加州大学伯克利分校的网络安全诊所帮助非营利组织在线保护自己

与许多非营利组织一样，总部位于德克萨斯州休斯顿的 Traverse Project 组织进行跨国调查以识别性贩运和儿童剥削的肇事者，但用于数字安全的资源有限。不幸的是，它的志愿者几乎完全在网上运作，并不断面临他们调查的犯罪分子的报复威胁。

“我就像一个创业公司的CEO，”该项目的创始人兼首席执行官奥斯汀·沙姆林（Austin Shamlin）说。“我戴着大约10个不同的帽子，我们必须制定政策，以确保调查不会被破坏，我的志愿者不会被识别。我真的没有时间坐下来制定这些政策。

由 Traverse 项目提供

进入加州大学伯克利分校的网络安全诊所 Citizen Clinic，这是一门为期一学期的课程，在秋季和春季在信息学院提供，向整个校园的学生开放。与伯克利的法律和医学诊所一样，公民诊所为学生提供实践培训和经验，因为他们为非营利组织和其他公益组织提供无偿数字安全援助。

上学期，一个由七名学生组成的团队协助了Traverse项目，包括帮助该组织的志愿者保持匿名，以保护自己和家人免受性贩子的侵害，在某些情况下，性贩子是有权势且关系密切的罪犯。

“我们在追踪贩运网络的指挥链上走得越远，我们就越有可能接触到富人或腐败政府，他们可以使用情报工具或产品来开始跟踪我的分析师，”沙姆林说。“这些人在很多国家都非常强大，所以对我们的志愿者来说，保持匿名是很重要的。

“伯克利的学生正在帮助我们制定政策和工具，我们可以用来减轻一些风险。他们从我的盘子里拿走了一项艰巨的任务。让这些超级聪明的年轻专业人士进来为我们的非营利组织提供帮助，这改变了游戏规则。

加州大学伯克利分校的布列塔尼·何西阿-斯莫尔

符合公共利益的网络安全

支持像 Traverse Project 这样的小型弱势组织直接符合 Citizen Clinic 的使命，该诊所由加州大学伯克利分校信息学院长期网络安全中心 （CLTC） 于 2018 年发起。自该计划启动以来，该诊所的学生团队几乎每个学期都为美国和世界各地的各种非营利组织提供数字安全援助，这些非营利组织包括帮助逃离有组织犯罪企业成员的移民的中美洲组织，以及支持亚洲原住民社区的非营利组织受到强大的中国渔业集团的威胁。这些非营利性客户都依靠电子工具和设备来开展工作，但人员或财务资源有限，无法保护自己免受数字威胁，无论是来自在线骚扰者大军还是强大的政府。

本学期，公民诊所包括两门课：一门在线课程，另一门面对面课程。虽然这群学生的客户尚未确定，但他们将是资源不足的组织，具有重要的社会使命。

“许多非营利组织提供关键的社区服务，但往往没有人员、知识或时间来保护自己免受常见的网络威胁，”CLTC 公共利益网络安全项目总监 Sarah Powazek 说。“公民诊所的学生帮助他们以非常人性化的一对一能力了解他们的数字需求并确定其优先级。”

查尔斯·卡佩尔克/加州大学伯克利分校

伯克利率先提出了网络安全诊所的概念，并领导了该模式扩展到其他大学，包括共同创立了网络安全诊所联盟，该联盟提供支持资源，帮助其他机构启动其网络安全诊所。这些诊所是拜登政府最近发布的《2023年国家网络劳动力和教育战略》的一部分，这种在伯克利首次开创的模式引起了越来越多的慈善家的注意，他们认识到保护民用基础设施和公共利益组织免受网络攻击的重要性。

事半功倍

网络安全诊所是双赢的，因为学生有机会在为公众服务的同时获得现实世界的经验。“像公民诊所这样的课程为那些作为我们公民社会堡垒的组织带来了专门的关注，但他们的专业知识永远不会是网络安全，所以他们非常脆弱，”萨巴·德希姆（Saba Deyhim）说，他是一名学生，在信息学院的信息和网络安全硕士课程中参加了该诊所。“这是一种令人兴奋的方式，可以激发我的热情，并使我们正在学习的东西付诸实践。我们帮助这些组织完成他们的使命。

鉴于这项工作的敏感性，诊所的领导制定了严格的协议来保护班级及其客户。每学期大约有 30 名学生在与客户接触之前接受数周的培训;他们学习使用以隐私为重点的网络浏览器，如 Tor 和 Brave，并通过加密消息应用程序 Signal 或使用 Jitsi（Zoom 的匿名替代品）进行对话。该课程还包括一个关于优先考虑心理健康的单元，承认这项工作可能会在情感上造成负担。

