標籤: Digital Security

組織全方位安全 Organisational Security for Civil Society

組織全方位安全 Organisational Security for Civil Society

上週 The Engine Room發佈了他們進行十五個月的組織安全(Organisational Security)專案計畫的成果報告。從計畫宣佈的時間點,剛好遇上是我開始接觸學習數位安全課題的巧合契機,算是幸運地趕上此波風潮從旁關注由頭到尾的發展變化。故除樂見本專案階段性的成果發佈,過去十來個月來台灣或國外公民社會組織的抵抗氛圍微妙變化,也是吾人當體察為何這兩三年來資訊安全課題會在 NGO 部門越受到討論重視的外部因素要件。

其實當聽聞 TER 宣佈要進行組織全方位安全專案,對外募集各方建議意見時,心中就很懷疑:以我個人有限接觸的時間和累積知識,都可以胡說八道地列出一串國外許多資訊安全的研究調查、教學教案、實務診斷應用、工具介紹等資源。既然早已不缺網路資訊數位安全的相關材料,那麼 TER為何還要投入一項名之為 「組織的數位安全」專案?它將如何與市場上已出現的資訊進行區隔?其利基賣點何在?

我個人覺得這份報告最大的亮點在插畫(大誤。不,倒是真心話) — — 提供一個考慮不同社會文化情境的數位安全態系。過去雖然也有人提倡全方位的數位安全(holistic security),即資訊軟體、電信電腦硬體設備的安全外,還包含組織人員的身心健康、社會心理等,都得放入安全設計考量。本以為這樣也就差不多到了所謂「全面化」的極限,但有時候如不能偶而跳開別人提出來的框架條件,就錯失想像之所以發展出各種方方框框的社會情境脈絡是什麼,何種價值認知什麼樣的行為造就了這些框架。又或者說,這些背後的背後因缺乏了哪些條件或動機,所以造不出茂盛生命生長的環境。但我們往往只看到眼前有形的物質,好一點的看到了泥土肥料昆蟲,更高明者還得考慮節氣變化、土質中各式化學微量元素…..。

從下圖的示意可以一目了然於 TER 所看到的數位安全生態系統,除了軟硬體設備應用的考量外,還有支橕著前兩者的標準協定(Technical Standards and protocols),主事人員的文化背景與認知意識,以及人類體系中的法律和政策結構(legal framework and policies)。

The Engine Room:
Strengthening The Digital Security Support Ecosystem

第一部份提出了上述更完整的人類社會生態系脈絡後,提醒著 NGO 如何意識,認識到這些框架與限制,來思考在面臨了組織安全課題上的挑戰。過去 「數位安全」鮮少討論到的文化社會多樣化考量,在此報告中卻變得立體生動起來。本報告接下還處理了:NGO 組織的安全學習之路與具體建議兩大部份。

NGO 的數位安全學習之路

它把 NGO 認知與學習數位安全的學習路徑(或說認識程度)分成三大類:未體認到此課題重要的不知不覺者(unaware);已認知此課題,正在進行學習強化組織應變能量者(learning);已充份掌握此課題且有十八套方案或可先發制人之大師級身手者(mastering)。

Strengthening The Digital Security Support Ecosystem

從這三大類樣態,研究訪談試圖追查:三類樣態的營運現況如何,哪些情況可能會刺激該組織願意往下一階段進行轉變,在轉型過程中又是何種支援系統可以更有效地協助處於不同階段的單位跨越各式各樣的心魔或是人為障礙物?

從原本毫無感覺的麻痺麻木(unaware),進入到神經系統已能正常運作的學習階段(learning),不就只是前者借重著某個契機(例如嚴重的資料外洩事件或是重要硬碟掛掉)偶然地到來而警醒,這也是 2.2 learning 這部份極其好看有趣的地方,對我而言之所以能產生高度認同共鳴,大概因自己目前亦處在學習階段,遇上了許多類似困惑與無奈吧。所以我認為,這份「New Research on Organisational Security for Civil Society」的訴求對象不是資安白丁的公民社會社團組織,是已產生資安共感意識的 NGO 工作者,一份相互取暖(又誤!)惕勵的文件。(其實本報告最大目的是寫給提供 NGOs 經費資源的大基金會看的啦,第三部份的建議都挑明喊話了。)

對 NGO 的啟示?

