Chương 4 rủi ro và phòng tránh rủi ro trong thương mại điện tử

bảo mật và an toàn thông tin trong thương mại điện tử×rủi ro trong thương mại điện tử×hạn chế rủi ro trong thương mại điện tử×quản trị rủi ro trong thương mại điện tử×rủi ro trong thương mại điện tử việt nam×rủi ro trong thương mại điện tử và giải pháp× Từ khóa Rủi ro trong Thương mại điện tửrủi ro dữ liệu trong thương mại điện tửphân loại rủi ro trong thương mại điện tửrủi ro trong thương mại điện tử tại việt nambảo mật và an toàn thông tin trong thương mại điện tử×rủi ro trong thương mại điện tử×hạn chế rủi ro trong thương mại điện tử×quản trị rủi ro trong thương mại điện tử×rủi ro trong thương mại điện tử việt nam×rủi ro trong thương mại điện tử và giải pháp× Từ khóa Rủi ro trong Thương mại điện tửrủi ro dữ liệu trong thương mại điện tửphân loại rủi ro trong thương mại điện tửrủi ro trong thương mại điện tử tại việt nambảo mật và an toàn thông tin trong thương mại điện tử×rủi ro trong thương mại điện tử×hạn chế rủi ro trong thương mại điện tử×quản trị rủi ro trong thương mại điện tử×rủi ro trong thương mại điện tử việt nam×rủi ro trong thương mại điện tử và giải pháp× Từ khóa Rủi ro trong Thương mại điện tửrủi ro dữ liệu trong thương mại điện tửphân loại rủi ro trong thương mại điện tửrủi ro trong thương mại điện tử tại việt nambảo mật và an toàn thông tin trong thương mại điện tử×rủi ro trong thương mại điện tử×hạn chế rủi ro trong thương mại điện tử×quản trị rủi ro trong thương mại điện tử×rủi ro trong thương mại điện tử việt nam×rủi ro trong thương mại điện tử và giải pháp× Từ khóa Rủi ro trong Thương mại điện tửrủi ro dữ liệu trong thương mại điện tửphân loại rủi ro trong thương mại điện tửrủi ro trong thương mại điện tử tại việt nam

R ỦI RO VÀ PHÒNG TRÁNH

Nội dung trình bày

4.1 Tổng quan về an toàn và phòng tránh rủi ro trong TMĐT

Khái niệm rủi ro trong TMĐT

R ủi ro trong thương mại điện tử là những tai nạn,

sự cố, tai họa xảy ra một cách ngẫu nhiên, khách

quan ngoài ý muốn của con người

Vì sao phải phòng tránh rủi ro?

• Liên tục bị tấn công

• Hình thức đa dạng

• Thiệt hại tài chính lớn

• Phải dùng nhiều biện pháp đồng thời để phòng chống

• 11/2013: Target bị đánh cắp 40 triệu thông tin thẻ tín dụng, mã PIN và 70 triệu thông tin tài khoản người tiêu dùng

• Tổng cộng số tiền thiệt hại mà bọn hacker gây ra cho các ngân hàng và nhà bán lẻ

vượt quá con số 18 tỉ USD

• Trong khi đó, hàng triệu người tiêu dùng

có khả năng bị mất hơn 4 tỉ USD không

thu hồi được

Thống kê TMĐT ở Việt Nam

• Hiện nay, VN có

– 131 triệu thuê bao điện thoại di động

– 4,8 triệu thuê bao internet băng thông rộng

– 15,7 triệu thuê bao 3G

– Số người dùng internet khoảng 31 triệu (chiếm 34% so với tỷ lệ người dân),

– Có 8,5 triệu người dùng mạng xã hội facebook…

• Cả nước có

– 14.400 máy ATM

– 116.700 điểm thanh toán tự động (POS)

– trên 62,4 triệu thẻ với 410 thương hiệu

– 40 ngân hàng cung cấp dịch vụ Internet Banking

– 09 tổ chức cung cấp hơn 1,3 triệu tài khoản ví điện tử

– 136 doanh nghiệp đã được cấp phép trong lĩnh vực thương mại điện tử.

