RoadMap: NGO/ NPO 的數位資訊安全樹狀流程圖
本以為每週寫一篇非營利非政府組織在數位網路議題上的文章應該是不是難事。不過隨著讀材料、整理文字、構思內容發表等等過程,最近才回過頭來檢視:咦,寫了超過半年以上的東西,到底有沒有人在看呢?等到意識到要查看讀者、影響力、流量等現實數據,情況就開始令人心酸了。剛進入21世紀的部落格剛興起年代裏,以為如前網際網路年代發行的電影「夢幻成真」(Field of Dreams,1989)從天空降下的聲音:if you build it , he will come. 有些事情只要先不計較後果地豁出去做,也許終會慢慢看到一點收穫。但是…….嗯,也不是說過去累積下來的東西走過的路全是枉然,只是在極端氣候變化,大洪水不知何時降臨的末世年代中,到底這個脆弱微小的方舟能起到什麼扺御或保命的作用呢?
寫完第一段抒發鬱悶情緒(正常負面能量釋放),本週電子報專文要介紹的是一份取材自上週一場關於NGO如何執行網路資訊安全的網路會議材料 — -RoadMap webinar:Digital Security in the Trump Era。這場90分鐘的線上會議三名報告人提供100多頁的材料,其中我覺得這一頁 digital security work flowchart 可能是最適合許多當前台灣的 NGO/NPO 以最簡單自我檢查流程與立即可做的改進方式,以稍強化組織層次的數位網路安全資訊。剛好其中提到的許多應用工具亦是自己曾投入在地中文翻譯或使用中覺得值得作為替代的服務,故一併把相關的連結資料整理出來,希望這份材料未來能變成某個專案派得上用場的小鑼絲。
稍微把這個樹狀圖的資訊翻成中文:(下載原始的pdf檔案)
上圖中,左手邊的數位網路資安基本可分成三大要件:
I. 威脅模形與抉擇優先次序
A. 什麼是需要保護的資產,一旦其受到侵害破壞的最壞下場會是什麼?
a. 敏感資料
b. 戰略策略文件與決議
c. 行動方案計畫
d. 令人困擾尷尬/麻煩的通訊記錄
B. 哪些人是應予防備的對象? 國家、執法者、競爭對手、上司、前任恐怖情人(敵)、父母師長(這個可能會出現在青少年社群)….. 他們手上握有什麼樣的材料和資源?
C. 亦得考量「合法」的搜查以及被監控/駭侵的狀況,要如何應對
D. 最終成品:整理出資產、威脅與策略層級架構的先後次序
II.(靜態)資料數據的安全
A. 硬體設備
a. 筆電桌機
i. 全磁區加密並採用高強度密碼,確保安全。
ii. 依照威脅模型的情況,考慮是否啟用蘋果筆電上“Where’s My Mac”功能。
iii. 留意硬體設備,尤其不要把筆電留在車上或是離開座位時放之不顧。
b. 手機
i.使用強固的密語
ii. 依照威脅模型的情況,考慮是否啟用iPhone 的“Find My iPhone”功能或Adroid手機上相似的電話遺失追踪功能。
iii. 考慮如何管理手機上的 Google Suite 與其它文件分享軟體。
B. 堅固、加密和備分:
a. 經得起測試
b. 監督是否所有的電腦、設備都有定期備份
c. 萬一資料被掃除,要保護舊版本的使用者
d. 遵照資枓收集政策的規定
C. 資料收集政策:應有明確政策予以遵守,且要合於計畫方案
D. 線上帳戶管理
a. 使用二因素認認登入
b. 評估安全性與是否有其它替代選項
III. 通訊和動態資料數據的安全
A. 電子郵件選項
a. 繼續使用 gmail的話,至少應啟用二因素認證
b. 移轉改用 proton mail
c. 使用 PGP / GPG方式對信件內容予以加密
i. 對於高危險敏感、重要的外部郵件通訊
ii. Gmail + Mailvelop
iii. 需要稍了解文字指令操作環境,以及其原背後的加密演算原理。否則可能會把公鑰私鑰雜混,或是遺失金鑰等等麻煩。
B. 即時訊息、簡訊短信:使用signal
C. 協作工具
a. 確保檔案分享的安全性
i. share.riseup.net 臨時用,適合一般大小的檔案
ii. onionshare : 大形檔案
iii. 可評估使用模式的安全是否合適
iv. 組織情況是否需要進一步地採用更安全的方案
(1). sandstorm.io
