BÁO CÁO ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CÁP CƠ SỞ

Trang 2

Mục lục

PHAN MO DAU

1 Tinh cap thiét nghién ettu dé tai

Tổng quan tinh hình nghiên cứu Đối trợng và phạm vỉ nghiên cứu

Mục đích và nhiệm vụ nghiên cứu

Phương pháp nghiên cứu

6 Kết cầu nghiên cứu ==- ete ane eer eee eee ee

CHƯƠNG 1; TONG QUAN VE QUAN TRI RUI RO THONG TIN THUONG MẠI ĐỊ

1.1, AN TOAN THONG TIN THUONG MAI ĐIỆN TỬ 8

1.1.1 Khái niệm an toàn thông tin "

1.1.2 Mắt an tồn thơng tín và rủi ro thông tin i

1.1.3, Ruiro thông tin thương mại dign tir " 1.1.4 Các khái niệm liên quan rủi ro thong tin TMT 12 1.1.4.1 Lễ hồng thông t Hanoi : 1 1.1.4.2 Các đe dọa an toan thong tin 13 PDAS TA COI sueseensiesaiianiomirsriaosssaomardossseesnmaossssiBf

1.1.4.4 Mối liên quan giữa đe dọa và lỗ hồng thông tin 16

1.1.4.5 Tai san myc tidy cua tn cong thong tin ccccccsessssseeeeeeeseeseteneeeees 16

1.2, QUAN TRI RUI RO THONG TIN THUGNG MAI DIEN TU 17 1.2.1 Khái niệm quản trị rủi ro thông tin thương mại điện từ 17 1.2.2 Quy trình quản trị rủi ro thông tin trong thương mại điện tử 18 1.2.2.1 Xác lập các mục tiêu quản trị rủi ro -18

1.2.2.2 Phân tích đe dọa, tấn công, lỗ hồng 19

1.2.2.3 Đánh giá mức độ rủi ro thông tin „2i 1.2.2.4 Biện pháp đối phó rủi ro thông ta 25 „CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO THONG TIN THƯƠNG MẠI ĐIỆN TỬ TẠI VIỆT NAM _—- xi ss 30

2.1, MOT SO NET VE QUAN TRIRUI RO THONG TIN TMDT TREN THE GIGI 30 2.1,1.Khái quát về thiệt hại do mất an toàn thông tin thương mại điện tử trên thế giới30

2.1.2 Một số kinh nghiệm trong quản trị rùi ro thông tỉn thương mại điện tử trên thế

giới 33

2.1.3 Các đề xuất của Symantec quản trị rủi ro thông tin 35

2.2, ĐÁNH GIÁ THỰC TRẠNG QUẦN TRỊ RỦI RO THÔNG TIN TMĐT Ở VIỆT NAM 37

2.2.1 Khái quát bức tranh an tồn thơng tin TMĐT Việt Nam 201 1-2016 37

2.2.2 Thực trạng về ban hành các quy định và các thiết chế đám báo an toàn thông tin

Trang 3

2.2.4 Quản trị rủi ro thông tin qua một số sự cố điển hình tại Việt Nam 2.2.4.1 Trường hợp website VietnamAirlines.com bị tấn công, 48 2 2.4.2 Vụ các website cảng hàng không bị tắn công thang 3/2017 2.2.4.3 Vụ tắn công VC Corp Sd 2.2.5 Đánh giá thực trạng quản trịrủi ro thông tin TMĐT tại Việt Nam 52 2.2.5.1 Trên cấp độ vĩ mô 52

2.2.5.2 Trên cấp độ doanh nghiệp 33

HUONG 3: GIAI PHAP QUAN TRI RUI RO THONG TIN THUONG MẠI ĐIỆN TỪ TẠI

VIET NAM 54

3.1, NHAN BINH VE NGUY CO DE DOA AN TOAN THONG TIN THUONG MAI ĐIỆN

TỬ THỜI GIAN TỚI 54

3.2, HOÀN THIỆN CÁC QUY ĐỊNH, CAC THE CHE VÀ NÂNG CAO VAI TRÒ CỦA CÁC

TO CHUC NAY TRONG DAM BAO ATTT TẠI VIỆT NAM 34

3.3 GIẢI PHÁP CHO CÁC DOANH NGHIỆP, TÔ CHỨC VÀ NGƯỜI DÂN 56

3.3.1 Truyền thông, nâng cao nhận thức về ATTT 56 3.3.2 Ưu tiên việc phòng ngừa, bảo vệ tưng ae ST 3.3.3 Phối hợp ứng phó và xử lý kịp thời với các sự €ỗ eo ST

3.3.4 Khuyến khích các cá nhân, tổ chức học tập vả nghiên cứu về ATTT 58

3.3.5 Tăng cường xử , phối hợp xử lí về pháp lý 59

Trang 4

4

PHAN MG DAU

1 Tính cấp thiết nghiên cứu dé tai

Rui ro thông tin thương mại điện tử nói riêng và các nguồn gốc rủi ro trong

thương mại điện tử nói chung đã gây ra nhiều thiệt hại to lớn cho doanh nghiệp, người tiêu dùng trong giao dịch mua bản qua mạng, làm ảnh hưởng xấu tới môi trường phát triễn thương mại điện tir lành mạnh Nhận biết các rủi ro trong thương

mại điện tử nói chung, nhận biết các rủi ro thông tỉn trong thương mại điện tử nói

riêng là vô cùng cần thiết, qua đó có thể đánh giá đúng mức độ rủi ro, và kha nang

xảy ra, các thiệt hại, tôn thất cho cá nhân, tổ chức, từ đó có những biện pháp giảm

thiểu, phòng ngừa, ngăn chặn các rủi ro xảy ra

Trên bình diện rộng của xã hội, cũng như tại các doanh nghiệp, tổ chức, quản

trị rủi ro thông tin va đảm bảo an tồn thơng tỉn là hoạt động liên tục, rất quan trọng để tạo lập và duy trì môi trường thông tin lành mạnh Còn đối với đào tạo thương

mại điện tử, chuyên ngành quản trị thương mại điện tử, an tồn thơng tin và quản

trị rủi ro thông tin TMĐT là những nội dung kiến thức thiết yếu mà người học cần

phải có trong khối kiến thức đào tạo của chuyên ngành

Ngoài ra, đối với giáo viên giảng dạy học phần An toàn thông tin và quản trị rủi

ro trong thương mại điện tử, cần có thêm tài liệu tham khảo để giảng dạy, nhất là

trong điều kiện chưa có giáo trình

Với những lý do vậy, đề tài nghiên cứu này nhằm cung cấp thêm những kiến

thức có tính hệ thống, cùng với những ví dụ thực tế được tổng hợp và đánh giá góp

phần hữu ich trong hoạt động nghiên cứu, giảng dạy và học tập tại Trường, 2 Tổng quan tình hình nghiên cứu

Trên thế giới, có nhiều tài liệu công bố liên quan đến vấn đề nghiên cứu, điển hình nhất là cuốn giáo trình Mật mã và an ninh mạng: các nguyên lý và thực tiễn,

xudt ban lin thir 6 cua William Stallings (2014) [21] Giáo trình này gồm 20 chương với khoảng 700 trang viết, đề cập những kiến thức về an tồn thơng tin, mã hóa

thông tin, các kỹ thuật đảm bảo an toàn mạng Thứ hai là tài liệu quản trị rủi ro thông tin của Symantec (2007) [16], có tính hướng dẫn thực hành quản trị rủi ro thông th, các giải pháp trong quản trị rủi ro thông tin cho các giao dịch điện từ và các hệ thống thơng tin Ngồi ra, tài liệu cũng giới thiệu các giải pháp công nghệ

quản trị rủi ro thông tin được công ty bảo mật Symantec đưa ra có thể áp dụng cho các doanh nghiệp và người tiêu dùng trong ngăn ngừa, phát hiện và giảm thiểu rủi ro trong môi trường thông tin

Đối với rủi ro thương mại điện tử, có một số tải liệu như Visa (2010, 2013),

Merchants’ Guide to Managing e-commerce Risk and Fraud [20] là loại tài liệu hướng dẫn thực hành trong quản trị rủi ro và gian lận thương mại điện tử Tài liệu

trình bày quy trình 15 bước trong quản trị rủi ro thương mại điện tử; tài liệu IPI (2000), Eleetronic commerce ršk management Guidelines, là tài liệu trình bày những hướng dẫn quản trị rủi ro thương mại điện tử Tài liệu hướng dẫn những

Trang 5

the global Cyber Security industry [15] Tai liệu trình bày an ninh không gian mạng

và những vấn để liên quan rủi ro trong môi trường kinh doanh qua mạng Internet

Theo đó, rủi ro tồn thất thông tin trong thương mại điện tử năm 2011 là khoảng 60

tỷ USD, và ngày cảng có xu hướng gia tăng về hành vi gian lận trong không gian

mạng cũng như mức thiệt hại Nghiên cứu cũng đề xuất cần hình thành ngành đào

tạo an ninh thông tin là cấp thiết ở nhiều nước trên thế giới, đặc biệt là tại Hoa Kỳ

John Mitchell (2006), Risk Management and its application to an E-Commerce Environment [10] Quản trị rủi ro và ứng dụng trong môi trường TMDT Tài liệu trình bày những khái niệm quản tị rủi ro và ứng dụng trong môi trường thương mại điện tử, những biện pháp giảm thiểu rủi ro và phòng ngừa các rủi ro xây ra trong giao dịch trên môi trường Internet Yao Youli Liu Jic, Jia Quan (2009), Risk Assessment Model for E-commerce Security based on FCE, Proceedings of the 2009

International Symposium on Web Information Systems and Applications (WISA09)

Nanchang, P R China, May 22-24, 2009, pp 297-299 [23] Mô hình đánh giá rủi ro trong thuong mai dign tt dya tén FCE (fuzzy comprehensive evaluation - đánh giá

toàn điện mờ) Từ thực tế phân tích rủi ro hiện tại cho thương mại điện tử chủ yếu

là xác định loại rủi ro, phân tích mức độ rủi ro Việc thiếu dữ liệu lịch sử, sử dụng toán học cỗ điển là khó khăn để tính toán rủi ro Bài báo đã đưa vào một loại mô hình đánh giá cho thương mại điện tử dựa trên FCE (áp dụng các lý thuyết toán học mở và phân tích quá trình phân cấp) Quản trị rủi ro bao gồm nhận biết rủi ro,

đánh giá rủi ro và kiểm soát rủi ro trong TMĐT; đánh giá rủi ro là một thành phần

quan trọng; mức độ rủi ro có thể được tính bằng cách đánh giá rủi ro và sau đó áp

dụng các biện pháp để có thể tránh hoặc giảm rủi ro đến mức chấp nhận được

Authorize (2008), Fighting Online Fraud (Chống gian lận trực tuyến) [1] Tài liệu

h bay về cuộc chiến gian lận trực tuyến, hiện trạng, phát hiện gian lận, và các

biện pháp phòng ngừa rủi ro, ngăn chặn gian lận và xâm hại an toàn giao dịch TMĐT Ngoài ra, tài liệu này còn giới thiệu cách thức bảo mật an toàn bằng việc tạo

mật khâu có mức độ an toàn cao, các yêu cầu để mật khâu không bị đánh

hướng dẫn người dùng trong giảm xung đột trên môi trường trực tuy

Wu Yanyan (2014), Research on e-commerce Security based on Risk

Management Perspective, International Journal of Security and Its Applications

VoL8, No.3 (2014), pp 153-162 [22] Bài báo trình bày vấn đề an toàn trong thương

mại điện tử, và đưa ra mô hình phân loại các đe dọa và kiểm soát đo lường thương

mại điện tử; đánh giá về chỉ phí an ninh an toàn và khung lý thuyết về quản trị rủi ro

trong TMĐT gồm 5 bước: phân tích giá trị phân tích lỗ hông và rủi ro; tỉnh toán các thiệt hại từ lỗ hông và rủi ro; lựa chọn biện pháp đối phó; và triển khai các biện pháp đối phó rủi ro TMDT,

Symantec (2016), Intemet security threat report là Báo cáo đe dọa an toàn Internet của Symantec phát hành năm 2016 Tải liệu này đã trình bày bức tranh về đe doạn an tồn thơng tin năm 2015 và đưa ra 20 biện pháp quản trị rủi ro thông tỉn

theo thiết bị của Symantee nhằm phòng ngừa rủi ro thông tin, trong đó xếp hạng 20

Trang 6

6

tài liệu của Bộ quốc phòng Mỹ về an tồn thơng tin, của Mierosoft,

The Open Web Application Security Project,

Tại Việt Nam, an tồn thơng tin đã được nhiều trường đại học, tổ chức, cơ

quan nhà nước, doanh nghiệp nghiên cứu, triển khai các giải pháp quản trị rủi ro

thông tin Việt Nam có Luật an tồn thơng tỉn 2015 [5], và nhiều văn bản pháp luật liên quan Nhiều báo cáo về tình hình an toàn thông tin tại Việt Nam (tổ chức nhà nước, doanh nghiệp ) được công bố hàng năm do các cơ quan quản lý an toàn thông tin tại Việt Nam điều tra, xây dựng như Tạp chí an tồn thơng tin của Ban cơ yếu chính phủ, Bản tin an toàn thông tin hàng tháng của Cục an tồn thơng tin BO Thông tin và truyền thông, Bản tỉn an tồn thơng tin của Trung tâm ứng cứu khẩn

Ấp máy tính Việt Nam Vncert sách trắng về ATTT ấn phẩm điện tử của Bộ TT

và TT từ 2011 đến 2016 [2, 3, 4] Các tài liệu này có tính thông tin rất cao, cập nhật hiện trạng an tồn thơng tin tại Việt Nam, các đe dọa, tấn công mạng, thiệt hại và tôn thất ATTT, các giải pháp đảm bảo ATTT được các tổ chức, doanh nghiệp, cá nhân Việt Nam đang sử dụng

Ngoài ra, tại Trường đại học Thương mại có giáo trình TMĐT căn bản của tác giả Nguyễn Văn Minh chủ biên đã trình bày một số nội dung về an toàn giao dịch thương mại điện tử và rủi ro trong thương mại điện tử; giáo trình An toàn dữ liệu trong thương mại điện tử của tác giá Đàm Gia Mạnh chủ biên đã trình bày những

kiến thức cốt lõi về an toàn đữ liệu [6, 7]

Như vậy, cho đến thời điểm hiện tại mặc dù đã có khá nhiều ấn bản về ATTT,

quản trị rủi ro thong tin, nhưng những tài liệu có tính lý thuyết, tổng hợp lí luận về quản trị rủi ro thông tin thương mại điện tử là còn mới, ít được nghiên cứu