去年年底讀到 Privacy International 的二篇文章:"What security means for NGOs (and why we do it badly)“;Our history with our own security and what we do now",PI 不吝大方地分享了自身作為關注數位權位、資料隱私課題的倡議型國際非政府組織 ,卻在資訊安全防備管理上也曾經跌過筋斗的教訓。資訊安全或可只作個人層次的提醒準備,但若不涉及交流者通訊者之間彼此遵守,安全根本是天方夜談,更何況是在社群組織層次地看待討論各種潛在漏洞弱點?犯錯失誤並不可恥,可怕的是還不知道自家門戶大開,敵對方根本連木馬都不必派就可輕輕鬆鬆攻城略地。

台灣 NGO的資安防備。以 Privacy International 的資安規格,應當已屬 INGOs 之中的模範生等級。別說是本地 NGOs ,我都很懷疑台灣有哪些跨國企業或處理國安機要的政府部門其數位安全檢驗有到達 PI 如此等級的細密透徹。既然本地多數 NGOs 仍在起跑點前猶豫或混然不覺,又該如何推他們一把,好好看清前方跑道與八方環伺的風險威脅呢?

最後趁亂告白,本站命名「NGO 推進器」的靈感就是來自於 The Engine Room 的啟發,以示向 TER 的看齊致敬。

除每週二在 Medium 平台發佈專文外,「NGO 推進器」每個月整理一次的電子報,主動把文章滙整到訂戶電子郵件,或是加入 TWNGO slack 安靜無趣的聊天室。

https://www.getrevue.co/profile/twngo/

社運人士數位安全資訊滙整

infosec.twngo.xyz

inforsec.twngo.xyz 是今年三月中旬為了高雄大港開唱週邊的 NGO 擺攤活動,隨手整理出來的材料。

幾週前讀 Safeguard Defenders (e04,昨天訪問時,資料少了很多。今天則無法訪問了)編寫的簡體中文版「数字安全实用手册」,其中提供的一些操作竟違背了我這一兩年來從國外英文材料上所習得的資安常識。想來 Safeguard Defenders 指涉的讀者群,當是受到集權國家嚴密監控的維權活躍份子,其威脅模型與現實騷擾迫害,遠超過當前台灣社運人士所能想像。當然中國維權人士在面臨 BAT 全球百大企業與國家黨軍機器聯手追捕的網路整肅下,亦無法完全倚賴歐美進步社運團體的安全操作建議。遂有了具有中國特色的「数字安全实用手册」出現。

正因這份不寒而憚的幸運對比,迫使我近一個月來加緊把手邊一些有關數位安全的中文化材料整理完畢,一併放入 infosec.twngo.xyz ,算是為它劃上一個階段句點。其上入門初階的內容以年輕社群大量使用智慧手機與社交平台的潛在風險提醒為主,進階版則是收錄國外 NGO 社群對於全方位安全討論的資源。(咦,不是還有兩個「coming soon」預告的東西還沒做嘛 :p)

在台灣資訊流通豐沛自由的輕鬆寫意、不察社交媒體癮頭地一股腦傾洩 ,但差不多該是時候認真面對當前專注力匱乏與個人自主權削弱之際,你我如何謀策此數位年代下的另一番法治人權課題,是以為誌。

本文改寫自「NGO 推進器電子報:NGO 社運人士數位安全資訊 — Issue #6」,歡迎訂閱。

https://upscri.be/95f69f/

最後同場加映,Public Interest Registry 近期刊出了一系列「NGOs and Data Securit」主題討論,也請 NGO 伙伴在檢查過個人的數位安全使用習慣後,好好地提醒建議服務單位,是否該好好從組織的角度來思考與履行資訊安全課題。

NGOs and Data Security:Do You Know Where Your Data Is?(台灣開拓基金會策佈的「非營利組織資訊運用停聽看」稍早已曾提及此文)

Not-for-profits and online security (– How Can We Help?)

