【自律聯盟小編筆記】2022自律聯盟壓軸培力課程「給資訊安全小白的實用工具包」
1221-------------googlemeet-1

從2021七月的公益團體軟體服務商個資外洩事件開始,社團法人公益團體自律聯盟(以下簡稱聯盟)便開始關注公益團體的數位議題,於是在2022年度推出「品牌溝通X數位轉型 —用數位翻轉公益」以及「捐款人關係經營X數位轉型」等培力課程,並在歲末之際推出以資安為主題的「給資訊安全小白的實用工具包」,邀請到刑事警察局科技研發科 林君豫 警務正以及netiCRM 黃雋 共同創辦人,為公益團體帶來第一手的資安應對措施。

以下是自律聯盟小編在培力課程中筆記下的重點摘錄,歡迎關心公益團體資安的你一起採取行動落實資安!

無所不在的風險-你正面臨的資訊安全危機

刑事警察局科技研發科 林君豫 警務正

重點一:

組織的資安可以想像成一座城堡,城堡本身是可能被竊取的資料,圍牆是防火牆,防火牆是防護中最重要的基本。除此之外,林警務正也提到一般資料的流向是正常管道(城堡大門)進出,但近年來因為居家辦公盛行,大家會使用VPN以方便辦公,這些方便卻也多了後門讓竊取者可竊取城堡內的資料。

重點二:木桶理論

木桶是由多個木板組成,水會從最短的木板中外洩,套用到資安的狀況上,若有內部夥伴對於資安的概念不熟悉,可能會造成內部資訊的外洩

重點三:個資法

四大原則:1.尊重當事人權益 2.誠實 3.不得逾越特定目的 4.資料與收集目的有連結
而公益團體可能會掌握的個資:姓名、身分證字號、職業、聯絡方式、財務狀況

重點四:處理詐騙SOP

1.全方面反詐騙宣導(官網、FB、EDM、簡訊公告)
2.紀錄捐款者反饋意見(詐騙話術、是否掌握詳細捐款資料,如捐款項目、金額等)
3.針對各系統進行清查,釐清是否有漏洞或大量攻擊、社交郵件情況
4.尋求第三方資安廠商協助,並啟動資安事件調查
5.蒐集資料向執法機關報案

重點五:釣魚信件

會有社交郵件偽裝成單位或公司,並提供相關資訊要求點進連結,信件內的連結會下載木馬程式到電腦中,並透過遠端操作竊取個資,為了預防可以做到以下事情:
1.夥伴應有相關意識
2.中釣魚郵件之後:電腦重灌、移除程式
3.平常需要注意往來信件的人與email,有人會假冒相似的email,(例:gmail → gmai1)
4.關閉郵件的預覽,有些比較高端的,滑鼠移到特定區域就會中木馬
5.可裝中控端的過濾程式

重點六:密碼

密碼建議要有複雜度(特殊符號、大小寫、長度超過10個
換密碼的時候,在密碼後方加入更改日期,把長度加長,駭客破解會需要更多時間
如果社群平台帳密與組織內部管理系統相同,請儘快變更!

給NPO一聽就懂的網站、組織資安提醒

netiCRM 黃雋 共同創辦人

重點一:

沒有不會被駭的軟體,因此需要有資安風險管控,建立防禦,如果有防禦,駭客需要的時間會更多,會因而轉向沒有防禦的地方。 建議不要存信用卡號、平時要做好資安宣導。

重點二:資安相關社群

駭客協會:白帽駭客,資安專家
CSCS社群:關心有特殊攻擊的議題
網路星期二:與NetiCRM合作的線上演講

重點三:組織可以做到

1.網域管理:網域被盜走或到期,組織會無法使用email,網域也可能會成為釣魚網站,因此需做好網域管理,做好文件交接流程(帳號密碼、兩階段驗證)
2.加密連線: 若沒有加密連線,數據會是透明的,可能會被側錄、追蹤帳號密碼等
3.帳密確認是否有外洩:在Crome中找到[密碼管理員]按下[檢查]按鈕,確認帳密沒有被外洩,有外洩的話要改密碼
4.組織後臺可能會被拜訪、改資料:因此a.不要共用帳號密碼 b…開啟兩階段驗證,搭配手機登入 c.跨網站不使用相同的帳號密碼(任何密碼管理工具都有風險,最佳為可信賴的服務商,次佳則使用瀏覽器內建)
5.網管權限要分層
6.隨時注意異常登入提醒:了解從那裡登入、是否有登入成功,會透過系統跳通知或email提醒
7.注意資料是否曝光:
如何預防: a.雲端與NAS不預設公開分享 b.NAS需要時常檢查、修補
資料被曝光後的做法: a.讓搜尋引擎不要找到資料(使用Google移除與安全搜尋檢舉工具) b.公開資料不用呈現日期
8.軟體評估:資安需要眾人一起維護,盡量使用知道更新、有能力更新、頻繁更新的軟體服務 Drupal: 會發布資安通報 多久需要軟體維護更新? 隨著廠商通知持續更新
9.備份和復原:備份也需要有監測,並且備份盡量在不同機房、不同機器、不同服務商、不同國家

永續指標:和平,正義與健全制度