Nhằm hệ thống hóa lí thuyết về quản trị rủi ro thông tin thương mại điện tử,

vận dụng những kiến thức lí thuyết để giải thích những thực tế đang diễn ra một

h khoa học, làm rõ thực tế đang diễn ra trong quản trị rủi ro thông tin TMĐT, tác

giả thực hiện nghiên cứu này với hy vọng giải quyết một số vấn đề lý thuyết và thực

tiễn về quản trị rủi ro thông tin trong thương mại điện tử ở Việt Nam

3 Đối tượng và phạm ví nghiên cứu

Đối tượng nghiên cứu: là các vấn để lý thuyết và thực tiễn về quản trị rủi ro

thông tin thương mại điện tử tại Việt Nam Đây là vấn đề nghiên cứu rất rộng, do đó

trong nghiên cứu này tập trung chủ yếu làm rõ thực trạng an toàn thông tỉn và quản

trị rủi ro thông tin tại các tổ chức, doanh nghiệp, (không nghiên cứu quản trị rủi ro

thông tin của người tiêu dùng trực tuyến) trong thời gian 2011 - 2016 Các dữ liệu được thu thập trong thời gian 2011 ~ 2016

4 Mục đích và nhiệm vụ nghiên cứu

Mục đích nghiên cứu: nhằm tìm hiểu rõ bản chất của rủi ro thông tin thương

mại điện tử, quy trình quản trị rủi ro thông tin thương mại điện tử, thực trạng quản trị rủi ro thong tin thương mại điện tử ở Việt Nam, và để xuất những giải pháp quản

trị rủi ro thông tin cho các tô chức, doanh nghiệp ở Việt Nam có thể sử dụng

Nhiệm vụ nghiên cứu: bao gồm ba nhiệm vụ chính, hệ thống hóa và tổng

Trang 7

thương mại điện tử; đánh giá thực trạng quản trị rủi ro thông tỉn thương mại điện tử

ở Việt Nam; và đề xuất giải pháp quản trị rủi ro thông tỉn trong thương mại điện từ

5 Phương pháp nghiên cứu

Phương pháp chủ yếu được sử dụng là nghiên cứu tài liệu, tổng hợp các tài

liệu, các báo cáo đã ấn bản, kết hợp với tổng hợp các ý kiến chuyên gia về an toàn

thông tin để giải quyết các mục đích và nhiệm vụ nghiên cứu Các số liệu được sử

dụng cho phân tích, đánh giá trong bao cao nay chi

p, kết hợp lấy ý

kiến một số chuyên gia về an tồn thơng tin Tổng hợp và xử lý dữ liệu với sự hỗ

trợ của phần mềm Microsof Excel 2010 Các dữ

xử lý và sử dụng trong chương 2

6 Kết cấu nghiên cứu

Báo cáo tông hợp gồm ba chương

Chương 1 Tổng quan vẻ quản trị rủi ro thông tỉn thương mại điện từ

ệu phỏng vấn chuyên

Chương 2 Thực trạng quản trị rủi ro thông tin thương mại điện tử tại Việt Nam Chương 3 Giải pháp quản trị rủi ro thông tin thương mạ

Trang 8

8

CHƯƠNG |: TONG QUAN VE QUAN TRIRUIRO THONG TIN THUONG MAI

ĐIỆN TỪ

1.1 AN TỒN THƠNG TÍN THƯƠNG MẠI ĐIỆN TỪ 1.1.1 Khái niệm an tồn thơ giin

Có nhiều cách hiểu về an toàn An toàn là được bảo vệ, không bị xâm hại hoặc bi tan cơng An tồn là chống lại, hoặc bảo vệ khỏi tấn công, gây tơn hại An

tồn khơng chỉ gắn với bảo vệ con người, mà gắn với nhiều đối tượng khác: tài

sản, hoạt động kinh doanh, thông tin Án toàn là trạng thái mà khả năng gây hại cho con người hoặc hủy hoại tài sản được giảm thiểu và duy trì tại hoặc dưới mức độ

chấp nhận được thông qua quá trình liên tục nhận dạng mối nguy hiểm và quản lý

rủi ro

Theo ITU-T X.800 [9], an tồn thơng tỉn hay an toàn máy tính và an toàn mạng

Internet bao ham ba khia canh: i) tấn công, đe dọa an toàn; ï) các dịch vụ đảm bảo

an toàn; ii) và cơ chế an toàn, bao mật

An tồn thơng tin thương mại điện tử hiểu theo nghĩa rộng là an tồn thơng

tin, và bao gồm an toàn máy tính, an toàn mạng, an tồn dữ liệu, thơng tin, an toàn trình duyệt trong các hoạt động thương mại điện tử

An toàn máy tinh (Computer security): con được gọi là an toàn mang

(cybersecurity), an ton théng tin (IT security) la việc bảo vệ các hệ thống thông tin

khỏi hành vi trộm cấp, phá hoại phần cứng, phần mềm, và các thông tin trong hệ

thống, cũng như làm gián đoạn, hoặc lạc hướng (misdireetion) của các dịch vụ mà

hệ thống cung cấp [21]

An toàn máy tính bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng

như việc bảo vé chéng k ác tác hại có thể đến thông qua truy cập mạng, dữ liệu

hồng, đo sơ suất của các nhà khai thác cổ ý, vô ý, hoặc do không thực hiện

đúng các quy trình an toàn

An toàn máy tính ngày càng có vai trò quan trọng do gia tăng sự phụ thuộc

trên các hệ thống máy tính ở hầu hết các xã hội và sự phát triển của các thiết bị

thông minh, điện thoại thông mỉnh, TV và các thiết bị nhỏ như một phần của

Internet vận vật, mạng Internet, mạng không dây Bluetooth, va Wi-Fi

An toàn thông tin (Information securiy): là việc bảo đảm, duy trì tính bí mật,

n sàng của thông tin Theo ISO/IEC 27000:2009, nó có thể

€ thực, tính trách nhiệm, tính chống phủ nhận và tính tỉn cậy Một

số tô chức quốc tế đã đưa ra các định nghĩa khác về an tồn thơng tin:

“An tồn thông tin là bảo vệ thông tin và các hệ thống thông tỉn từ việc truy

cập, sử dụng, tiết lộ trái phép, làm gián đoạn, sửa đổi hoặc phá hủy để đảm bảo: và tính toàn vẹn, và tính s

bao ham: tinh

tính tin cậy, toàn vẹn và tính sẵn có của théng tin” (CNSS, 2010)

“An tồn thơng tin là việc báo đảm chỉ những người có thầm quyền được truy

cập thông tin đầy đủ và chính xác khi có nhu cầu." (IS ACA, 2008)

“An toàn thông tin là quá trình bảo vệ tài sản trí tuệ của một tô chức”(Pipkin,

Trang 9

“An toàn thông tin là bảo vệ thông tin và tối thiểu rủi ro tiết lộ thông tin toi

bên không có quyền." (Venter and Eloff, 2003)

Từ năm 1992 và sửa đổi năm 2002, tổ chức OECD đã đưa ra hướng dẫn về

an toàn cho các hệ thống thông tin va an toàn mạng với 9 yêu cầu: tính nhận thức

(Awareness), tinh trách nhiệm (Responsibilty) tính phản hồi (Response), có đạo

đức (Ethies), tính dân chi (Democracy), danh gid rii ro (Risk Assessment), thiét ké

bảo mật và thực thi (security design and implementation), quan ly an ton (security management), va danh gid lai (Reassessment)

Các chuyên gia an toàn thông tin đã đưa ra khái niệm tam giác an tồn thơng

tin, viết tắt là CA, chữ cái đầu viết hoa của 3 từ (Confidenttiality ~ tính bí mật,

Integrity ~ tinh ton ven, va tinh sin sing ~ Availability) voi ba dinh tam gidc la fa €,1,A (xem hình 1.1) Integrity Availabilty Hình 1.1 Tam giác an tồn thơng tin Nguồn: informationsecuritybuzz.com

Tính bí mật C nghĩa là thông tin không được tiết lộ đến những đối tượng

không được xác thực hoặc bị rò ri Ví dụ: trong một giao dịch tin dung qua Internet,

số thẻ tín dụng được gửi từ người mua đến người bán, và từ người bán đến nhà

cung cấp dịch vụ thẻ tín dụng Hệ thống phải bảo đảm tính bí mật bằng cách mã

hóa số thẻ trong quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ

ligu, log file, sao lưu, in hóa đơn ) và bằng việc giới hạn truy cập những nơi mà nó

được lưu lại NẾu một người nào đó chưa được xác thực (ví dụ hacker ) lấy số thẻ này bằng bắt kì cách nào, thì tính bí mật khơng cịn nữa

Tính tồn vẹn I: nghĩa là đữ liệu không bị chỉnh sửa, nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nguyên thủy như được hiểu trong mô hình cổ điển ACID (tính nguyên từ (atomiciy), tính nhất quan (consistency), tinh céch ly

(solation), và tính lâu bền (durability) = là một tập các thuộc tính đảm bảo rằng cơ

sở dữ liệu đáng tin cậy) của xử lý giao dịch Tính toàn vẹn bị xâm phạm khi một

thông điệp bị chỉnh sửa trong giao dịch Hệ thống thơng tin an tồn ln cung cấp

các thơng điệp tồn vẹn và bí mật

Trang 10

10

vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác Hệ

thống có tính sẵn sang cao hướng đến sự sẵn sảng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mắt điện, hỏng phần cứng,

cập nhật, nâng cắp hệ thống Đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ

Ngoài ba thuộc tính của an tồn thơng tin, một số nhà nghiên cứu đã đưa

thêm ba thuộc tính là tính xác thực (Authentkity), tính chống chối bỏ (Non Repudiation), va tính riêng tư (privacy) (xem hình 1.2) .Comtdanlaty

‘vat Thy Nnegnny

Hình 1.2 Tam giác an tồn thơng tin mở rộng

Nguồn: informationseecuritybuzz.com

Tính chống chối bỏ: có nghĩa rằng một bên giao dịch không thể phủ nhận

việc họ đã thực hiện giao dịch với các bên khác Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh tốn thành cơng, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ tường

hợp hệ thống không đảm bảo an tồn thơng tin trong giao dịch)

Tính xác thực: Trong hoạt động kinh doanh qua mạng và trao đổi thông tin,

tính xác thực là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nói hoặc

các tài liệu (tải liệu điện tử hoặc tải liệu cứng) đều là xác thật (genuine) Né cing

quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống

sử dụng các thông tin cá nhân mà

Tính riêng tư: khả năng kiểm soát khách hàng cung cấp về chính bản thân họ

Ngoài khái niệm an tồn thơng tin, còn một số khái niệm khác: an toàn Intemet, an toàn trình duyệt, an toàn mạng, an toàn di động

An toàn Internet (internet seeuriy): là một nhánh của an toàn máy tính, liên

quan đến Internet, thường đề cập đến an toàn trình duyệt, an toàn dữ liệu nhập vào

dưới dạng web, và xác thực tổng thể và bảo vệ dữ liệu gửi qua giao thức Internet

Internet la một kênh khơng an tồn cho việc trao đôi thông tin dẫn đến khả năng rủi

ro bị xâm nhập, gian lận, lừa đảo cao Mục tiêu của an toàn Internet là thiết lập các

quy tắc và các biện pháp đề chống lại các cuộc tắn cơng trên Internet

An tồn trình duyệt (Browser securiy): là ứng dụng an toàn Internet cho các trình duyệt web để bảo vệ dữ liệu mạng và các hệ thống máy tính từ vi phạm bí mật

riêng tư hoặc phần mềm độc hại Khai thác an toàn trình duyệt cũng có thể lợi dụng các lỗ hỗng bảo mật và thường được sử dụng với tất cả các trình duyệt như Mozilla

Trang 11

An toàn mang (Network security): bao gồm các chính sách và thực tế áp

dụng để ngăn chặn và giám sát truy cập trái phép, sử dụng sai, sửa đổi, hoặc từ

chối của một mạng máy tính và các tài nguyên mạng có thể truy cập An toàn mạng

đề cập đến việc cấp phép truy cập vào dữ liệu trong một mạng, (được kiểm soát

bởi quản trị mạng) Người sử dụng chọn hoặc được chỉ định một ID và mật khẩu

hoặc các thông tin chứng thực khác để truy cập thông tin và các chương trình theo

thẩm quyền của mình An toàn mạng bao gồm một loạt các mạng máy tính, cả công

cộng và tư nhân, được sử dụng trong công việc hàng ngày; thực hiện giao dịch và truyền thông giữa các doanh nghiệp, tổ chức, và cá nhân An toàn mạng là bảo vệ mang, là giám sát các hoạt động được thực hiện,

An toàn di động (mobile securiy): ngày cảng quan trọng trong lĩnh vực máy tính đi động (mobile computing) Ngày càng có nhiều cá nhân, tổ chức sử dụng điện thoại thông minh như là một phương tiện để quản trị, lưu trữ thông tin cá nhân, và công việc Việc lưu trữ thông tin và kết nối Internet là nguồn gốc của những rủi

ro mới cho người dùng, là mục tiêu của các cuộc tấn công mạng Những cuộc tấn công khai thác điểm yếu liên quan đến điện thoại thông minh có thể đến từ các

phương tiện truyền thông như dịch vụ tin nhắn ngắn (SMS, hay còn gọi là tin nhắn

văn bản), dịch vụ tin nhắn đa phương tiện (MMS), mạng WiFi, Bluetooth vi GSM, các tiêu chuẩn to;

n cầu

hữu cho truyền thông di động

1.1.2 Mắt an toàn thông tin và rủi ro thơng tin

Mắt an tồn thông tin là tình trạng các yêu cầu (thuộc tính) của an tồn thơng

tỉn khơng được đáp ứng đầy đủ vì một nguyên nhân nào đó (ví dụ một hệ thống thông tin không thể truy cập tức thời, khi đó tính sẵn sàng bị xâm phạm), hoặc khi

phép Khi hệ thống thông tin mắt an toan (

c thông tin, dữ liệu bị tiết lộ trá

khía cạnh an toàn không được đáp ứng đầy đủ), rủi ro đối với người sở hữu, hoặc © sử dụng các thông tin/hệ thống thông tin là điều có thể inh khi có một sự không xác định chắc chắn về mắt mát, tổn thất sẽ xảy ra Nếu xác định có h xác VỀ bản chất, rủi ro là một sự không xác định chắc chắn chỉ phát sự chắc chắn thì không được xem là rủi ro, hoặc nếu xác định được cl

không bao giờ xảy ra hoặc chắc chắn xảy ra thì không được gọi là rủi ro

Như vậy, rủi ro thông tin (rủi ro hệ thống thông tin) được hiểu là khi hệ thống thông tin có khả năng xảy ra tình trạng mất an toàn (có thể do một sự cố: bị tấn công, có lỗ hổng bị khai thác ) và dẫn đến các tổn thất (bí mật thông tin bị tiết lộ, không đáp ứng yêu cầu tức thời truy xuất, thông tin bị chỉnh sửa, xóa bỏ ) làm cho

người sử dụng hoặc chủ sở hữu phải chịu những tồn thất

1.1.3 Rủi ro thông tin thương mại điện tử

Thương mại điện tử là thương mại thông tin, dựa trên trao đổi dữ liệu, thông

tin qua các mạng truyền thông và Internet Nếu các thông tin được truyền gửi

không đảm bảo các yêu cầu (như tính sẵn sàng, tính toàn vẹn, bị tiết lộ ), các chủ

thé giao dich có thể bị thiệt hại

Rủi ro thông tin thương mại điện tử là khả năng các thông tin/hệ thông thông

Trang 12

12

sản (thông tin, hệ thống thông tin, website TMĐT), một lỗ hồng (điểm yếu) của hệ

thống và một sự tấn công vào điểm yếu để xâm bại tài sản: lấy cắp thông tin, sửa

đổi hoặc đọc trộm thông tỉn bí mật, không được phép (xem hình 1.3), Hình 1.3 Bản chất rủi ro thông tin Nguồn: 38northsecurity.com