NGOs and Data Security: Best Practices for Data Breach Prevention

RoadMap: NGO/ NPO 的數位資訊安全樹狀流程圖

RoadMap: NGO/ NPO 的數位資訊安全樹狀流程圖

本以為每週寫一篇非營利非政府組織在數位網路議題上的文章應該是不是難事。不過隨著讀材料、整理文字、構思內容發表等等過程,最近才回過頭來檢視:咦,寫了超過半年以上的東西,到底有沒有人在看呢?等到意識到要查看讀者、影響力、流量等現實數據,情況就開始令人心酸了。剛進入21世紀的部落格剛興起年代裏,以為如前網際網路年代發行的電影「夢幻成真」(Field of Dreams,1989)從天空降下的聲音:if you build it , he will come. 有些事情只要先不計較後果地豁出去做,也許終會慢慢看到一點收穫。但是…….嗯,也不是說過去累積下來的東西走過的路全是枉然,只是在極端氣候變化,大洪水不知何時降臨的末世年代中,到底這個脆弱微小的方舟能起到什麼扺御或保命的作用呢

寫完第一段抒發鬱悶情緒(正常負面能量釋放),本週電子報專文要介紹的是一份取材自上週一場關於NGO如何執行網路資訊安全的網路會議材料 — -RoadMap webinar:Digital Security in the Trump Era。這場90分鐘的線上會議三名報告人提供100多頁的材料,其中我覺得這一頁 digital security work flowchart 可能是最適合許多當前台灣的 NGO/NPO 以最簡單自我檢查流程與立即可做的改進方式,以稍強化組織層次的數位網路安全資訊。剛好其中提到的許多應用工具亦是自己曾投入在地中文翻譯或使用中覺得值得作為替代的服務,故一併把相關的連結資料整理出來,希望這份材料未來能變成某個專案派得上用場的小鑼絲。

digital security work flowchart by RoadMap

稍微把這個樹狀圖的資訊翻成中文:(下載原始的pdf檔案)

上圖中,左手邊的數位網路資安基本可分成三大要件:

I. 威脅模形與抉擇優先次序
A. 什麼是需要保護的資產,一旦其受到侵害破壞的最壞下場會是什麼? 
 a. 敏感資料
 b. 戰略策略文件與決議
 c. 行動方案計畫
 d. 令人困擾尷尬/麻煩的通訊記錄

B. 哪些人是應予防備的對象? 國家、執法者、競爭對手、上司、前任恐怖情人(敵)、父母師長(這個可能會出現在青少年社群)….. 他們手上握有什麼樣的材料和資源?

C. 亦得考量「合法」的搜查以及被監控/駭侵的狀況,要如何應對

D. 最終成品:整理出資產、威脅與策略層級架構的先後次序

II.(靜態)資料數據的安全
A. 硬體設備
a. 筆電桌機
 i. 全磁區加密並採用高強度密碼,確保安全。
 ii. 依照威脅模型的情況,考慮是否啟用蘋果筆電上“Where’s My Mac”功能。
 iii. 留意硬體設備,尤其不要把筆電留在車上或是離開座位時放之不顧。

b. 手機 
 i.使用強固的密語
 ii. 依照威脅模型的情況,考慮是否啟用iPhone 的“Find My iPhone”功能或Adroid手機上相似的電話遺失追踪功能。
 iii. 考慮如何管理手機上的 Google Suite 與其它文件分享軟體。

B. 堅固、加密和備分:
a. 經得起測試
b. 監督是否所有的電腦、設備都有定期備份
c. 萬一資料被掃除,要保護舊版本的使用者
d. 遵照資枓收集政策的規定

C. 資料收集政策:應有明確政策予以遵守,且要合於計畫方案

D. 線上帳戶管理
 a. 使用二因素認認登入
 b. 評估安全性與是否有其它替代選項

III. 通訊和動態資料數據的安全
A. 電子郵件選項
 a. 繼續使用 gmail的話,至少應啟用二因素認證
 b. 移轉改用 proton mail 
 c. 使用 PGP / GPG方式對信件內容予以加密
 i. 對於高危險敏感、重要的外部郵件通訊
 ii. Gmail + Mailvelop
 iii. 需要稍了解文字指令操作環境,以及其原背後的加密演算原理。否則可能會把公鑰私鑰雜混,或是遺失金鑰等等麻煩。

B. 即時訊息、簡訊短信:使用signal

C. 協作工具
 a. 確保檔案分享的安全性
 i. share.riseup.net 臨時用,適合一般大小的檔案
 ii. onionshare : 大形檔案
 iii. 可評估使用模式的安全是否合適
 iv. 組織情況是否需要進一步地採用更安全的方案
 (1). sandstorm.io
 (2). 自搭儲存雲
 b. 團隊線上討論與專案進度管理
 i. Crabgrass (也是riseup.net 提供的服務之一)
 ii. sandstorm.io

