加州大学伯克利分校的网络安全学生帮助非政府组织阻止黑客攻击 - 彭博社

Margi Murphy

插图:Nadia Hafid for Bloomberg Businessweek在他数十年来与人口贩运作斗争的过程中,奥斯汀·沙姆林(Austin Shamlin)已经对绑架和奴役人员的可怕业务有了专家级的理解。他见过像多米尼加共和国的妓院中被囚禁的妇女,海地被关在笼子里的女孩,以及在波兰-乌克兰边境上盘旋着逃离战争的妇女和儿童的掠食者。但这位前警察对如何保护自己和他领导的一个名为 Traverse Project的反人口贩运非营利组织免受黑客攻击知之甚少。

在被要价近30万美元的安全软件后,沙姆林求助于一个出乎意料的来源:加州大学伯克利分校。今年秋天,大约十几名学生将制定一项网络安全战略,以应对他的团队所追踪的犯罪团伙不断增长的威胁。“我们必须假设这些网络有类似的资源来追踪我们,如果不是更好的话,”沙姆林说。他期待这个团队,“提出最疯狂的想法来保护我的人员安全。”

他的义务网络战士将参加一个名为 伯克利公民诊所的课程。该项目帮助非政府组织更好地在网上保护自己,学生们在被分配客户之前要接受七周的培训。他们学习备份的重要性,软件中隐私控制的重要性,虚拟私人网络的运作方式,以及如何将所有这些组装成网络安全计划。

尽管沙姆林觉得他得到的报价过高,但根据萨拉·波瓦泽克的说法,私人公司通常至少要收取$15,000美元的咨询费,萨拉是该校公共利益网络安全项目的负责人,负责监督诊所的运作。“考虑到一般缺乏对网络安全风险的认识,我不认为普通企业、非政府组织或其他资源匮乏的组织会考虑这样的投资,”波瓦泽克说。

这家诊所是全国第一家这样的诊所,自2018年开始运营以来,已经培训了超过125名学生。每个学期,学校会选择一对客户——妇女健康诊所、难民组织、调查战争罪行的记者等,并将学生分成两组,每组约15名成员。他们的责任有限,因为他们无权访问客户的系统,也不被允许自行实施任何措施。客户永远不会见到团队,也永远不会知道他们的真实姓名,这样可以保护学生免受可能已经渗透到组织中的网络骗子或窥探的政府的侵害。

两年前参加过这门课程的布莱恩·冯·克劳斯在攻读网络安全硕士学位时参加了这门课程。这位44岁的前海军陆战队员曾拥有一家为非洲高风险非政府组织工作的实体安全公司,意识到黑客和间谍对这些组织构成了日益严重的威胁。他与萨尔瓦多的一个协助受到来自执法部门、安全部队或犯罪团伙虐待的受害者的团队合作。保护该非政府组织与之接触的人们的个人信息至关重要,因为如果他们的姓名被公开,他们将面临暴力或监禁的风险。

解决方案的成本很低:加密存储,安全的电子邮件程序,带有过滤器以防止可能感染其系统的恶意软件,并且基本的安全原则,比如只允许少数员工访问关键文件。冯·克劳斯说:“他们知道保护数据的重要性,但只是没有网络工具来做到这一点。我们尽力提供免费资源。”

另外八所学校创建了类似的项目,他们一起帮助了至少120个组织。一些诊所,比如麻省理工学院和印第安纳大学的诊所,专注于地方政府或社区学校以及医院。根据安全公司Barracuda Networks的数据,这些小组织比大公司更有可能成为黑客的目标。根据美国国家网络安全联盟的报告,大约60%的这类组织在遭受攻击后六个月内关闭。

有针对性的网络钓鱼尝试

来源:Barracuda。基于2021年的客户数据

旧金山综合医院堕胎诊所的咨询和行政经理阿丽莎·佩鲁奇在去年美国最高法院推翻罗伊诉韦德案并且德克萨斯州禁止帮助寻求堕胎的任何人之后,更加关注她的数字安全。她说:“你向左看,向右看,就会看到你的同胞能够告发你。”

佩鲁奇在这家卫生诊所工作了15年,去年秋天向加州大学伯克利分校的学生寻求隐私提示,以帮助那些来自堕胎服务非法的州的员工和患者。她现在分享学生给她的关于经期追踪应用的建议,这些应用在数据加密方面政策不同——存在数据可能被截获的风险,揭示某人正在考虑堕胎。她开始使用加密消息传递来安抚那些来自外州的患者的心情。她说:“这有助于那些真的恐慌的人信任诊所。”

学生在谈到网络安全时可能不是每个人的首选,但是“这个项目是一个很棒的主意,” 华盛顿关键服务部门网络安全顾问Critical Insight的创始人迈克·汉密尔顿说。他说:“他们不是在配置你的交换机、路由器和防火墙,而是让人们遵循良好的实践标准。” 对于保卫这些组织来说,缺乏严重的资金支持,而作为一个快速增长的行业,很难找到合格的工作者,让学生获得实践经验同时帮助有需要的团体是培养人才的好方法。汉密尔顿指出,甚至美国国防部和国土安全部也在放宽对网络从业人员的要求,以应对技能短缺。“我们在人手上非常紧张,”他说。

现在在德勤工作的临床校友Rachael Cornejo表示,最近的联邦倡议通过新规定要求软件开发人员更好地保护其产品,以加强小型企业的网络安全是朝着正确方向迈出的一步。但不公平的是,非政府组织和类似团体被迫寻求学生的帮助来开发在线防御措施。在伯克利诊所为她的项目与一个支持选择权组织合作的Cornejo说:“网络风险应该被认真对待,”“就像任何其他经济风险一样。我希望看到更多的公共资金用于此,这样我们就不必独自承担这个责任。”

阅读更多: 当黑客使爱尔兰的医院陷入瘫痪时,他们也把自己搞垮了