Rủi ro thông tin thương mại điện tử có thể hiểu là khả năng tồn thất tiềm an có

nguồn gốc từ các sự cố mạng máy tính, là kết quả của một mối đe dọa, tắn công

khai thác một lỗ hồng thông tin Rủi ro được biểu hiện như là kết quả của một, một

số hành vi đe dọa an toàn khai thác lỗ hồng thông tin dé gây mắt an toàn (tổn thất, thiệt hại) cho một hệ thống thông tin Như vậy, các mối đe dọa có thể tồn tại, nhưng nếu không có các lỗ hỗng thông tin, thì có rủi ro nhưng mức rủi ro thông tín là rất

: và tương tự, có thể phát hiện các lỗ hồng thông tin, nhưng nếu không có mối

đe dọa, tấn công khai thác lỗ hồng thì rủi ro có thể không xảy ra

1.1.4 Các khái niệm liên quan rủi ro thông tin TMĐT

1.1.4.1 Lỗ hỏng thông tin

Rủi ro thông tin luôn gắn với khai thác lỗ hồng thông tin Lỗ hồng thông tỉn (gọi tắt là lỗ hông) là một điểm yếu mà một tắn công có thể xâm nhập làm mắt an tồn

thơng tin Lỗ hồng thông tin có thể là một lỗi của phần mềm mà kẻ tắn công có thể

sử dụng để truy cập trái phép vào hệ thống thông tin hoặc mạng máy tính Lỗ héng

cũng được xem là các điểm yếu có thể tạo nên sự ngưng trệ của dịch vụ, thêm

quyền đối với người sử dụng hoặc tạo ra việc truy cập bất hợp pháp vào hệ thống

Theo Bộ Quốc phòng Mỹ, lỗ hồng thông tin được chia thành ba loại: lỗ hồng rất nguy hiểm (loại A), nguy hiểm trung bình (loại B) và mức nguy hiểm thấp (loại €), cụ thể như mô tả trong bảng 1.1

Bang 1.1 Phân loại lỗ hồng theo mức độ nguy hiểm Loại Mô tả Ví dụ

= De doa tính toàn vẹn và bí| Đổi với các Web Server chạy trên hệ điều mật của hệ thống hành NovelL Các Web server này có một - Cho phép người sử dụng bên | scripts là convertbas Khi người tấn cơng ngồi truy cập bất hợp pháp | chạy file này, có thẻ đọc được toàn bộ nội

LoạiA | vào hệ thông dung các file trên hệ thống Hoặc những lỗ

y ra việc phá hỏng toàn bộ hệ thống

- Xuất hiện ở các hệ thống

quản trị yếu kém hoặc không

hồng loại A có thể tồn tại trên các phần mềm

Trang 13

- Cho phép người sử dụng có | Một trong những lỗ hồng loại B thường gặp thêm tác quyền trên hệ thống |nhất l tong ứng dụng SendMail một

mà không cần thực hiện bước | chương trình khá phổ biến trên hệ thống

kiếm tra tính hợp lệ; Linux để thực hiện gửi thư điện từ cho những LoạiB |- Thường có trong các ứng | người sử dụng trong mạng nội bộ Thông dung, dịch vụ trên hệ thon thường, SendMail là một daemon! chay 6 chế

~ Có thể dẫn đến việc mất hay | độ nền được kích hoạt khi khởi động hệ

tò rỉthông tin yêu cầu bảo mật | thống Trong trạng thái hoạt động, chương

trình mở công 25 đợi một yêu câu đến sẽ

thực hiện nó hoặc gửi chuyển tiếp thư cấp cao hơn SendMail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng vì liên quan đến hành động tạo fe và ghi đăng nhập Lợi dụng đặc điểm này và một số lỗ hồng phát snh từ các đoạn mã của

sendmail mà các đối tượng tắn công có thể

ding sendmail để đoạt quyền root trong hệ thôn,

Có mức độ nguy hiệm thấp, chỉ | DoS là hình thức tắn công sử dụng các ảnh hưởng đến chất lượng địch | thức ở tầng Internet trong bộ giao thức

vụ và làm gián đoạn hệ thống; | TCP/IP dé làm hệ thống ngưng trệ dẫn

Cho phép thực hiến các | tình trạng hệ thống đó từ chối người sử dụng LoạiC | phương thức tấn công từ chối |truy cập vào hệ thống một cách hợp pháp địch vụ (Do§) mà ít phá hỏng | Cách thức thông thường là một lượng lớn các

dữ liệu hay cho phép quyền | packets sẽ được gởi đến server trong một

truy cập bất hợp pháp vào máy | khoảng thời gian liên tục lầm cho hệ thống tính quá tải Khi đó, hệ thống server sẽ đáp ứng hoặc không thê đáp ứng các yêu cầu từ các maý khách gởi tới Và công việc của người sử dụng hệ thống bị tin công là khởi động lại hệ thông

Nguồn: Tài liệu Bộ quốc phòng Hoa Kỳ

1.1.4.2 Các đe dọa an tồn thơng tin

De doa (threat) theo nghĩa rộng là các nguồn nguy hiểm; bất kì lực lượng đối lập, điều kiện, nguồn hoặc tỉnh huống có khả năng ảnh hướng tới thực hiện kế

m vụ, mục tiêu Be đọa an toàn

hoạch, hoặc làm giảm khả năng thực hiện nhỉ

thông tin là một mối nguy hiểm có thể bị khai thác từ một lỗ hỗng để xâm phạm hệ

thống thông tin và gây ra các thiệt hại, mất an toàn Nguồn các đe dọa tồn tại khi có

một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại Nó cũng có thể do chủ ý của con người, như hành vi phát

tán vi rút máy tính hoặc sự cố bất khả kháng như động đất, sóng thin Theo

MicrosoR, nguồn de doa an tồn thơng tin bao gồm nhiều loại như: Tô chức tội

n điệp, phần mềm độc hại, phần mềm quảng cáo, các nhân

h (là mối đe dọa khi chúng có thể c máy móc và gây thiệt hại tự động)

phạm, phần mềm

viên nội bộ tổ chức, sâu máy tính và vi rút máy

gây ra thiệt hại bằng cách lây nhiễm cá

Phân loại đe dọa an tồn thơng tin thương mại điện tử

Microsoft đã phân loại đe dọa an toàn thông tin thành sáu loại, viết tắt là

STRIDE, cy thé li

Trang 14

14

- Hanh vi gid mao, nic danh (Spoofing): la tinh huống trong đó một người hay một chương trình thành công giả dạng người khác bằng cách làm sai lệch dữ liệu

và nhờ đó thu lợi bất hợp pháp

- Hành vi tin công dữ liệu (Tampering): An toàn dữ liệu có nghĩa là bảo vệ

một cơ sở dữ liệu từ các phá hoại và các hành động không mong muốn của người sử dụng trái phép

- Hành động chối bỏ (Repudiation): Chống chối bỏ (non-repudiation) đến một hành vi đã được xác thực sẽ không thể bị phủ nhận

- Hành vi tết lộ thong tin (Information diselosure): là tiết lộ thông tin

- Hành vi tắn công từ chối dịch vụ (Denialofservice attack):

- Vuot quyén (Elevation of privilege): là hành động khai thác lỗ hổng do lỗi

thiết kế hệ thống hoặc phần mềm để truy cập tới các tài nguyên không được phép

Ngoài cách phân loại trên, những nguồn sau đây cũng là những nguồn đe dọa

an tồn thơng tin rất phô biến [7]

Vi rút máy tính: Giống với 'vi rút sinh học” là chương trình máy tính có khả

năng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép,

sửa đôi xóa bỏ thông tin lưu trữ trong thiết bị số Vi rút máy

chương trình hay là một đoạn mã xâm nhập vào máy tính Nó có thể xâm nhập vào

các tệp tin khác hoặc nhân bản chính nó Có một số cách thức mà vi rút lan truyền: gắn vào email bằng việc tải các chương trình hay các phần mềm từ các website khác hay thông qua các thiết bị di động (usb, ô cứng di động ) [5]

Sâu máy tính (Worm): là các chương trình có khả năng tự nhân bản tự tìm cách lan truyền qua mạng hoặc thư điện tử Ngoài tác hại lên máy bị nhiễm, sâu h có thể là một

máy tính còn phá hoại các mạng thông tỉn, làm giảm khả năng hoạt động hoặc hủy

hoại các mạng này Sâu máy tính được xem là một loại vi rút máy tính đặc biệt

Con ngựa thành Tơ-roa (Trojan horse): Đây là loại chương trình cũng có

hại như vi rút máy tính, nhưng không phải là một loại vi rút bởi chúng không có khả

c

năng tự nhân bản, nhưng chính nó lại tạo cơ hội để các loại vi rút nguy hiểm khác xâm nhập vào các hệ thống máy tính Nó cũng có thể phá hủy ổ cứng, hủy dữ liệu

Lừa đảo (Phising): hình thức thu thập thông tỉh nhạy cảm thông qua các thủ đoạn lừa gạt Ví dụ, việc tạo ra một website giả (như một website thậ) để thu thập

các thông tin của người dùng như số thẻ tín dụng hoặc thông tin về tài khoản ngân

hàng Khi truy cập website để đăng nhập thông tin, người dùng không hễ biết rằng

c thông tin của họ sẽ đã được thu thập bất hợp pháp Phkhing có thể được thực

hiện qua thư điện tử, tin nhắn, và bằng máy tính, và cả điện thoại

Các chương trình gián điệp (spyware): là sử dụng các chương trình phần

mềm, vi rút với mục đích xâm nhập trực tiếp vào hệ điều hành để nghe lén, xem

trộm các thông tỉn có giá trị trên máy, mạng internet

Thư rác (spam) là thư điện tử, tin nhắn được gửi đến người nhận mà người

nhận đó không mong muốn hoặc không có trách nhiệm phải tiếp nhận theo quy

định của pháp luật [5]

Trang 15

Phần mềm quảng cáo (adware): Loai phần mềm quảng cáo, rất hay có ở trong

các chương trình cài đặt tải từ trên mạng Một số phần mềm vô hại, nhưng một số

có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng

1.1.4.3 Tân công

Tắn công là một hành động đe dọa cu thé Tan công không phải là đe dọa mà là hiện thực hóa của mối đe dọa bằng hành động Tấn công đe dọa an tồn thơng tin theo nghĩa rộng bao gồm tắn công đe dọa an tồn thơng tin TMĐT Tắn công đc dọa có mối quan hệ với động cơ đe dọa và nguồn đe dọa (xem bang 1.2)

Bảng 1.2 Xem xét mỗi quan hệ: nguồn, động cơ và hành động đe dọa trong

một tắn cơng an tồn thơng tin

Nguồn đe dọa Dang co de doa Hanh dong de doa Hacker, cracker | Pha hoại thách thức,cáitôi | Phả hoại truy cập trái phép, ly

trộm thong tin,

Giãn điệp Tiết lộ bí mật, ly cắp hông tin | Càima độc, truy cập tảiphép Nghe lén Tẩy cấp thông tin Theo dõi trên đường truyền Võ danh Nỗi xấu, phibang, fim matuy tin, | Dang tai, chia sé thong tin bia

danh dự, thương hiệu đặt, tin đổn thất thiệt Nguồn: [10] Phân loại tấn cơng đe dọa an tồn thông tin: có một số kiểu tắn công được mô tả trong hình 1.4 C©—1 O This is an attack on availability Ben = Handa de g This is an attack on confidentiality ~ Unauthorized acces |—Ÿ = wiretapping ` v2 This is an attack on inteyrity ‘Change of Date: Messages, Progra © This is an attack on authenticity

Hình 1.4 Hình ảnh minh họa các tấn công đe dọa ANTT

Nguồn: Tổng hợp từ http://fiylib.com/books/en/3.190.1.2 1/1/

Tấn công giả trang (mạo danh) là tấn công có sử dụng một danh tính giả

nhằm truy cập trái phép vào hệ thống thông tin máy tính cá nhân, tổ chức Ví dụ,

nếu một quá trình cấp phép không được bảo vệ đầy đủ, nó có thé dé dàng bị một

cuộc tắn công giá trang Hành vi của kẻ tấn công giả trang là truy cập vào tài khoản

của người sử dụng hợp pháp hoặc lấy cắp ID và mật khẩu của họ, hoặc sử dụng

keylogger TẤn công giả trang cũng có thể xảy ra do sự bất cẩn của người sử dụng

Ví dụ, nếu một người sử dụng hợp pháp rời khỏi máy tính mà không đăng xuất,

một đồng nghiệp xấu có thể hoạt động như một kẻ tắn công giả trang

Trang 16

16

Tắn công phát lại là một hình thức tắn công mạng, trong đó việc truyền dữ liệu

có giá trị bị mã độc hoặc gian lận lặp đi lặp lại hoặc trì hoãn Điều này là do người

khởi tạo hoặc đối thủ đã chặn các dữ liệu và tái truyền nó

Tấn công sửa đổi thông điệp: là hành vi chặn giữ thông điệp và sửa đổi nội dung thông điệp Ví dụ A gửi thông điệp cho B nhưng C đã chặn các thông điệp và

thay đổi nội dung của thông điệp rồi mới gửi tiếp cho B B nghĩ rằng nhận được thông điệp nguyên bản ban đầu của A mà không biết rằng chúng đã bị sửa đôi

