Ochrona tego, co ważne: jak organizacje non-profit mogą zabezpieczyć dane wpłat i darczyńców

Cyberbezpieczeństwo – niezbędny element działalności organizacji non-profit

Cyberbezpieczeństwo organizacji non-profit i organizacji pozarządowych to kwestia, która w kontekście ich działalności jest prawdziwym wyzwaniem. Darowizny nie tylko wspierają misję i cel organizacji – pomagają też finansować wynagrodzenia, działania informacyjne i inicjatywy związane z pozyskiwaniem funduszy. A gdy darczyńcy przekazują darowizny, nie tylko oferują wsparcie finansowe, ale także powierzają organizacji poufne informacje, takie jak dane kart płatniczych, adresy e-mail i numery telefonów. Jeden incydent związany z cyberbezpieczeństwem może naruszyć budowane latami zaufanie.

Konsekwencje cyberataków wykraczają poza relacje z darczyńcami. Mogą wpływać na osoby, którym pomagają organizacje non-profit, ich usługi oraz wspierane społeczności.

Najnowsze badania jasno pokazują, przed jakimi wyzwaniami związanymi z cyberbezpieczeństwem stoją organizacje non-profit i organizacje pozarządowe:

• Darczyńcy są zaniepokojeni. Badanie z 2024¹ roku wykazało, że 68% darczyńców bardzo obawia się, że ich dane zostaną ujawnione lub skradzione, gdy przekażą pierwszą wpłatę na rzecz organizacji charytatywnej. Gdyby organizacja charytatywna padła ofiarą ataku hakerskiego, 27,8% uczestników badania stwierdziło, że przestałoby wpłacać darowizny, a 52% wstrzymałoby się z przyszłymi darowiznami.
• Cyberataki są powszechne. W 2023 roku 41% zapytanych organizacji pozarządowych przyznało, że w ciągu ostatnich trzech lat padło ofiarą cyberataku.² Wszystkie organizacje pozarządowe, które zostały zaatakowane przez hakerów, zgłosiły, że ataki te nie były odosobnione – niektóre organizacje miały z nimi do czynienia codziennie, podczas gdy inne co miesiąc lub co rok.
• Organizacje narażone są na ryzyko wewnętrzne. 85% organizacji pozarządowych przyznaje, że ich pracownicy są istotnym elementem ich strategii cyberbezpieczeństwa, a 52% wskazuje nieaktualizowane systemy oprogramowania i słabe hasła jako główne zagrożenia.³
• Ochrona w internecie jest niezwykle ważna. Kolejna ankieta z 2023⁴ roku przeprowadzona wśród specjalistów z organizacji non-profit ze 116 krajów wykazała, że 93% organizacji non-profit zajmujących się zbieraniem funduszy online przyjmuje darowizny za pośrednictwem swoich stron internetowych, a 91% przetwarza płatności kartą kredytową na swoich stronach, co sprawia, że ochrona witryn staje się jednym z najważniejszych priorytetów w zakresie cyberbezpieczeństwa.
• Kontrola dostępu do danych nie jest prosta. Jednym z największych problemów organizacji non-profit i organizacji pozarządowych jest blokowanie nieuprawnionym osobom dostępu do danych⁵, które często obejmują informacje o darczyńcach.

Małe organizacje non-profit są często bardziej narażone na cyberzagrożenia niż organizacje dysponujące większymi zasobami. Bez specjalnego personelu IT, narzędzi bezpieczeństwa i budżetu na odzyskiwanie danych obrona przed atakami phishingowymi lub wyciekami danych może być bardzo trudna, podobnie jak naprawienie skutków takich ataków.

Najważniejsze zagrożenia dla cyberbezpieczeństwa organizacji non-profit i organizacji pozarządowych

Aby opracować skuteczną strategię cyberbezpieczeństwa, należy najpierw zrozumieć typowe zagrożenia, na jakie narażone są organizacje non-profit. Obejmują one zarówno zagrożenia zewnętrzne, na które należy uważać, jak i wewnętrzne słabe punkty, które należy wyeliminować:

1. Fałszywe formularze darowizn i sklonowane strony internetowe

Cyberprzestępcy tworzą fałszywe wersje stron organizacji non-profit zajmujących się zbiórką funduszy, aby nakłonić darczyńców do przekazania swoich danych płatności. Te fałszywe strony i oszustwa charytatywne są zazwyczaj promowane za pośrednictwem wiadomości phishingowych lub fałszywych reklam w mediach społecznościowych, tak jak w przypadku fałszywych zbiórek WOŚP.