学生和他们的客户在互动中是匿名的，从不互相分享他们的名字或面孔。“我们假设我们的许多客户在他们的系统中已经有一个对手，”伯克利讲师蒂芙尼·拉德（Tiffany Rad）说，他是公民诊所的首席讲师。

公民诊所团队不直接与其客户组织的数字网络合作;相反，他们进行风险评估以识别潜在的漏洞，然后提供基本培训并提出低成本或零成本解决方案的建议。

布兰登·桑切斯·梅希亚/加州大学伯克利分校

“网络安全成本高昂，我们的客户通常没有预算聘请顾问，”Rad 说。“我们填补了这个利基市场，并给他们一个可以随着时间的推移而建立的计划。学生们了解到，网络安全修复并不总是一个昂贵的工具。这更多的是关于培训和政策，更多的是关于倾听而不是说话。学生们真正学会了如何沟通。

本学期，面对面课程主要由本科生授课，由新讲师 Elijah Baucom 教授，他是 Everyday Security 的创始人，该公司为非营利组织和社会正义组织提供网络安全援助。

“在学期开始时，我们正在教学生进行个人风险评估，以便他们能够看到他们与最佳实践不一致的地方，”Baucom说。“我们讨论了密码卫生、多因素身份验证和 VPN 等主题。我们还谈到了与企业和非营利组织合作之间的区别，在非营利组织中，你必须能够在更深层次上与使命建立联系。

迄今为止，Citizen Clinic 已经培训了来自十几个学术领域的超过 165 名学生，并为 17 个非营利性客户提供服务。该计划的许多校友现在将他们学到的技能应用于其他领域。乔纳森·莱曼（Jonathan Layman）在州政府工作，在那里他帮助各县进行选举安全。这些县的办公室通常资源有限，但面临着美国和国际网络攻击者破坏其选举系统的可能性。

“Citizen Clinic 的一件大事是，我们不是接管客户的网络安全，而是教他们如何自己管理它，”Layman 说。“小县不一定希望州政府过来接管他们的业务。他们需要有人可以教他们如何拥有更高的安全态势，并将安全心态作为其运营的一部分。

校友 Suprapti McTaggart 是一名网络安全专业人士，她选择继续她的公益工作，经常自愿帮助非营利组织进行数字安全。“作为顾问，我可以轻松地以高小时费率为此类工作收费，但这些组织没有这种资金，”McTaggart说。“通过公民诊所培养我的技能是充实和有益的，因为使命是帮助资金不足的人和组织。我们需要更多的网络安全志愿者。

网络安全诊所也在帮助填补网络安全人才的管道：2023 年 （ISC）2 网络安全劳动力研究发现，虽然目前全球有 550 万网络安全专业人员，但全球大约还需要 400 万才能满足需求。这些诊所还帮助将更多来自不同背景的学生带入网络安全领域，目前该领域有 21% 是女性。在公民诊所的大约170名校友中，近一半是女性。

旧金山市首席信息安全官迈克尔·马克斯特曼（Michael Makstman）说，这些诊所“是一个强大的解决方案，因为它们将更多的人带入网络安全领域，包括女性和有色人种，他们在该领域还没有很好的代表性，并发展了他们的技术知识以及面向客户的社交技能，”他通过与当地非营利组织的合作了解了伯克利的诊所，现在正在与CLTC合作，为这些组织进行新的研究。 网络安全需求。“我热衷于与加州各县其他城市和州的 CISO（首席信息安全官）分享网络安全诊所的成功模式。”

苏普拉普蒂·麦克塔格特

受到攻击的扇区

网络安全诊所模式正在理想时机扩展，因为公共利益组织越来越发现自己容易受到网络攻击。勒索软件攻击使全国各地的市政当局、学区和医院陷入瘫痪。例如，根据网络安全公司 Sophos 的一项调查，80% 的低级教育机构和 79% 的高等教育机构报告说，他们去年受到了勒索软件的攻击，而非政府组织和智库是全球第二大目标部门，根据Microsoft，仅次于政府对政府的网络攻击。

“威胁行为者的知识每天都在增加，因为这就是他们所做的，”Baucom说。“但人们并没有那么关注这一点，所以威胁媒介正在扩大，人们更容易受到攻击。

虽然其他大学诊所专注于帮助地方政府或其他民间机构，但伯克利的诊所旨在帮助资源不足的非营利组织和医疗保健组织，这些组织面临政治动机的网络攻击风险。例如，该诊所与几个生殖权利组织合作，包括妇女选择中心，这是旧金山总医院的一家计划生育诊所，提供孕早期和孕中期的堕胎护理。