Bảo mật mạng của Tổ chức phi lợi nhuận Úc rất kém, có thể ảnh hưởng đến việc quyên góp #BảoMậtMạng #TổChứcPhiLợiNhuận #Úc
Sector phi lợi nhuận là một trong những nguồn thu nhập và nhà tuyển dụng lớn nhất của Úc. 1,4 triệu người làm việc trong lĩnh vực phi lợi nhuận tại Úc, và 3,2 triệu người làm từ thiện. Doanh thu tổng cộng của lĩnh vực này là 190 tỷ đô la, và số tiền này đi trực tiếp vào việc hỗ trợ các vấn đề quan trọng trên khắp đất nước. Thật không may, theo nghiên cứu mới của Infoxchange, lĩnh vực này không được trang bị đủ để đáp ứng yêu cầu bảo mật của môi trường IT hiện đại, và điều này không chỉ mạo hiểm cho gần 5 triệu người mà còn hạn chế khả năng của lĩnh vực phi lợi nhuận trong việc giải quyết các thách thức nhân đạo và xã hội cấp bách nhất của Úc.
Cụ thể, một trong tám tổ chức phi lợi nhuận được khảo sát đã trải qua sự cố bảo mật mạng trong năm vừa qua. Chỉ có 23% đã thiết lập quy trình bảo mật thông tin hiệu quả, cho phép nhân viên và tình nguyện viên bảo vệ dữ liệu của tổ chức. Chỉ có 39% đã triển khai xác thực đa yếu tố cho hệ thống truy cập internet có dữ liệu nhạy cảm, trong khi chỉ có 13% có kế hoạch cụ thể để cải thiện bảo vệ bảo mật mạng. Chỉ có 12% phi lợi nhuận thường xuyên tổ chức huấn luyện nhận thức bảo mật mạng, và chỉ có một năm phần tư có chính sách bảo mật mạng.
Tuy họ hiểu về sự quan trọng của việc hiện đại hóa số. Ở một nơi khác trong báo cáo, 45% cho biết họ đã chuyển “phần lớn” IT của họ lên đám mây. Cũng theo báo cáo, 32% cho biết việc tận dụng tốt hơn tiếp thị số là mục tiêu công nghệ chính.
Vào tháng 8, tin tức lan truyền rằng dữ liệu của tới 50,000 người quyên góp đã bị rò rỉ và được đăng tải trên mạng tối cao, ảnh hưởng đến tới 70 tổ chức phi lợi nhuận, bao gồm các tổ chức lớn như Fred Hollows Foundation, Cancer Council và Canteen, do sự hợp tác với các tổ chức sai lầm – trong trường hợp này, Pareto Phone cho dịch vụ telemarketing – nhưng cũng làm nổi bật sự thiếu quan tâm hoặc nhận thức về mức độ bảo mật của nhiều tổ chức từ thiện.
Vào năm 2022, một tổ chức từ thiện quan trọng khác tại Úc, The Smith Family, đã bị các hacker tấn công trực tiếp và đã có dữ liệu quan trọng của khoảng 80,000 người quyên góp, bao gồm thông tin thẻ tín dụng và cá nhân, bị đánh cắp.
Chưa kể đến rủi ro giá trị pháp lý với rủi ro bảo mật và tài chính.
Với những lo ngại này và khó khăn mà các tổ chức phi lợi nhuận đối mặt trong việc tài trợ bảo mật, dường như có ít nỗ lực ở bất kỳ cấp độ nào để giải quyết thách thức. Ví dụ, Hội đồng Cộng đồng Úc đang sử dụng báo cáo của Infoxchange để thuyết phục Thủ tướng, cho biết rằng tài liệu thảo luận Chiến lược Bảo mật Mạng Úc 2023-2030 (bao gồm khái niệm “sáu tấm khiên”) không đề cập cụ thể đến các tổ chức từ thiện, mặc dù họ đóng góp quan trọng cho lực lượng lao động, GDP và sự hạnh phúc của cộng đồng Úc.