Niestety organizacje non-profit nie mają kontroli nad takimi stronami. Warto jednak zamieścić ostrzeżenia na stronie internetowej organizacji, aby ostrzec darczyńców przed fałszywymi stronami internetowymi i oszustami podszywającymi się pod organizację. Warto zachęcać darczyńców do dokładnego sprawdzania adresów URL i przekazywania wpłat wyłącznie za pośrednictwem oficjalnych kanałów.

Ważna wskazówka: każdy link da się sprawdzić pod kątem oszustwa, zanim się go kliknie. Wystarczy skopiować i wkleić podejrzany adres URL do narzędzia Link Checker na stronie NordVPN, aby od razu sprawdzić, czy jest bezpieczny.

2. Wiadomości phishingowe skierowane do pracowników i wolontariuszy

Phishing jest jednym z najpowszechniejszych rodzajów cyberataków na świecie. Organizacje non-profit często otrzymują fałszywe wiadomości e-mail, które wyglądają, jakby pochodziły od legalnych podmiotów, ale ich ukrytym celem jest kradzież danych logowania, uzyskanie dostępu do platform dla darczyńców lub nakłonienie pracowników do przelania środków.

3. Niezabezpieczone strony darowizn

Jeśli strony do wpłat nie są zabezpieczone szyfrowaniem SSL/TLS (w przeglądarce powinien być widoczny adres „https” i ikona kłódki), są mocno narażone na to, że ktoś przechwyci dane podczas transakcji. A to oznacza, że dane darczyńców mogą stać się łatwym łupem dla oszustów.

4. Słabe wewnętrzne kontrole dostępu do danych

Bez odpowiednich mechanizmów kontroli dostępu – takich jak uwierzytelnianie wieloskładnikowe (MFA) lub uprawnienia oparte na rolach – poufne dane darczyńców mogą być niepotrzebnie udostępniane nieuprawnionym pracownikom, wolontariuszom lub osobom o złych zamiarach.

5. Błędy wewnętrzne i nadużycia

Naruszenia bezpieczeństwa są często przypadkowe. Błędy takie jak odpowiadanie na wiadomości phishingowe, niewłaściwe obchodzenie się z danymi darczyńców lub stosowanie słabych haseł mogą narazić każdą organizację na cyberatak. 

Jak zwiększyć cyberbezpieczeństwo organizacji non-profit: praktyczne porady

Nawet bez zaawansowanej wiedzy informatycznej każda organizacja non-profit może wdrożyć kluczowe praktyki, aby chronić dane wpłat i darczyńców. Oto, na czym się skupić, aby lepiej zabezpieczyć swoją działalność:

Bezpieczne internetowe kanały wpłat

Strona internetowa i systemy płatności są wizytówką działań związanych z pozyskiwaniem funduszy, dlatego ich zabezpieczenie to jedna z najważniejszych rzeczy, jakie można zrobić. Strona wpłat musi korzystać z szyfrowania SSL/TLS (widocznego jako „https://” w adresie URL i ikona kłódki w przeglądarce). W ten sposób wszystkie dane przesyłane między darczyńcami a stroną będą zaszyfrowane, co uniemożliwi ich odczytanie przez osoby postronne.

Należy zawsze korzystać z usług sprawdzonych podmiotów obsługujących płatności, które mają udokumentowane doświadczenie i stosują skuteczne środki bezpieczeństwa. Firmy takie jak PayPal, a także platformy dla darczyńców i fundacje, takie jak Siepomaga czy GoFundMe Charity, inwestują w bezpieczeństwo. Lepiej unikać nieznanych firm lub nieoficjalnych narzędzi, chyba że zostaną najpierw dokładnie sprawdzone pod kątem zagrożeń bezpieczeństwa.

Bezpieczny dostęp do kont

Jednym z najprostszych sposobów na zapobieganie nieautoryzowanemu dostępowi jest używanie silnych danych logowania. Należy zawsze używać skomplikowanych, unikalnych haseł do wszystkich kont, zwłaszcza tych, które umożliwiają dostęp do poufnych danych darczyńców lub informacji finansowych. Menedżer haseł, taki jak NordPass, pomoże w tworzeniu i bezpiecznym przechowywaniu złożonych haseł, dzięki czemu nikt nie będzie musiał ich wszystkich pamiętać.

