沙龍 (二)：如何協力打造公民團體數位防禦 --- ### 主持人： * **瓦科， Access Now 資深政策分析師** Access Now 自 2009 年開始，以二十四小時支援專線，協助全球超過兩萬個個案回應資訊安全威脅，並以全球數位政策倡議、議題研究、社群建立以及RightsCon 的辦理，打造捍衛和促進數位人權的生態系。Vakau 投入科技與人權研究工作超過十年，負責 Access Now 東亞地區工作。 ### 講者： * **邵立宜，科技濃湯專案經理** 持續自學的科技愛好者。在科技和非營利組織二大領域交匯口，工作超過10年。曾在中研院資創中心、臺灣彩虹公民行動協會等單位服務過。目前致力於為台灣和亞太地區中、小型組織，打造更有韌性、包容和平等的數位基礎。 * **黃雋，網絡行動科技共同創辦人** 不小心做了給 NPO 使用的 SaaS 服務，目前邁向第 15 年，對 Open Source 長久永存於 NPO 仍有不少想望，持續耕耘中。 * **徐詩雅，ABA ROLI 計畫經理** 徐詩雅目前擔任 ABA ROLI 計畫經理，負責東亞區域數位人權及法制計畫的推動。長期致力於提升公民團體及記者的數位防禦能力，藉由跨領域協調增加人權工作者的韌性建設。 ### 內容： 此報告顯示，數位威脅已成為台灣民主與人權團體在倡議日常工作需要謹慎應對的環節，以確保組織運作、倡議保護的對象或是專案進展的安全。本場次邀請為台灣公民社會團體 (CSOs) 提供數位資源與資安支援的各界夥伴們，分別分享台灣公民團體在現代必備的數位基礎轉型、解析公民團體的數位環境與高風險行為，再進一步從國際組織的視角比較國內外公民團體數位威脅的來源與應對策略。透過多方的觀察與建議，提升公民團體的數位防禦意識。 * **活動後問卷評估：** [懇請填寫](https://forms.gle/pQdgHwGxJZSrJbhy7)[target=_blank] (https://forms.gle/pQdgHwGxJZSrJbhy7)[target=_blank] * [回到「活動手冊-主目錄」](https://hackmd.io/@OCFDigital/CivicPower-2024) ### 本場次共筆區域： --- **瓦科：** 請大家給辛苦的 OCF 一個掌聲，他們寫出在台灣的CSO 所面臨的日常威脅與資源限制，如何找到資源連結回應人權工作者的數位威脅，是接下來我們這個沙龍將會關注的內容。 Access Now 在全世界三十幾個國家持續支持人權工作者，我們有二十四小時專線，如果你們懷疑自己電話被監聽、組織被滲透，可以隨時跟我們聯繫，我們提供諮詢並提供數位的解決方案。我們有兩份報告告訴大家在中東地區及俄羅斯，人權工作者如何被監控。 **邵立宜：** * [講者簡報](https://docs.google.com/presentation/d/1oZ0zAsaobCRHnle6CWKkaOEPkjLv6tbFTPsaf10FhOE/edit?usp=sharing) * 簡報授權：「創用 CC 姓名標示 4.0 國際 -非商業性-禁止改作 4.0 」及其後版本 (CC BY-NC-ND 4.0 TW and later version) *本授權條款允許使用者重製、散布、傳輸著作，但不得為商業目的之使用，亦不得修改該著作。使用時必須按照著作人指定的方式表彰其姓名。參見：https://creativecommons.org/licenses/by/4.0/deed.zh_TW* 謝謝大家，我想詢問現場沒聽過科技濃湯的可以舉個手？ 我簡單介紹，我在科技與非營利組織工作超過十年、待過中研院及NGO。 我們很希望在數位大廠跟 NGO 之間做橋樑，讓 NGO 可以做進用這些工具。 科技濃湯目前服務超過三千家合格 NGO，從 2008 年開始，一開始是開拓合作，後來回歸美國總部。