“Chưa bao giờ quan trọng hơn là xây dựng khả năng số hóa và sự chịu đựng của lĩnh vực phi lợi nhuận,” CEO của Infoxchange, David Spriggs, nói. “Khi người Úc chịu áp lực về chi phí sinh hoạt, điều này đang tạo áp lực lớn hơn đối với các tổ chức phi lợi nhuận và các tổ chức cộng đồng địa phương người Úc chịu áp lực lớn hơn trong việc đáp ứng mức độ yêu cầu dịch vụ kỷ lục.”
Dường như các tổ chức phi lợi nhuận không sẽ nhận được một lượng kinh phí đột ngột để cải thiện vị trí bảo mật của họ. Thay vào đó, các chuyên gia công nghệ thông tin làm việc trong các tổ chức phi lợi nhuận nên áp dụng một cách tiếp cận “cơ bản” đối với bảo mật mạng và đảm bảo rằng, ít nhất là, tổ chức đang tuân thủ các quy tắc tốt nhất sau:
– Đào tạo và huấn luyện nhân viên
– Triển khai chính sách mật khẩu mạnh
– Định kỳ cập nhật và vá hệ thống
– Cài đặt và cập nhật phần mềm bảo mật
– Sao lưu dữ liệu định kỳ
– Đầu tư vào dịch vụ quản lý
Việc tăng cường bảo mật mạng là một ưu tiên quan trọng đối với mọi tổ chức, đặc biệt đối với các tổ chức phi lợi nhuận có nguồn lực hạn chế. Tuy nhiên, chính phủ và xã hội cần hợp tác để đảm bảo rằng mọi tổ chức có thể bảo vệ thông tin của họ một cách hiệu quả.
The not-for-profit sector is one of Australia’s biggest employers and revenue sources. 1.4 million people work in the not-for-profit sector in Australia, and another 3.2 million people volunteer. The overall revenue of the sector is $190 billion, and that money goes directly into supporting critical causes across the country.
Unfortunately, according to new research by Infoxchange, the sector is ill-equipped to handle the security requirements of modern IT environments, and that is not only putting close to five million people at risk, but it’s also inhibiting the NFP sector’s ability to address Australia’s most pressing humanitarian and social justice challenges.
Jump to:
NFP cyber security insights from Infoxchange
Infoxchange’s Digital Technology in the Not-For-Profit Sector offers a deep dive into the dominant trends facing charities and nonprofits with technology, based on a survey of more than 1,000 organisations in the sector. Insights include:
- One in eight surveyed organisations had experienced a cyber security incident in the past year.
- Only 23% had effective information security processes in place, allowing staff and volunteers to safeguard the organisation’s data.
- Just 39% had implemented multi-factor authentication for internet-facing systems with sensitive data, while a mere 13% had a documented plan to improve cyber security protection.
- A mere 12% of NFPs conducted regular cyber security awareness training, and only one in five had a cyber security policy in place.
These NFPs do understand the importance of digital modernisation. Elsewhere in the report, 45% said they had already moved the “majority” of their IT to the cloud. NFPs are also deeply interested in the potential for technology to enhance their communications, with 38% saying that improving their website was their key priority looking forward. Meanwhile, 32% said that making better use of digital marketing was the main technology goal.
Lack of support leaves NFPs with poor security practices
And yet with no cyber security question did the majority “agree” that they were operating according to best practices (Figure A).
Figure A
“Despite this massive footprint in our economy and in our lives, charities and not-for-profits have not been provided with the support they need to deal with an increasingly sophisticated level of cyber attacks,” said David Crosbie and Tim Costello AO, from the Community Council for Australia, in a joint statement. “Unlike businesses, charities spend every spare dollar they can find on serving their communities.
