II. Cỏc loại rủi ro trong thương mại điện tử
1. Thế nào là cụng tỏc quản trị rủi ro trong Thương mại điện tử ?
Cụng tỏc quản trị rủi ro trong Thương mại điện tử bao gồm một chu trỡnh liờn tục với việc đỏnh giỏ rủi ro (Assessment), hạn chế rủi ro (Mitigation), mua Bảo hiểm cho rủi ro (Insurance), giỏm sỏt rủi ro (Detection) và khắc phục những hậu quả của rủi ro (Remediation). Xem hỡnh minh hoạ
2. Cỏc bộ phận cấu thành nờn cụng tỏc quản trị rủi ro Thương mại điện tử
2.1 Đỏnh giỏ mức độ rủi ro
Đỏnh giỏ mức độ rủi ro cú nghĩa là tiến hành những đỏnh giỏ toàn diện về mức độ an toàn của hệ thống mỏy tớnh của một doanh nghiệp. Quỏ trỡnh này bao gồm từ việc đỏnh giỏ mức độ rủi ro cú tớnh vật lý (physical) cho đến xỏc định những lỗ hổng hay những điểm yếu dễ bị tấn cụng (vulnerabilities) của hệ thống mạng mỏy tớnh. Quỏ trỡnh đỏnh giỏ phải bao gồm những đợt kiểm tra nguy cơ bị thõm nhập của hệ thống và phỏng vấn cỏc nhõn viờn quản trị cụng nghệ thụng tin và an ninh mạng của doanh nghiệp. Doanh nghiệp cũng cần lựa chọn một tiờu chuẩn cho quỏ trỡnh đỏnh
giỏ rủi ro như ISO17799, INFOSEC...Tuy nhiờn, dự cú sử dụng một tiờu chuẩn nào thỡ quỏ trỡnh đỏnh giỏ mức độ rủi ro cũng phải đỏnh giỏ cú tỡnh định lượng về tỡnh hỡnh nhõn sự, phương thức, cụng nghệ và quản lý tài chớnh. Sau đú, bản bỏo cỏo đỏnh giỏ hoàn thiện sẽ được sử dụng để xỏc định loại cụng nghệ và phương thức để hạn chế những rủi ro mà đó phỏt hiện trong quỏ trỡnh đỏnh giỏ mức độ rủi ro. Cỏc biện phỏp này phải được tiến hành định kỡ nhằm xỏc định những lỗ hổng mới và nhằm phỏt triển cơ sở phõn tớch tương lai để tạo ra sự vững chắc và tớnh khỏch quan.
2.2 Giảm thiểu rủi ro
Giảm thiểu hay hạn chế rủi ro là hàng loạt cỏc hành động của doanh nghiệp nhằm giảm mức độ rủi ro, giảm thiểu nguy cơ xảy ra những vụ đột nhập trỏi phộp hay hạn chế tỏc động của bất kỡ vụ vi phạm trỏi phộp nào. Quỏ trỡnh này bao gồm việc đề ra và thực hiện cỏc quy định đảm bảo an toàn cao. Cỏc quy định về an toàn sẽ đề ra cỏc thủ tục buộc mọi người phải tuõn theo nhằm đảm bảo an toàn cho hệ thống mỏy tớnh của doanh nghiệp. Quỏ trỡnh hạn chế rủi ro cũn phải lực chọn và sử dụng một cỏch hợp lý cỏc cụng nghệ nhằm xỏc định cỏc nguy cơ mà doanh nghiệp phải đối mặt, và tiến hành việc hạn chế rủi ro tài chớnh và quỏ trỡnh chuyển khoản thanh toỏn.
2.3 Bảo hiểm rủi ro
Bảo hiểm là một phương phỏp cơ bản chuyển nhượng rủi ro cho phộp cỏc doanh nghiệp được an toàn về mặt tài chớnh khi xảy ra tổn thất. Một chương trỡnh Bảo hiểm cú chất lượng cú thể giỳp doanh nghiệp nhận được những chương trỡnh ngăn ngừa tổn thất và phõn tớch rủi ro với sự giỳp đỡ từ chớnh cụng ty cung cấp Bảo hiểm. Trước tiờn, doanh nghiệp phải xỏc định những tỏc động của những tổn thất cú khả năng xảy ra để cú thể lựa chọn một hợp đồng Bảo hiểm phự hợp với những yờu cầu cụ thể của doanh nghiệp. Biện phỏp bảo hiểm sẽ bổ sung cho những giải phỏp kĩ thuật và cỏc
thủ tục an toàn của doanh nghiệp. Một bước tối quan trọng là lựa chọn một cụng ty bảo hiểm chuyờn nghiệp trong lĩnh vực bảo mật thụng tin, khả năng tài chớnh hựng mạnh và uy tớn trờn toàn cầu.