樹狀圖右手邊,則是對上述的分析結果,再研擬行動因應方案

I. 簡易,可帶來重要影響的行為可以立即先作
 A. 使用二因素認證
 B. 使用signal 
 C. 啟用全磁區加密與高強度密碼
 D. 使用密碼管理軟體工具,昇級、定期更改密碼

II. 發展出文件與電郵的收集政策和實踐方式
 A. 先決定不能放棄什麼,再來找出一個大家可接受的通訊方式 ,並透過訓練與強迫推動。
 B. 怎麼維持維護
 C. 其保管期限多久
 D. 如何被執行落實

III. 制作數位安全威脅地圖

IV. 依照數位安全威脅地圖,進一步評估與決定需要何種新工具與落實手段

V. 別忘了數位資訊安全只是全面性安全和危險預防因應計畫中的一個環節。

二個月前弄「NGO 數位策略發展指引」工具第一版時,曾簡短提及:全面的資訊安全考量與盡責的資料使用政策是 NGO在發展任何數位策略時不可忘卻的重要基本原則。雖然想慢慢整理一些關於資訊安全與網路自由的中文資訊,但目前多少有點泄氣地感到沒什麼動力能繼續如吸嗎啡般高昂地做此事。咦,難道本週電子報最後一段還要再來個迴向,延續開頭沒釋放完全的負面能量?不過也許依照這份樹狀圖的架構,接下來可以再繼續修正或擴充出合適台灣NGO/NPO的全面資訊安全檢查與操作的簡化版吧。

本週其它好文推薦:

  1. A Comprehensive Guide to Facebook Advertising 兩三週前有機會請教一位台灣 NGO 工作者,其在臉書上花錢進行廣告投放的操作狀況。我個人不使用臉書,從小就覺得廣告實在是資本商業運作下一個超神奇的産業。進入了網際網路年代廣告業則進一步依個資收集來的分眾屬性作更量身的人格個性地理區位投放,不斷推展消費與心理學的極致。也許有些 NGO/NPO 認為的確有需求,願意透過買廣告投放為其活動提昇更高的能見度,這份資訊算是蠻清楚的入門整理吧。(另有番外篇,約9分鐘的影片:7 Most commons Facebook Advertising Mistakes that are costing you money )
  2. The Engine Room: human rights and technology community call TER昨晚甫落幕的本年度第一場社區社群網路會議,會議共享的記事本在此。之前雖已關注 Witness 各項工作一段時間,但有機會聽到專案負責人親口報告其原始的構想、執行的狀況、遇到的問題,還是多少能帶給人一種不同的想法刺激。也許有機會本站也來搞一場線上網路會議?(喂,吃飽太閒……)


3. 近期改版的 Medium 有個新功能,讓作者可以寫信方式給其訂閱追踪者。近一年來,除訂遍了台灣所知道的社運團體電子報,也觀摩外國非營利組織對各式網路數位工具與內容經營的討論,歐美社群中還是把電子郵件電子報當成是非常重要不可放任的溝通宣傳管道。相較下,台灣NGO當中認真能把電子報按時發送的少之又少,更別提內容與版形設計是否吸引方便讀者開啟。最近讀了revue(給個人發送電子報的平台服務商)一系列如何利用其服務發行電子報的介紹文章,頗心動地想來試看看(毛病又犯了……),能否再稍微地打開本出版品被釘在Medium 等人來訂的閱讀群。這份電子報的資訊會與Medium 出版品內容高度重覆,發行頻率則是每逢初一、十五主動發送,訂閱請到這裏: https://www.getrevue.co/profile/twngo

以上文章主要資訊來源是這份推特列表上所追踪訂閱的NGO/NPO/社會行銷策略專家。除透過Medium服務訂閱本站每週電子報專文與好文摘要推薦外,亦歡迎讀者可追踪本站推特帳號服務 (@NGONewsTW),該帳號目前收錄了台灣約150個NGO/NPO的官網新聞自動推送或電子報內容。目前本站除了臉書那張大黑布沒沾外,有:Medium出版品(其實還偷偷的有tumblr, blogger :p)、revue電子報,還有 slack 聊天室,但似乎還是一團黑的徒勞無獲狀況啊<( ̄ ﹌  ̄)>.