(2). 自搭儲存雲
b. 團隊線上討論與專案進度管理
i. Crabgrass (也是riseup.net 提供的服務之一)
ii. sandstorm.io
樹狀圖右手邊,則是對上述的分析結果,再研擬行動因應方案
I. 簡易,可帶來重要影響的行為可以立即先作
A. 使用二因素認證
B. 使用signal
C. 啟用全磁區加密與高強度密碼
D. 使用密碼管理軟體工具,昇級、定期更改密碼
II. 發展出文件與電郵的收集政策和實踐方式
A. 先決定不能放棄什麼,再來找出一個大家可接受的通訊方式 ,並透過訓練與強迫推動。
B. 怎麼維持維護
C. 其保管期限多久
D. 如何被執行落實
III. 制作數位安全威脅地圖
IV. 依照數位安全威脅地圖,進一步評估與決定需要何種新工具與落實手段
V. 別忘了數位資訊安全只是全面性安全和危險預防因應計畫中的一個環節。
二個月前弄「NGO 數位策略發展指引」工具第一版時,曾簡短提及:全面的資訊安全考量與盡責的資料使用政策是 NGO在發展任何數位策略時不可忘卻的重要基本原則。雖然想慢慢整理一些關於資訊安全與網路自由的中文資訊,但目前多少有點泄氣地感到沒什麼動力能繼續如吸嗎啡般高昂地做此事。咦,難道本週電子報最後一段還要再來個迴向,延續開頭沒釋放完全的負面能量?不過也許依照這份樹狀圖的架構,接下來可以再繼續修正或擴充出合適台灣NGO/NPO的全面資訊安全檢查與操作的簡化版吧。
本週其它好文推薦:
- A Comprehensive Guide to Facebook Advertising 兩三週前有機會請教一位台灣 NGO 工作者,其在臉書上花錢進行廣告投放的操作狀況。我個人不使用臉書,從小就覺得廣告實在是資本商業運作下一個超神奇的産業。進入了網際網路年代廣告業則進一步依個資收集來的分眾屬性作更量身的人格個性地理區位投放,不斷推展消費與心理學的極致。也許有些 NGO/NPO 認為的確有需求,願意透過買廣告投放為其活動提昇更高的能見度,這份資訊算是蠻清楚的入門整理吧。(另有番外篇,約9分鐘的影片:7 Most commons Facebook Advertising Mistakes that are costing you money )
- The Engine Room: human rights and technology community call TER昨晚甫落幕的本年度第一場社區社群網路會議,會議共享的記事本在此。之前雖已關注 Witness 各項工作一段時間,但有機會聽到專案負責人親口報告其原始的構想、執行的狀況、遇到的問題,還是多少能帶給人一種不同的想法刺激。也許有機會本站也來搞一場線上網路會議?(喂,吃飽太閒……)
3. 近期改版的 Medium 有個新功能,讓作者可以寫信方式給其訂閱追踪者。近一年來,除訂遍了台灣所知道的社運團體電子報,也觀摩外國非營利組織對各式網路數位工具與內容經營的討論,歐美社群中還是把電子郵件電子報當成是非常重要不可放任的溝通宣傳管道。相較下,台灣NGO當中認真能把電子報按時發送的少之又少,更別提內容與版形設計是否吸引方便讀者開啟。最近讀了revue(給個人發送電子報的平台服務商)一系列如何利用其服務發行電子報的介紹文章,頗心動地想來試看看(毛病又犯了……),能否再稍微地打開本出版品被釘在Medium 等人來訂的閱讀群。這份電子報的資訊會與Medium 出版品內容高度重覆,發行頻率則是每逢初一、十五主動發送,訂閱請到這裏: https://www.getrevue.co/profile/twngo
以上文章主要資訊來源是這份推特列表上所追踪訂閱的NGO/NPO/社會行銷策略專家。除透過Medium服務訂閱本站每週電子報專文與好文摘要推薦外,亦歡迎讀者可追踪本站推特帳號服務 (@NGONewsTW),該帳號目前收錄了台灣約150個NGO/NPO的官網新聞自動推送或電子報內容。目前本站除了臉書那張大黑布沒沾外,有:Medium出版品(其實還偷偷的有tumblr, blogger :p)、revue電子報,還有 slack 聊天室,但似乎還是一團黑的徒勞無獲狀況啊<( ̄ ﹌  ̄)>.
NGO 推進器 