Tan công DOS/DDOS: là sự nỗ lực làm cho tài nguyên của một máy tính

không thể sử dụng được Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tan công DOS là khác nhau, nhưng nói chung nó có sự phối hợp, sự cé ging

có chủ ý của một hay nhiều người để chống lại các website, dịch vụ web vận hành trong tat cả, tạm thời hay một thời gian không xác định

1.1.4.4 Mối liên quan giữa đe doa và lỗ hồng thông tin

Các đe dọa và lỗ hồng an tồn thơng tin thường có mối quan hệ với nhau Theo website taosecurity.com, việc phát hiện loại lỗ hồng thông tin sẽ có thể biết được loại đe dọa hay hành vi tắn công, đây có thể xem là mối quan hệ 'tặp đôi"

(xem bang 1.3) Trong quản trị an tồn thơng tỉn, việc phát hiện lỗ hồng luôn được

các công ty bảo mật đưa lên hàng đầu như một phần thưởng cho những ai phát

hiện ra,

Bảng 1.3 Mối quan hệ cặp đôi lỗ hổng và đe dọa an tồn thơng tin

Tễ hồng, điểm yếu Nguồn đe dọa Hành động đe dọa (Vulnerabilities) (Threat source) (Threat action)

Người đùng cuỗi đã không đăng | Người dùng cuỗi [Đồng nghiệp có thể truy

xuất hoặc để lại thiết bị truy cập nhập vào hệ thống tại hệ thống, hệ thống không cảnh báo cần đăng xuất khỏi hệ thống hồn tồn Ơ Truy cập mạng nội bộ bất hợp pháp

Công ty sử dụng tenet (một | Người truy cập trái phé, giao thức bảo mật được coi là | hacker, người dùng cu: Kém an toàn) tôi phạm máy tính,

Tổ chức đã biết được điểm yêu | Người truy cập trai phép, | Truy cập vượt quyền, phá

của hệ thống, nhưng chưa vá lỗ | hacker, nhân viên bất, hoại hệ thống dựa trên

hồng hoặc có giải pháp thay | mãn, tộiphạm máytính, biết điểm yếu, lỗ hỗng thé thông tin Nguồn: https://taoseeurity.blogspot.com/2005/05/ris k-threat-and= xulnerability-101-in.htmL Tài sản mục tiêu của tấn công thông tin 114 Tài sản hay mục tiêu của các tấn công thông tin có thể là thông tin, sự hoạt

động bình thường liên tục của hệ thống, là hệ thống TMĐT của doanh nghiệp, tổ

chức, của khách hàng, cá nhân và là đối tượng mà kẻ tắn công nhằm đến, Một hệ

thống thông tin TMĐT hoặc tài sản TMĐT có thé bi tin công bởi hệ thống đó có

những lỗ héng tổn tại sẵn, và kẻ tắn công có thể biết được, để tấn công, lấy cấp

Trang 17

Tài sản mục tiêu là khái niệm được hiểu rộng hơn các yêu cầu an tồn thơng

tin Mục tiêu tấn công có thể chỉ làm ảnh hưởng đến các yêu cầu an tồn thơng tin

(lộ thơng tin, ngưng trệ ) nhưng có thể lớn hơn, là lấy cắp các tài sản TMĐT hữu

hình hoặc vô hình Như vậy, có thể đã xảy ra mắt an tồn thơng tin (thông tin bị tiết

lộ, hệ thống bị ngưng trệ ), nhưng tài sản hữu hình chưa bị tổn thất, hoặc chưa

thể đo lường tốn thất tài sản vô hình,

Bảng 1.4 thể hiện mối quan hệ

inh sẵn sàng ), với các đe dọa an tồn thơng tỉn, tắn công de các yêu cầu an tồn thơng tin (tinh bi mật, tính toàn vẹn, doa an tồn thơng th và với các tài sản/hệ thống thương mại điện tử là đối tượng của tấn công Bảng 1.4 Mỗi quan hệ các u cầu an tồn thơng tin, đe dọa, và tắn công

Doi tượng, hệ thống TMĐT, hệ thông thông tin TMDT

Các yêu cầu an tồn thơng tin, đe dọa, và tắn công

Tinh bí mật, Tính toàn ven, Tinh sẵn sàng, Tính chống bỏ

Truy cập trải Sửa đối trải Ngăn chặn Xóa dầu vết

iváelộ« phép phép my cập hẹp

fh 1 1 at 1

% Nghe Tươngtác | Càiđặtmã độc| Sau hành

a Q J “4 ~ Khiếu nại

tin trách nhiệm

Nguôn: hulp://xanthus<consuling.con/NESCOR/Standards/Cvbersecuritv Stds him! QUAN TR] RUI RO THONG TIN THUONG MAI DIEN TU

1 Khái niệm quản trị rủi ro thông tin thương mại điện tử

Theo ISO 31000, quản trị rủi ro là quá trình nhận biết, đánh giá và xếp hạng

rủi ro Quản trị rủi ro là quá trình bao gồm nhiều giai đoạn, từ việc xây dựng, lập kế

hoạch quản trị rủi ro tổng thể đến việc xác định, nhận dạng các rủi ro có thể xảy ra đối với đối trợng/hệ thống/công việc/doanh nghiệp cụ thể, phân tích và lựa chọn

của rủi ro cũng như đưa ra các đối phó hoặc

xử lý rủi ro, theo dõi sự thay đi

kế hoạch phòng ngừa RR hiệu quả

Quản trị rủi ro thông tín trong TMĐT là việc bảo vệ các hệ thống và các hoạt động giao dịch TMĐT từ các đe dọa có thể xảy ra cũng như việc nhận dạng cơ hội, thách thức khi chúng xảy ra Quản trị rủi ro trong TMĐT theo nghĩa rộng hơn, là cách thức trong đó những tác động ngược từ rủi ro (tính hai mặt của rủi ro) được thực hiện Quản trị rủi ro vì thế có cơ hội tiểm năng được triển kh: quản lý và

thể được hiểu là những công việc làm

hiểm đối với hệ thống/doanh nghiệp và tối ưu hóa mục tiêu của doanh nghiệp

Trang 18

18

1.2.2 Quy trình quản trị rủi ro thông tin trong thương mại điện tử

Theo https://espincorp.wordpress.com/tag/vulnerability/ da đưa ra mô hình quy trình quản trị rủi ro thông tin (xem hình 1.5), theo tác giả, quy trình này có thể được vận dụng trong quản trị rủi ro thông tin thương mại điện tứ Quy trình bao

gồm sáu bước ï) Xác định đối tượng, tài sản bị tắn công; ï) Đánh giá các de doa; iii)

Xác định các tắn công: iv) Nhận biết các lỗ hỏng: v) Đánh giá rủi ro; vi) Xác định

biện pháp đối phó Trong nghiên cứu ni

vận dụng quy trình trên, tác giả cho rằng

việc đánh giá các đe dọa, xác định các tấn công và nhận biết lỗ hồng có thẻ gộp lại thành một bước, bởi tính cạ đôi của lỗ hổng với đe dọa và đc dọa với tấn công (tấn công là một hành động đe dọa cụ thể) Như vậy quy trình quản trị rủi ro thông tin TMĐT gồm bố dọa, tấn công và lỗ hồng; đánh giá mức độ rủi ro; và các biện pháp đối phó rủi ro bước là: xác lập mục tiêu và đối tượng cần bảo vệ; phân tích đe rote by Hình 1.5 Quy trinh quan tri rai ro TMDT Nguén: https ://espincorp.wordpress.com/tag/vulnerability/ 1.2.2.1 Xác lập các mục tiêu quản trị rủi ro

Mục tiêu của quản trị rủi ro là yêu cầu đầu tiên cần xác lập trước khi tiến hành

các hoạt động khác Hai cách tiếp cận khi xá:

h lập mục tiêu quản trị rủi ro phổ biến

là phải đảm bảo tất cả

các yêu cầu an tồn thơng tin: tinh toàn vẹn, tính bí mật, tính xác thực, tính trách Đối với các yêu cầu an tồn thơng tin, về nguyên tả nhiệm, và tính riêng tư Trên thực tế, một giái pháp công nghệ hoặc một chính

sách an tồn thơng tin thực thi có thể không giải quyết trọn vẹn đầy đủ các yêu cầu Vi thé, trong những tình huống và điều kiện nhất định, việc lựa chọn các u cầu an

tồn thơng tin làm mục tiêu quản trị rủi ro có thê được xếp hạng ưu tiên, hoặc các yêu cầu bắt buộc và các yêu cầu bổ sung

Đối với vận hành hệ thống thông tin và TMĐT, hoặc các tải sản của doanh

nghiệp, mục tiêu quản trị rủi ro có thể bao gồm: Hệ thống vận hành

nh thường, liên tục, không bị gián đoạn; Bảo vệ bí mật cho hệ thống; Bảo vệ uy tín, thương hiệu doanh nghiệp; Bảo vệ thông tín khách hàng; Bảo vệ khách hàng,

doanh nghiệp, của khách hàng

Xác lập mục tiêu quản trị rủi ro còn được hiểu là tính toán khả năng những tổn

Trang 19

1.2.2.2 Phân tích de dọa, tấn công, lỗ hồng

Bước thứ hai là phân tích các đe dọa, tấn công đối với hệ thống, các lỗ hồng

của hệ thống có thể trở thành mục tiêu tắn công Việc phân tích đe dọa hoặc tan

công luôn được xác định với các điểm yếu (lỗ hỏng) của hệ thống với nhiều mô

hình được sử dụng Mỗi mô hình có thé phân tích mối quan hệ giữa lỗ hồng với loại

tấn công, giữa lỗ hồng, tắn công với các thiệt hại (loại mục tiêu quản trị rủi ro nào:

có thể không đáp ứng được)

Có một số mô hình được dùng trong phân tích các đe dọa như mô hình ĐREAD của Microsoft đang áp dụng, mô hình INEOCON của Bộ Quốc phòng Hoa Kỳ, mô hình Threatcon của Symantec [16]

Mô hình DREAD: do Microsoft để xuất DREAD là một phần của một hệ thống

phân loại các mối đe dọa bảo mật máy tính được sử dụng tại Mierosoft hiện nay để phân tích và đánh giá các de dọa an toàn thông tin, và đánh giá rủi ro thông tin, với

năm yếu tổ là D, R, E, A, D, cụ thể là:

~ Thiệt hại tiềm ấn (Damage potential) tn that ở mức độ nào nếu một lỗ hong

bị khai thác?

~ Tỉnh lặp lai (Reproducibility): Mức độ lặp lại tấn công dễ dàng hay không?

- Khả năng khai thác (Exploitability): Khả năng khai thác lỗ hông để bắt đầu một tấn công?

- Những người bị ảnh hưởng (Affteted users): ai, những người nào bị ảnh hướng, thiệt hại?

~ Khả năng phát hiện (Discoverability): mức độ phát hiện/tìm ra lỗ hồng dé hay

khó?

Mô hình DREAD được sử dụng trong phân tích để đánh giá toàn thông tin (xem bang 1.5),

Bang 1.5 Phan tích các yếu tổ của mô hình DREAD € đe dọa an Xếp Cao G) Trung bình Ø) Thấp (1) hạng D công có thể phá | Rò rithông tin nhạy cảm | Rồ rỉ thông tin bình

Thiệt hại chiếm thường

tiểm ấn | quyền điều khiển toàn bộ hệ thống, như một quản trí đăng tải nội dung R Tấn công có thể tái lặp | Tấn công có thé được tái | Tan công khó được tái

Khả | moitic lặp chỉ với một cửa số thời | lặp, thậm chỉ với hiểu

nang Kip gian, và trong tình huống | biết rõ về lỗ hồng

Bí cụ thể,

E— |Một tập sự viên có thể | Một lập tình viên lành | Tấn công đồi hỏi hiểu

Khả tấn công trong thời gian | nghề có thể tạo ra một tấn | biết rất sâu trong mỗi năng | ngắn công, sau đó lặp lại từng , lần khai thác,

khai thắc bước

A | Tất cả những người Một số người dùng, cầu Rất nhỏ phần tâm Những _| dùng, cấu hình mặc định, | hình không phải là mặc | người sử dung, tính

người bị | khách hàng chính định năng mơ hồ; ảnh ảnh hướng đến người dùng

hưởn; vô danh

Trang 20

D_ [Thông tin dwge cong bd [18 hong nim trong bộ | Lỗi là khỏ phát hiện, và

Khả giải thích cuộc công | phận của sản pha ém | khó chắc chắn người

Nguồn: Tông hợp của tác giả

Mô hình INFOCONs: là hệ thống đánh giá cấp bậc đe dọa tại Hoa Kỷ tương

tự như FPCON (Force Protection Condition), né la mot hg théng phéng tha co bản dựa trên hiện trạng các hệ thống thông tin và là một phương pháp được sử

dụng trong quân sự để chống lại các cuộc tấn công mạng máy tính với năm cấp:

INFOCON 5: mô tả một tình huống mà không có hoạt động thù địch rõ rằng

đối với mạng máy tính Sự vận hành của tất cả các hệ thống thông tin được giám sát, và các hệ thống mật khẩu được sử dụng như một phân tầng bảo vé (layer of

protection)

INFOCON 4: mô tả gia tăng nguy cơ các tấn công Việc tăng cường giám sát

tất cả các hoạt động mạng là bắt buộc, và tất cả các tổ chức bảo vệ người dùng

cuối cùng phải bảo đảm rằng các hệ thống của họ là an toàn Người dùng Internet

m tới các

có thể bị hạn chế truy cập vào một số website, và cần sao lưu các tệp

thiết bị lưu trữ đi động

TNFOCON 3: mô tả khi đã nhận biết rõ một tấn công Đánh giá an toàn trong

các hệ thống quan trọng là ưu tiên hàng đầu Hệ thống cảnh báo của mạng máy

tính quốc phòng được gia tăng Tất cả các kết nối quay số không phân loại phải

được ngắt

INFOCON 2: mô tả khi một tắn công đã diễn ra nhưng hệ thống mạng máy

tính quốc phòng không được cảnh báo ở mức cao nhất Các mạng không cần thiết

có thể offline, và có thể sứ dụng các phương pháp truyền thông thay thé

INFOCON I: mô tả khi các tắn công đang diễn ra và hệ thống mạng máy tính

quốc phòng đang ở mức cảnh báo cao nhất Tất cả các hệ thống có khả năng bị

tổn hại phải được cô lập với mạng quốc phòng

Ngoài hai mô hình đánh giá đe dọa an tồn thơng tín, công ty Symantec cũng

đưa ra mô hình Threatcon để đánh giá mức độ nguy hiểm trong sử dụng một phần

mềm hoặc một mạng trên mạng Internet, với bỗn mức độ:

Mức độ 1⁄4: cảnh báo thấp, chưa thấy mối đe dọa là nghiêm trong

Mức độ 2/4: cảnh báo, có mối đe dọa, và các tỏ chức, cá nhân cần cập nhật

liên tục thông tin về mối đe dọa, và tăng cường kiểm soát các điểm yếu có thể bị

tắn công, ưu tiên các công việc bảo vệ hệ thống

Mức độ 3/4: cảnh báo nguy hiểm, khi mối đe dọa sắp xảy ra hoặc bắt đầu ảnh hưởng đến mạng toàn cầu Tăng cường hoạt động giám sát và các biện pháp bảo

vệ hệ thống

Trang 21

cầu Thực hiện các biện pháp đối phó là khó khăn, sẽ ảnh hưởng đến hoạt động

khác, ngưng trệ hoặc tôn thắt tới hạ tằng mạng toàn cầu

Kết quả của quá trình phân tích đe dọa là đưa ra danh sách xếp hạng các đe

dọa, Đe dọa có mức cao nhất là một loại đe dọa nghiêm trọng nhất đối với thực

hiện nhiệm vụ, tiếp sau là các đe dọa có mức thấp hơn Mỗi đe dọa cũng cần được

đánh giá về khả năng xảy ra và mức độ tổn thất có thể

1.2.2.3 Đánh giá mức độ rủi ro thông tin

Bước tiếp theo là đánh giá mức độ rủi ro thông tin

Trong đánh giá rủi ro thông tin thương mại điện tử, cần đánh giá khả năng của

tất cả rủi ro tiềm ấn tác động đến tô chức nếu đe dọa xảy ra Đánh giá rủi ro cũng

phải xác định các mục tiêu quản trị rủi ro, đối tượng cần bảo vệ (bước 1); nhận biết

và đánh giá các đe dọa, tấn công, các lỗ hồng có thể bị khai thác (bước 2), và xác định khả năng xảy ra (đe dọa, tắn công khai thác lỗ hỗng), mức độ tổn hại (tài sản, những mục tiêu nào không bảo vệ được )

j) Đánh giá mức độ rủi ro theo tiếp cận định tính

Mức độ rủi ro có thể được tinh toán bằng thang đo định tính, định lượng hoặc

kết hợp Đo lường định tính dựa trên tần suất xuất hiện, hoặc thời điểm xuất hiện

Bảng 1.6 mô tả các mức độ rủi ro theo thang đo định tính

Bảng 1.6 Các mức độ rủi ro thông tin

Theo mức độ tẫn suất xây ra Theo thời gian

Mức thường xuyên: Khả năng xuất hiện rùiro ¡ Mức ngay lập tức: Rủi ro xuất hiện gan tất cao, xuất hiện trong hầu hết dự ản/hệ | như tức khắc

thống thông tin

Mức hay xây ma: Khả năng xuất hiện rủi ro | Mức rất gần: Rủi ro sẽ xuất hiện trong cao, xuất hiện trong nhiều dự án thời điểm rat gần thời điểm phân tích

Mức đổi Khi thỉnh thoảng: Khả năng xuất Mức sắp xây ra: Rủi ro sẽ xuất hiện

hiện rủi ro trung bình, chỉ xuất hiện ở một số | trong trong lai gin

ít dự án

Mức hiểm khi: Khả năng xuất hiện thấp, chỉ) Mức rất lâu: Rủi ro sẽ xuất hiện trong xuất hiện trong những điều kiện nhất định tương lai xa hoặc chưa định được

Nguồn: tác giả tông hợp

Ví dụ xem xét tình huống website du lịch cho phép khách hàng đặt tour du lich

trực tuyến bị tắn công từ chối phục vụ DOS vào các thời điểm có nhu cầu đặt mua các tour du lịch cao, và thời gian không phải mùa du lịch, chắc chắn các thiệt hại là rất khác nhau Trong thực tế, đánh giá mức độ tốn thất về rủi ro thông tin thương

mại điện tử, người ta đã sử dụng kết hợp đánh giá tổn thất cả về định tính và định

Trang 22

22 Hypothetical DDoS Costs 523,000,000 520,000,090 {2 Market Cap Loss Bsecurity Costs 15,000,000 t— @Revenue Loss St0.000,000 85,000,000 so 1 gt li ash 24 3ÓI GỐI 4217 461 S41 Minutes of Outage

Hình 1.6 Các loại tổn thất giả định từ một tắn công DdoS

Nguồn: https /www.acunetix.com/webs ites eeurity/web-hae kín g Ï) Đánh giá mức độ rủi ro theo tiếp cân định lượng

Trong đánh giá mức độ rủi ro theo tiếp cận định lượng, phương pháp sử dụng

là đánh giá xác suất tổn thất xảy ra đối với tài sản sử dụng Khi đó, mức độ rủi ro

được tính theo hai yếu tố là xác suất tổn thất và giá trị tài sản tổn thất bằng công

ene) Mức độ rủi ro: RE = P(o) x L(o) a

Ví dụ: Mức mức độ rủi ro xảy ra cho một hệ thống TMĐT nếu xác suất xảy ra

rủi ro là 0,04 và tài sản có giá trị là 100.000K; Khi đó RE = 0,04 * 100.000 = 4.000K Mức độ rủi ro (RE) cũng có thể được xác định dựa trên giá trị của tài sản bị

tấn công (A), khả năng xảy ra de doa/bi ta n công (T), khả năng khai thác lỗ hồng (V), và mức độ tổn thất (J) Khi đó mức độ rủi ro được xác định theo công thức 2: RE=AxTxVxI @)

Đánh giá mức độ rủi ro thông tin đã được nhiều tổ chức nghiên cứu quan tâm

Phương pháp của tổ chức OWASP (The Open Web Application Security Project)

đưa ra, hiện được nhiều công ty sử dung, đã xây dựng thang đo điểm từ 0 - 9 để

lượng hóa mức độ rủi ro của các yếu tố: đe dọa, tổn thất, lỗ hỗng, và khả năng

nhận biết (xem bảng 1.7)

Bảng 1.7 Đánh giá mức độ rủi ro thông tin theo OWASP

Yếu tố đe đọa (mức độ đe đọa): theo [ Mức Dinh giá tôn thắc trên 9 loại

Trang 23

- Không vì phần thưởng, lợi ích gì 1 T-Dữ lệu bị tiết lộ rắt nhỏ 2

~ Có thể được khen thưởng, 4 |- Dữ liệu quan trọng bị tiết lộ rất

~ Để khen thưởng, lợi ích vật chất ® | nhỏ, dữ liệu bị tiết lộ mở rộng: 6

Dữ liệu quan trọng bị tết lộ mở | 7

rộng: 7 điểm, 3 - Tất cả dữ liệu bị tiết lộ

Cơ hội, thời cơ: những nguồn lực và | Mức |2) Tỗn thất tính toàn vẹn: Bao | Mức

cơ hội nào cần có đẻ thực hiện tấn | điểm | nhiêu dữ liệu bị chiếm giữ và thiệt | điểm công khai thác lỗ hỗn; hại?

- Truy cập đầy đủ hoặc cần tiêu tốn ~ Một số dữ liệu bị chiếm giữ, 1 các nguồn tài nguyên đất tiền, 0 |- Một số dữ liệu quan trọng bị

~ Truy cập riêng biệt hoặc có tiêu tốn | 4 | chim giữ 3

các nguồn tài nguyên, ~ Một số lớn dữ liệu bị chiếm giữ, 5

~ Một số truy cập hoặc một số nguồn | 7 | - Một số lớn dữ liệu quan trọng bị 7

tài nguyên, 9 | chiếm giữ, 9

- Không cần truy cập hoặc các ~ Tất cả dữ liệu bị chiếm giữ

nguồn tài nguyên

Phát hiện xâm nhập (ntusion | Mức |3) Tôn thất tính sẵn sàng: Bao | Mức

detection): điểm | nhiêu dịch vụ bị mất và mức quan | điểm

trọng của dịch vụ đó?

= Phat hiện chủ động trong các ứng | 1 Ï~Mộtsẽ dịch vụ phụ bigián đoạn 7

dung = Mot s6 dich vụ chính, chủ yếu bị - Đăng nhập và đánh giá (logged| 3 | gián đoạn, Nhiều dịch vụ bổ sung 5

and reviewed) bị gián đoạn mỡ rộng

- Đăng nhập không cần đánh giá| 8 | - Các dich vụ chính bị gián đoạn, ¿ (logged without review) 9 | mo ring

- Không cần đăng nhập ~ Tất cả các dịch vụ bị đứt, ngưng

Yếu tô lỗ hông: Dễ phát hiện lỗ hông | Mức | 4) Khả năng tìm và phát hiện dâu | Mie (Ease ofdiscovery) điểm | vết, truy trách nhiệm điểm

~ Hầu như không thể 1| - Hoàn toàn theo dõi được 1

- Khó có thé, 3 |- Chỉ có thể theo đối không muy | 7 - Dễ đàng, 7 | được trách nhiệm

~ Có sẵn các công cụ tự động 9 |- Mất dấu viết hoàn tồn vơ danh |

khơng thê truy trách nhiệm

Dé khai thác lỗ hồng: Mức | 5) Tôn thất, thiệt hại uy tín, danh | Mức

điểm | tiếng điểm - VỀ mặt lí thuyết 1 [- Không đáng kế T

- Khó có thể, ậ | -Mất tài khoản chính 4

- Dễ dàng, 7 |-Mátuytin 3

- Có sẵn các công cụ tự động | - Mất thương hiệu 9

Nhận biết, ý thức được: điểm Mức | 6) Chẳng chỗi bó điểm Mức ~ Không biết, không ý thức được 1 |~Viphạm nhỏ 2 - Bị che đấu, ngụy trang (hidden) 4 | -Vipham ritién 7

- Hién nhién (obvious) a

- Phổ cập (public knowledge), a

7) Vi phạm bí mật riêng tư, Thông | Mức

tin cá nhân bị tiết lộ như thế nào? | điểm

~ Một cá nhân bị vi phạm 3 - Hàng trăm người $ - Hàng nghìn người 7

- Hàng triệu người 2

9) Mire 45 mé ton thất về con người: | Mức | 8) Thigt hai tai chính, tiên Mặc

cá nhân, nhóm người bị đe dọa? điểm điểm

- Nhà phát triển (Developers), nhà | 2 | - Thấp hon chi phi va/bit lỗ hong 1

Trang 24

2 - Các đối tác (partners) 5ˆ [- Ảnh hưởng lớn đến lợi nhuận cả - Các người đùng đã xác thực năm 7

~ Người sử dụng Internet vơ danh, § ~ Phá sản 9

Ngudn: The Open Web Application Security Project

Với tiếp cận định tính đánh giá rủi ro, việc xếp hạng mức độ rủi ro có những êm, như phù hợp với những tình huống nhất định, như đánh giá mức độ rủi ro

theo thời gian, theo tần suất (kinh nghiệm) Đặc biệt với phương pháp của OWASP

đưa ra đã định lượng bằng mức điểm đối với cả hai nhóm yếu tố: yếu tố mức độ đe

dọa và mức tốn thất, tuy nhiên cách đánh giá này có thể là rất phức tạp, và còn

mang tính chủ quan, theo cảm nhận của cá nhâ

) Sử dụng mô hình DREAD trong đánh giá mức độ rủi ro

Sử dụng mô hình D,READ; trong đánh giá mức độ rủi ro theo tiếp cận định

lượng, các nhà nghiên cứu phân chỉa 5 yếu tố trong mô hình thành 2 nhóm yếu tố:

tố tài sản (giá trị tôn thất) gồm Dị (Damage) va A (Affected Users); va ii) yéu tổ xác suất gồm R, E, và Dạ Khi đó mức ộ rủi ro được xác định theo công thức 3 RE = Tổn thất (Dị+A) * Xác suất (R+E+D;) GB)

Tuy nhiên để tính toán mức độ rủi ro trong công thức 3, cần gán trọng số cho

các yếu tố trong công thức Dựa trên sự hướng dẫn của Microsoft về diễn giải các

yếu tố trong mô hình theo thang đo định tính, ví dụ về giá trị tốn thất Dị , những

người bị ảnh hưởng A, khả năng tái lập tắn công R (xem bảng 1.8) để tính được

mức độ rủi ro thông tin đối với một tình huống tắn công cụ thể

Bảng 1.8 Mô tả sử dụng DREAD trong đánh giá mức độ rủi ro theo tiếp cận định lượng

Giá trị tên that LOO) Xic suất tôn that Plo)

Thigt hại (D,): Thiệt hại cần | Khả năng tái lập tan cong (Reproducibility) là để hay khó: được đánh giá về tính bí Mức độ Mô tà

mật, tính toàn vẹn và tính 5 Em infTmrmtanurdnarn sẵn sàng nhụ: bí mật thông ||_ 1 Phúcwp |Tn 3m B KRG wide, shim chi wie

tin bị tiết lộ; Dữ liệu bị sửa

chữa, tây xóa; Thông tỉn bị

ngăn chặn không sử dụng 2- Trang bình | Tân công có thể bịtải diễn Hong những điều kiện và nh hình cụ thê g Don gin | Tan cong có thể bị tái diễn bất cứ thời san sing, ae điệm nào,

Những người bị ảnh hưởng | Khả năng lỗ hông bị khai thác (Exploitability) (Affected Users): những ai |[ — Đổi tượng Mô tá

bị ảnh hưởng, tôn thất |' | Chuyêngja | Việc khai thác lỗ hông chưa được

hoặc thiệt hại?: nhà quản trị công bó, khó thực hiện và đỏi hỏi hiểu mạng, nhóm người dùng, biết nội bộ đáng kể và chuyên môn kỳ người dùng cá nhân, công thuật hoặc nhiều lỗ hồng phải được đồng khai thác trước khi bắt kỳ tác động/tôn

thất có thể được thực hiện

2-Người thành | Việc khai thác lỗ hông chưa được thạo công bố, khó thực hiện và yêu cầu sự Journeyman |hiểu biết bên trong đáng kể hoặc

chuyên môn kỹ thuật

Trang 25

‘Adept Ky thuật và / hoặc thông tín nội bộ) nhưng rất khó thực hiện và không có mã khai thác nào có sẵn