“Allocating more resources to strengthen cyber security would mean reducing the level of services available in our communities. Many charities and NFPs struggle to withdraw services, even though cyber security is clearly an important priority.”
The impact of poor security
In August, news broke that the data of as many as 50,000 donors — affecting up to 70 NFPs, including major charities such as Fred Hollows Foundation, Cancer Council and Canteen — had been leaked and published on the dark web.
This was due to the NFPs partnering with the wrong organisation — in this case, Pareto Phone for telemarketer services — but it highlights the low levels of security concern or awareness among many charities.
Organisations are obliged to ensure third-party partners are responsible shepherds for customer data.
Separately, in 2022, another major Australian charity, The Smith Family, was targeted directly by hackers and had critical data of around 80,000 donors, including credit card and personal information, stolen.
NFP’s lack of security awareness is exposing themselves to legal liability
As noted by Moores, a legal firm that specialises in supporting charities and other “social good” organisations, the impacts of cyber breaches on NFPs are particularly damaging.
SEE: Australian enterprises are taking an “assume-breach” approach to cyber security.
“Unfortunately, many charities and NFPs are susceptible to cyber security attacks due to low levels of cyber resilience,” the firm noted in a blog. “For a charity or NFP, failing to take appropriate action to secure data could mean: The exposure of sensitive information of beneficiaries, donors or members; the loss of charity funds and resources; reputational damage; and breach of legal obligations.”
And yet, despite these concerns and the difficulties NFPs face in financing security, there appears to be little effort on any level to address the challenge.
For example, the Community Council for Australia is using Infoxchange’s report to lobby the Prime Minister, claiming that the 2023–2030 Australian Cyber Security Strategy discussion paper (including the “six shields” concept) fails to specifically acknowledge charities and not-for-profits, despite their significant contributions to the Australian workforce, GDP and community well-being.
“It has never been more important to build the digital capabilities and resilience of the not-for-profit sector,” Infoxchange CEO David Spriggs said in a release, supporting the calls for more strategic and national support for NFPs and cyber security. “As Australians bear the brunt of the cost-of-living crisis, this is putting greater pressure on not-for-profits and local community organisations who are at the front line in responding to record levels of service demand.”
A back-to-basics approach
It is unlikely that NFPs are going to see a sudden influx of budget to improve their security position. In lieu of that, IT professionals working in NFPs should adopt a “back-to-basics” approach to IT security and make sure that, at the very least, organisations are following these best practices.
Educate and train staff
The first line of defence in cyber security is often the users themselves. IT pros should conduct regular training sessions to educate staff about the latest cyberthreats and how to recognize them. This includes phishing scams, malware and ransomware attacks.
Implement strong password policies
One area where there is strong awareness among NFPs is in the value of strong password and password management policies that include two-factor and multi-factor authentication. IT pros should be looking to roll out the most robust zero-trust policies possible, especially for those NFPs that are operating predominantly in the cloud.
Regularly update and patch systems
Cyberthreats are constantly evolving, and outdated software can have vulnerabilities that hackers can exploit. Regularly updating and patching all systems is crucial to keeping them secure.
PREMIUM: Take advantage of this patch management policy.
Install and update security software
Use reliable security software that offers real-time protection against malware and other cyberthreats. Many modern security software packages have artificial intelligence built in, which is critical to leverage when human resources are scarce.
Back up data regularly
Regular data backups are essential for recovering from cyberattacks. Backups should be made frequently and tested regularly to ensure they can be restored if needed. It’s also important to store backups securely, either off-site or in the cloud, to protect against physical damage or theft. As a defence against ransomware, security teams should be looking for backups that have an “air gap,” too, preventing the ransomware from reaching the backup data.
Invest in managed services
NFPs should consider investing in managed services to support their internal teams. The security upshot to moving work into the cloud is that security teams can support the organisation remotely, and many MSPs with a security bent do specialise in supporting small and under-resourced organisations.