2.4 Giỏm sỏt rủi ro
Giỏm sỏt rủi ro nhằm phỏt hiện ra bất kỡ một biểu hiện bất thường nào. Thường thỡ cụng việc giỏm sỏt này được tiến hành thụng qua một hệ thống bao gồm việc giỏm sỏt xõm nhập trỏi phộp nhằm xỏc định và ngăn chặn bất kỡ sự xõm nhập trỏi phộp nào. Thờm vào đú, cỏc giải phỏp chống virus cho phộp doanh nghiệp phỏt hiện ra những virus hay sõu mỏy tớnh mới ngay khi chỳng xuất hiện. Việc giỏm sỏt bao gồm cả việc phõn tớch những nhật kớ nhằm phỏt hiện ra những sự kiện bị bỏ qua trong quỏ khứ. Trong cụng việc giỏm sỏt, doanh nghiệp cũn phải thành lập một đội phản ứng nhanh để đối phú với mỗi sự kiện bất thường xảy ra.
2.5 Khắc phục
Khắc phục lỗ hổng là một phản ứng chiến lược trước những lỗ hổng mà qua quỏ trỡnh đỏnh giỏ rủi ro đó phỏt hiện ra. Quỏ trỡnh này liờn quan đến việc hiểu rừ bỏo cỏo mà cụng tỏc đỏnh giỏ cung cấp và giành ưu tiờn cho những lỗ hổng an ninh cần được chỳ ý khắc phục ngay. Những phương thức và giải phỏp hợp lý và hiệu quả nhất để khắc phục những lỗ hổng này, phải được doanh nghiệp lựa chọn và tiến hành ngay. Cụng tỏc khắc phục lỗ hổng sẽ được tiến hành định kỳ nhằm phỏt hiện ra những lỗ hổng mới.
3.Tầm quan trọng của Bảo hiểm trong cụng tỏc quản trị rủi ro trong Thương mại điện tử
Trong chu trỡnh quản lý rủi ro ở trờn, hầu hết cỏc cụng đoạn đều nhấn mạnh tới việc đỏnh gớa và thực hiện việc kiểm soỏt mang tớnh kĩ thuật.
Tuy nhiờn, dự cú đầu tư thời gian và tiền của nhiều vào cỏc cụng đoạn mang tớnh kĩ thuật thỡ doanh nghiệp cũng khụng thể loại trừ hoàn toàn rủi ro. Vỡ vậy, Bảo hiểm đúng một vai trũ quan trọng trong chiến lược quản trị rủi ro. Bảo hiểm sẽ chuyển nhượng những rủi ro về mặt tài chớnh của doanh nghiệp sang cụng ty bảo hiểm. Do vậy, doanh nghiệp cần cú những phương phỏp phỏt hiện (như hệ thống phỏt hiện xõm nhập –Intrusion Detection Systems- IDS) nhằm phỏt hiện kịp thời ra những vụ tấn cụng vào mạng mỏy tớnh của doanh nghiệp ngay khi chỳng xảy ra. Sau khi xảy ra tổn thất, cụng ty bảo hiểm sẽ bổi thường bất kỡ thiệt hại nào, bao gồm thiệt hại về mặt tài chớnh và uy tớn trờn thương trường của doanh nghiệp bị tổn thất. Cụng tỏc bồi thường cho doanh nghiệp bao gồm việc phục hồi cỏc dữ liệu bị mất, phục hồi những tổn thất khỏc mà rủi ro gõy ra được bảo hiểm và những quyền lợi được đũi từ bờn thứ ba. Cuối cựng, toàn bộ quỏ trỡnh quản trị rủi ro lại bắt đầu lại từ việc đỏnh giỏ rủi ro và những điểm yếu trong hệ thống mỏy tớnh của doanh nghiệp, bao gồm cả việc tỡm hiểu rừ về những nguy cơ trước đú.