Warto też włączyć uwierzytelnianie wieloskładnikowe (MFA). MFA zapewnia dodatkową warstwę zabezpieczeń – po wpisaniu hasła należy potwierdzić swoją tożsamość za pomocą drugiego czynnika, takiego jak kod z aplikacji na telefon. Wiele platform oferuje bezpłatną usługę MFA, która znacznie zmniejsza ryzyko kradzieży danych uwierzytelniających i powiązanych cyberataków.

Bezpieczny zespół dzięki szkoleniom

Pracownicy i wolontariusze każdej organizacji stanowią pierwszą linię obrony. Warto regularnie organizować szkolenia dla zespołu w zakresie phishingu, aby każdy potrafił rozpoznawać typowe oszustwa i ich unikać. Powinni być także w stanie identyfikować podejrzane wiadomości e-mail, linki lub komunikaty, które mają na celu wyłudzenie poufnych informacji.

Równie ważne jest, aby cały zespół miał jasno określoną procedurę zgłaszania podejrzanych wiadomości e-mail. Wszyscy powinni zgłaszać wiadomości zawierające dziwne linki lub nietypowe załączniki, zamiast je klikać. Zgłaszanie podejrzanych wiadomości e-mail nie tylko zapobiega bezpośrednim szkodom, ale także pełni funkcję systemu wczesnego ostrzegania dla organizacji. Na przykład, jeśli kilku członków zespołu zgłosi tę samą podejrzaną wiadomość, zespół ds. bezpieczeństwa szybko wykryje wzorzec, zablokuje nadawcę i ostrzeże pozostałych pracowników, powstrzymując rozprzestrzenianie się ataku.

Bezpieczne dane

Wyobraźmy sobie, że organizacja charytatywna nagle traci wszystkie dane dotyczące darczyńców lub historię transakcji finansowych. To scenariusz rodem z koszmaru, ale można mu łatwo zapobiec. Pierwsze zadanie to skonfigurować automatyczne tworzenie kopii zapasowych wszystkich krytycznych danych, w tym informacji o darczyńcach i dokumentacji finansowej. Nowocześni dostawcy usług przechowywania danych w chmurze, tacy jak Google Drive czy Dropbox, a także dedykowane usługi tworzenia kopii zapasowych często automatyzują ten proces i oferują wbudowane funkcje bezpieczeństwa.

Jednak samo posiadanie kopii zapasowych nie wystarczy – kolejny krok to opracowanie procesu odzyskiwania kopii zapasowych. Warto stworzyć szczegółowy plan przywracania danych i regularnie testować kopie zapasowe, aby mieć pewność, że plan zadziała, gdy będzie najbardziej potrzebny.

Bezpieczne dane darczyńców

Ochrona danych osobowych darczyńców nie polega wyłącznie na zapobieganiu wyciekom – trzeba też dbać o te dane i gwarantować, że pozostaną prywatne. W UE obowiązuje rozporządzenie RODO, dlatego każda organizacja non-profit musi dokładnie przemyśleć, jakie dane gromadzi, dlaczego je gromadzi i w jaki sposób je przechowuje.

Zasada polega na tym, by zawsze zbierać tylko te dane, które są naprawdę potrzebne, przechowywać je tylko tak długo, jak to konieczne, i zachować przejrzystość wobec swoich darczyńców w kwestii praktyk dotyczących prywatności. Na stronie internetowej organizacji należy opublikować jasną politykę prywatności, określając, jakie dane gromadzi, w jaki sposób je wykorzystuje oraz w jaki sposób darczyńcy mogą zażądać dostępu do swoich danych lub ich usunięcia. Takie odpowiedzialne podejście do gromadzenia i przechowywania danych darczyńców zwiększa ogólne bezpieczeństwo danych.

Bezpieczne urządzenia i połączenia

Każde urządzenie używane do pracy stanowi potencjalny punkt wejścia dla atakujących. Wszystkie urządzenia służbowe, w tym te używane przez wolontariuszy, muszą mieć zainstalowane i aktualizowane oprogramowanie antywirusowe. Jest to podstawowe, ale niezbędne narzędzie, które chroni urządzenia przed złośliwym oprogramowaniem, wirusami i innymi cyberzagrożeniami.