SAFETAG 簡介 : The Security Auditing Framework and Evaluation Template for Advocacy Groups

SAFETAG 簡介 : The Security Auditing Framework and Evaluation Template for Advocacy Groups

http://picture-frame.deviantart.com/art/Door-and-padlock-B-W-as-req-d-108284151

SAFETAG 是InterNews 發動的一個專案。 InterNews 成立美國加州,是間已有35年歷史的非政府組織,其主要宗旨在協助全世界各國家當地媒體的能力強化,促進資訊的自由流通。因此與此宗旨相符的各項相關專案工作,遍佈全球100多個國家。 本文要介紹的SAFETAG全名是: The Security Auditing Framework and Evaluation Template for Advocacy Groups (SAFETAG),中文勉強譯過來應該叫作:倡議團體使用的資安稽查框架與評量模版。

SAFETAG 主要的貢獻者這麼解釋此專案的源起構想:「資訊安全」稽查通常只有大型組織、有錢的商業公司才能負擔得起花錢,找來收費昂貴專業的資安專家或保全管理公司來協助其評估該公司整個資料管理、網路架設、設備使用…..等等五花八門的資訊安全相關設計與實施的嚴密程度,是否存有系統或人為弱點漏洞易遭攻陷。而一般小型單位,特別是因從事的工作不見容於當權者,又格外身置險境的倡議型非政府組織、獨立的小型媒體,其本身即屬高風險的被攻擊受害對象,但又沒資源如前述的大企業進行組織的資安威脅診斷檢查。

InterNews 因此産生了這套倡議組織進行資安檢查框架與評量工具套件組,好讓其可以「自行」拿來應用,或是最好在外部資安稽查專家的協助下,仔細地檢查組織現有的操作樣態、資料使用保管、數位工具操作、資訊網路佈署等等狀況,找出其未曾意識到(或已意識到但無能改變)的種種弱點,提出改善的建議報告。

我自己「一兩次」試著讀過SAFETAG全文二百多頁的操作內容,其結果都以草草翻過告終。然後心中不免感嘆是這些所謂的資訊安全專家們太過杞人憂天的被迫害妄想呢,還是我這種死老百姓因為不解RFC上千個協議的技術漏洞與系統風險,所以從來沒認真花心思從這麼瑣碎複雜的程序去檢查自己的行為是否符全安全要求?

雖然自己沒認真讀過,本身不是資安背景沒操作過任何實際的資安檢核與改進,要寫SAFETAG 似乎有點冒眛與不自量力的傲慢,不過我想找遍全世界,應該也沒有其它這麼刻意為中小型的人權倡議團體量身編寫的資安資安檢核與改進的稹密操作指南。故鄙人還是來分享一點點如何閱讀 、理解其編寫架構與活動設計邏輯的粗淺介紹。


SAFETAG 最主要分成二大類:第一是對接受稽核的組織進行全面撲天蓋毯式的資訊漏洞弱點檢查,第二再來針對這些問題(漏洞弱點)提出建議,並製成報告以利後續的改進。

從上圖中可以看出,第一大類的活動從左下角的起點開始,完成超過半圈的十來個活動歷程,方才進入提出建議、發展路徑圖、制作報告等等「收尾」的後續整理跟進。當然這個環形跑道可能也不是只跑一圈就結束,很可能在灌輸過資訊安全的知識與操作缺失曝露後,還得經過一段學能力建構的學習、調整、適應,才能內化為組織與相關人士的反射本能動作。故在這個不斷循環的過程上,二條跑道分別代表了:綠色為組織/相關人士的能力建構;藍色為弱點評析,皆為SAFETAG的核心關切。

SAFETAG Data Flow

這十來個NGO組織全面性的資訊安全診斷項目,又該如何具體進行呢?各個檢查項目的操作,大致上就是如上面第二張資料流向圖的示意,從相關的人員(Actors)、障礙(Barriers,指的是NGO所面臨的特別挑戰,會限制或阻斷組織的能力)、設備資産(Assets,附了具體的硬體電腦系統外,儲存其上的資料檔案以及遠端的網站、雲端應用與資料,甚致是打印出來的文件、隨身碟等等。)來收集滙整相關資訊,分析判斷其屬於正向良好操作加分能力(Capacity,工作人員的技能以及組織各項資源以應變挑戰與並帶來改變的影響 ),還是易被攻擊的缺點(Vulnerability, 組織本身某個特定的缺陷或是因其設備資産Assets 而易遭致的攻擊),透過各式子項活動(如問卷調查,實作記錄、面談訪問等等方式)來了解組織在此一項目下的表現現況。要說明的是,此圖中間核心「活動」(Activity)意指的是NGO/NPO因本身成立宗旨所推動的各式工作專案、日常營運式活動等等。換句話說,原本左手邊的相關資訊收集起來,經過一番檢查稽核後,就會流向右手邊成為對相關優缺㸃評 估過的結果報告。

