會成為詐騙集團眼中的目標。
捐款人個資外洩,服務對象也受衝擊
去年(2022)8月某個平常的日子,展望會突然接到大量捐款人的電話。一開始僅是幾通零星的反映,爾後數十通電話接踵而來,短短一週內,展望會的客服人員接獲不少捐款人反映接到詐騙電話,有些電話是善意提醒要注意個資外洩狀況,有些則打來表示要暫停捐款。
「我們會在官網上公告,何時會進行官網維修,請大家不要在這時段捐款,詐騙集團就會趁勢打給捐款人說:『由於我們官網維修,所以你可以透過電話,或我們提供另一組帳號給你,進行捐款。』」展望會公關傳播處處長王怡雯無奈道出,從捐款人接到詐騙電話的過程,可以發現詐騙集團是如何密切緊盯展望會的一舉一動。
個資外洩事件發生後,有部分展望會捐款人因此選擇停捐。對長期仰賴捐款的非營利組織而言,「停捐」是極大衝擊,連帶影響的是,背後每個需要支持的脆弱家庭或身處人道危機的孩童。
在會議室的牆上,一位穿著原民服飾、帶有陽光笑容的小傑,是展望會長期資助的對象,看著牆上小傑的燦笑,王怡雯既生氣又無奈地說:
「這些駭客盜取資料,展望會員工承擔大量客服就算了,為什麼最後是我們服務對象要承擔這些?」
談起停捐對受助者的影響,她一度哽咽。
電話那頭,假冒為心路工作人員的詐騙集團,會先跟捐款人說出他們在心路每月定期捐贈的金額,由於設定錯誤導致被多扣錢,並警告民眾「今天晚上12點之前如果沒有更改、調整的話,之後就要被扣款」,部分捐款人聽聞後感到緊張,便聽從詐騙集團指令,一步步踏入詐騙集團的圈套。
經費有限,資安防護成非營利組織共同難題
心路公共事務部主任劉又綺坦言,駭客登入後台系統的帳號密碼,取得民眾的捐款資料,讓他們意識到內部使用的資訊系統過於老舊,存在資安漏洞卻不自覺。
個資外洩事件發生後,對心路的捐款造成很大衝擊。劉又綺說,事件之前,心路每月收到的捐款數額長期呈現上升趨勢;但事件發生後,定期定額的捐款數目開始往下掉。相較過去,每月損失約10萬元、200位民眾停止捐款,這個狀況到目前為止仍持續發生中。
「他們是每個月捐100或200元,就這樣捐了20年、30年,這些長期捐款人會選擇取消捐款,(是因為)他們認為,我們個資並不是很安全。這件事,也提醒我們在資安上要做得更好。」劉又綺娓娓道來個資外洩事件後的反省,縱使心路足跡遍布全台,但組織內部的資訊技術(IT)人力卻相當吃緊,僅有3人的IT部門要撐起整個基金會的資安技術,亦是一大隱憂。
相較於展望會與心路,組織規模較小、內部員工約110人的台灣關愛基金會(以下簡稱關愛)同樣碰上個資外洩事件。關愛所使用的系統,是由長期提供非營利組織系統服務的網軟所負責。2021年,網軟曾發生遭駭客攻擊事件,使得許多使用該公司服務的非營利組織,其捐款人個資也慘遭外洩。
關愛副執行長馮一凡表示,2021年網軟發生遭駭事件時,關愛未接獲有捐款人遭詐騙的消息。直到2022年8月28日,有捐款人透過Facebook傳送訊息表示,他接到以關愛基金會名義要求民眾提供銀行帳戶的電話,他們驚覺:「輪到我們了!」馮一凡解釋,詐騙集團在電話中向民眾通知的內容,不外乎就是「定期捐款設定錯誤需要解除,因此請民眾提供銀行帳戶」,與其他非營利組織遭詐騙手法雷同。
資安維護的費用有一定門檻,以募款為主的非營利組織,需要將捐款花在刀口上,抱著「夠用就好」的心態投入資安維護成本,確實是將捐款人的個資暴露於風險之中。如何在有限的經濟考量下,竭力做好資安防護,是許多非營利組織共同的難題。
啟動應變:安撫捐款者、員工電腦資安升級
心路在接獲捐款人致電後,隨即向165反詐騙專線報案,並同步透過官網、簡訊和電話方式,通知所有捐款人反詐騙資訊並提醒小心上當。捐款人來電時,心路亦建立雲端表單記錄電話內容,以便做到後續追蹤及定期確認受害人狀況。劉又綺表示,「我們能做的就是陪伴、安撫,」竭盡所能在個資外洩事件發生後做補強。
除了安撫捐款人的情緒,心路也在資安公司的建議下,將原本放置在基金會本身主機的捐款資料庫,改放上雲端,借助雲端服務公司的資安管理。心路也進一步了解個資遭外洩的原因,他們發現疑似是員工的電腦遭攻破,駭客取得帳號密碼後登入捐款系統竊取資料。因此,心路內部也訂定法規,針對員工電腦啟用二階段認證,在登入系統階段增加一層防護,並鎖定部分網域,防止員工瀏覽或點閱。
個資外洩事件發生後,展望會隨即成立專案小組,邀請資安專家提供改善建議;另一方面,展望會也要求內部員工電腦系統全面升級,同時讓IT部門的工程師去上資安相關課程,使部門成員建立資安防護的概念。「幾乎是把能做的都做了,」王怡雯道出過去幾個月來,展望會持續在個資外洩上的努力。
在得知組織內部的資料遭外洩後,非營利組織多會立即通知捐款人,並透過各種方式進行資安補救與改善,希望不再擴大漏洞,只是,在非營利組織資源與人力有限的情況下,要如何面對駭客日新月異的攻擊方式?仍是當前所要面對的難題。
面對被駭風險,該如何加強數位防禦?
