CSOs 數位防禦手冊
數位安全為何重要?
在幾乎所有工作都要上網的時代裡,全世界的公民社會組織(Civil Society Organization)越來越習慣利用數位工具進行倡議,工作環節包含日常的行政運作、內外人員的往來溝通、勸募、記者會或宣傳等。可以說, 沒有網路,公民組織的工作將窒礙難行。
當工作空間從實體延伸到線上,公民組織倡議和行動的空間增加,同時也讓公民組織暴露在更多的風險和威脅。根據開放文化基金會 2024 年 4 月公開的研究報告指出,受訪的 35 家人權及民主倡議組織,都曾遭受程度不一的數位攻擊和威脅。每個組織除了在官網或社交平台頻繁地收到言語騷擾和威脅之外,一半以上的組織都遭受過更沉重的數位攻擊,包括監控、機密資料外洩(如捐款人資料、服務對象行蹤等)、惡意癱瘓網路、資訊操控等,有些甚至是來自極權國家的強力攻擊,讓人難以招架!這些數位攻擊傷害了組織所倡議及保護的價值,且導致組織的員工、聲譽和資產面臨不可抹滅的損害。
倡議最重要的資產就是「人」與「聲音」;「人」指的是組織的倡議者,「聲音」指的是倡議的管道或官網上呈現的歷年成果。《CSOs 數位防禦手冊》是一本寫給公民社會組織,同時也便利人人自學的數位安全初階教科書。透過建立概念、認識威脅、了解更好的管理方式和防禦工具,幫助公民組織和人權工作者學習並應用基礎防禦知識,來保護最重要的資產。
數位攻擊通常從使用者「日常使用網路的行為」切入,協助國際公民組織和獨立記者的非營利組織 Internews 從多年協助經驗發現,只要組織與個人做好基礎防禦,即有機會大幅降低傷害,甚至避開威脅。
本手冊主旨即是夯實數位安全能力的基本概念,針對公民組織工作過程中的四個環節:上網用的瀏覽器、工作帳號的密碼管理、資料管理及備份、官方網站的保護,分別以四個章節介紹,從概念、解方到推薦工具,讓讀者快速掌握數位安全概念。並且,最後提醒當遭遇數位攻擊時該如何求救。
數位安全 × 開源工具
開放原始碼、開源,意思就是將原始程式碼開放出來,讓眾人看得到、能參與改善,更能監督,換言之,在程式碼都可能會有安全漏洞的前提下,開源能夠集合眾人智慧並擁有更快速修正的優勢。
程式碼與數位使用息息相關,所有的網路和數位服務都是建立在一組又一組的程式碼之上,並以此來決定如何運作(包括攻擊、收集資料、找到地址等)。我們所知的網路和數位服務大多屬於私人商業公司,這也代表它們基於營利考量而不會公開程式碼,因此使用者,也就是你我的數位隱私和安全就會有一定程度的漏洞和風險;這也說明了為什麼有些高風險人權工作者使用社交平台會招致一定風險——他們可能使用了不夠安全的社交平台,導致行蹤或個人資料曝光,甚至成為組織工作的破口。
本手冊建議的數位工具皆以開源數位工具為主,它們不僅是全球開放原始碼貢獻者的智慧結晶,更獲得資安和技術人員認可與推薦。本手冊中所提的工具皆符合三個原則:可在網路上或可信賴的平台上提供公開免費下載、很少受到商業利益的限制、開發過程更注重使用者的安全與隱私。透過這些工具,可更進一步強化公民組織工作者的數位安全。
結語
從了解數位安全是什麼,到風險評估、四大單元課程:瀏覽器選擇、密碼管理、網站安全、備份 321,最後匯聚成數位安全的緊急因應機制。本手冊所提的概念和建議,除了數位安全的技術知識、基礎概念之外,我們反覆提及組織成員的溝通和定期訓練。 組織裡的每個人都是構成安全的一份子,就像砌成屋頂的瓦片,不用最高級的材質也可以遮風避雨,但只要少了一片瓦,就如同組織遺漏了一名成員,雨水就可能灌入屋內並造成損失。
最後,本手冊整理了六個關鍵要點,為讀者做最後的複習:
- 數位安全能保護的,不只是網站、資料、信譽,更能保護組織中的「人」和使命。
- 面對數位安全防禦及因應,首先,要先了解組織或個人主要想保護的是什麼?
- 制定組織的四大數位安全守則和緊急應變計畫
- 針對瀏覽器選擇、密碼管理、網站安全、備份 321 這四個層面,蒐集在組織與個人日常生活中能完善的事項,並記錄在文件檔中。
- 集體討論可能發生的事件,並在事件發生前做好「事發 / 事後」的應對方案。
- 將應對方案寫下來,連同緊急聯絡清單都要記錄在文件檔中(可以是同一份檔案或不同檔案。
- 定期檢視,但更重要的是時常演練。
- 確保每位成員都知道組織將在事件發生後如何聯繫,不同角色該做什麼事。
- 緊急聯絡清單是一個列表,內容包含數位安全資源、人身安全資源之外,更有可能是法律、情緒或社會支持等資源。