西元2016年底,台灣有業者疑似入侵官方的「台灣就業通」就業服務網站,盜用民眾的個人資料,長期從事社福行業的筆者一直擔心,駭客入侵社福網站這種事成真了。 雖世界很多地區、專業重視資安危機,像是新加坡官方規定,不可用公務電腦逛其他網站,台灣軍方演習包括駭客入侵;反而筆者從事社福行業很多年,較少聽社福界討論如何因應資安危機。 尤其社福單位需收集個人隱私資料,從中評估提供適當的服務,加上這些原因,如我是駭客,一定想駭社福單位的資訊系統: 一、社福工作太忙:
因台灣社福專業人力很有限,且常需出外訪視服務對象,加上常開督導會議、連繫會報並處理核銷工作,結果筆者常聽不少社工、就業服務員,忙到得回家開電腦寫服務紀錄、核銷資料,如家中電腦資安設備有限、常逛奇怪的網站,駭客很容易入侵。 二、資安保護資源有限:
現有很多社福單位電腦設備及軟體,是資訊科技業者以成本價提供,或用像是「科技濃湯」及其他方式贈送,或社福單位從二手店買來,通常只有基本功能,不一定能防功力強大的駭客。 加上社福專業人員除非有興趣、學過相關知識,不然對資訊科技了解有限,可能不清楚電腦運轉速度慢的原因,不一定是中電腦病毒。 三、社福專業人員薪資偏低:
大部份社福專業人員即使工作表現再好,仍受限多種原因,很少有加薪機會,面對物價偏高會擔心沒辦法養家,卻不知如何開發收入來源,如駭客這時付很多錢,吸收社福專業人員盜賣服務對象資料,就很麻煩了。 所以筆者建議社福體系這樣做,保護資訊系統的個人資料: 一、調整工作模式、加強資安設計:
除簡化行政流程、控制接案量,讓社福專業人員少寫不必要資料,就不用回家繼續寫服務紀錄、核銷資料,控管駭客入侵風險。 如真得用家中電腦,網站可加強保密認證,像是現有家暴、性侵害線上個案管理系統,需用自然人憑證登入,是個好方式。 二、投入資安保護資源:
資訊科技業者提供社福單位設備及軟體後,可給後續維護及諮詢,如有需要就能排除問題,也鼓勵資訊科技專業人員,可擔任志工、開發共利商業模式或其他方式,協助社福單位維護資訊系統。 三、支持社福專業人員:
除改善薪資結構、訂定法規及倫理守則,也可提供社福專業人員教育、討論空間,反思價值觀、如何用正當方式開發收入來源,減少駭客吸收機會。 畢竟為方便民眾輕鬆查詢、申請社福服務,社福專業人員有效率整理服務紀錄、統計核銷服務資料,社福體系需要善用資訊科技,如能在資安方面多注意,那就更好了! ※媒體發表版本:
https://ginchang.wordpress.com/2017/03/03/11108/