Rủi ro trong TMĐT tại Việt Nam

Nguồn: Báo cáo TMĐT Việt Nam năm 2011

Rủi ro trong TMĐT tại Việt Nam (tt)

Rủi ro trong TMĐT tại Việt Nam (tt)

• Số lượng sự cố máy tính được thông báo và xử lý tăng gần gấp 3 lần so với năm ngoái, tần xuất tấn công lớn hơn

• Tháng 10/2011 có hơn 150 website tại Việt Nam có tên miền vn, com, net bị đánh sập Tính đến 7/11 đã có hơn 300 website có đuôi gov.vn bị tấn công Đối tượng bị tấn công và sửa đổi thông tin không chỉ ở các đơn vị nhà nước mà còn có cả các trang thông tin điện tử, báo điện tử, trang tin của các tập đoàn, doanh nghiệp

• 73% doanh nghiệp hiện không có chính sách an toàn thông tin, 45% doanh nghiệp không có quy trình xử lý sự cố về an toàn thông tin, 23% không biết hệ thống mình có bị tấn công hay không

• Việt Nam đứng thứ 4 thế giới về số người dùng di động bị mã độc tấn công (Kaspersky Lab, 28/02/2014)

• Việt Nam đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng (Symaltec, 2012)

Quy trình bảo đảm an toàn đối với TMĐT

• Quyền truy cập: xác định ai được quyền truy cập vào

hệ thống, mức độ truy cập và ai giao quyền truy cập

• Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…

• Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet

và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này

• Cập nhật chính sách an ninh thương mại điện tử:

mức độ thường xuyên và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.

4.2 Rủi ro chính trong TMĐT

Phân loại rủi ro trong TMĐT

Rủi ro về dữ liệu

Đối với người mua

Đối với chính phủ

Đối với người bán

•Thay đổi địa chỉ nhận

đối với chuyển khoản

ngân hàng

•Nhận được những

đơn đặt hàng giả mạo

•Thông tin bí mật về tài khoản bị đánh cắp

•Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet, phong tỏa dịch vụ và thư điện

tử giả mạo của các tổ chức tài chính ngân hàng

•Tin tặc tấn công và các website thương

•Các hacker có nhiều

kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này

ngừng hoạt động

Rủi ro về dữ liệu đối với chính phủ

Một số dạng tấn công

Rủi ro về gian lận thẻ

tín dụng

Tấn công từ chối dịch vụ (DOS, DDoS, DRDoS)

Phishing – “kẻ giả mạo”

Kẻ trộm trên mạng (sniffer)

Các dạng tấn công không về mặt công nghệ phổ biến

• Malware (Virus, Worms,

Các chương trình máy tính nguy hiểm

(malicious code)

• Các đoạn mã nguy hiểm bao gồm: các loại virus, worm, những “con ngựa thành Tơroa”,…

– Virus là chương trình máy tính có khả năng tự nhân

bản hoặc tự tạo các bản sao của mình và lây lan sang các chương trình, tệp dữ liệu khác trên máy tính

• Mục đích tích cực: thị một thông điệp hay một hình ảnh

• Mục đích xấu: phá hủy các chương trình, các tệp dữ liệu, xóa sạch các thông tin hoặc định dạng lại ổ cứng của máy tính, tác động và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ thống

– Ví dụ: tháng 7/2001, Virus CodeRed tấn công phần mềm mạng

của Microsoft Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập Tổng thiệt

Xu hướng tấn công mới của mã độc

trên mạng

• Phần mềm tống tiền (ransomware)

• Mã độc “đào kiếm” bitcoin trên Skype

Tin tặc (hacker) và các chương trình phá hoại

(cybervandalism)

• Tin tặc hay tội phạm máy tính: những người truy cập trái phép vào một website hay hệ thống máy tính

– Mục tiêu: hệ thống dữ liệu của các website thương mại điện tử; sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu

– Ví dụ: ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả

Vụ tấn công vào chodientu.com

• 19/09/2006: www.chodientu.com bị tấn công,

mất quyền kiểm soát và phải chuyển sang dùng

tên miền mới là www.chodientu.vn

– hacker tấn công vào máy chủ quản lý tên miền của

www.register.com và lấy quyền kiểm soát tên miền

Rủi ro về gian lận thẻ tín dụng

• Trong thương mại điện tử, mối đe dọa lớn

nhất là bị “mất”(hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin

giao dịch sử dụng thẻ tín dụng trong quá

trình diễn ra giao dịch mua sắm qua mạng

và các thiết bị điện tử

Tấn công từ chối dịch vụ (DOS, DDoS, DRDoS)

