目錄
- 弱點一:看起來老舊或沒有人做系統維護的網站
- 弱點二:使用顯而易見未更新的電腦系統、套裝軟體、自行架設伺服器
- 弱點三:對入侵者來說,攻擊你的單位可能有很大的利益回報 Anchor
- 弱點四:擁有快速變現的機敏資訊,例如信用卡卡號
- 弱點五:組織的業務涉及龐大商業利益,或讓其他政府支持的國家級入侵者鎖定損害
- 為什麼要做 neti 資安小教室?
為什麼駭客找上我!?
雖然近年資安事件頻傳,搞得人心惶惶,真的積極進行預防的組織卻很少。我們知道大家有諸多無奈(技術門檻太高很難懂、手頭工作忙到沒空分神、有問題不知道要問誰⋯⋯),但還是希望喚起大家對資安的重視。
這篇文章我們列出了容易被駭客盯上的五大常見弱點,如果你的 NPO 符合很多點,更要及早尋求專業單位的建議與協助!
弱點一:看起來老舊或沒有人做系統維護的網站
網站如果很久沒更新、沒做系統維護,很容易因為已經被發現但未修補的漏洞,被入侵者盯上成為目標。建議網站用到的所有程式碼、軟體,甚至伺服器作業系統,都應該隨時更新到最新版本。
像下圖中的網站,沒有做好加密功能(紅框處顯示不安全),且網站樣式看起來比較有歷史,就很容易成為駭客的目標。
有些人會自行利用網路儲存設備(例如 NAS)架設網頁伺服器,並用常見的套裝軟體(例如 Wordpress)架設網站,但這些設備其實不容易維護。尤其 NPO 通常沒有資訊人員,就算有,日常事務繁重,很難兼顧區域網路、自架網站、辦公室伺服器的安全與更新,導致最終成為受害者。
如果你的組織重度仰賴網站作為收益來源、或有大量的流量,都很有可能成為入侵者的目標!因為只要能癱瘓網站運作,或植入惡意程式(如釣魚軟體、監聽程式等),都可能為入侵者帶來龐大的效益。
NPO 的徵信和募款金額常常是公開的,因此捐款收入愈高就要愈謹慎。像年收入超過 1 億的 NPO 就需比年收入 3000 萬的 NPO 更注意安全性,年收入超過 3000 萬的就要比年收入 200 萬的更注意等。我們建議中大型組織須正視此類風險,做出妥善的資安防護。
信用卡卡號如果被盜取,後果不堪設想,但許多 NPO 管理卡號的方式其實充斥風險,建議大家務必正視這個問題。
常見漏洞1:讓捐款人填寫紙本授權書,再登打填入捐款系統進行授權。
入侵者可能會在登打用的電腦或網路裡植入監聽程式,進而取得卡號。
常見漏洞2:把捐款人卡號儲存在沒有加密的 excel 或文字檔案裡。
若儲存在許多人的電腦中,被盜取的風險又更高,更不用說上傳到雲端硬碟或共用硬碟。
原則上,確保卡號資料交流都只在捐款人使用的瀏覽器的金流頁面進行授權,是最直接安全的做法。如果要儲存信用卡,資訊設備也要有「支付卡產業(PCI) 資料安全標準(DSS)」認證才能算盡責保管。
以台灣的產業現況來說,最知名的目標就屬台灣科技公司的內網,過去有許多晶園廠內網遭入侵的例子。以 NPO 來說,如果是跨國性的人權組織,名單對國家級入侵者可能就有相當大的價值,因此更容易成為標靶。
netiCRM 一直很重視資安,也不斷強化系統的安全架構和保護,但是這還不夠!我們不斷積極宣導資安概念、推廣兩步驟驗證,是希望讓使用者也建立起資安防護觀念,才不會輕易落入駭客或詐騙的陷阱而造成資料外洩。只有非營利組織與我們一起協力,才能真正保障資料安全!