II.Tỏc dụng của Bảo hiểm rủi ro trong thương mại điện tử 1. Đề phũng và hạn chế tối thiểu rủi ro xảy ra
Trước khi tiến hành kớ hợp đồng bảo hiểm, cụng ty bảo hiểm thường cú đợt kiểm tra tổng thể mức độ an toàn của toàn bộ hệ thống mạng của doanh nghiệp. Cỏc chuyờn gia an ninh mạng sẽ rà soỏt từng lỗ hổng trong phần mềm cho đến độ an toàn của phần cứng của hệ thống khi xảy ra tai nạn bất ngờ như chập điện, sột đỏnh và những vấn đề về phỏp lý như bản quyền…Sau đú, họ sẽ cố vấn và cú thể trực tiếp tiến hành việc nõng cấp và cũng như sửa chữa phần cứng, tạo ra back-up cho cỏc dữ liệu quan trọng, vỏ cỏc lỗ hổng phần mềm, cài đặt bức tường lửa (firewall), chương trỡnh chống virus cũng như cỏc chương trỡnh bảo mật khỏc. Như vậy, trước khi kớ kết
hợp đồng bảo hiểm, cụng ty bảo hiểm cú thể đỏnh giỏ cụ thể mức độ an toàn của hệ thống mỏy tớnh doanh nghiệp và đưa ra được mức phớ bảo hiểm phự hợp, đồng thời hạn chế những tranh chấp cú thể phỏt sinh. Về phớa doanh nghiệp mua bảo hiểm thỡ đõy là một dịp tốt để cú thể đỏnh giỏ một cỏch khỏch quan về những rủi ro mà hệ thống mỏy tớnh của mỡnh cú thể gặp phải và hậu quả mà chỳng cú thể gõy ra. Đối với sản phẩm AIG NetAdvantage SuiteTMthỡ cụng tỏc đỏnh giỏ rủi ro này sẽ được cụng ty Bảo hiểm AIG cung cấp miễn phớ.
2.Hạn chế và khắc phục những tổn thất xảy ra nhằm đảm bảo an toàn trong Thương mại điện tử
2.1Tổn thất về vật chất
Đối với một doanh nghiệp Thương mại điện tử thỡ tổn thất do cỏc rủi ro trong Thương mại điện tử gõy ra rất đa dạng. Đụi khi, một cỳ sột đỏnh hay chập điện cú thể làm chỏy toàn bộ hệ thống mỏy tớnh kể cả mỏy chủ servers. Hậu quả là toàn bộ dữ liệu của doanh nghiệp cũng “chỏy” theo mà hầu như khụng cú cỏch khụi phục lại được. Do vậy, qua những đỏnh giỏ của cụng ty bảo hiểm, doanh nghiệp mua bảo hiểm cú thể nhận biết được những nguồn rủi ro cú thể gõy ra những tổn thất trờn như nguồn điện của văn phũng nơi đặt mỏy chủ cũng như hệ thống mỏy tớnh, cấu trỳc của cỏc hệ thống mỏy tớnh như sơ đồ đường cỏp, mức độ quỏ tải của hệ thống điện, quỏ tải đường truyền…rồi hệ thống chống sột của toà nhà…Qua đú, doanh nghiệp cú thể phỏt hiện sớm những hư hỏng mà cú thể xảy sự cố, kịp thời khắc phục nhằm hạn chế tối đa tổn thất về tài sản cú thể xảy ra. Trong trường hợp doanh nghiệp bị tấn cụng từ chối dịch vụ DOS thỡ doanh thu bị
mất trong thời gian bị tấn cụng là khụng nhỏ nhất là đối với những doanh nghiệp mà chủ yếu giao dịch qua mạng Internet hay qua trang Web của mỡnh. Như vậy, khi tham gia bảo hiểm, doanh nghiệp sẽ được cụng ty bảo hiểm hỗ trợ để xõy dựng một trang Web dự phũng trong trường hợp trang Web chớnh bị tấn cụng và thời gian khụi phục lõu, đồng thời doanh nghiệp cũng được bồi thường một khoản tiền nhằm khắc phục một phần thiệt hại cho doanh nghiệp. Trong thỏng Hai năm 2000, một cuộc tấn cụng từ chối phục vụ vào cỏc trang web nổi tiếng như Yahoo, Buy.com, CNN và cỏc website khỏc đó gõy ra thiệt hại cho cỏc doanh nghiệp này về mặt doanh thu với giỏ trị 1,2 tỉ USD và cỏc thiệt hại khỏc theo thống kờ của hóng Yankee. Cũn theo thụng tin của hóng bảo hiểm AIG thỡ vào năm 2002, cỏc cụng ty của Mĩ đó phải chi tới 13 tỉ USD15 để khắc phục hậu quả của những rủi ro Thương mại điện tử. Một con số lớn hơn nhiều so với doanh thu Bảo hiểm rủi ro Thương mại điện tử của toàn nước Mĩ. Do vậy, tham gia Bảo hiểm doanh nghiệp sẽ cú phần an tõm về mặt tài chớnh trước mọi rủi ro Thương mại điện tử.