• Tấn công từ chối dịch vụ là kiểu tấn công khiến

một hệ thống máy tính hoặc một mạng bị quá

tải, dẫn tới không thể cung cấp dịch vụ hoặc

– Tác hại: chi phí lớn (khách hàng không thể thực hiện

các giao dịch mua bán), ảnh hưởng đến uy tín và

Ví dụ các cuộc tấn công từ chối dịch vụ

• 2/2000: các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ

– Virus của người này đã tấn công máy tính của những hãng trên bằng

cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền

– Ebay: 5 giờ, Amazon: 4 giờ, CNN: 3,5 giờ, E-Trade: 3 giờ, Yahoo,

Buy.com, ZDNet: 3-4 giờ

• Ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính

tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, thiệt hại về mặt uy tín của hãng đối với khách hàng

• 03/03/2006: Vietco.com bị tấn công từ chối dịch vụ với một mức độ

khủng khiếp

– Mỗi IP tạo ra khoảng 10 ngàn truy xuất vào hệ thống và có hàng ngàn

IP (chủ yếu đến từ Việt Nam) cùng hướng vào Vietco.com một lúc – Công ty chi khoảng 50-70 triệu đồng/ngày cho tiền thuê tư vấn, chi phí

đổi server liên tục…

Kẻ trộm trên mạng (sniffer)

• Kẻ trộm trên mạng là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng

– Mục đích hợp pháp: giúp phát hiện ra những yếu điểm của mạng

– Mục đích bất hợp pháp: mối hiểm hoạ lớn và rất khó

Phishing – “kẻ giả mạo”

• Phishing là một loại tội phạm công nghệ cao sử

dụng email, tin nhắn pop-up hay trang web để

lừa người dùng cung cấp các thông tin cá nhân

nhạy cảm như thẻ tín dụng, mật khẩu, số tài

khoản ngân hàng.

• Các tin tặc thường giả mạo là các công ty nổi

tiếng yêu cầu khách hàng cung cấp những

thông tin nhạy cảm này Các website thường

xuyên bị giả mạo đó là Paypal, Ebay, MSN,

Yahoo, BestBuy, American Online….

Website giả mạo tại Việt Nam

• 21/01/2013: Cảnh giác Website giả mạo

FPTShop.com.vn

– website giả mạo như http://www.sieuthifpt.net,

http://sieuthivienthongfpt.com

• Cảnh giác với các website giả mạo thương hiệu VNG

– các website giả mạo như http://qua24h.vn; http://shopvng.vn,

http://sukiengame.vn,

Ví dụ “ Kẻ giả mạo”

• Ebay: 17/12/2003 một số khách hàng của eBay nhận được email với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động cho tới khi họ kích vào đường link được cung cấp trong email và

cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng đây không phải là trang web thật của ebay mà chỉ là một trang web giả mạo có logo và hình thức giống với trang web ebay thật

• Paypal: Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL của Paypal bằng cách sử dụng ký hiệu @ (http://paypal.com@218.36.41.188/fl/login.html) Thường thì các server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail như http://paypal.com và đã cung cấp nhưng thông tin cá nhân và

tài khoản

Rủi ro về thủ tục, quy trình giao dịch

• Người mua: những đơn đặt hàng không được nhà cung cấp thực hiện trong khi khách hàng đã tiến hành trả tiền mà không nhận được hàng,

Rủi ro về pháp luật và tiêu chuẩn

• Thiếu một hạ tầng công nghệ thông tin đồng bộ và chưa

có một hệ thống các tiêu chuẩn công nghiệp phù hợp với tiêu chuẩn quốc tế và khu vực

• Sự thiếu đồng bộ về tiêu chuẩn công nghiệp sẽ gây nhiều khó khăn trong việc trao đổi thông tin và đặc biệt

là hoạt động chào hàng, đặt hàng cũng như vận chuyển

Một số rủi ro khác

• Rủi ro bị chặn giao dịch qua mạng

• Rủi ro mất cơ hội kinh doanh

• Rủi ro do sự thay đổi của công nghệ

• Rủi ro liên quan đến thông tin các nhân

• …

4.3 Xây dựng kế hoạch an

ninh cho TMĐT

Các giai đoạn xây dựng kế hoạch an ninh

TMĐT cho doanh nghiệp

Giai đoạn đánh giá

Giai đoạn lên

kế hoạch

Giai đoạn giám sát

Giai đoạn thực thi

Những biện pháp cơ bản đảm bảo an

Chữ ký số (Digital signature)

Phong bì số (Digital Envelope)

Sử dụng kỹ thuật mã hoá thông tin

Chứng thư số hóa (Digital Certificate)

Kỹ thuật mã hóa thông tin

bản hay các tài liệu gốc thành các văn bản dưới

dạng mật mã bằng cách sử dụng một thuật mã

hóa

chuyển sang văn bản gốc dựa trên mã khóa.