台灣科技濃湯是在亞太地區團隊底下，服務的國家跟地區包括亞太 APAC 的範圍。 去年針對 APAC 有做亞太非政府組織數位能力報告，這是 Google.org 資助，澳洲 Infoxchange 負責，之前作闢戶起家，資訊科技上很有名。 我們研究包含東亞跟東南亞12個國家地區，1589 個組織參與，台灣有143個組織參與。這個報告跟OCF不一樣是因為這是整體的CSO包括在裡面，但是針對的NPO是廣泛的。NPO目前數位IP處境，遭受的挑戰，相對可以投資的地方。 上半部，基本上就是會看到一半的組織希望可以改善網站，38%希望可以移往雲端辦公室，像是GOogle Non profit，下半部是資安部分，亞太組織過去有受到數位攻擊，有些使用雲端系統服務，有一半啟動多重因素驗證，1/4提供資安培訓給工作人員。 台灣的部份，43％還沒有決定要不要移動到雲端，很多NPO會有機敏性資料，所以對於資料上雲有很多疑慮。這也關係到對雲端系統的了解有多少。 有一半有信心可以服務對象，但是有一半對於資訊科技覺得不太熟。 安全培訓差不多，遭受的攻擊比較多，有 1/4。台灣 NPO 有遭遇幾個比較大的資安事件。 2021 年，200 多家 NPO 使用某個公司的資料庫被入侵。CSO 很多時候市政府有組織的想要了解你的人際網路，還有像是金流等等。有 NPO 資料庫被加密勒贖。 報導者去年針對 NPO 有做報導，圖表上面有中大型組織，壹電視等等，都在上面。 在個資外洩風暴裡面，對 NPO 也是很受傷，因為捐款人不信任，後續效應很大。 最近花蓮地震，詐騙集團也在進化，一開始他讓你以為是合格組織，但後面都是詐騙。 我們在科技濃湯也遇到，會做很多資格審核，有發現這類詐騙手法很常見，把整個網站 copy 以後用你的組織名義申請資源。 資安法會規範政府機關，但是 NPO 申請政府案子，有些中大型組織也受到法令規定。這對 NPO 財政壓力很大。有一場海棠基金會的培力，資安專家說，你一年要花 3% 到 5% 做資安，但很多組織是有困難。 兩個報告比較，相同的地方，NPO 就是缺資金、缺資源，資安是很夯話題，政府有很多後續要求，業界就要用很多錢找人，更何況是 NPO。 這也呼應 OCF 的研究成果，我們也希望可以找到不同規模NPO的解決方案，來解決拼裝式的基礎建設。 對公民組織來說，遭受的攻擊更嚴峻，對一般組織來說，可以從裡面有很多學習，很多基礎的地方類似。 數位轉型，想要帶給 NPO 概念，數位轉型沒有盡頭，要與時俱進。但是沒有成本跟知識就是很大的障礙。跟 NPO 接觸，會先給他知識基礎，希望他進行基本盤點。 科技濃湯有提供系統導入服務，諮詢過程要做 A，然後發現 BCD 問題都跑出來，我們就是盡量帶給組織這個觀念，人少可能覺得免費能用就好，但是以組織整體來思考最重要。 工作跟生活都離不開數位化，也內遷在裡面，數位安全就是跟工具年在一起的東西。組織有這樣的意思，就願意投入資源進去。這是最終理想，希望組織有韌性的基礎，找到資源，然後讓裡面的人得到需要的支持。 有些基本導入服務，價格都很便宜，因為希望幫助 NPO 有基礎雲端系統。平台上有基礎，不管個人或組織中控用，還有我們跟 TeamT5 也有合作。大型組織都有用這樣的服務，這也是學習。 **黃雋：** 我們公司叫做網絡行動科技，今年很意外到了第 15 年。 服務 NPO 是一開始設下的目標，當年開始想要服務NPO，後來成立第三年開始做雲端服務，哪個給 NPO，大概是最有經驗的事情。 後來聽到剛才 OCF 的報告讓我想了很多。 我沒有簡報，透過今天可以跟 NPO 碰面機會，聊鼓勵的話。 資安很容易非常沈重。就算我在這行，也常常看訊息，但是談下去，就很沈重、很有壓力，很容易調查出來問卷就很糟糕。 但我想說一個實情，小組織也是有潛力把資安做好。報告中很多組織說沒有錢沒有人沒有專家，但是巨型企業有人有錢有專家，還是有資安事件，而且一發生就很可怕。巨型企業也面臨他們的痛苦，小組織也有自己的痛苦。 講資訊安全的防禦，要從比較建設、鼓勵的方式聊才能往下一步。小組織真的是有機會做這個事情，OCF 的工具包很棒，是不是有兩小時工作坊，大家帶電腦來把所有設定都做一做，我們公司在導入...的時候 工作人員不是所有資安基礎都在同一個基準線上，但是只要有方法就可以。 剛好跟立宜聊到也很相關，前幾年有 NPO 的服務廠商發生嚴重資安事件，很不幸，但是也發現這兩三年是所有過去 15 年的經驗，NPO 獲得最多資安資源的也是這幾年。現在有資安計畫，這是很好的出發點，免費的課程，專家牽線，兩三年之後也未必有這樣的資源。 因為發生資安事件，政府跟民間都要投入，現在是一個需要關注的熱點。趁這個實績是需要大家在這邊開始出發。怎麼出發？有機會...擬定組織層級的資安政策...有沒有一份A4？瓦科比我有經驗。OCF 應該也有資安守則，這是很好的出發點，請人幫忙看，用幾小時讓所有成員都可以往下走。 出發之後，才能往進階，假如是資訊麻瓜，專業在倡議，跟資訊科記不是很熟悉，可能在基礎工具做好後可以防禦到80%，這個數據是微軟說的：「做好兩階段驗證就可以防止八成的資安攻擊。」大家覺得資安很難，但是從基礎往前走，是很有建設性，也鼓勵我們自己的。 包含小公司也是這樣做。 最後跟大家提一下，身為廠商，立宜或是科技濃湯是中介廠商，廠商常常面臨狀況，會不會不安全？大家如果面對這樣的問題，可以溝通看看，包含問廠商，願不願意講你的政策？組織有政策就知道，有資安政策是這麼一回事，跟大機溝通的時候有沒有願意說出來的？這樣就可以溝通跟往下走。 如果有機會面臨不管政府主管機關要求，主管機關慢慢會要求，大家要推動著重防禦，開始盤點是不是符合資安規定，重點在於願不願意溝通。如果連溝通意願都沒有，就很擔心。用東西也是一樣，會看評價、資安政策等資訊，來做調查。 **徐詩雅：** 我這邊的title是ABA Roli，他是一個即將在台灣進行的國際組織，美國律師協會下的一個法治倡議的推廣中心，我們主要在全球推廣人權及法治的相關工作。但我今天的發言都不代表 ABA ROLI。 我會再這邊，是因為過去五年參與國際組織，跟技術專家一起工作，協助 1~10 人的人權工作唱譯者，過去五年工作足跡主要協助小型人權工作唱譯者提升資安。 曾經有機會與台灣在地資安社群合作，跟國際社群合作，協助國際一些辛苦環境的團體提昇資安，希望可以分享best practice。 很感謝前面，前面的東西都是我想cover的，但是講過就進入重點。 我只補充一個東西，我過去的經驗發現一次性的資安培訓絕對不夠。通常一個小組織，尤其是人權團體如何提升資安的關鍵，一個資安培訓，兩個小時得資安培訓，建立的是意識，但難的是怎麼往下落實。從第一步的警覺，這是第一步，但是過去幾個操作上的實作狀況，會有資安團隊，陪伴一個小型的倡議團體，來去落實最主要的安全措施。像是剛剛Jimmy講的，其實很多資安上的保護措施，2FA、密碼管理器、Strong password，大家只要開始落實這些就可以避免八成的資安威脅。 但問題是，大家從這一步到下一步，會遇到很多麻煩。我過去環保團體，東西在我手上都會當機，我完全可以理解沒有技術背景的工作者，他們面對技術上的 2FA，要用另外的app，簡訊，過程上怎樣落實，人權工作者都有基本觀念。問題在有沒有技術團隊陪你往下落實。 當時在國際組織的工作經驗是，跟組織內的技術團隊做合作，這個團隊熟悉 NGO 運作模式，也熟悉怎樣跟NGO作手把手，從第零步到第一步、第二步，往前推進。如果真的要完整落實一個資安措施，這可能是一個最關鍵的過程。 我在過去提供資訊服務或資安服務時，發現技術團隊除了確保 NGO 落實資訊安全之外，技術團隊還要幫忙疑難雜症排解。各式各樣的 AI，哪些可以信任，徹底壓垮，讓人權工作者壓力很大。組織內沒有技術資源跟人力跟上資源跟知識。過去經驗就是，這個團隊扮演了新興科技變革，以及會怎麼影響人權工作者工作過程中面對的威脅，提供實際上的建議。這是當時陪伴 NGO、加強資安過程中，會扮演關鍵的角色。 另外一個好的提升資安的方法，在座有幾位熟悉臉孔是我過去幾年一起協助的夥伴，有個非常好的措施，或是可以徹底落實，協助組織把資安程度往上拉的重要關鍵就是，這個組織裡面有沒有一個或一兩個，是可以持續不斷關注，一個 tech champion，技術上走在最前面的人，不一定是技術背景的人。 過去合作幾個夥伴，都是遇到幾個，很瞭解誰來攻擊我的關鍵人物，他知道威脅，知道要提昇的技術方法，會啦著團體的夥伴往前走，去提醒有沒有開 2FA，不同帳號是不是用不同密碼，不斷持續帶大家往前進。這個人不用是技術背景，只要知道面對的威脅，還有組織整體評估之後，用資安守則帶團隊往前進。 最後一個，這個組織的管理階層要有足夠的資安意識，如果你今天提供資源去買印表機、防盜門，其實你也要提供相應的資源給數位安全。 我之前跟國際組織工作，常常跟科技濃湯合作，就是我們幫忙付錢，讓他們買正版軟體應用，這都能提昇小組之資安表現。但是關鍵是在組織的管理階層有沒有足夠的意識跟意志來把這樣的資源優先編排在提昇資安的軟體跟硬體上。 這是我的一點小分享。 ## Q&A ### Q：剛剛主要是提到非營利組織防禦的部份。如果將來真的是這個區塊，防禦都做的很好，駭客等被詐騙，一定會找比較弱的，可能是個人的臉書或怎樣的email，這個問題拉到最前面數位公民的力量區塊是。終究沒有說，安全的機制可以保護，再強大的企業都會遇到資安的問題，是不是有更強大的機制？ 瓦科：剛好問到我們今天比較沒有處理到的問題。所謂供應鏈上下游的攻擊，再產業裡面關乎到上下游廠商，剛提到安洵的文件外洩，中國的攻擊是先攻擊智庫、記者媒體，作為跳板再攻擊進去人權團體的系統。所以你的上下游夥伴的資安也很重要。 ### Q：要輔導的組織，遇到科層問題，權力越大的人越不重視，組織中如果有人願意研究、推廣，但很難提高職場天花板，該怎麼解決？像是老闆自己拿著資料但不願意開 2FA，該怎麼辦？ **邵立宜：** 我先分享一下，以前我們科技濃湯有辦給 CEO 的聚會，這個活動就是針對 CEO，讓他理解到，你不做事會遭受多少損失。 我也愈過工作人員很積極，有熱情，也不是 IT 專業，他找一個 CEO 的好朋友，有做到數位轉型，去影響 CEO。 大部分數位轉型能夠成功的單位，真的都要有一個能夠理解的董事及管理層，這真的很重要。 **湯家碩：** 遇到這種情形我一律建議換老闆。 我覺得可以從小的發現開始。我們發現有的組織為何對提昇資安有熱誠？天生就在有這樣熱愛資安的基因嗎？訪談中有獲得方向。通常組織中很有熱誠把資安業務攬進來的人，通常是有實際經歷過數位攻擊的人，通常是他知道風險會造成重大影響，成為願意承接責任的人。這也是資安上的弔詭，你安全的時候不會有危機感。因為衝擊在發生之前就消解，發生才會有反思。 另外公民社會特徵是，在組織中培養 IT 人才是困難的因為資源環境限制，會仰賴資安志願者跟組織協作。但若是組織中的人有學習意願，會成為很好的共半效應。專家跳進來也會學，不會變成組織的問題。有主動學習意願的人可以成為連帶關係。 **黃詩惠：** 向上管理其實滿重要的，很多時候老闆或管理層，他們也許不抗拒加強組織的數位安全，但就是沒想到。 所以你就是在年底編預算的時候把這個東西編進去，好歹一定會有一些比例的預算是會被留下來的。 **Jimmy：** 我想提一下技巧，雖然我是老闆，但是溝通還是相對重要。溝通有個技巧，能不能排議程？能排進議程才有進展。能排到議程進去，像是之前花幾年時間，每週討論資安，會開始越來越有進步。 很多 NGO 是理監事組成，理監事有沒有跟資訊相關的背景也有關係。資訊相關背景可以加入管理階層，重大議題決策比較好理解。這都是溝通相關。