2.2 Tổn thất qua việc bồi thường bờn thứ ba, cỏc chi phớ từ những vụ kiện phỏp lớ
Trong quỏ trỡnh kinh doanh, doanh nghiệp luụn cú những quan hệ với đối tỏc rồi khỏch hàng…Trong Thương mại điện tử thỡ doanh nghiệp luụn giữ được những quan hệ đú thụng qua cỏc giao dịch trực tuyến và cỏc dữ liệu về họ. Một doanh nghiệp Thương mại điện tử luụn lưu trữ rất nhiều dữ liệu của cỏc đối tỏc, khỏch hàng, nhõn viờn và những bờn liờn quan đến hoạt động của doanh nghiệp. Những dữ liệu này là tài sản của doanh nghiệp
15 George V. Hulme, “Viruses defenses reach the tipping point,”
nhưng cũng lại liờn quan đến quyền lợi cũng của cỏc đối tỏc, khỏch hàng... Những dữ liệu này bao gồm cỏc thụng tin về đối tỏc và khỏch hàng như thụng tin về tài khoản, thụng tin về cỏc hoạt động kinh doanh, kế hoạch sản xuất kinh doanh, thụng tin về sản phẩm, bớ quyết cụng nghệ kĩ thuật…và cỏc thụng tin cỏ nhõn như về số thẻ tớn dụng PIN (Personal Identification Name) và cỏc thụng tin ghi nhận giao dịch của doanh nghiệp với đối tỏc và khỏch hàng…Những thụng tin này ngày càng là những tài sản cú giỏ trị và là đối tượng săn đuổi của nhiều người. Do vậy, doanh nghiệp khi đó để lộ thụng tin hoặc bị ăn cắp cỏc thụng tin trờn hoặc toàn bộ dữ liệu bị xoỏ do virus đều cú khả năng bị cỏc bờn liờn quan kiện và đũi bồi thường. Bảo hiểm sẽ giỳp doanh nghiệp rà soỏt toàn bộ cỏc điểm yếu trong hệ thống mỏy tớnh của doanh nghiệp tỡm ra những lỗ hổng, đồng thời kiểm tra mức độ an ninh bằng việc tổ chức cỏc cuộc đột nhập thao diễn vào mạng lưới doanh nghiệp, những dữ liệu quan trọng sẽ được bảo vệ ở mức cao nhất và được tạo ra cỏc file back-up dự phũng. Tuy nhiờn, rủi ro khụng thể bị loại trừ một cỏch tuyệt đối. Một khi tổn thất xảy ra thỡ bảo hiểm khụng những giỳp doanh nghiệp khụi phục những dữ liệu bị mất mà cũn trợ giỳp doanh nghiệp về mặt tài chớnh trong việc bồi thường cho bờn thứ ba hoặc chi phớ kiện tụng. Trong trường hợp virus đú gõy thiệt hại lớn và cú độ lõy lan cao thỡ doanh nghiệp sẽ cú trỏch nhiệm bồi thường đối với rất nhiều bờn thứ ba.
Những tổn thất do phải bồi thường bờn thứ ba cũng rất đa dạng. Đụi khi những tổn thất đú phỏt sinh từ những việc mà chớnh doanh nghiệp cũng khụng hề biết. Chẳng hạn trong trường hợp trang Web của doanh nghiệp chớnh là nơi trung gian phỏt tỏn cỏc loại virus mặc dự doanh nghiệp cú cố tỡnh hay khụng thỡ họ vẫn bị bờn thứ ba, cú thể là khỏch hàng hoặc cỏc đối tỏc bị thiệt hại do virus, kiện và đũi bồi thường.