4-Nghiệp dư | Việc khai thác được biết đến và tự ‘Nove động đã được cung cấp rằng một

người thiếu chuyên môn sử dụng mã

hoặc mã máy tính hiện có để hack vào máy tính, khai thác lỗ hồng Khả năng phát hiện 15 hong (Discoverability) Mức độ Mô tả 1- Khó Lỗ hồng ít bị phát hiện, và ít có khả năng người dùng sẽ phát hiện ra tiém

năng gây hại

2- Trung bình | Lỗ hông có trong một bộ phận ít khi sử

dụng tới, chỉ một vài người dùng s gặp phải

3-Đễ Thông tin đã xuất bản giải thích cuộc

tấn công Lỗ hông được phát hiện trong các tính năng thường sử dụng và Ất rõ ràng (mọi người đều có thé bied) Nguồn: Microsoft 1.2.2.4 Biện pháp đối phó rủi ro thông tin

j Khái niệm và phân loại

Biện pháp đối phó rủi ro thông tin là bước cuối trong quy trình quản trị rủi ro

thông tin, nó là một hoặc sự kết hợp của các hành động, với sử dụng các thiết bị, quy trình, thủ tục, hoặc kỹ thuật để làm giảm các đe dọa, bjUvá một lỗ hồng

ngay từ đầu, hoặc ngăn chặn một tấn công đang diễn ra bằng cách loại bỏ, hoặc

giảm thiểu tác hại, tồn thất khi có một tắn công đã xảy ra, hoặc tiến hành các

sửa chữa, khắc phục các tổn thất đã xảy ra để giảm thiêu mức độ tôn thất

Như vậy, về lí thuyết, có nhiều biện pháp đối phó rủi ro: hành động, các thiết

bị, các công cụ, các kỹ thuật, các phương án kinh tế, các giải pháp công nghệ, các quy định pháp ý Dựa trên tổng hợp từ các nghiên cứu [21, 13, 9 ] tác giả liệt

kê một số các biện pháp đối phó rủi ro thông tin TMĐT đang được sử dụng phô biến

~ Các quy định chính sách an tồn thơng tin của tổ chức, quy định quản trị tài

sản, thiết bị thông tin

~ Nguồn nhân lực có kiến thức an tồn thơng tin

- Các quy định kỹ thuật về vận hành hệ thống, thiết bị thông tin

~ Các quy định về truyền thơng an tồn, kiểm soát truy cập, sử dụng thông tin

- Quy trình tiếp nhận, bảo trì và phát triển các hệ thống thông tin

- Quản trị sự cố an tồn thơng tin

- Các công cụ bảo vệ: phần mềm chống Virus, bức tường lửa, mạng mắt

ong , các thẻ an toàn, mật khẩu một lần OTP, mật khâu mạnh

- Các công nghệ mã hóa, chữ ký số, xác thực người dùng

~ Các giao thức truyền thơng an tồn

Trang 26

26

Để thực hiện quản trị rủi ro thông tin thương mại điện tử, không phải là vệc sử dụng thuần túy các công cụ, hoặc một biện pháp đối phó nào, mà các doanh nghiệp

cần chú ý đến lựa chọn một chiến lược kiểm soát rủi ro ii) Chiến lược kiểm sốt rủi ro thơng tỉn

Kiểm soát rủi ro là quá trình thực hiện các biện pháp để ngăn chặn hoặc giảm thiểu rủi ro có thể xảy ra đối với một công việc, hoạt động, quá trình hoặc tài sản

Kiểm soát rủi ro lược và phương pháp đối phó rủi

ro Có bốn chiến lược chủ yếu trong kiểm soát rủi ro, mà tùy theo từng tình huống,

môi trường và đặc thù của từng rủi ro mà nhà quản

Tránh rủi ro: Tránh rủi ro là kỹ thuật quản trị rủi ro để cập đến việc tiến hành

ö một nguy hiểm hoặc lựa chọn hoạt động thay thế Tránh rủi ro còn có nghĩa là dùng "đường đi khác", con đường khác này có thể không có rủi ro,

có rủi ro thấp hơn, hoặc chỉ phí đối phó rủi ro thắp hơn, bí dụ: Thay đổi phương

pháp, công cụ thực hiện, thay đổi con người, thay đổi mục tiêu Tránh rủi ro thường

là chiến lược áp dụng cho các nhà quản trị, doanh nghiệp không muốn đối với Tủ rõ, đầu với việc chọn lựa c| có thể lựa chọn bước để lo:

Giảm nhẹ rủi ro (Rik reduction): là một phương pháp kiểm soát rủi ro có sử dụng các kỹ thuật thích hợp để giảm bớt khả năng xảy ra một sự cố, một hậu quả hoặc cả hai Thực thi các biện pháp để giảm thiếu khả năng xây ra rủi ro hoặc

giảm thiểu tác động và chỉ phí khắc phục rủi ro nếu nó xảy ra Giảm nhẹ rủi ro bao

gồm các nỗ lực thực hiện để giảm bớt hoặc là khả năng xảy ra hoặc tôn thất xảy ra,

có thể là biện pháp vật lý (hàng rào bảo vệ) hoặc các biện pháp tải chính (dự trữ tiền mặt) hoặc biện pháp công nghệ, kỹ thuật

Chuyển giao rủi ro (Risk transfer): là một biện pháp của kiểm soát rủi ro, được

sử dụng trong quản trị rủi ro để mô tả sự chuyển dịch của tổn thất rủi ro cho một

bên khác Chuyển giao rủi ro bằng cách chia sẻ tổn thất, thiệt hại khi chúng xảy ra í dụ, đề nghị với khách hàng như tăng thời gian bảo hành kèm theo tăng chỉ phí:

mua bảo hiểm cho đối tượng cần bảo vệ, mua bảo hiểm của tổ chức cung cấp

địch vụ an toàn bảo mật trong TMĐT và CNTT như CERT, Vncert, Trust, Vntrust

Chap nhận rủi ro (Risk acceptanee): được sử dụng trong quản trị rủi ro để mô

tả một quyết định chấp nhận những hậu quả và khả năng của một rủi ro cụ thể

Chấp nhận rủi ro hoặc "sống chung" với rủi ro trong trường hợp chỉ phí loại bỏ,

phòng tránh, làm nhẹ rủi ro có thể là quá lớn hoặc lớn hơn chỉ phí khắc phục tác

hai, hi

ặc tác hại của rủi ro nếu xảy ra là nhỏ không đáng kể

Việc lựa chọn phương pháp kiểm soát rúi ro nào phụ thuộc vào nhiều yếu tố

Đối với doanh nghiệp, lựa chọn phương pháp kiểm soát rủi ro có thể xem là một

chiến lược đối phỏ hợp lý, vừa tính đến hiệu quả kinh tế và các khía cạnh khác

đi) Mơ hình kiểm sốt rủi ro thông tin TMĐT

Trong quản trị rủi ro thông tin TMDT, việc xác định các de dọa, lỗ hồng cũng

như tính toán khả năng xảy ra rủi ro, mức độ tôn thất là hoàn toàn thiết yếu Tuy

nhiên, lựa chọn cách thức kiểm soát rủi ro như thế nào lại là điều đáng bàn Mô

Trang 27

Nguồn: tác giả

Trong hình 1.7, theo mũi tên dọc là đừng lại, còn mũi tên ngang là chuyển tiếp, cụ thể:

Khi tồn tại

được xem xét đánh giá, nếu không có lỗ hồng, không có rủi ro, nếu tồn tại lỗ hồng: đối với hệ thống thông tin, tài sản của doanh nghiệp cần

hồng, bước tiếp theo phải xem có đe dọa không?

Xem xét các de dọa và tấn công: nếu không có de dọa, hoặc tấn công, không cỏ rủi ro, nhưng nếu có đe dọa, hoặc tấn công xảy ra, khả năng hệ thống sẽ gặp rủi ro

Đánh giá rúi ro: dựa trên các phương pháp phù hợp (định tính hoặc định

lượng) để đưa ra quyết định có hoặc không cần đối phó

Nếu tính được chỉ phí của việc tấn công là nhỏ hơn so với lợi ích có được ử

dụng biện pháp bảo vệ để làm giảm động cơ của kẻ tắn công, bằng cách tăng

chỉ phí của kẻ tắn công (ví dụ, sử dụng hệ thống điều khiển như hạn chế những gì

một người sử dụng hệ thống có thể truy cập và có thể làm giảm đáng kể lợi ích của

kẻ tấn công)

Nếu tính được tôn thất là quá lớn: thay đổi thiết kế, thiết kế kiến trúc, và gia tăng các bảo vệ kỹ thuật và phi kỹ thuật để hạn chế các tắn công, giảm tồn that

iv) Kiểm soát rủi ro theo thời gian

Phân loại kiểm tra rủi ro theo thời gian: có ba loại chính

- Kiểm soát phòng ngừa: Trước sự cỗ xảy ra, nhằm ngăn chặn một sự cố xảy

ra, ví dụ bằng cách khóa loại ra khỏi những kẻ xâm nhập trái phép;

~ Kiểm soát phát hiện: Trong khi sự cố xảy ra, nhằm phát hiện và kịp thời ngăn

chặn tác động hoặc tồn thất, ví dụ dùng âm thanh cảnh báo kẻ xâm nhập và cảnh

báo cho nhân viên bảo vệ hoặc cảnh sát

phục: Khi sự cố đã xảy ra, sau sự cố, nhằm hạn chế mức độ thiệt hại gây ra bởi sự có, ví dụ bằng cách phục hí - Kiểm soát để sửa chữa, ki

việc bình thường của tổ chức, hệ thống thông tin như khả v) Kiểm soát rủi ro theo đối tượng

Có bốn loại kiểm soát rủi ro theo đối tượng là kiểm soát vật, ví dụ sử dụng

hàng rào, cửa ra vào, ô khóa và bình chữa cháy; kiểm soát xây dựng quy trình, thủ tục, ví dụ kiểm tra các quy trình ứng phó sự số, giám sát quản lý, nhận thức về an

Trang 28

28

- Kiểm soát công nghệ, kĩ thuật: Ví dụ xác thực người dùng (login) và kiểm

soát truy cập logic (logical access controls), phan mềm chống virus, bức tường lửa;

- Kiểm soát tuân thủ quy định: Ví dụ tuân thủ quy định luật an tồn thơng tin,

các quy định bí mật cá nhân, các chính sách an toàn khi sử dụng các hệ thống

thong tin

vi) Kiểm soát việc quản lý và vận hành

Đối với an toàn thông tin thương mại điện tử, gồm các lo:

- Nhận biết người dùng: là kĩ thuật kiểm soát rủi ro thông tin hỗ trợ cung cấp

khả năng nhận biết người dùng duy nhất, các quy trình, và các nguồn tài nguyên

thong tin Để thực hiện các kiểm soát an toàn khác, xác định trách nhiệm (ví dụ,

kiểm soát truy cập tay y— DAC discretionary access control, kiém soát truy cập bắ

buộc — MAC mandatory access control), thì điều quan trọng là cả đối tượng và các

mục đích cần phải được nhận biết

- Quản lý khóa mật mã: khóa mật mã phải được quản lý một cách an toàn khi chức năng mã hóa được thực hiện trong các kiểm soát khác nhau Quản lý khóa

mật mã bao gồm: tạo khóa mật, phân phối, lưu trữ và bảo trì khóa

- Quản lý an toàn cấu hình: các tính năng bảo vệ an toàn hệ thống thông tin

phải được cầu hình (vi du, kích hoạt hay vô hiệu hóa) để đáp ứng nhu cầu của một cải đặt cụ thể và để bảo đảm an toàn cho những thay đổi trong cài đặt hệ thống

- Bảo vệ hệ thống: là việc tạo ra những điểm sao lưu an toàn cho máy tính, hệ

thống thông tin để có thể khôi phục lại hệ thống về một thời điểm trước đó,

- Xác thực: Kiểm soát để xác định danh tính của một đối tượng nhằm bảo

đảm một danh tính tuyên bố là chính xác Các cơ chế xác thực bao gồm: mật khẩu,

au:

số nhận dạng cá nhan (PINs), và thiết lập công nghệ xác thực để cung cấp xác thực đủ mạnh (Ví dụ token, smart card, digital certilicate )

quyền: Kiểm soát cấp quyền để biết hành động của một chủ thể đã

được xác thực, ví dụ chủ sở hữu thông tin hoặc quản trị hệ thống thông tin cho

phép ai có thể cập nhật, chia sẻ hoặc truy cập một tải liệu

iễm soát truy cập: tính bí mật và tồn vẹn thơng tin được thực thi bởi các

kiểm soát truy cập Khi đối tượng yêu cầu truy cập đã được cho phép truy cập vào các quy trình cụ thể, cần thiết phải kiếm soát truy cập (ví dụ, kiểm soát truy cập bat buộc - MAC hoặc kiểm soát truy cập tùy ý - DAC) Hiệu quả của kiểm soát truy cập

phụ thuộc vào tính đúng đắn của quyết định kiểm soát truy cập (vi dụ, xác lập các

quy tắc an toàn như thế nào?)

