當資安成為日常:非營利組織的現況與回應

2024系列研究|非營利組織與捐款人的新時代對話

三成非營利組織曾遭遇資安事件,其中以捐款人接到詐騙電話最為常見。資安事件不僅動搖捐款人的信任,衝擊募款成果,也對組織的日常營運帶來極大壓力。雖然資安防護的成效不易呈現,組織仍可掌握兩項原則、三項做法,落實資安管理的防護網。

三成組織曾遭遇資安事件,捐款人接到詐騙電話最常見


本次調查針對 237 家非營利組織進行資安現況盤點,發現自 2021 年以來,有 70 家(29.5%)的組織曾遭遇資安事件,其中,最多組織遇到的是「捐款人接到詐騙電話或已受騙」(64.3%)、其次為「系統被入侵」(44.3%)與「資料外洩」(42.9%)。資訊安全已然成為公益生態圈必須正視的挑戰,特別是在事件發生後,如何修復與捐款人之間的信任關係。

定期定額與信任流失,對組織的影響層面大


資安事件發生後,有超過三成組織面臨「定期定額退捐」及「捐款人信任度下降」,另有兩成組織的整體募款金額下降,下降的幅度多在 1–25% 之間。整體來看,有超過六成組織的募款狀況受到影響,對財務的穩定性造成一定程度的衝擊。


值得注意的是,有超過三成組織表示他們的募款沒有受到影響。這樣的結果可能與組織的歸因方式與事件狀況有關:一方面,募款成果受到許多外部因素影響,有些組織可能將變化歸因於整體環境、經濟景氣等,而非直接連結到資安事件;另一方面,每一家組織的資安事件嚴重程度不同,也可能僅出現零星退捐,對組織的募款影響不大。


不過,資安事件對組織造成的衝擊,絕不僅止於募款成效。超過七成組織認為,資安事件對組織的整體影響達中等或以上的程度。資安事件不僅造成財務損失,也影響組織的日常運作,對組織帶來不少壓力。

訪談中組織分享的經驗也呼應了上述的調查結果:


「我們是發生了兩次…我們那時候想說好,該做的檢查我們通通都做過一輪了。結果過了半年不到,又發生了第二次。捐款人打電話來罵到飛天,我們光處理客訴電話,從來沒有停過,就十二線全部都是滿的,一整天就是我們在處理那個客訴的情形。因為第一次已經道過歉了,當第二次發生的時候,對我們來講,那個完全就是信任打擊了。就完完全全,你講再多也沒有用,因為他就直接告訴你說我要停捐。」

這段經驗深刻地反映出,資安事件嚴重衝擊組織的日常營運,更動搖了多年累積的捐款人信任,是組織需嚴正以對的重大危機。

資安制度不完全,仍有五分之一組織未防護資安風險


隨著資訊安全的面臨越來越多威脅,組織也開始訂定措施,確保同仁落實安全的工作習慣。調查顯示,過半數組織(57.8%)有進行資安檢查與評估,是最常見的資安防護措施。不過,其餘的措施施行比例並不高,僅二成組織擁有「內部專責人員」或進行「定期」資安教育訓練,另有二成組織沒有任何的資安防護措施。


教育訓練是培養同仁資安意識的重要手段,調查顯示,會安排所有同仁接受資安培訓的組織僅一成左右;近四成組織雖有安排資安教育訓練,但訓練人數不到一半;另有近三成的組織並未安排任何資安培訓。

面對資安事件,組織須主動通知與協助捐款人


約四分之一(25.7%)組織曾接到捐款人反映受到捐款個資外洩詐騙。面對這樣的狀況,九成以上組織會透過公告提醒捐款人注意詐騙,八成以上組織會通報執法單位或金融機構,另有六成組織會主動聯繫所有捐款人,顯示組織已具備基本的危機應對能力。不過,與捐款人的期待相比,組織在主動通知、主動協助方面仍有加強的空間。

組織評估資安事件不太可能發生,但影響重大

調查顯示,超過五成組織認為資安事件「幾乎不可能」或「不太可能」在近期發生;但若真的發生,超過六成組織預期影響會達中等或以上的嚴重程度。這樣的結果提醒我們,即使資安事件發生的機率不高,仍不能掉以輕心,唯有及早做好準備,落實日常的資安防護,才能在危機來臨時迎刃而解。

範例標題

及早準備,掌握二項原則、三項做法,落實資安管理


資訊安全是一份「吃力不討好」的工作,組織的投入難以獲得明確成果,不容易說服內部持續投入資源。一家訪談組織分享到:


「資安是很微妙的一件事情,就是我到底要投入多少資源。假設有一個最好的狀況是我投入了資源,一百萬、兩百萬、一千萬,結果沒有發生事情,那到底是有成效,還是沒成效?我要怎麼跟老闆交代我花了那麼多錢?我沒有辦法說出這個真的有效益。我們當然會說有一些紀錄,有一些什麼,但其實這些東西都沒有辦法真的確保資安的問題。」


然而,資訊安全不僅是技術問題,更是回應捐款人信任的重要實踐。一旦資安出現問題,組織若未準備,往往束手無策。因此,與其在事發後補救,不如在日常就有意識地投入資源,建立基礎制度。組織可以掌握兩個原則,來決定資安防護的重點:


  1. 盤點內部所有的敏感性資料,優先保護那些「若外洩會造成最大損害」的部分;
  2. 從效益評估的角度出發,優先執行那些花費最少資源但成效最大的部分,如帳號管理、雲端分類、密碼控管等基本措施。


在實行層面,可以參考以下三項做法:


  1. 用組織整體預算比例來抓合理的資安投入比例,實務上常以 0.5%~5% 作為基準;
  2. 透過日常紀錄與提出假設的情境,如「如果沒做會有多嚴重的損失」,來說服內部投入資源;
  3. 成立資安小組,讓資安不再是一個人的孤單任務,而是共同的治理責任,才能走得更長遠。

這些做法的用意不在於幫助組織成為資安專家,而是能夠理解資安風險、選擇投入的重點,並能清楚自己這麼做的理由。有了這樣的理解,資安才能從令人頭痛的壓力,轉化為組織的保護網,進而打造更值得信任的公益環境。

台灣公益團體自律聯盟自 2020 年起,每兩年進行一次全面性的捐款行為研究調查,致力於為台灣公益生態圈累積長期且系統性的數據資產。2024 年的調查延續過往研究基礎,在慈濟基金會的支持下,進行了更大規模且更具代表性的調查。本次研究訪問了 3,697 位民眾與 237 家公益組織,是歷年來規模最大的一次調查。

延伸閱讀
  1. 看懂捐款人心聲:我們想的,跟他們一樣嗎?
  2. 當公益遇上群眾募資平台:非營利組織、平台與捐款人三方的觀察與挑戰
  3. 募款溝通指南:遇見六種捐款人
  4. 誰在捐款?台灣捐款人的六種面貌
  5. 多元經營與策略應用:非營利組織募款與對外溝通現況