舉在SAFETAG這麼多需要稽核審視的安全項目中的其中一例,「網路制圖」Network Mapping,在SAFETAG本身定義的內涵是指針對NGO內部的區域網路架構、無線網路加密使用、連結到外部網際網路之間的安全防火牆、虛擬網路VPN設定等等,其防護安全性是否足夠。因此在這項目下,SAFETAG會透過許多問題的調查了解該NGO相關人員網路使用、軟硬體的優缺點、是否存有任何障礙阻止NGO在電腦網路佈署能力上的強化等等。

換言之,在一個完整的資訊安全稽核審查循環中,從第二步勘察(Reconnaissance)決定要從哪些數位資訊安全操作入手、到資料評量(Data Assessment)、網路制圖(Network Mapping)、威脅評估(Threat Assessment)、使用者設備(User Device Assessment)、弱點評析(Vulnerability Assessment)、回應式支援(Responsive Support)、實體評估(Physical Assessment),都會採用 SAFETAG Data Flow 這套程序來收集資料。

仔細地檢查出現況的弱點和問題,當然還不會這麼快就結束,由資安稽核專家針對性所撰寫出的問題報告,甚致提出了改善路徑圖的行走建議,NGO是否真能從善如流依循這番建議進行改善,並持續追踪跟進。不過200百多頁的手冊重點似放在各軟硬體項目的資安稽核操作,其具體引導問題有哪些、會用到材料有什麼、操作的步驟怎樣可能較佳等等,而對結果報告的整理、協助改善路徑圖的制作繪出則只有著墨十頁左右。

我自己是主觀覺得 SAEFTAG 顯然是不太可能在短時間一兩年內有被台灣本地的台灣NGO/NPO理解、關心更別說是引起其操作興趣的機會。一方面是它企圖收入的內容太過「完整」,幾乎到有點瑣碎的地步,並不容易消化;再者台灣長期習於偏安的社會情境下,別說是NGO/NPO,有些明明該對資訊安全稍具有高敏感防備的官方機構,都非常混混諤諤,頂多只能接受輕鬆軟調的防毒昇級建議,其它再進一步的建議操作對台灣絕大部份的電腦網際網路使用者都不太實際。 因此目前只好先把這份資料放在「心裏」,時候未到就只能先自我蓄力有機會再來爆發吧。

寫完SAFETAG的簡介,讓我想起了二個月前作的單張小網頁:數位安全小提醒。其實當時曾有念頭,想要繼續完整地整理出中級版和高級版的資訊,但近來沒什麼被鼓勵的動力來積極進行,故此事就暫時被擱到一旁,果然我也是偏安的世代。(茶)

本週其它好文推薦

  1. 既然談了資訊數位安全上的稽核,不妨再提一篇「8 Tips for Conducting an Effective Social Media Audit」,對於組織經營管理的社交網站平台上品牌帳號,如何進行有效的健康檢查,除了了解其表現影響力,與支持者客戶之間滿意度的互動外,也有助於組織設定自身的社交網站發展策略
  2. The best productivity tools for charities (Part 1 of 2): time-saving methods to find tools 介紹了幾個網站,好讓NGO/NPO 可以更有效率地找到不同的工具軟體。
  3. The best productivity tools for charities (Part 2 of 2): Favourites revealed。第二集則是揭曉眾多NGO中最受歡迎的工具(謎之音:英國的非營利組織沒人把臉書當成生産力工具來使用啦)

本站主要資訊來源是這份推特列表上所追踪訂閱的NGO/NPO/社會行銷策略專家。除透過Medium服務訂閱本站每週電子報專文與好文摘要推薦外,亦歡迎讀者可追踪本站推特帳號服務 (@NGONewsTW),該帳號目前收錄了台灣約130個NGO/NPO的官網新聞自動推送或電子報內容。