▲圖說:伊甸基金會資訊管理處網管中心主任葉家和受訪時強調,面對龐大的捐款資料,基金會嚴格要求所有數據進入後端資料庫後,皆必須以加密狀態儲存,從底層基礎設施落實個資保護。
社會善意不僅要永續傳遞,更需堅不可摧的保護力!當大眾的愛心捐款湧入非營利組織(NPO),該如何確保捐款人個資不被駭客輕易竊取,成為NPO團體無法退讓的底線。對於IT資源相對有限的組織,財團法人伊甸社會福利基金會如何有效強化資安防護?
伊甸基金會秉持「服務弱勢、見證基督、推動雙福、領人歸主」的理念,長期為身心障礙朋友及弱勢發聲。伊甸的服務對象涵蓋遲緩兒童、成年身心障礙者與高齡長者,每年照顧超過10萬個家庭,並將愛心觸角延伸至國內外。
隨著服務規模擴大,伊甸的數位轉型步伐也沒有停歇。伊甸資訊管理處網管中心主任葉家和表示,伊甸除了打造官網,線上捐款系統也在多年前上線,並擁有自建伺服器以維持業務運作。然而,龐大的數位資料,也悄悄帶來隱形挑戰。
▲圖說:面臨緊急的資安事件時,伊甸基金會的IT團隊具備靈活的應變策略,例如在維持官網資訊正常運作的前提下,會優先將核心捐款區塊隔離保護,展現公益團體在資安議題上的智慧決策。
當公益模範生遇上駭客無差別攻擊
「隨著駭客手法的更新,近五到十年間,我們深刻感受到,駭客攻擊的目標不再鎖定高營收的企業,就連非營利組織也無法倖免。」葉家和坦言,儘管駭客不是直接從NPO榨取利益,但基金會握有大量捐款人與個案資料,在犯罪集團眼中,這就是極具價值的「肥羊」。
葉家和分析他們實務遇到的攻擊樣態,例如常見的社交工程釣魚信,駭客佯裝成有業務往來的夥伴,或假冒捐款人反映扣款有問題,誘騙第一線人員點擊惡意連結。另外,駭客也會持續探測官網、捐款系統的弱點,試圖尋找突破口。「我們知道風險從來不會為「零」,尤其對資源相對有限的公益團體來說,在詐騙猖獗、網路駭客的惡意攻擊下,資安管理是非常嚴峻的挑戰。」葉家和補充道。
伊甸的經驗也反映許多非營利組織共同面臨的資安課題。中華電信觀察:「公益團體比一般企業更迫切建構嚴密的防護網,其核心資產是社會信任,一旦發生資料外洩,將重創募款量能與服務推動。」換言之,NPO組織切勿低估自身受攻擊的風險,針對網站與捐款系統防護、個資盤點、系統權限管理,乃至第一線人員資安意識,每個環節都應全面強化。
導入「曝險評級服務-風險之眼」揪出隱形威脅
伊甸已建置防火牆、防毒軟體等基本防禦,葉家和深信「資安防禦永遠沒有盡頭,我們更想知道的是,如果從外部角度來看,伊甸的系統還有哪些我們沒有察覺到的漏洞?」因此伊甸選擇中華電信所提供的「曝險評級服務-風險之眼」來因應,透過網路安全、DNS健康狀況、修補步調,甚至能偵測駭客社群討論熱度等10大檢測模組,揪出藏在細節內的潛在漏洞。
談及實際使用情境,葉家和以此譬喻:「『風險之眼』就像旁觀者,用外部的眼睛盯著我們看。」他解釋,其他防禦方案若偵測到異常會直接中斷服務,這對無法全天候隨時應變的NPO來說相對困擾。而風險之眼則是自動偵測弱點,在儀表板標示「危急、高、中、低」等風險指數,讓工程團隊能清楚知道危機的輕重緩急,並安排在離峰時間處理,確保捐款平台營運不中斷。
從方案提供者角度來看,中華電信「曝險評級服務-風險之眼」結合外部攻擊面管理(EASM)技術,企業只需輸入網域,即可透過「非侵入式」方式蒐集公開資訊,自動分析關聯網路資產與IP足跡。此服務具備能持續主動監控的優勢,在不影響企業既有服務的前提下,發掘對外資訊服務的破口。一旦發現安全評級分數下降,系統會即時發出告警,並提供具體的修補建議,讓伊甸快速掌握風險全貌。
▲圖說:駭客攻擊往往有高峰期特性,每當伊甸基金會偵測到網路威脅升溫,資訊單位會主動向第一線業務主管發出預警,建立跨單位的橫向通報機制,確保任何風吹草動都能即時防堵。
眾多方案中,為何獨鍾中華電信?事實上,「風險之眼」是中華電信與全球曝險評級龍頭 SecurityScorecard雙強聯手,結合國際頂尖技術、在地整合力與彈性訂閱方案的防護利器。葉家和認為「在地化服務」是極大加分項,坊間許多國際大廠的曝險評級服務或弱點掃描工具僅提供終端介面,缺乏即時的中文支援。「當我們看到報表上的『中風險』項目,猶豫該如何評估連帶影響時,中華電信的工程團隊會提供專業協助,加速我們決策效率,這份彈性與在地支援,是我們選擇中華電信的關鍵。」葉家和解釋。
防護再升級持續強化社會信任
風險之眼部署後,葉家和觀察他們在實務維運方面,工程師每天透過直觀的儀表板,即時看見弱點修補後的量化分數變化;每月的報表更留下長期的治理軌跡,讓資安防禦從過去零星、分散的補強,邁向系統化與制度化的管理。
▲圖說:「曝險評級服務-風險之眼」服務介面首頁,企業可檢視十大檢測模組的評級分數
至於更深層的效益,是賦予團隊心理上的踏實感。葉家和表示,「過去針對資安我們雖然做了很多,但心裡總有隱憂,深怕哪有疏漏;現在有工具明確告訴我們問題在哪,團隊就能加速處理。」這份更踏實的安全感,讓團隊面對外界威脅時不再慌張,補上資安防護關鍵的一塊拼圖。
談及下一步對防禦力的投資,葉家和提到他們已規劃進一步導入ISO 27001等ISMS(資訊安全管理制度)。他指出,「捐款人選擇伊甸,是把善心託付給我們,我們就有責任提供足夠的保護。雖然這對NPO是一大挑戰,但我們願意跟著中華電信這樣有經驗的夥伴,透過外部驗證來證明我們的努力。」
面對伊甸的決心,中華電信顧問輔導團隊也表示,完善的個資與資安治理,是公益組織實踐 ESG(環境、社會與公司治理)的重要基礎。中華電信能協助公益組織從資產盤點、風險評鑑到制度建置,逐步建立符合組織規模的安全管理制度。「資安絕對不是單純的IT成本,而是守護信任、實踐社會責任與強化治理能力的必要投資,」中華電信強調。
從前端防禦技術到後端的管理制度,伊甸展現推動數位轉型與捍衛資安的決心,在這條沒有終點的防禦路上,選對能長久並肩作戰的夥伴至關重要。身為長期投入資安防護與數位轉型的夥伴,中華電信將持續落實「科技守護公益」的企業承諾,成為台灣非營利組織堅實的數位後盾,陪伴更多NPO立足安全基石,穩健邁向永續未來。
【了解更多】中華電信「曝險評級服務-風險之眼」
【資料來源】ETtoday新聞雲/ 2026/7月