【HITCON社群大會】人權工作者也需強化資安意識，開放文化基金會揭NGO資安工作坊成果

近年公民意識抬頭，全球社會運動越來越多，如抗議政府沒有發揮公平正義的作為，或者是抗議財團產生污染等理念，許多民眾願意至NGO、NPO投入人權工作者，但國外政府監控異議人士的新聞不斷，人權組織也逐漸成為駭客攻擊的對象，可是，這類NGO多半缺乏資訊人員，成員資安觀念也與一般民眾相當，開放基金會在今年5月啟動了一項針對人權工作者的資安全工作坊「Civil Society Cyber Shield（CSCS）」。開放文化基金會成員Pellaeon Lin近日在Hitcon 2017 Community會議中揭露了推動情況。

Pellaeon Lin表示，臺灣技術社群跟公民社會發展都很蓬勃，如華人民主書院、臺灣民主基金會、Hitcon、Defcon和零時政府g0v等，網路技術雖然能夠幫助公民行動，但兩邊人員鮮少交流，特別是在資安議題上，如果這些人權工作者或人權組織沒有能力阻擋網路攻擊，也表示一般大眾也會被攻擊，阻礙了公民社會的發展。

除此之外，Pellaeon Lin談到，從他參與了國外開源黑客松活動經驗，國外開發人員開始思考技術如何影響社會，也開始探討如何對人權組織提供協助，如歐洲已經有專門協助人權工作者資訊相關能力的技術社群，例如愛爾蘭組織「Front Line Defenders」提供了人權工作者資安協助外，也實際協助受害者。再者是全球組織「Access Now」則是聚焦公民數位權利，包含隱私權、審查權和網路存取權等，同時提供Hotline專案來協助人權工作者的網站遭網路攻擊時的諮詢，還有在德國成立的「Tactical Technology Collective」則是推廣基本隱私權和資訊安全概念的教育，甚至免費製作資安教材給大眾。

但這些國際組織對於中、港、臺的人權議題鮮少了解，更沒有安排中文人員來把這些理念推動到亞洲地區。因此為了讓臺灣技術社群和人權工作者有一個交流的管道，以及提倡資安理念，Pellaeon Lin分享了開放基金會在今年5月啟動的一項「Civil Society Cyber Shield（CSCS）」人權倡議者的資訊安全培力工作坊，不只是提升人權工作者的資安意識，也是讓技術社群了解人權工作的重要性，更要推動其他東亞國家。

CSCS邀請來自11個不同國家的50位參與者，安排人員教導資安知識和網路風險評估，之後依照不同資安主題分小組來相互討論。Pellaeon Lin發現，參與的NGO組織較常面臨的問題有釣魚郵件、政府竊聽、翻牆技術和間諜追蹤等，其實與企業面臨威脅相似，但這些組織缺乏許多保護資源，NGO組織目前需要的是最基本的資安措施。

另外，參與活動過程中，Pellaeon Lin認知到，NGO組織相當在意信任關係，如果地點辦在一般活動場合，NGO人員比較不容易參加，但是舉辦地點在NGO辦公室內就能提升參與意願，也需要其他人引薦才願意參與。同時他也指出，技術人員習慣用自己圈子的語言說話，如專有名詞、英文和簡稱，但這現象很容易造成其他人失去興趣參與活動，所以，他們規定需要解釋對方確實了解為止，否則就應該用易理解文字來說明，而且也要避免討論極端的資安威脅情況，只要說明在一般處理事務上可能會面臨的資安風險，才能夠提供NGO組織實際的資安防護措施，降低非必要的資安支出。

但是NGO組織多數沒有資訊人員，Pellaeon Lin認為，資安就是需要從個人方面來實踐，並非只是資訊人員責任。例如，他發現很多人權工作者的行動裝置與電腦都沒有啟動雙因素認證，而且還有些人使用2G手機，拒絕使用最新手機，此時技術人員就會教導他們，過時的系統經常是系統安全最弱環節，容易遭到駭客攻擊，也會要求他們使用雙因素認證。

未來，Pellaeon Lin強調CSCS計畫下一步朝向資安教材設計，利用協作wiki方式來彙整全球各國資安教材，並且依照不同國家、組織特性來分類，並且提供隱私權、數位權利等方面的知識傳遞。