SAFETAG 簡介 : The Security Auditing Framework and Evaluation Template for Advocacy Groups
SAFETAG 是InterNews 發動的一個專案。 InterNews 成立美國加州,是間已有35年歷史的非政府組織,其主要宗旨在協助全世界各國家當地媒體的能力強化,促進資訊的自由流通。因此與此宗旨相符的各項相關專案工作,遍佈全球100多個國家。 本文要介紹的SAFETAG全名是: The Security Auditing Framework and Evaluation Template for Advocacy Groups (SAFETAG),中文勉強譯過來應該叫作:倡議團體使用的資安稽查框架與評量模版。
SAFETAG 主要的貢獻者這麼解釋此專案的源起構想:「資訊安全」稽查通常只有大型組織、有錢的商業公司才能負擔得起花錢,找來收費昂貴專業的資安專家或保全管理公司來協助其評估該公司整個資料管理、網路架設、設備使用…..等等五花八門的資訊安全相關設計與實施的嚴密程度,是否存有系統或人為弱點漏洞易遭攻陷。而一般小型單位,特別是因從事的工作不見容於當權者,又格外身置險境的倡議型非政府組織、獨立的小型媒體,其本身即屬高風險的被攻擊受害對象,但又沒資源如前述的大企業進行組織的資安威脅診斷檢查。
InterNews 因此産生了這套倡議組織進行資安檢查框架與評量工具套件組,好讓其可以「自行」拿來應用,或是最好在外部資安稽查專家的協助下,仔細地檢查組織現有的操作樣態、資料使用保管、數位工具操作、資訊網路佈署等等狀況,找出其未曾意識到(或已意識到但無能改變)的種種弱點,提出改善的建議報告。
我自己「一兩次」試著讀過SAFETAG全文二百多頁的操作內容,其結果都以草草翻過告終。然後心中不免感嘆是這些所謂的資訊安全專家們太過杞人憂天的被迫害妄想呢,還是我這種死老百姓因為不解RFC上千個協議的技術漏洞與系統風險,所以從來沒認真花心思從這麼瑣碎複雜的程序去檢查自己的行為是否符全安全要求?
雖然自己沒認真讀過,本身不是資安背景沒操作過任何實際的資安檢核與改進,要寫SAFETAG 似乎有點冒眛與不自量力的傲慢,不過我想找遍全世界,應該也沒有其它這麼刻意為中小型的人權倡議團體量身編寫的資安資安檢核與改進的稹密操作指南。故鄙人還是來分享一點點如何閱讀 、理解其編寫架構與活動設計邏輯的粗淺介紹。
SAFETAG 最主要分成二大類:第一是對接受稽核的組織進行全面撲天蓋毯式的資訊漏洞弱點檢查,第二再來針對這些問題(漏洞弱點)提出建議,並製成報告以利後續的改進。
從上圖中可以看出,第一大類的活動從左下角的起點開始,完成超過半圈的十來個活動歷程,方才進入提出建議、發展路徑圖、制作報告等等「收尾」的後續整理跟進。當然這個環形跑道可能也不是只跑一圈就結束,很可能在灌輸過資訊安全的知識與操作缺失曝露後,還得經過一段學能力建構的學習、調整、適應,才能內化為組織與相關人士的反射本能動作。故在這個不斷循環的過程上,二條跑道分別代表了:綠色為組織/相關人士的能力建構;藍色為弱點評析,皆為SAFETAG的核心關切。
這十來個NGO組織全面性的資訊安全診斷項目,又該如何具體進行呢?各個檢查項目的操作,大致上就是如上面第二張資料流向圖的示意,從相關的人員(Actors)、障礙(Barriers,指的是NGO所面臨的特別挑戰,會限制或阻斷組織的能力)、設備資産(Assets,附了具體的硬體電腦系統外,儲存其上的資料檔案以及遠端的網站、雲端應用與資料,甚致是打印出來的文件、隨身碟等等。)來收集滙整相關資訊,分析判斷其屬於正向良好操作加分能力(Capacity,工作人員的技能以及組織各項資源以應變挑戰與並帶來改變的影響 ),還是易被攻擊的缺點(Vulnerability, 組織本身某個特定的缺陷或是因其設備資産Assets 而易遭致的攻擊),透過各式子項活動(如問卷調查,實作記錄、面談訪問等等方式)來了解組織在此一項目下的表現現況。要說明的是,此圖中間核心「活動」(Activity)意指的是NGO/NPO因本身成立宗旨所推動的各式工作專案、日常營運式活動等等。換句話說,原本左手邊的相關資訊收集起來,經過一番檢查稽核後,就會流向右手邊成為對相關優缺㸃評 估過的結果報告。
