Shopify เป็นแพลตฟอร์มสำหรับสร้างเว็บไซต์อีคอมเมิร์ซ รองรับทั้งการแสดงผลร้านค้าและการชำระเงิน เมื่อวันที่ 22 กันยายน 2563 บริษัท Shopify ได้ประกาศแจ้งสถานการณ์ข้อมูลรั่วไหล โดยสาเหตุเกิดจากพนักงานฝ่ายสนับสนุนจำนวน 2 คนเข้าถึงข้อมูลบันทึกการชำระเงินของลูกค้ากว่า 200 รายโดยไม่ได้รับอนุญาต หลังจากที่ตรวจพบเหตุการณ์ดังกล่าวทางบริษัทได้ตัดสิทธิ์พนักงานทั้ง 2 คนออกจากระบบและสั่งดำเนินการสอบสวนทางกฎหมายทันที ทั้งนี้ ทาง Shopify แจ้งว่าอยู่ระหว่างการรวบรวมรายชื่อลูกค้าที่ได้รับผลกระทบ แต่ก็ยืนยันว่าข้อมูลที่พนักงานสามารถเข้าถึงได้นั้นมีเฉพาะข้อมูลพื้นฐาน เช่น ชื่อ อีเมล ที่อยู่ และประวัติการซื้อขายสินค้า แต่ไม่มีข้อมูลทางการเงินหลุดออกไปแต่อย่างใด
กรณีศึกษานี้เป็นตัวอย่างเหตุการณ์ภัยคุกคามจากคนใน (insider threat) ซึ่งเป็นสิ่งที่สามารถเกิดขึ้นได้ในทุกองค์กร เป้าหมายมีได้ตั้งแต่การฉ้อฉล ขโมยทรัพย์สินทางปัญญา ไปจนถึงสร้างความเสียหาย สาเหตุของการเกิดนั้นมีได้ทั้งจากตัวพนักงานและจากปัญหาภายในองค์กร ทั้งนี้ ภัยคุกคามจากคนในนั้นไม่ได้หมายถึงแค่คนในเป็นคนก่อเหตุ แต่ยังหมายรวมถึงเหตุการณ์ที่คนในกระทำผิดโดยไม่เจตนา หรือถูกข่มขู่บังคับเพื่อให้กระทำการทุจริตได้ด้วย ทาง Software Engineering Institute ของ Carnegie Mellon University ได้ให้ข้อแนะนำในการป้องกันภัยคุกคามจากคนในไว้ดังนี้
- จัดทำทะเบียนสินทรัพย์ และกำหนดมาตรการป้องกันตามระดับความสำคัญของสินทรัพย์นั้น ๆ
- จัดให้มีมาตรการและทีมงานเพื่อตรวจสอบ ป้องกัน และตอบสนองเหตุการณ์ภัยคุกคามจากคนใน
- กำหนดคู่มือการทำงานและแนวปฏิบัติให้ชัดเจน บังคับใช้นโยบายและการควบคุมอย่างเคร่งครัด เพื่อให้กระบวนการทำงานนั้นสามารถตรวจสอบและป้องกันความผิดพลาดได้
- มีช่องทางในการเฝ้าระวังพฤติกรรมที่ผิดปกติทั้งจากภายนอกและภายในองค์กร เนื่องจากภัยคุกคามจากคนในไม่ได้หมายความว่าเหตุการณ์จะเกิดได้จากภายในองค์กรเท่านั้น แต่ยังสามารถโจมตีเข้ามาจากภายนอกองค์กรได้ด้วย
- จัดให้มีการอบรมสร้างความตระหนักเรื่องภัยคุกคามจากคนใน โดยครอบคลุมทั้งพฤติกรรมมุ่งร้าย และการกระทำผิดโดยไม่เจตนา
รายละเอียดเพิ่มเติมเกี่ยวกับการป้องกันภัยคุกคามจากคนใน ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความของ SEI (https://insights.sei.cmu.edu/sei_blog/2017/11/5-best-practices-to-prevent-insider-threat.html)