Pracownikom i wolontariuszom pracującym z domu lub korzystającym z publicznych sieci Wi-Fi może przydać się wirtualna sieć prywatna (VPN). VPN dodatkowo zabezpieczy ich w internecie. Jak? Zaszyfruje aktywność w internecie i stworzy bezpieczny tunel między urządzeniem a internetem, który chroni poufne dane przed przechwyceniem przez cyberprzestępców, zwłaszcza w niezabezpieczonych sieciach.

Budowanie zaufania wśród darczyńców

Cyberbezpieczeństwo nie tylko chroni organizację non-profit od wewnątrz – jest to również skuteczny sposób na budowanie trwałego zaufania wśród darczyńców i dbanie o ochronę ich danych. Każde działanie organizacji non-profit, którego celem jest zwiększenie bezpieczeństwa całej działalności, to dowód na to, że organizacja poważnie traktuje siebie i swoich darczyńców.

Otwarta komunikacja na temat bezpiecznych praktyk

Na stronie internetowej organizacji warto nie ograniczać się do ogólnych stwierdzeń, tylko jasno i wyraźnie opisać wykorzystywane narzędzia bezpieczeństwa oraz zaufane systemy płatności. Można na przykład dodać logotypy bezpiecznych metod płatności. Można też wymienić odznaki lub certyfikaty bezpieczeństwa przyznane posiadanym platformom. Taka przejrzystość wzmacnia zaufanie darczyńców.

Ważne jest również, aby podpowiadać darczyńcom, jak mogą się chronić. Ponieważ darczyńcy mogą natknąć się na fałszywe formularze wpłat i sklonowane strony internetowe, warto regularnie informować ich o tym, jak rozpoznać oficjalną stronę internetową i oficjalne kanały w mediach społecznościowych. Wśród porad można dodać, by zawsze sprawdzali poprawność adresu URL i korzystali wyłącznie z linków pochodzących bezpośrednio z oficjalnej strony internetowej lub zweryfikowanych komunikatów. Można dodać specjalną sekcję wśród najczęściej zadawanych pytań, wyświetlać informację na stronie wpłat lub wysyłać e-maile z przypomnieniem i wskazówkami dotyczącymi rozpoznawania legalnych kanałów darowizn i odróżniania ich od oszustw.

Otwarta komunikacja na temat incydentów bezpieczeństwa

Żadna organizacja nie chce mieć do czynienia z incydentem bezpieczeństwa, ale jeśli już do niego dojdzie, istotny jest sposób, w jaki sobie z nim poradzi. W przypadku wycieku danych należy niezwłocznie powiadomić o tym fakcie darczyńców, przedstawiając jasne, praktyczne kroki, jakie mogą podjąć. Na przykład, można im poradzić, aby sprawdzali wyciągi z kart kredytowych pod kątem nietypowej aktywności lub zaktualizowali hasła na innych stronach internetowych, jeśli używają tych samych danych uwierzytelniających.

Przyznanie się do błędów, wyjaśnienie sytuacji i poinformowanie o podejmowanych działaniach buduje wiarygodność i może uratować relację z darczyńcami.

Otwarta komunikacja na każdy temat

Warto prowadzić otwartą komunikację z darczyńcami na każdy temat, w tym ich wątpliwości dotyczących bezpieczeństwa i prywatności. Powinni mieć łatwy sposób kontaktu w razie pytań lub uwag, np. dedykowany adres e-mail (np. bezpieczenstwo@twojaorganizacja.org) lub dostęp do specjalnej sekcji na stronie z najczęściej zadawanymi pytaniami. Przyjazny i chętny do pomocy zespół sprawi, że darczyńcy będą czuli się bezpiecznie i będą bardziej ufali organizacji, którą wspierają.

Krótka lista kontrolna dotycząca bezpieczeństwa dla organizacji non-profit

Oto krótka lista kontrolna dla wzmocnienia cyberbezpieczeństwa – można ją traktować jako ściągę z podstawowych zasad cyberbezpieczeństwa:

Dotacje na rozwój technologii dla organizacji non-profit

Zabezpieczenie organizacji non-profit nie musi wcale rujnować budżetu. Nie wszyscy wiedzą o tym, że wiele organizacji oferuje dotacje przeznaczone specjalnie na rozwój technologii.