• Mục đích của kỹ thuật mã hoá nhằm đảm bảo

an toàn cho các thông tin được lưu giữ và đảm

bảo an toàn cho thông tin khi truyền phát

Kỹ thuật sử dụng để mã hoá thông

tin

• Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật

• Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật

So sánh phương pháp mã hoá khóa riêng

Số khoá Một khoá đơn Một cặp khoá

Loại khoá Khoá bí mật Một khóa bí mật và một khóa công

khai Quản lý khoá Đơn giản, nhưng khó quản lý Yêu cầu các chứng nhận điện tử và

bên tin cậy thứ ba Tốc độ giao

mã hoá các tài liệu nhỏ hoặc để

Tường lửa

Mạng riêng ảo (VPN)

Sử dụng mật khẩu (password) đủ mạnh

Phòng chống virus

Giải pháp an ninh nguồn nhân lực

Những biện pháp cơ bản đảm bảo

Internet), nhưng đồng thời ngăn cấm

những người sử dụng khác, không được

phép từ bên ngoài truy cập vào mạng máy

Mô hình bức tường lửa

Mạng riêng ảo

• Mạng riêng ảo sử dụng mạng internet để

truyền tải thông tin nhưng vẫn duy trì sự bí

mật bằng cách sử dụng thuật mã khóa (để

mã giao dịch, xác minh tính chân thực để

đảm bảo rằng thông tin không bị truy xuất

trái phép và thông tin đến từ những nguồn

tin cậy) và quản lý quyền truy cập để xác

định danh tính của bất k ỳ ai sử dụng mạng

Những biện pháp khác

• Một số giao thức bảo mật thông dụng

– Cơ chế bảo mật SSL (Secure Socket Layer)

– Cơ chế bảo mật SET (Secure Electronic

Transaction)

• Tham gia bảo hiểm

Đặ c điểm của một website ngân hàng có sử

dụng Chứng thư số SSL

Thanh địa chỉ chuyển

sang xanh lá cây

Giải pháp phòng chống lừa đảo qua

mạng (phishing)

• Tránh trả lời các thư điện tử hay thông điệp

pop-up yêu cầu cung cấp thông tin cá nhân

• Tránh gửi các thông tin cá nhân hay tài chính

• Cẩn trọng khi mở bất kỳ thông điệp dữ liệu gắn

kèm theo thư điện tử

Tình hình áp dụng các biện pháp bảo mật CNTT và TMĐT tại VN

Giải pháp giảm rủi ro trong TMĐT

của iPremier

• Giới thiệu về iPremier

– Nhà bán lẻ hàng đầu về những mặt hàng sang trọng, quý hiếm trên

mạng

• Cơ cấu tổ chức kỹ thuật

– Công ty thuê ngoài các dịch vụ Internet từ Qdata (dịch vụ về máy chủ,

đường truyền Internet, các dịch vụ quản lý như theo dõi website, dịch

vụ bảo mật…)

• Cuộc tấn công vào iPremier

– 4h31 sáng ngày 21/01/2001: website công ty bị khóa, giây công ty lại

nhận được một e-mail với nội dung chỉ có từ “ Ha” Các e-mail liên tiếp tạo thành Ha ha ha

– Kẻ chủ mưu vụ tấn công đã sử dụng virus zombies có tên “ Bình minh của cái chết” để tấn công vào hệ thống cơ sở dữ liệu của công ty Mỗi lần công ty cố shutdown một IP truy cập vào thì mấy con virus sẽ tự động khởi động tấn công từ hai IP khác

– Tuy nhiên vụ tấn công bằng virus này vẫn còn non chưa thể vượt qua bức tường lửa do hệ thống kỹ thuật xây lên; chính vì vậy cuộc tấn công