- Chống chối bỏ: Trách nhiệm giải trình phụ thuộc vào khả năng đảm bảo rằng

những người gửi không thê phủ nhận việc gửi thông tin Chống chối bỏ bao gồm cả

phòng ngừa và phát hiện Nó đã được đặt trong danh mục phòng chống bởi vì các

cơ chế thực hiện ngăn chặn sự chối bỏ thành công của một hành động (ví dụ,

chứng chỉ số có chứa khóa riêng của chủ sở hữu chỉ được biết đến bởi chủ sở hữu) Kết quả là, kiểm soát này thường được áp dụng tại thời điểm truyền hoặc tiếp

nhận thông tin

- Kiểm soát truyền thông được bảo vệ: Trong một hệ thống phân phối, khả

Trang 29

cây Việc kiểm soát truyền thông được bảo vệ đảm bảo tính toàn vẹn, tính sảng, và bảo mật thông tin nhạy cảm và quan trọng trong khi nó đang trên đường

truyền Kiểm soát truyền thông bảo vệ sử dụng phương pháp mã hóa dữ liệu (ví dụ,

mạng riêng ảo, giao thức truyền thông an toàn, ), triển khai các công nghệ mã hóa

(vi du, DES - Data Encryption Standard, RAS, MD4, MDS ) dé giam thiểu các mối

đe dọa như nghe lén, nghe trộm, đánh chặn

lao dịch bí mật (Transa cy): ví du SSL (Secure Sockets Layer), lớp vỏ an toàn (secure shell) bảo vệ chống lại mắt đữ liệu bí mật đối với các giao dịch được thực hiện bởi một cá nhân

ion Pri

- Kiểm tra dau vét (Audit): Việc kiêm tra các sự cố liên quan tới an tồn và

giám sát, theo đơi các bất thường của hệ thống là những yếu tố quan trọng trong

việc phát hiện sau sự cố, và phục hồi từ các vi phạm an toàn - Phát hiện xâm nhập và ngăn chặn: nhằm phát hiện

phạm an toàn (ví dụ, đột nhập mạng, các hoạt động đáng ngờ) để có phản ứng kịp thời

- Khôi phục trạng thái an toàn: là hoạt động khắc phục, sửa chữa một hệ

thống trở lại trạng thái an toàn, sau khi xảy ra vi phạm an toàn

~ Phát hiện vi rút và diệt trừ vi rút (Vius Deteetion and Eradieation): Phần n các máy chủ và máy

trạm để phát hiện, xác định và loại bỏ vỉ rút để bảo vệ hệ thống và toàn vẹn dữ liệu

Trang 30

30

CHUONG 2: THUC TRANG QUAN TR] RUI RO THONG TIN THUONG MAI DIEN TU TAI VIET NAM

2.1 MOT SO NET VE QUAN TRI RUIRO THONG TIN TMDT TREN THE GIGI

2.1.1.Khái quát về thiệt hại đo mất an tồn thơng tin thương mại điện tử trên

thể giới

Bức tranh về mắt an tồn thơng tin trong thương mại điện tử trên thế giới diễn

ra rất phức tạp, với nhiều loại tấn công, và nguy cơ đe dọa đến các chủ thể giao

dịch thương mại điện tử, và sự phát triển của thương mại điện tir

Sự phát triển mạnh mẽ của các loại phần mềm độc hại đe dọa đến an toàn

các công ty TMĐT, các ngân hàng, và người tiêu dùng Trong n|

trojan ngân hàng là một trong những mã độc đe dọa nguy hiểm nhất trong số mã năm qua,

trong không gian mạng Loại mã độc này nhằm mục đích đến người dùng là khách hàng của ngân hàng internet và hệ thống ngân hàng giao

độc tồn tạ

Giới tội phạm có xu hướng đầu tư rất nhiều nguồn lực trong việc phá

mềm độc hại như vậy, đồng thời phát triển nhiều kỹ thuật tỉnh vi để nhanh chóng

lây nhiễm và lẫn tránh các sản phẩm chống/diệt virus Các mã độc loại này nỗi

g như: Zeus, SpyEye, Carberp, Cita del, Emotet, Lurk

Vào cuối năm 2013, xuất hiện loại mã độc tống tiền (ransomware) nổi tiếng là

cryptolocker, các nạn nhân nhiễm mã độc phải trả tiền chuộc bằng đồng tiền ảo

itcoin mới lấy lại được dữ liệu Cuối năm 2014, xuất hiện dòng mã độc khác trong

g tiền có tên là CryptoDeftnse sử dụng các công cụ mã hóa được

y dựng trong Windows Đầu năm 2015, xuất hiện các cuộc tắn công ransomware

đối với các trang web chạy trên hệ điều hành Linux Ngoài ra, các mã độc trực

tuyến còn xuất hiện trên các máy tính tiền ở các điểm bán hàng POS, các trạm rút én tự động ATM Theo các thống kê, phần mềm mã độc POS trong năm 2015 đã tăng gấp 3 lần so với năm 2013

Trong quý 3/2016, hệ thống Anti-Phishing đã được kích hoạt 37.515.531 lần trên các máy tính của người sử dụng Kaspersky Lab, nhiều hơn 5,2 triệu lượt so với quý 2/2016 Ước tính khoảng 7,75% người dùng sản phẩm của Kaspersky Lab

trên toàn thế giới đã bị tấn công bằng hình thức lừa đảo trong quý này

Theo số liệu thống kê khu vực phân bố của các cuộc tắn công lừa dao, Trung

Quốc là quốc gia có tỷ lệ người dùng bị ảnh hưởng từ các cuộc tấn công lừa đảo

cao nhất chiếm 20,21%, thứ hai là Brazil với tý lệ 18,23%, thứ ba là UAE với tỷ lệ

Trang 31

Ngudn: Kaspersky Lab 2016

Số liệu thống kê của Kaspersky Lab 2016 cũng cho thấy, các tổ chức là mục

tiêu chính của tấn công Trong quý 3/2016, tỷ lệ tắn công nhằm vào các tổ chức tài

chính, ngân hàng điện tir va cde website TMDT ở mức cao nhất, chiếm hơn 50%

tổng số các cuộc tắn công đã xảy ra Đối với khối ngân hàng, tỷ lệ này là 27,13%, tăng 1,7% Tỷ lệ của các website bán hàng trực tuyến là 12,21%, các hệ thống

thanh toán là 11,55%, tăng lần lượt là 2,82% và 0,31% (xem hình 2.1) [HT nlins game 520% Sd NET

Global internet portals, 21.73%]

Hình 2.1 Biểu đỗ tỷ lệ tấn công lừa đảo vào các tổ chức khác nhau thống kê trong

Quý 3/2016

Nguồn: Kaspersky Lab 2016

Có thể thấy, đặc điểm của tắn công đe dọa an tồn thơng tín thời gian 2013 -

quy 11/2016 la sy tan công nhằm vào người dùng giao dịch ngân hàng trực tuyến

Các cuộc tắn công lừa đảo tài chính thường chiếm trên 25% tổng số các cuộc tấn

công lừa đảo đã diễn ra hàng năm Năm 2013, con số trên chiếm 31,45% tổng số

các cuộc tấn đã công xảy, năm 2014 là 28,74%, năm 2015 là 34,33%; bình quân

Trang 32

32 50.00% “at 450% 40.00% 4335 35.00% 31.49% ‘ri 300% 200% 200% 1600% 1000% 500% 000% 2013 2 2015 Average for 3 quarters of 2016 Hình 2.2 Tỷ lệ các cuộc tắn công lửa dao tai chính từ năm 2013 đến hết tháng 9/2016 Nguồn: KasperskyLab cá

Bốn ngân hàng có số lượng khách hàng bị tấn công thường xuyên đều nằm ở

Brazil Trong nhiều năm liên tiếp, Brazil nằm trong bảng xếp hang các nước có tỷ lệ

cao về lượng người dùng bị tấn công lừa đảo, đôi khi ở vị trí đầu tiên Người dùng thực hiện giao địch ngân hàng trực tuyến thường là mục tiêu chính bị tắn công, do

những lợi ích tài chính từ cuộc tắn công thành công mang lại

Ba tổ chức bị tấn công nhiều nhất là Facebook, Yahool Và Amazon.com

chiếm 21,96% đối với tất cả các liên kết lừa đảo được phát hiện trong quý 3 năm

2016 (xem bảng 2.2) Tắn công lừa đảo tập trung nhằm vào các tổ chức lớn nhằm

nâng cao tỷ lệ thành công Hơn một nữa trong số các phát hiện của Kaspersky Lab,

các trang web lừa đảo thường che giấu sau tên của khoảng I5 tổ chức

Bảng 2.2 Top 3 tô chức bị tấn công lừa đảo ‘Organization % of detected phishing links Facebook $0409 ‘Yahoo! 7.41680E ‘Amazon.com 6469801

Nguồn: Kaspersky Lab

Thứ hai là Vius độc hại cho người dùng Facebook Nhiều người dùng Facebook đã bị ảnh hưởng từ các cuộc tắn công lừa đảo Trong quý HÍ năm 2016,

Facebook chiếm 8,1% (tăng 0,07%.), đứng đầu bảng xếp hạng của các tô chức bị

lợi dụng nhằm thực hiện các tấn công lừa đảo Vị trí thứ hai là Yahoo! 7,45% (tăng

0,38%) Vị trí thứ ba là Amazon, xuất hiện lần đầu trong Top 3 với 6,47%,

Theo dự bảo trong thời gian tới, cuối năm 2017 và năm 2018, xu hướng lửa

đảo trực tuyến trong lĩnh vực tải chính, giao địch mua bán điện tử sẽ tiếp tục tăng

Khi số người dùng Internet và mua sắm trực tuyến tăng cao, vừa khai thác những

lợi ích của cách mạng CNTT đồng thời cũng là mảnh đất cho tội phạm mạng phát

triển mạnh mẽ Chưa bao giờ thông tỉn khách hàng ngày cảng bị săn đón sử dụng

Trang 33

2.1.2 Một số kinh nghiệm trong quản trị rủi ro thông tin thương mại điện tử

trên thế giới

Với tình hình mắt an tồn thơng tin và thiệt hại luôn tăng cao, quản trị rủi ro

thông tỉn thương mại điện tử đã được nhiều tô chức quốc tế, nhiều quốc gia trên

thế giới quan tâm, nghiên cứu, và thực hiện nhiều giải pháp nhằm ngăn ngừa, giảm thiểu những rủi ro tôn thất

Tại các doanh nghiệp đã triển khai công tác quản trị rủi ro thông tin thương mại điện tử Theo một kết quả điều tra, khoảng 76% doanh nghiệp đã sử dụng các

phần mềm chống vi rút và gián điệp, 62% sử dụng bức tường lửa, và 53% da sử

dụng bộ lọc thư rác để khóa các thư điện tử không mong muốn Khoảng 49%, doanh nghiệp nhỏ đã tiến hành sao lưu dữ liệu quan trọng, trong khi 89% doanh nghiệp lớn đã tiến hành các biện pháp này (xem hình 2.3), = = | Firewall span filter Web-fitering sonware — Authentication hardware oF software = Ld) ° 20 40 60 80 100 sao: Bedum Muse Hình 2.3 Các biện pháp an toàn được sử dụng ở các doanh nghiệp http:/www.statean.ge.ca/daily-quotidien/140611/dq140611a-eng.htm

Nghiên cứu của Protivii cũng cho thấy, tai các công ty có quy mô lớn, BOD,

công ty đã quan tâm nhiều hơn đến quản trị rủi ro thông tin TMĐT Nghiên cứu đưa

ra nhận định, sự tham gia của BOD của công ty là một yếu tố quan trọng trong việc

quản lý tốt nhất những rủi ro thông tin TMDT 4 trong 5 BOD đã có sự tham gia và

hiểu biết về quản trị rủi ro thông tin tăng lên, nhưng 1/5 BOD của công ty vẫn có

mức độ hiểu biết thấp Nghiên cứu cũng chỉ rõ, các tổ chức đã không làm đủ để quản trị rủi ro thông tin Không có sự khác biệt đáng kể giữa những công ty lớn và công ty nhỏ trong quản trị rủi ro thông tin (xem bang 2.3)

Trang 34

34

Tham gia lich eye cia BOD vio] 30 34 26 hoạt động quản trị RR thông tin

Tham giá bình thường vào hoạt| 41 + 36 động quản trị RR thơng tin

Ít tham gia vào hoạt động quản tị| — 20 12 30 RR thông tin Không biết 9 9 8 Tong 100% 100% 100% Nguồn: Protiviti

È xây dựng và thực hiện các chính sách an tồn thơng tin cốt lõi (hay chính

sách an toàn được chấp nhận - AUP), chính sách lưu giữ và phá hủy dữ liệu

(reeord retention and đestruetion policy), chính sách an tồn thơng tin bằng văn bản

(WISP), chính sách mã hoá dữ liệu, và chính sách truyền thông xã hội 78% BOD đã có sự tham gia ở mức độ tích cực và trung bình vào các chính sách này Ngay cả các biện pháp đảm bảo an toàn đơn giản dường như cũng thay đổi tùy theo sự tham gia của BOD 3⁄4 BOD đã tham gia chính sách an ninh thông tin có một chính

sách về mật khẩu, trong khi chỉ có 46% những người có mức độ tham gia trung

bình hoặc thấp có điều khoản cơ bản này (xem bảng 2.4)

Bảng 2.4 Các chính sách an tồn thơng tin được xây dựng để phòng ngừa rò

ri thông tin tại tổ chức

What types of policies does your organization have in place to prevent data leakage?

Multiple responses permitted) Top-Perfoming Organizations coc with high board | out high board piped poner pes TẢ HN cu In information | in information seid | [lanier Et Eta

Password policy (or standard) 76% 46% 92% 70%

Data protection an privacy policy 7 63% 91% 55%

{Information security policy 75% 6% 93% 55%

‘Network and network devices| cm = wa J=

security policy

Users (privileged) access policy 60% 59% x

Workstation/laptop security policy 65% 57% 35% ”*

Data casslicalon policy 70% 46% 33% 38

Third-party access control policy 5% ”* 76% 35%

Incident response policy 58% 41% 7 3%

Removable media policy 53% 40% 7% 28%

Information exchange policy 37% 2x 51% 20%

Cloud acceptable usage 30% 21% 46% 1%

Nguén: http:/www.riskmanagementmonitor.com/engaged-boards-lead-to-better- information-security-practices/

Nghiên cứu đã cho thấy có hai xu hướng đáng báo động, cả trong các công ty

Trang 35

chức không có kế hoạch phản ứng khủng hoảng chính thức để giải quyết sự vỉ

phạm dữ liệu hoặc tấn công không gian mạng trong năm 2013 Hơn nữa, một số

lượng đáng ngạc nhiên của các công ty vẫn không có chính sách an ninh thong tin

"Một trong ba công ty không có chính sách bảo mật thông tin bằng văn bản (WISP)

Hơn 40% công ty thiếu chính sách mã hoá dữ liệu Một phần tư không có các chính sách sử dụng thông tin AUP”, Day là những khoảng trống trong quản lý và quản lý

dữ liệu, và những vấn để mang ý nghĩa pháp lý

tắt cả các chính sách dữ liệu quan trọng này có môi trường và khả năng bảo mật

CNTT mạnh mẽ hơn rất nhiều."

ng kể" Mặt khác, các tổ chức có

2.1.3 Các đề xuất của Symantec quản trị rủi ro thông tin

Từ thực tiễn quản trị rủi ro thông tin nhiều năm, tổ chức Symantec đã để xuất

5 giải pháp ưu tiên nhất trong số 20 giải pháp ưu tiên trong quản trị rủi ro thông tin

nói chung và quản trị rủi ro trong TMĐT [17], và việc sử dụng các giải pháp ưu tiên

này như thế nào cũng được Symantec khuyến nghị (xem bảng 2.5)

Bảng 2.5 Biện pháp quản trị rủi ro thông tin theo thiết tia Symantec Loại thiết bị Bảo vệ chắc Tăng cường | Giảm tôn thất chắn phát hiện Mobile 3,4, 7, 11, 18 1,2, 6, 8,15 5, 10, 13, 17 Internet of things 3,4, 11, 14, 18 1,2,6,8,15 |5,9,12,17 Web-based threats 3,4, 7,18 1, 2, 6, 8, 16 5,9, 10, 12, 17 Socialmedia &emailthreats | 3,4,7 1, 2, 8, 20 $5, 10, 12, 17 Targeted attacks & spear | 3,4,7, 11, 14,18 | 1, 2, 6, 8, 16, |5, 9, 10, 12, phising 20 13, 17, 19 Data breaches 34,7, 11, 14,18 | 1, 2,6, 15, 16, /5, 9, 10, 12, 20 13, 17, 19 E-crime & Malware 3,4, 7, 11,14, 18 | 1, 2, 6, 8, 16,15, 9, 10, 12, 20 13, 17,19 Cloud &infrasiractare 3411,14,18 |1, 2,6, 8, 15,/5, 9, 10, 12, 16, 20 13, 17, 19 Web services 3,4, 11, 14, 18 1,2, 6, 8, 16,|5, 9, 10, 12, 20 13, 11,19, Ddos & Botnets 3,4, 11,18 12,6,8,20 |5,9,12,17,19 | Nguồn: Symantec (2016), istr

