捐款人個資外洩,服務對象也受衝擊
去年(2022)8月某個平常的日子,展望會突然接到大量捐款人的電話。一開始僅是幾通零星的反映,爾後數十通電話接踵而來,短短一週內,展望會的客服人員接獲不少捐款人反映接到詐騙電話,有些電話是善意提醒要注意個資外洩狀況,有些則打來表示要暫停捐款。
「我們會在官網上公告,何時會進行官網維修,請大家不要在這時段捐款,詐騙集團就會趁勢打給捐款人說:『由於我們官網維修,所以你可以透過電話,或我們提供另一組帳號給你,進行捐款。』」展望會公關傳播處處長王怡雯無奈道出,從捐款人接到詐騙電話的過程,可以發現詐騙集團是如何密切緊盯展望會的一舉一動。
個資外洩事件發生後,有部分展望會捐款人因此選擇停捐。對長期仰賴捐款的非營利組織而言,「停捐」是極大衝擊,連帶影響的是,背後每個需要支持的脆弱家庭或身處人道危機的孩童。
在會議室的牆上,一位穿著原民服飾、帶有陽光笑容的小傑,是展望會長期資助的對象,看著牆上小傑的燦笑,王怡雯既生氣又無奈地說:
「這些駭客盜取資料,展望會員工承擔大量客服就算了,為什麼最後是我們服務對象要承擔這些?」
談起停捐對受助者的影響,她一度哽咽。
電話那頭,假冒為心路工作人員的詐騙集團,會先跟捐款人說出他們在心路每月定期捐贈的金額,由於設定錯誤導致被多扣錢,並警告民眾「今天晚上12點之前如果沒有更改、調整的話,之後就要被扣款」,部分捐款人聽聞後感到緊張,便聽從詐騙集團指令,一步步踏入詐騙集團的圈套。
經費有限,資安防護成非營利組織共同難題
心路公共事務部主任劉又綺坦言,駭客登入後台系統的帳號密碼,取得民眾的捐款資料,讓他們意識到內部使用的資訊系統過於老舊,存在資安漏洞卻不自覺。
個資外洩事件發生後,對心路的捐款造成很大衝擊。劉又綺說,事件之前,心路每月收到的捐款數額長期呈現上升趨勢;但事件發生後,定期定額的捐款數目開始往下掉。相較過去,每月損失約10萬元、200位民眾停止捐款,這個狀況到目前為止仍持續發生中。
「他們是每個月捐100或200元,就這樣捐了20年、30年,這些長期捐款人會選擇取消捐款,(是因為)他們認為,我們個資並不是很安全。這件事,也提醒我們在資安上要做得更好。」劉又綺娓娓道來個資外洩事件後的反省,縱使心路足跡遍布全台,但組織內部的資訊技術(IT)人力卻相當吃緊,僅有3人的IT部門要撐起整個基金會的資安技術,亦是一大隱憂。
相較於展望會與心路,組織規模較小、內部員工約110人的台灣關愛基金會(以下簡稱關愛)同樣碰上個資外洩事件。關愛所使用的系統,是由長期提供非營利組織系統服務的網軟所負責。2021年,網軟曾發生遭駭客攻擊事件,使得許多使用該公司服務的非營利組織,其捐款人個資也慘遭外洩。
關愛副執行長馮一凡表示,2021年網軟發生遭駭事件時,關愛未接獲有捐款人遭詐騙的消息。直到2022年8月28日,有捐款人透過Facebook傳送訊息表示,他接到以關愛基金會名義要求民眾提供銀行帳戶的電話,他們驚覺:「輪到我們了!」馮一凡解釋,詐騙集團在電話中向民眾通知的內容,不外乎就是「定期捐款設定錯誤需要解除,因此請民眾提供銀行帳戶」,與其他非營利組織遭詐騙手法雷同。
資安維護的費用有一定門檻,以募款為主的非營利組織,需要將捐款花在刀口上,抱著「夠用就好」的心態投入資安維護成本,確實是將捐款人的個資暴露於風險之中。如何在有限的經濟考量下,竭力做好資安防護,是許多非營利組織共同的難題。
啟動應變:安撫捐款者、員工電腦資安升級
心路在接獲捐款人致電後,隨即向165反詐騙專線報案,並同步透過官網、簡訊和電話方式,通知所有捐款人反詐騙資訊並提醒小心上當。捐款人來電時,心路亦建立雲端表單記錄電話內容,以便做到後續追蹤及定期確認受害人狀況。劉又綺表示,「我們能做的就是陪伴、安撫,」竭盡所能在個資外洩事件發生後做補強。
除了安撫捐款人的情緒,心路也在資安公司的建議下,將原本放置在基金會本身主機的捐款資料庫,改放上雲端,借助雲端服務公司的資安管理。心路也進一步了解個資遭外洩的原因,他們發現疑似是員工的電腦遭攻破,駭客取得帳號密碼後登入捐款系統竊取資料。因此,心路內部也訂定法規,針對員工電腦啟用二階段認證,在登入系統階段增加一層防護,並鎖定部分網域,防止員工瀏覽或點閱。
個資外洩事件發生後,展望會隨即成立專案小組,邀請資安專家提供改善建議;另一方面,展望會也要求內部員工電腦系統全面升級,同時讓IT部門的工程師去上資安相關課程,使部門成員建立資安防護的概念。「幾乎是把能做的都做了,」王怡雯道出過去幾個月來,展望會持續在個資外洩上的努力。
在得知組織內部的資料遭外洩後,非營利組織多會立即通知捐款人,並透過各種方式進行資安補救與改善,希望不再擴大漏洞,只是,在非營利組織資源與人力有限的情況下,要如何面對駭客日新月異的攻擊方式?仍是當前所要面對的難題。
面對被駭風險,該如何加強數位防禦?
據展望會及心路表示,在個資外洩事件發生後,他們便收到主管機關衛生福利部的函文,要求組織依照個資防護廠商自評表內部檢核,例如個資外洩原因、是否通知消費者及組織後續作為等,並回覆主管機關。除了回覆這些問題外,深受此次個資外洩震撼的展望會與心路均表示,其實更希望得到主管機關給予個資維護上的具體建議。
面對駭客的強勢入侵,非營利組織必須嚴陣以待。2021年甫成立的應援科技,致力於協助非營利組織建置平台及捐款系統,目前已服務超過100家非營利組織。應援科技執行長蕭新晟提及,在接觸許多非營利組織後發現,相較於商業團體,非營利組織整體數位能力較弱,要從原先使用的系統,轉換到由應援科技提供的新系統時,雙方都需要耗費相當大的溝通成本。