據展望會及心路表示,在個資外洩事件發生後,他們便收到主管機關衛生福利部的函文,要求組織依照個資防護廠商自評表內部檢核,例如個資外洩原因、是否通知消費者及組織後續作為等,並回覆主管機關。除了回覆這些問題外,深受此次個資外洩震撼的展望會與心路均表示,其實更希望得到主管機關給予個資維護上的具體建議。
面對駭客的強勢入侵,非營利組織必須嚴陣以待。2021年甫成立的應援科技,致力於協助非營利組織建置平台及捐款系統,目前已服務超過100家非營利組織。應援科技執行長蕭新晟提及,在接觸許多非營利組織後發現,相較於商業團體,非營利組織整體數位能力較弱,要從原先使用的系統,轉換到由應援科技提供的新系統時,雙方都需要耗費相當大的溝通成本。
蕭新晟舉例,之前去協會演講或參加公益團體的活動時,工作人員會在現場發下紙本捐款單,邀請民眾寫下個人信用卡號捐款支持,顯示部分團體的數位能力還相當薄弱。
因應數位時代的來臨,資料數位化是每個組織必然面對的趨勢。對非營利組織而言,最明顯的挑戰莫過於,從紙本到數位的轉換期,同步也考驗到組織內部對使用數位工具的共識,及是否將資安維護納入組織重點工作。若組織內部人員資安概念沒有隨著時代改變,很快就會被取代,甚至淪為駭客攻擊的對象。
他也分享,建立公司或設計產品,並非只是買套防毒軟體、聘請技術人員或資安顧問,就能達到資安維護。將資安維護的觀念與心態內化成工作態度,並將個資安全納入組織內部的社會責任,都是提升內部資安意識的途徑。公益團體也應思考,如果部分個人資料沒有收集的必要性,或許並不用向消費者取得過於詳盡的個資,而取得這些個資的同時,亦須注意這些檔案有無加密等細節,這些都能看出企業或組織的資安意識是否健全。
資安公司如梭世代技術經理郭姿君表示,當他們在協助資金較為缺乏的小型企業時,通常會建議企業「先求有再求好」,先使用低成本或開源軟體的方式提高組織對攻擊事件的識別度,後續再加強組織本身的資安防護;之後也會對員工進行資安教育訓練等課程,提升整體資安意識。
未來課題:對外重建與捐款者的信任關係,對內重整資源分配
「你買東西被詐騙,都不能說你活該了,更何況是捐款,那個感覺會更心痛,」一年多來協助非營利組織處理個資外洩困境,蕭新晟感嘆,民眾都是出於良善的資助,但詐騙集團卻因此利用民眾的良善再去詐騙。
對於展望會與心路等接連在高風險賣場名單中上榜的公益團體而言,捐款贊助通常是組織最大的經濟來源,一旦捐款人取消捐款、暫停支持,不僅組織營運受影響,連同服務工作的資源也會銳減。
王怡雯表示,「曾有捐款人打來告訴我們,他要捐1,000元作為協會個資防護升級的基金。」雖然金額不大,但單筆的特定項目贊助,激勵王怡雯及展望會同仁,要從這次挫折中走出來。
即將在明年迎接創會60週年的世界展望會,數位轉型是他們近幾年著力的目標。解決突如其來的資安意外,究竟只是更新硬體設備,還是提升整體數位意識,都是組織內部使用數位工具的檢核與考驗。
對公益團體來說,信任是捐款人與組織的基石,卻因個資外洩事件頻傳,使民眾不再輕易捐款。建立穩固的資訊安全網,為捐款人把關,並在資訊安全與公益目的中達成平衡,是公益團體在資源分配規劃中皆需面對的課題。