粉絲團
資安院人才培力中心主任鄭瑋接受本報記者專訪,分享資安健檢團的推動過程。(記者徐子苓攝)
〔記者徐子苓/台北報導〕2021年,台灣發生公益團體的大規模個資外洩案,上百名捐款人接到詐騙電話,原因是這些團體委託的資訊公司被駭,許多人紛紛解除定期定額捐款,讓非營利組織(NPO)與愛心捐款人長期建立的信任毀於一夕。當時的受害者之一「唐氏症基金會」走過這場風暴,開始做出改變行動-從資安健檢做起。
唐氏症基金會副執行長朱貽莊回憶,當年台灣大約一半以上的中小型NPO都把捐款系統委外,被牽連的組織非常多,有些捐款者被詐騙後提告,導致NPO也捲入司法程序。那段時間,大家一方面無助,一方面也開始意識到資安的重要性,會彼此交流要怎麼解決問題。
危機之後,基金會決定轉換更安全的委外系統,但問題來了,沒有IT(資訊科技)人員的組織,要如何分辨資訊產品的好壞?他們才意識到,不只是花錢買產品,而是需要具備判斷力與資訊知識,才能真正為資安負責。
「非營利組織在資安方面的最大困境,不是錢就能解決,而是人才管理。」朱貽莊說,基金會裡的員工多是社福背景,即便要投入資金在資安產品,也不知道怎麼使用,或即便想聘請IT人員,也不知道如何管理。他們在偶然機會下接觸到國家資通安全研究院,去年起展開「資安健檢團」的合作。
免費資安健檢上線 學界、產業聯手補破口
台灣社會日益重視資安,但NPO與中小企業的人力、資金較爲不足,遠不及上市櫃公司的資源。資安院去年起推動「資安健檢團」,引進美國名校柏克萊加州大學(UC Berkeley)創始的課程,媒合國內大學資工系團隊給需要健檢的組織,就像人體的醫療健檢一樣,免費為組織揪出潛藏的資安危機。
談到推動健檢團的初衷,幕後推手-資安院人才培力中心主任鄭瑋表示,一方面是希望照顧到缺乏資安資源的中小企業、NPO,免費獲得名校團隊的輔導;另一方面也給大專院校學生新的刺激和實務訓練,比起單純在學校聽課,讓他們能夠接觸真實世界、體驗如何擔任資安顧問。
這項為期兩年的計劃牽涉許多單位合作,其中,UC Berkeley旗下的「網路安全診所聯盟」提供教材資訊和聯繫平台,定期召集各國成員開會交流,台灣成功成為聯盟第一個海外會員國。慈善機構Google.org提供資金給資安院,用來輔導NPO和中小企業。而資安院負責引進這套國外課程,媒合合作大學和需要輔導的組織。
資安院第一年找來國內三位資工系的大咖教授開課,包含台大教授蕭旭君、逢甲大學教授李榮三、陽明交大教授黃俊穎,第二年則透過公開徵選合作教授,預計總共在十所大學開課、服務七十多間組織。
資安院引進美國柏克萊加州大學創始的課程,與國內大學合作開課推動健檢團。(資安院提供)
從教室走入現場 學生團隊診斷組織病灶
唐氏症基金會被媒合到的健檢團,是台大資工系的團隊。朱貽莊說,在為期幾個月的健檢中,台大團隊先了解他們的需求,接著蒐集組織資料、了解各個環節如何運作,經過約四次的實地考察,在來回溝通中產出一份健檢報告,讓基金會看到自身弱點。
而在學校方面,鄭瑋說明,雖然各個合作教授有不同授課風格,課程通常包含受訓和實地考察,學生會先在學校熟悉基礎的技術和風險管理知識,例如弱點掃描、社交工程、資訊資產的風險盤點等,也會學習透過訪談察覺組織的問題。接著學生會和組織晤談,解決對方提出的狀況,有些組織因為沒有IT人員,問話方式必須更生活化、避免專業術語,才能了解風險所在。
許多組織在資安管理上的挑戰是高層不夠重視,但在這次健檢中,基金會出動的最高層級就是副執行長,朱貽莊還指示,牽涉最多個資的兩個單位:行政管理、捐款帳務處理,要全力配合提供資料。
經過學生們實地診斷,NPO和中小企業可以瞭解到組織裡的資安病灶,通常包含帳號權限管理、個資安全、釣魚郵件、備份資料等問題,最後健檢團會產出一份健檢報告,讓組織可以依此制定改善計劃。
撐過委外捐款系統被駭風暴 公益團體提升資安警戒
朱貽莊認為,這次健檢經驗在兩方面協助到他們,一是增加資安知識,二是在和健檢團溝通訴求時,基金會表達希望能了解到,按照哪些步驟做完,能夠達到防護的基本盤,讓他們在資安上循序漸進。
不過她也坦言,資安健檢對組織相對容易切入,真正難的是發現問題後要如何改善,這會需要改變員工的習慣。基金會今年的重點是落實健檢團提出的建議,用立即可行的方式推進一點,「因為捐款者願意信任、把錢交給我們,我們當然有責任做好資安維護。」
資安健檢團的理念首次在台灣開花結果,鄭瑋笑說,因為有太多單位牽涉其中,過程中其實花了不少時間對齊彼此的期待。儘管兩年內能服務的組織有限,但她認為,透過這次經驗,資安院更了解到NPO和中小企的資安現況,未來只要資源到位,就能立刻實踐更多創新提案。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