舉在SAFETAG這麼多需要稽核審視的安全項目中的其中一例,「網路制圖」Network Mapping,在SAFETAG本身定義的內涵是指針對NGO內部的區域網路架構、無線網路加密使用、連結到外部網際網路之間的安全防火牆、虛擬網路VPN設定等等,其防護安全性是否足夠。因此在這項目下,SAFETAG會透過許多問題的調查了解該NGO相關人員網路使用、軟硬體的優缺點、是否存有任何障礙阻止NGO在電腦網路佈署能力上的強化等等。
換言之,在一個完整的資訊安全稽核審查循環中,從第二步勘察(Reconnaissance)決定要從哪些數位資訊安全操作入手、到資料評量(Data Assessment)、網路制圖(Network Mapping)、威脅評估(Threat Assessment)、使用者設備(User Device Assessment)、弱點評析(Vulnerability Assessment)、回應式支援(Responsive Support)、實體評估(Physical Assessment),都會採用 SAFETAG Data Flow 這套程序來收集資料。
仔細地檢查出現況的弱點和問題,當然還不會這麼快就結束,由資安稽核專家針對性所撰寫出的問題報告,甚致提出了改善路徑圖的行走建議,NGO是否真能從善如流依循這番建議進行改善,並持續追踪跟進。不過200百多頁的手冊重點似放在各軟硬體項目的資安稽核操作,其具體引導問題有哪些、會用到材料有什麼、操作的步驟怎樣可能較佳等等,而對結果報告的整理、協助改善路徑圖的制作繪出則只有著墨十頁左右。
我自己是主觀覺得 SAEFTAG 顯然是不太可能在短時間一兩年內有被台灣本地的台灣NGO/NPO理解、關心更別說是引起其操作興趣的機會。一方面是它企圖收入的內容太過「完整」,幾乎到有點瑣碎的地步,並不容易消化;再者台灣長期習於偏安的社會情境下,別說是NGO/NPO,有些明明該對資訊安全稍具有高敏感防備的官方機構,都非常混混諤諤,頂多只能接受輕鬆軟調的防毒昇級建議,其它再進一步的建議操作對台灣絕大部份的電腦網際網路使用者都不太實際。 因此目前只好先把這份資料放在「心裏」,時候未到就只能先自我蓄力有機會再來爆發吧。
寫完SAFETAG的簡介,讓我想起了二個月前作的單張小網頁:數位安全小提醒。其實當時曾有念頭,想要繼續完整地整理出中級版和高級版的資訊,但近來沒什麼被鼓勵的動力來積極進行,故此事就暫時被擱到一旁,果然我也是偏安的世代。(茶)
本週其它好文推薦
- 既然談了資訊數位安全上的稽核,不妨再提一篇「8 Tips for Conducting an Effective Social Media Audit」,對於組織經營管理的社交網站平台上品牌帳號,如何進行有效的健康檢查,除了了解其表現影響力,與支持者客戶之間滿意度的互動外,也有助於組織設定自身的社交網站發展策略
- The best productivity tools for charities (Part 1 of 2): time-saving methods to find tools 介紹了幾個網站,好讓NGO/NPO 可以更有效率地找到不同的工具軟體。
- The best productivity tools for charities (Part 2 of 2): Favourites revealed。第二集則是揭曉眾多NGO中最受歡迎的工具(謎之音:英國的非營利組織沒人把臉書當成生産力工具來使用啦)
本站主要資訊來源是這份推特列表上所追踪訂閱的NGO/NPO/社會行銷策略專家。除透過Medium服務訂閱本站每週電子報專文與好文摘要推薦外,亦歡迎讀者可追踪本站推特帳號服務 (@NGONewsTW),該帳號目前收錄了台灣約130個NGO/NPO的官網新聞自動推送或電子報內容。
NGO 推進器 