Warto zacząć od przejrzenia stron agencji rządowych – regionalnych, a nawet lokalnych. Agencje te często chętnie pomagają organizacjom non-profit w modernizacji systemów i usprawnianiu świadczenia usług.

Kolejne kroki można skierować do fundacji. Mogą to być duże organizacje o zasięgu krajowym lub mniejsze grupy społecznościowe, które zazwyczaj są wiarygodnym źródłem pomocy finansowej na poprawę infrastruktury technologicznej, w tym niezbędnych narzędzi do zapewnienia cyberbezpieczeństwa.

Nie można też zapomnieć o korporacjach, zwłaszcza dużych firmach technologicznych, takich jak Google czy Microsoft. W ramach działań na rzecz społeczności lokalnej często oferują programy dotacji, dzięki którym organizacje non-profit mogą otrzymać dostęp do najnowszych narzędzi.

Wiele firm technologicznych publikuje informacje o swoich konkretnych programach dotacyjnych bezpośrednio na swoich stronach internetowych. Istnieją także fundacje, takie jak Fundacja Bezpieczna Cyberprzestrzeń, oraz stowarzyszenia non-profit zajmujące się cyberbezpieczeństwem, na przykład Stowarzyszenie CyberEurope.

Jak NordVPN pomaga organizacjom non-profit

Aby wykonywać swoją pracę bezpiecznie i skutecznie, organizacje charytatywne potrzebują bezpiecznego i prywatnego dostępu do internetu – niezależnie od tego, gdzie ich pracownicy wykonują swoje zadania. Program NordVPN dla organizacji non-profit oferuje subskrypcje w niższych cenach, a nawet bezpłatne licencje VPN dla kwalifikujących się organizacji, w tym obrońców praw człowieka i dziennikarzy.

Nasza bezpieczna, ultraszybka usługa VPN szyfruje całą aktywność w internecie i w ten sposób pomaga chronić poufne dane darczyńców oraz zabezpieczać komunikację. Poza tym zapobiega nieautoryzowanemu przechwytywaniu danych podczas ich wysyłania i odbierania, nawet w niezabezpieczonych publicznych sieciach Wi-Fi. Aby zgłosić się do programu, wystarczy wypełnić formularz na stronie internetowej NordVPN dla organizacji non-profit.

Bezpieczna przyszłość

Zabezpieczenie danych darczyńców i darowizn to duże wyzwanie, ale każdy podjęty krok wzmacnia ochronę całej działalności charytatywnej. Warto zacząć od wprowadzenia praktycznych zmian wypisanych na naszej liście kontrolnej. Pracownicy organizacji powinni mieć dostęp do najlepszych narzędzi, w czym na pewno pomogą dotacje na rozwój technologii. Gdy cyberbezpieczeństwo staje się priorytetem, wszyscy na tym zyskują: organizacja zabezpiecza swoją działalność, buduje zaufanie darczyńców i wzmacnia wpływ swoich działań.

Uwaga: firma NordVPN nie jest w żaden sposób oficjalnie powiązana ani stowarzyszona z markami, firmami lub platformami wymienionymi w tym artykule, nie jest też przez nie promowana czy wspierana.

Wykorzystanie ich nazw ma charakter wyłącznie informacyjny i nie oznacza żadnej formy partnerstwa ani sponsorowania.

Materiały referencyjne

¹BBB Wise Giving Alliance. (2024). Donor trust report: Trust and giving attitudes across U.S. regions and religious affiliation. Give.org. https://give.org/news/donor-trust-report-2024-trust-and-giving-attitudes-across-u-s-regions-and-religious-affiliation  

^{2, 3}CyberPeace Institute. (2023). Analytical report on NGOs serving humanity at risk. https://cyberpeaceinstitute.org/wp-content/uploads/CyberPeace_Analytical%20Report_NGO.pdf

⁴Nonprofit Tech for Good. (2023). Nonprofit tech for good report. https://www.nptechforgood.com/wp-content/uploads/2023/02/Nonprofit-Tech-for-Good-Report-Final2-2023.pdf 

⁵Hulshof-Schmidt, R. (2018, November). State of nonprofit cybersecurity. NTEN. https://word.nten.org/wp-content/uploads/2018/11/NTEN-State-of-Nonprofit-Cybersecurity-Report-2018.pdf