【HITCON社群大会】人权工作者也需强化资安意识，开放文化基金会揭NGO资安工作坊成果

近年公民意识抬头，全球社会运动越来越多，如抗议政府没有发挥公平正义的作为，或者是抗议财团产生污染等理念，许多民众愿意至NGO、NPO投入人权工作者，但国外政府监控异议人士的新闻不断，人权组织也逐渐成为骇客攻击的对象，可是，这类NGO多半缺乏资讯人员，成员资安观念也与一般民众相当，开放基金会在今年5月启动了一项针对人权工作者的资安全工作坊“Civil Society Cyber Shield（CSCS）”。开放文化基金会成员Pellaeon Lin近日在Hitcon 2017 Community会议中揭露了推动情况。

Pellaeon Lin表示，台湾技术社群跟公民社会发展都很蓬勃，如华人民主书院、台湾民主基金会、Hitcon、Defcon和零时政府g0v等，网络技术虽然能够帮助公民行动，但两边人员鲜少交流，特别是在资安议题上，如果这些人权工作者或人权组织没有能力阻挡网络攻击，也表示一般大众也会被攻击，阻碍了公民社会的发展。

除此之外，Pellaeon Lin谈到，从他参与了国外开源黑客松活动经验，国外开发人员开始思考技术如何影响社会，也开始探讨如何对人权组织提供协助，如欧洲已经有专门协助人权工作者资讯相关能力的技术社群，例如爱尔兰组织“Front Line Defenders”提供了人权工作者资安协助外，也实际协助受害者。再者是全球组织“Access Now”则是聚焦公民数位权利，包含隐私权、审查权和网络存取权等，同时提供Hotline专案来协助人权工作者的网站遭网络攻击时的咨询，还有在德国成立的“Tactical Technology Collective”则是推广基本隐私权和资讯安全概念的教育，甚至免费制作资安教材给大众。

但这些国际组织对于中、港、台的人权议题鲜少了解，更没有安排中文人员来把这些理念推动到亚洲地区。因此为了让台湾技术社群和人权工作者有一个交流的管道，以及提倡资安理念，Pellaeon Lin分享了开放基金会在今年5月启动的一项“Civil Society Cyber Shield（CSCS）”人权倡议者的资讯安全培力工作坊，不只是提升人权工作者的资安意识，也是让技术社群了解人权工作的重要性，更要推动其他东亚国家。

CSCS邀请来自11个不同国家的50位参与者，安排人员教导资安知识和网络风险评估，之后依照不同资安主题分小组来相互讨论。Pellaeon Lin发现，参与的NGO组织较常面临的问题有钓鱼邮件、政府窃听、翻墙技术和间谍追踪等，其实与企业面临威胁相似，但这些组织缺乏许多保护资源，NGO组织目前需要的是最基本的资安措施。

另外，参与活动过程中，Pellaeon Lin认知到，NGO组织相当在意信任关系，如果地点办在一般活动场合，NGO人员比较不容易参加，但是举办地点在NGO办公室内就能提升参与意愿，也需要其他人引荐才愿意参与。同时他也指出，技术人员习惯用自己圈子的语言说话，如专有名词、英文和简称，但这现象很容易造成其他人失去兴趣参与活动，所以，他们规定需要解释对方确实了解为止，否则就应该用易理解文字来说明，而且也要避免讨论极端的资安威胁情况，只要说明在一般处理事务上可能会面临的资安风险，才能够提供NGO组织实际的资安防护措施，降低非必要的资安支出。

但是NGO组织多数没有资讯人员，Pellaeon Lin认为，资安就是需要从个人方面来实践，并非只是资讯人员责任。例如，他发现很多人权工作者的行动装置与电脑都没有启动双因素认证，而且还有些人使用2G手机，拒绝使用最新手机，此时技术人员就会教导他们，过时的系统经常是系统安全最弱环节，容易遭到骇客攻击，也会要求他们使用双因素认证。

未来，Pellaeon Lin强调CSCS计划下一步朝向资安教材设计，利用协作wiki方式来汇整全球各国资安教材，并且依照不同国家、组织特性来分类，并且提供隐私权、数位权利等方面的知识传递。