II. Các loại rủi ro trong thơng mại điện tử
1.Thế nào là công tác quản trị rủi ro trong Thơng mại điện tử ?
Công tác quản trị rủi ro trong Thơng mại điện tử bao gồm một chu trình liên tục với việc đánh giá rủi ro (Assessment), hạn chế rủi ro (Mitigation), mua Bảo hiểm cho rủi ro (Insurance), giám sát rủi ro (Detection) và khắc phục những hậu quả của rủi ro (Remediation). Xem hình minh hoạ 2. Các bộ phận cấu thành nên công tác quản trị rủi ro Thơng mại điện tử
2.1 Đánh giá mức độ rủi ro
Đánh giá mức độ rủi ro có nghĩa là tiến hành những đánh giá toàn diện về mức độ an toàn của hệ thống máy tính của một doanh nghiệp. Quá trình này bao gồm từ việc đánh giá mức độ rủi ro có tính vật lý (physical) cho đến xác định những lỗ hổng hay những điểm yếu dễ bị tấn công (vulnerabilities) của hệ thống mạng máy tính. Quá trình đánh giá phải bao gồm những đợt kiểm tra nguy cơ bị thâm nhập của hệ thống và phỏng vấn các nhân viên quản trị công nghệ thông tin và an ninh mạng của doanh nghiệp. Doanh nghiệp cũng cần lựa chọn một tiêu chuẩn cho quá trình đánh giá rủi ro nh ISO17799, INFOSEC...Tuy nhiên, dù có sử dụng một tiêu chuẩn nào thì quá trình đánh giá mức độ rủi ro cũng phải đánh giá có tình định lợng về tình hình nhân sự, phơng thức, công nghệ và quản lý tài chính. Sau đó, bản báo cáo đánh giá hoàn thiện sẽ đợc sử dụng để xác định loại công nghệ và phơng thức để hạn chế những rủi ro mà đã phát hiện trong quá trình đánh giá mức độ rủi ro. Các biện pháp này phải đợc tiến hành định kì nhằm xác định những lỗ hổng mới và nhằm phát triển cơ sở phân tích tơng lai để tạo ra sự vững chắc và tính khách quan.
2.2 Giảm thiểu rủi ro
Giảm thiểu hay hạn chế rủi ro là hàng loạt các hành động của doanh nghiệp nhằm giảm mức độ rủi ro, giảm thiểu nguy cơ xảy ra những vụ đột nhập trái phép hay hạn chế tác động của bất kì vụ vi phạm trái phép nào. Quá trình này bao gồm việc đề ra và thực hiện các quy định đảm bảo an toàn cao. Các quy định về an toàn sẽ đề ra các thủ tục buộc mọi ngời phải tuân theo nhằm đảm bảo an toàn cho hệ thống máy tính của doanh nghiệp. Quá trình hạn chế rủi ro còn phải lực chọn và sử dụng một cách hợp lý các công nghệ nhằm xác định các nguy cơ mà doanh nghiệp phải đối mặt, và tiến hành việc hạn chế rủi ro tài chính và quá trình chuyển khoản thanh toán.
Bảo hiểm là một phơng pháp cơ bản chuyển nhợng rủi ro cho phép các doanh nghiệp đợc an toàn về mặt tài chính khi xảy ra tổn thất. Một chơng trình Bảo hiểm có chất lợng có thể giúp doanh nghiệp nhận đợc những chơng trình ngăn ngừa tổn thất và phân tích rủi ro với sự giúp đỡ từ chính công ty cung cấp Bảo hiểm. Trớc tiên, doanh nghiệp phải xác định những tác động của những tổn thất có khả năng xảy ra để có thể lựa chọn một hợp đồng Bảo hiểm phù hợp với những yêu cầu cụ thể của doanh nghiệp. Biện pháp bảo hiểm sẽ bổ sung cho những giải pháp kĩ thuật và các thủ tục an toàn của doanh nghiệp. Một bớc tối quan trọng là lựa chọn một công ty bảo hiểm chuyên nghiệp trong lĩnh vực bảo mật thông tin, khả năng tài chính hùng mạnh và uy tín trên toàn cầu.
2.4 Giám sát rủi ro
Giám sát rủi ro nhằm phát hiện ra bất kì một biểu hiện bất thờng nào. Thờng thì công việc giám sát này đợc tiến hành thông qua một hệ thống bao gồm việc giám sát xâm nhập trái phép nhằm xác định và ngăn chặn bất kì sự xâm nhập trái phép nào. Thêm vào đó, các giải pháp chống virus cho phép doanh nghiệp phát hiện ra những virus hay sâu máy tính mới ngay khi chúng xuất hiện. Việc giám sát bao gồm cả việc phân tích những nhật kí nhằm phát hiện ra những sự kiện bị bỏ qua trong quá khứ. Trong công việc giám sát, doanh nghiệp còn phải thành lập một đội phản ứng nhanh để đối phó với mỗi sự kiện bất thờng xảy ra.
2.5 Khắc phục
Khắc phục lỗ hổng là một phản ứng chiến lợc trớc những lỗ hổng mà qua quá trình đánh giá rủi ro đã phát hiện ra. Quá trình này liên quan đến việc hiểu rõ báo cáo mà công tác đánh giá cung cấp và giành u tiên cho những lỗ hổng an ninh cần đợc chú ý khắc phục ngay. Những phơng thức và giải pháp hợp lý và hiệu quả nhất để khắc phục những lỗ hổng này, phải đợc doanh
nghiệp lựa chọn và tiến hành ngay. Công tác khắc phục lỗ hổng sẽ đợc tiến hành định kỳ nhằm phát hiện ra những lỗ hổng mới.
