10/12 訊息更新:[網二紀錄] 09/28 給非營利組織的資安自保手冊
***


NPO 的資安議題—捐款者個資被盜,怎麼辦?
在網路和雲端運用日益普及的年代,讓我們有更方便的方式接觸支持者。然而當所有資訊╱資料都雲端化之後,不論我們使用的系統是自己開發管理的,或使用委託業者開發的系統,如何管理和保護這些工作中取得的支持者的資料,也變成重要的課題。
很遺憾在疫情稍緩的當下,台灣的非營利組織界(NPO)碰到了第一場大量資料外洩的危機!
200 多家 NPO 使用網軟公司提供的捐款系統與資料庫被入侵,刑事警察局懷疑所有資料都被偷走了。網軟公司除了進行各種清理與加強防護外,也在進行資安檢測和各種資安維運的升級。目前檢警單位正積極偵辦此次的資料外洩與詐騙案,我們也邀請所有 NPO 夥伴一起關注:
- 加強組織內部的資安敏感度,進行必要的檢查和內部教育訓練
- 針對所有委外的業務,要求廠商提供相關的資安維護與檢測報告
此外,要特別提醒,若你的組織可能已有捐款人資料被外洩,據知已發生多起電話詐騙與盗刷事件,詐騙集團一定會想盡各種方式使用這些資料、甚至轉賣給他人。為避免捐款人受騙、遭受損失,引發對 NPO 組織的不滿,甚至對整個社會的不信任,建議各組織主動積極地與捐款人溝通,讓捐款人跟我們站在同一陣線,因為偷資料和詐騙的人才是我們要共同面對的敵人。
1. 建議受害組織應報案
各組織應依刑法「妨害電腦使用罪」(刑法第三十六章第358-363條)向刑事局報案。因為若系統商資料被駭,無論捐款人有無受騙,都建議依此項受害事實進行報案。(「公益團體自律聯盟」除積極協助刑事局調查辦案,並已接受公益團體會員委託成為民刑事案件之代理人,由委任律師負責民刑事案件相關法律後續事宜,想多了解的組織可自行洽詢 [捐款人個資外洩事件聲明稿])。
2. 主動公告,通知資料遭竊取
各組織應於官網上公告捐款者個人資料遭竊取一事,並呼籲捐款者慎防詐騙。如捐款者接到有關捐款、扣款失誤的相關訊息,皆為詐騙電話,請直接向 165 反詐騙專線檢舉。
3. 個別通知捐款者
各組織應盡速以簡訊、電子郵件或口頭方式,以適當方式個別通知所有捐款者,因個人資料遭竊取,通知其注意可能遭受詐騙一事。
我們相信最好的策略是具實告訴捐款人發生什麼事了,請他們成為 NPO 的盟友一起面對詐騙。
相關連結:
- 公益團體自律聯盟:「捐款人個資外洩事件」聲明稿
- 事件報導:震撼公益界的資安爆彈──捐款人個資外洩事件追蹤報導
- 捐款人接獲詐騙電話怎麼辦?