Dưới đây là phần giải thích 20 giải pháp, xếp theo thứ tự ưu tiên tir 1 ~ 20

i) Kiém kê các thiết bị được phép và không được phép truy cập: chủ động

kiểm kê, theo dõi và chỉnh sửa tắt cả các thiết bị phần cứng trên mạng, để chỉ các

thiết bị được phép được cấp quyền truy cập và các thiết bị không được quyền truy

cập (không được quản lý) sẽ không được truy cập

Ï) Kiểm kê các phần mềm được ủy quyển và không có quyền: Quản lý tích

ác phần mềm trên mạng (kiểm kê, theo dõi, và sửa chữa) để chỉ có

phần mềm được ủy quyền được cài đặt và có thê thực hiện, và phần mềm trái phép

cực tắ

Trang 36

36

iii) Cấu hình an toàn/bảo mật cho phần cứng và phần mềm trên thiết bị di

động, máy tính xách tay, máy trạm và máy chủ: Thiết lập, thực hiện và chủ động quản lý (theo đối, báo cáo, sửa chữa) cấu hình an toằn/bảo mật của máy tính xách

tay, máy chủ và máy trạm bằng cách quản lý cấu hình nghiêm ngặt và quá trình

kiểm soát thay đổi để ngăn chặn kẻ tấn công từ khai thác các cài đặt và các dịch vụ để bị tồn thương

iv) Dinh gid 15 héng liên tục và liên tục khắc phục: Liên tục thu thập, đánh giá và cập nhật các thông tỉn mới để nhận biết các lỗ hồng, cách khắc phục và giảm

thiểu cơ hội cho các kẻ tắn công

v) Kiểm soát với sử dụng các đặc quyền quản trị Các quy trình và công cụ

được sử dụng để theo dõi, kiểm soát, ngăn chặ

vụ, và cấu hình các đặc quyển quản trị trên máy tính, mạng và các ứng dụng

vi) Duy trì, theo dõi, và phân tích các bản thu thập ghi chép, quản lý và phân tích các bản ghỉ kiểm tra các sự kiện có thể giúp phát hiện, hiểu được, hoặc phục

hồi từ một cuộc tắn công

vi) Bảo vệ trình duyệt Web và Email, giảm tối thiểu tan công bề mặt và cơ hội

để kẻ tấn công thao túng hành vi của con người thông qua các tương tác cua ho

sửa chữa việc sử dụng, nhiệm

với các trình đuyệt web và hệ thống email

vii) Phong chống mã độc (Malware Defenses): kiểm tra việc cài đặt, lây lan/phát tán và thực hiện mã độc hại tại nhiều điểm trong doanh nghiệp, đồng thời

tối ưu hóa việc sử dụng tự động hóa để cho phép cập nhật nhanh chóng các biện

pháp phòng thủ, thu thập dữ liệu và hành động khắc phục

x) Hạn chế và kiểm sốt các cơng mạng, giao thức và các dich vu (Limitation and Control of Network Ports, Protocols, and Services): Quản trị (theo dõi, kiểm

soát và sửa chữa) việc sử dụng các công, giao thức và dịch vụ trên các thiết bị mạng để giảm thiểu các cửa số dễ bị tắn công

x) Khả năng phục hồi dữ liệu (Data Recovery Capabiliy): Các quy trình và

công cụ được sử dụng để sao lưu

được kiểm chứng đề phục hồi kịp thời c thông tin quan trọng với phương pháp đã

xi Thiết lập cấu hình an toàn cho thiết bị mạng như bức tường lửa,

Routers, va Switches: thiét lap, triển khai và quản lý chủ động (theo dõi, báo cáo, và

ửa chữa) cầu hình an toàn cho các thiết bị cơ sở hạ tang mang, st dụng quản trị hình chặt chẽ và quá trình kiểm soát thay đổi nhằm ngăn chặn kẻ tắn công từ

khai thác các cài đặt và dịch vụ lỗ hỗng/ dễ bị tốn thương

xii) Phong thi bé ngoai (Boundary Defense): Phát hiện, ngăn chặn, sửa chữa

các dòng thông tin truyền tải các mạng ở các cấp độ tin cậy khác nhau với trọng

tâm vào dữ liệu gây tồn hại đến an toàn

xii) Bảo vệ dữ liệu (Data Protection): Các quy trình và công cụ được sử dụng để ngăn chặn việc lôi loc (exfiltration) đữ liệu, giảm thiểu ảnh hưởng của dữ liệu đã được làm sạch, và đảm bảo tính riêng tư và toàn vẹn của thông tin nhạy cảm

xi) Truy cập kiểm soát dựa trên sự cần biết (Controlled Access Based on the

Trang 37

tin, tài nguyên và hệ thống) theo quyết định chính thức của người nào, máy tính và

các ứng dụng có nhu cầu và quyền truy cập vào các tài sản quan trọng này dựa

trên phân loại được chap thuận

xv) Kiểm soát truy cập không dây (Wireless access control): Các quy trình và

công cụ được sử dụng để theo dõi, kiểm soát, ngăn chặn, sửa chữa an toàn sử

dụng các mạng nội bộ không đây (LANS), điểm truy cập và các hệ thống máy khách không đây

xvj) Giám sát và kiểm soát tài khoản (Aecount Monitoring and Contol): Giữ an toàn các kẻ tấn công từ việc mạo nhận quản lý vòng đời của các tài khoản ứng dụng và hệ thống - sự sáng tạo, sử dụng, và xóa bỏ - để giảm thiểu cơ hội cho kẻ

tấn công sử dụng chúng

xvi) Đánh giá các kỳ năng an toàn và đào tạo thích hợp để lắp vào khoảng

trong (Security Skills Assessment and Appropriate Training to Fill Gaps): Déi voi tat

cả các vai trò chức năng trong tổ chức (xác định ưu tiên cho nhiệm vụ quan trọng

đối với doanh nghiệp và an ninh của nó), xác định kiến thức kỹ năng và khả năng cụ thể cần thiết để hỗ trợ bảo vệ doanh nghiệp; xây dựng và thực hiện một kế

hoạch tổng hợp để đánh giá, xác định khoảng trống và khắc phục bằng các chính

sách, kế hoạch tổ chức, đào tạo và các chương trình nâng cao nhận thức

xviii) An toàn phần mềm ứng dụng (Application Software Securiy): Quản lý

vòng đời an toàn của tắt cả các phần mềm được phát triển và mua lai (in-house) để ngăn chặn, phát hiện và sửa các điểm yếu an ninh

xix) Phan tng va Quan ly Sy cé (Incident Response and Management): Bio

vệ thông tin của tô chức, cũng như danh tiếng của nó bằng cách phát triển và triển

khai cơ sở ha tang ứng phó sự cổ (ví dụ như kế hoạch, vai tro du

tạo, truyền thông, giám sát quản ly) dé nhanh chóng phát hiện ra một cuộc tấn công c xác định, đảo

và sau đó có hiệu quả các thiệt hại, loại bỏ sự hiện diện của kẻ tắn công và khôi à hệ thống

xx) Thử nghiệm thâm nhập và bài tập đội đỏ (Penetraon Tests and Red Team Exercises): Kiểm tra sức mạnh tổng thể của phòng thủ của một tổ chức phục tính toàn vẹn của mạng (công nghệ, quy trình và nhân sự) bằng cách mô phỏng các mục tiêu và của kẻ tấn công

2.2 ANH GIA THUC TRANG QUAN TRI RUI RO THONG TIN TMDT Ở VIỆT NAM 2.2.1 Khái quát bức tranh an tồn thơng tin TMĐT Việt Nam 2011-2016

Bức tranh an tồn thơng tin TMĐT ở Việt Nam trong thời gian 2011-2016 rất phức tạp, với các vụ tấn cơng đe dọa an tồn thông tin ngày cảng tăng, xu hướng

năm sau tăng cao hơn năm trước

Theo thống kê báo cáo của Trung tâm ứng cứu khân cấp máy tính Việt Nam (VNCERT), từ năm 2011 ~ 2015 số vụ tắn công tăng rất nhanh Theo thống kê của

hệ thống giám sát của SecurityDaily chỉ tính riêng nửa đầu tháng 9/2014, đã phát

lên 1.039 website Việt Nam bị hacker tấn công Tháng 5/2014 có 989 website bị

tan công, tháng 8 có số lượng website bị tắn công thấp nhất - 208 website, và

tháng 9/2014 là tháng có số lượng Website Việt Nam bị tắn công cao nhất kể từ

ảnh động

Trang 38

' | lì 30000 25000 20000 15000 10000 5000 -5000 -10000 | Hinh 2.5 38 = Website bj Hình 2.4 Thống kê số website bị tấn công từ 1 - 9/2014 Nguồn: SecurityDaily 48000 —————————————— 40000 35000 —#—Số vụ tấn công —Linear ($6 vu tin công) 0 NHế Năm Năm Năm Năm 201 2012 2013 2014 2015

vụ tấn công và xu hướng gia tăng các vụ tấn công Nguồn: tông hợp của tác giả

Theo thống kê của VNCERT, tính riêng trong thời gian từ 21/12/2014 tới

21/12/2015, có tổng số 31.585 sự cố thông tin tại Việt Nam, trong đó 5.898 sự cố là

tấn công lừa đảo, 8.850 sự là tắn công thay đổi giao diện và 16.837 là sự cố mã độc (xem hình 2.6) Lita đảo Tấn công giao diện # Cài mã độc Hình 2.6 Phân loại các sự cố an toàn thông tin tại Việt Nam năm 2015

Nguồn: tổng hợp của tác giả

Trang 39

có 2.088 trang web và 907 máy chủ ở Việt Nam bị tấn công với mục đích gửi thư

rác VỀ tỷ lệ các trang web bị tấn công, có tới 57% trang web có tên miễn “com”,

25% có tên miền “vn”, 10% có tên miễn °org” (xem hình 2.7)

Hình 2.7 Tỷ lệ các trang web bị tấn công theo tên miền 8/2015

Nguồn: Cục An tồn thơng tin Bộ Thông tin truyền thông

So sánh về an toàn thông tin tại Việt Nam năm 2014 và 2015 (xem bảng 2.6) Bảng 2.6 Các tấn công, đe dọa ATTT Việt Nam 2014, 2015

Hinh vitin công, nguồn, đe dọa Năm 2015 | Năm 2014 Tile lay nhiềm phần mềm độc hại

~ Trên máy vi tính 64,36%, 66% - Thiết bi di động 24% 23% - Qua mạng 39% 499, - Đa phương tiện 7% 77%

Tan công qua mạng

- Tổng số cuộc tấn công, 38.177 | >19:000

~ Tấn công thay đôi giao diện 10.377

~ Tấn công và thay đổi giao diện tên miễn gov.vn 212 > 200

- Tấn công lửa đáo 5600

~ Tấn công lây nhiễm phần mêm độc hại 22.200 Tấn công từ chỗi địch vụ ~ Tilệ số lượt bị tắn công DdoS Việt Nam so với thể giới 3,95% Thư rác - TIE thự rác được phát tán từ Việt Nam 6,19%, 4,596

Nguồn: Báo cáo ATTT Việt Nam 2015

Theo đánh giá của VNCERT, trong nửa đầu năm 2016, đã có 8.758 vụ tin công lừa đảo, gấp 3 lần so với 6 tháng đầu năm 2015; 77.160 vụ tắn công giao diện gấp 8 lần so với 6 tháng đầu năm 2015; và 41.712 vụ tắn công mã độc gắp 5 lần so

với 6 tháng đầu năm 2015 Còn theo bản tỉn tháng 7/2016 về số

ệu ATTT Việt

Nam 2016 cho thấy Việt Nam là quốc gia đứng thứ 19 trên thế giới và thứ 14 tại

chau A trong tháng 7/2016 với 23.8 % thiết bị CNTT bị lây nhiễm phần mềm độc

Trang 40

Hình 2.8 Tình hình lây nhiễm mã độc tại các quốc gia

Nguồn: Ban tin ATTT tháng 7/2016

Cả năm 2016, Việt Nam đã có tổng số 134.375 sự có tấn công mạng trên cả ba loại hình: lừa đảo, cải mã độc, và tấn công thay đổi giao diện So với năm 2015,

số lượng vụ tắn công mạng năm 2016 nhiều gấp hơn 4,2 lần năm 2015 là 31.585,

trong đó, loại hình tấn công lừa đảo là 10.057 sự cố, gấp hơn 1,7 lần so với năm

2015, cài mã độc là 46.664 sự có, gấp gan 2,8 lin năm 2015; và tắn công thay đồi

giao diện là 77.654 sự cố, gấp hơn 8.7 lần năm 2015 Chỉ có hình thức tấn công

xâm nhập hệ thống từ người bên ngoài vào mạng bên trong là giảm so với năm 2015 ở mức 8.7% so với 17,7%

Bức tranh tông hợp khái quát nhất về an toàn thông tin tại Việt Nam trong thời

gian 2013 - 2016 cho thấy, tình hình mat an tồn thơng tin và thiệt hại là rất phức

tạp Đúng như nhận định của các cơ quan quản lý nhà nước về an toàn thông tin, chuyên gia bảo mật cho thấy, *trong thời gian qua 5 năm qua, tình hình an tồn

thơng tin tại Việt Nam vẫn rất phức tap” An toản thông tin mạng đang là vấn đề thời

sự, thu hút sự quan tâm lớn hiện nay Ảnh hưởng của tấn công mạng không chỉ

gây thiệt hại đối với cơ quan, tổ chức, doanh nghiệp mà còn có thể ảnh hưởng tới

kinh tế, chính trị, quốc phòng, an ninh và lợi ích của từng người dân

2.2.2 Thực trạng về ban hành các quy định và các thiết chế đảm bảo an tồn

thơng tin tại Việt Nam

An tồn thơng tin không phải là vấn đề của một cá nhân, tổ chức nào mà là

vấn để của toàn xã hội, mọi tổ chức, người dân Chính vì thể quản trị an tồn thơng

tin nói chung và quản trị rủi ro thông tin TMĐT luôn được nhà nước quan tâm hàng

đầu

Thứ nhất là việc xây dựng, ban hành các chính sách tổng thể về an toàn

Định dạng
Số trang	66
Dung lượng	8,89 MB