3.Tầm quan trọng của Bảo hiểm trong công tác quản trị rủi ro trong Th- ơng mại điện tử
Trong chu trình quản lý rủi ro ở trên, hầu hết các công đoạn đều nhấn mạnh tới việc đánh gía và thực hiện việc kiểm soát mang tính kĩ thuật. Tuy nhiên, dù có đầu t thời gian và tiền của nhiều vào các công đoạn mang tính kĩ thuật thì doanh nghiệp cũng không thể loại trừ hoàn toàn rủi ro. Vì vậy, Bảo hiểm đóng một vai trò quan trọng trong chiến lợc quản trị rủi ro. Bảo hiểm sẽ chuyển nhợng những rủi ro về mặt tài chính của doanh nghiệp sang công ty bảo hiểm. Do vậy, doanh nghiệp cần có những phơng pháp phát hiện (nh hệ thống phát hiện xâm nhập –Intrusion Detection Systems-IDS) nhằm phát hiện kịp thời ra những vụ tấn công vào mạng máy tính của doanh nghiệp ngay khi chúng xảy ra. Sau khi xảy ra tổn thất, công ty bảo hiểm sẽ bổi thờng bất kì thiệt hại nào, bao gồm thiệt hại về mặt tài chính và uy tín trên thơng trờng của doanh nghiệp bị tổn thất. Công tác bồi thờng cho doanh nghiệp bao gồm việc phục hồi các dữ liệu bị mất, phục hồi những tổn thất khác mà rủi ro gây ra đợc bảo hiểm và những quyền lợi đợc đòi từ bên thứ ba. Cuối cùng, toàn bộ quá trình quản trị rủi ro lại bắt đầu lại từ việc đánh giá rủi ro và những điểm yếu trong hệ thống máy tính của doanh nghiệp, bao gồm cả việc tìm hiểu rõ về những nguy cơ trớc đó.
II.Tác dụng của Bảo hiểm rủi ro trong thơng mại điện tử 1. Đề phòng và hạn chế tối thiểu rủi ro xảy ra
Trớc khi tiến hành kí hợp đồng bảo hiểm, công ty bảo hiểm thờng có đợt kiểm tra tổng thể mức độ an toàn của toàn bộ hệ thống mạng của doanh nghiệp. Các chuyên gia an ninh mạng sẽ rà soát từng lỗ hổng trong phần mềm
cho đến độ an toàn của phần cứng của hệ thống khi xảy ra tai nạn bất ngờ nh chập điện, sét đánh và những vấn đề về pháp lý nh bản quyền Sau đó, họ sẽ… cố vấn và có thể trực tiếp tiến hành việc nâng cấp và cũng nh sửa chữa phần cứng, tạo ra back-up cho các dữ liệu quan trọng, vá các lỗ hổng phần mềm, cài đặt bức tờng lửa (firewall), chơng trình chống virus cũng nh các chơng trình bảo mật khác. Nh vậy, trớc khi kí kết hợp đồng bảo hiểm, công ty bảo hiểm có thể đánh giá cụ thể mức độ an toàn của hệ thống máy tính doanh nghiệp và đa ra đợc mức phí bảo hiểm phù hợp, đồng thời hạn chế những tranh chấp có thể phát sinh. Về phía doanh nghiệp mua bảo hiểm thì đây là một dịp tốt để có thể đánh giá một cách khách quan về những rủi ro mà hệ thống máy tính của mình có thể gặp phải và hậu quả mà chúng có thể gây ra. Đối với sản phẩm AIG NetAdvantage SuiteTM thì công tác đánh giá rủi ro này sẽ đợc công ty Bảo hiểm AIG cung cấp miễn phí.
2.Hạn chế và khắc phục những tổn thất xảy ra nhằm đảm bảo an toàn trong Thơng mại điện tử
2.1Tổn thất về vật chất
Đối với một doanh nghiệp Thơng mại điện tử thì tổn thất do các rủi ro trong Thơng mại điện tử gây ra rất đa dạng. Đôi khi, một cú sét đánh hay chập điện có thể làm cháy toàn bộ hệ thống máy tính kể cả máy chủ servers. Hậu quả là toàn bộ dữ liệu của doanh nghiệp cũng “cháy” theo mà hầu nh không có cách khôi phục lại đợc. Do vậy, qua những đánh giá của công ty bảo hiểm, doanh nghiệp mua bảo hiểm có thể nhận biết đợc những nguồn rủi ro có thể gây ra những tổn thất trên nh nguồn điện của văn phòng nơi đặt máy chủ cũng nh hệ thống máy tính, cấu trúc của các hệ thống máy tính nh sơ đồ đờng cáp, mức độ quá tải của hệ thống điện, quá tải đờng truyền rồi hệ… thống chống sét của toà nhà Qua đó, doanh nghiệp có thể phát hiện sớm…
những h hỏng mà có thể xảy sự cố, kịp thời khắc phục nhằm hạn chế tối đa tổn thất về tài sản có thể xảy ra. Trong trờng hợp doanh nghiệp bị tấn công từ chối dịch vụ DOS thì doanh thu bị mất trong thời gian bị tấn công là không nhỏ nhất là đối với những doanh nghiệp mà chủ yếu giao dịch qua mạng Internet hay qua trang Web của mình. