從2021七月的公益團體軟體服務商個資外洩事件開始，社團法人公益團體自律聯盟(以下簡稱聯盟)便開始關注公益團體的數位議題，於是在2022年度推出「品牌溝通Ｘ數位轉型 —用數位翻轉公益」以及「捐款人關係經營Ｘ數位轉型」等培力課程，並在歲末之際推出以資安為主題的「給資訊安全小白的實用工具包」，邀請到刑事警察局科技研發科 林君豫 警務正以及netiCRM 黃雋 共同創辦人，為公益團體帶來第一手的資安應對措施。

以下是自律聯盟小編在培力課程中筆記下的重點摘錄，歡迎關心公益團體資安的你一起採取行動落實資安！

無所不在的風險-你正面臨的資訊安全危機

刑事警察局科技研發科 林君豫 警務正

重點一：

組織的資安可以想像成一座城堡，城堡本身是可能被竊取的資料，圍牆是防火牆，防火牆是防護中最重要的基本。除此之外，林警務正也提到一般資料的流向是正常管道（城堡大門）進出，但近年來因為居家辦公盛行，大家會使用VPN以方便辦公，這些方便卻也多了後門讓竊取者可竊取城堡內的資料。

重點二：木桶理論

木桶是由多個木板組成，水會從最短的木板中外洩，套用到資安的狀況上，若有內部夥伴對於資安的概念不熟悉，可能會造成內部資訊的外洩

重點三：個資法
四大原則：1.尊重當事人權益 2.誠實 3.不得逾越特定目的 4.資料與收集目的有連結
而公益團體可能會掌握的個資：姓名、身分證字號、職業、聯絡方式、財務狀況

重點四：處理詐騙SOP

1.全方面反詐騙宣導(官網、FB、EDM、簡訊公告)
2.紀錄捐款者反饋意見(詐騙話術、是否掌握詳細捐款資料，如捐款項目、金額等)
3.針對各系統進行清查，釐清是否有漏洞或大量攻擊、社交郵件情況
4.尋求第三方資安廠商協助，並啟動資安事件調查
5.蒐集資料向執法機關報案

重點五：釣魚信件

會有社交郵件偽裝成單位或公司，並提供相關資訊要求點進連結，信件內的連結會下載木馬程式到電腦中，並透過遠端操作竊取個資，為了預防可以做到以下事情：
1.夥伴應有相關意識
2.中釣魚郵件之後：電腦重灌、移除程式
3.平常需要注意往來信件的人與email，有人會假冒相似的email，（例：gmail → gmai1）
4.關閉郵件的預覽，有些比較高端的，滑鼠移到特定區域就會中木馬
5.可裝中控端的過濾程式

重點六：密碼

密碼建議要有複雜度（特殊符號、大小寫、長度超過10個）
換密碼的時候，在密碼後方加入更改日期，把長度加長，駭客破解會需要更多時間
如果社群平台帳密與組織內部管理系統相同，請儘快變更！

給NPO一聽就懂的網站、組織資安提醒

netiCRM 黃雋 共同創辦人

**重點一：**沒有不會被駭的軟體，因此需要有資安風險管控，建立防禦，如果有防禦，駭客需要的時間會更多，會因而轉向沒有防禦的地方。 建議不要存信用卡號、平時要做好資安宣導。

重點二：資安相關社群

駭客協會：白帽駭客，資安專家
CSCS社群：關心有特殊攻擊的議題
網路星期二：與NetiCRM合作的線上演講

重點三：組織可以做到

1.網域管理：網域被盜走或到期，組織會無法使用email，網域也可能會成為釣魚網站，因此需做好網域管理，做好文件交接流程(帳號密碼、兩階段驗證)
2.加密連線： 若沒有加密連線，數據會是透明的，可能會被側錄、追蹤帳號密碼等
3.帳密確認是否有外洩：在Crome中找到[密碼管理員]按下[檢查]按鈕，確認帳密沒有被外洩，有外洩的話要改密碼
4.組織後臺可能會被拜訪、改資料：因此a.不要共用帳號密碼 b…開啟兩階段驗證，搭配手機登入 c.跨網站不使用相同的帳號密碼（任何密碼管理工具都有風險，最佳為可信賴的服務商，次佳則使用瀏覽器內建）
5.網管權限要分層
6.隨時注意異常登入提醒：了解從那裡登入、是否有登入成功，會透過系統跳通知或email提醒
7.注意資料是否曝光：
如何預防： a.雲端與NAS不預設公開分享 b.NAS需要時常檢查、修補
資料被曝光後的做法： a.讓搜尋引擎不要找到資料(使用Google移除與安全搜尋檢舉工具) b.公開資料不用呈現日期
8.軟體評估：資安需要眾人一起維護，盡量使用知道更新、有能力更新、頻繁更新的軟體服務 Drupal: 會發布資安通報 多久需要軟體維護更新? 隨著廠商通知持續更新
9.備份和復原：備份也需要有監測，並且備份盡量在不同機房、不同機器、不同服務商、不同國家