Bờn cạnh đú, những cuộc tấn cụng từ chối dịch vụ DOS khụng những gõy ra tổn thất cho doanh nghiệp mà cũn cú thể gõy ra những vụ kiện tụng phỏp lớ cho doanh nghiệp. Những khỏch hàng chớnh là những người cú quyền kiện doanh nghiệp vỡ đó khụng cung cấp được cỏc dịch vụ hay tiến hành cỏc giao dịch như đó thoả thuận và cú thể gõy ra thiệt hại cho khỏch hàng. Riờng đối với cỏc doanh nghiệp cung cấp dịch vụ Internet chuyờn nghiệp hay cũn gọi là cỏc ISP (Internet Service Provider) thỡ cỏc cuộc tấn cụng từ chối dịch vụ cũn gõy ra cỏc thiệt hại lớn hơn nhiều cỏc doanh nghiệp Thương mại điện tử khỏc. Chẳng hạn như vào thỏng Giờng năm 2002, nhà cung cấp dịch vụ Internet Cloud-Nine đó bị phỏ sản do cỏc cuộc tấn cụng từ chối dịch vụ. Cloud-Nine đó khụng thể khắc phục được những thiệt hại đối với cỏc thiết bị và buộc phải tuyờn bố dừng cung cấp dịch vụ của mỡnh. Tuy nhiờn, doanh nghiệp này đó thực sự kiệt sức sau những vụ kiện cỏo đũi bồi thường của cỏc khỏch hàng và đó buộc phải tuyờn bố phỏ sản. Dường như sau vụ việc này cỏc doanh nghiệp cung cấp cỏc loại dịch vụ trờn Internet đó rỳt ngay ra bài học và tỉ lệ cỏc doanh nghiệp Thương mại điện tử tham gia bảo hiểm tại Anh quốc đó tăng lờn đỏng kể.
Những tổn thất do phải bồi thường hoặc bị phạt do những rắc rối liờn quan đến thương hiệu hay quyền sở hữu trớ tuệ cũng là những tổn thất khụng nhỏ. Gần đõy nhất vào thỏng 10 năm 2003 là việc toà ỏn ở Nanterre của Phỏp ra phỏn quyết chống lại hóng dịch vụ trực tuyến Google. Theo phỏn quyết này, Google sẽ phải múc hầu bao hơn 87.000 USD vỡ đó cho phộp cỏc doanh nghiệp khỏc nối quảng cỏo của họ vào những cụm từ hay những từ khoỏ truy tỡm (serch terms) đó được đăng kớ bảo hộ. Mỗi khi bạn truy cập vào trang chủ Google và gừ vào cụm từ “Bourse des Vols” rồi nhấn chuột vào kết quả tỡm được một loạt trang Web quảng cỏo cho cỏc cụng ty khỏc cũng hiện ra. Vỡ thương hiệu “Bourse des Vols” (tạm dịch “Thị
trường cho cỏc chuyến bay”) là thương hiệu đó được đăng kớ bản quyền. Ngoài việc buộc Google phải nộp phạt, toà ỏn cũng yờu cầu cụng ty muộn nhất là 30 ngày tới sẽ phải ngừng hoạt động này. ễng Fabrice Dariot, chủ sở hữu của thương hiệu này cho rằng số tiền phạt trong vụ này là khụng lớn nhưng cú ý nghĩa rất quan trọng. ễng núi: “Từ trước đến nay, người ta cứ tưởng Internet và thế giới thực là hai thực thể tỏch rời. Trờn thực tế, chỳng chỉ là một và Internet cũng sẽ phải tụn trọng quyền sở hữu trớ tuệ”. Như vậy, đõy là lần đầu tiờn một chủ thương hiệu thành cụng trong một vụ như kiểu này. Nú cú tỏc động mạnh đến cỏc dịch vụ tỡm kiếm khỏc trờn mạng, vốn cú khoảng 10 triệu lượt ngừơi sử dụng mỗi ngày. Nếu ỏn lệ tiếp tục được ỏp dụng ở những quốc gia khỏc, nhiều nhà cung cấp dịch vụ này cú lẽ sẽ phải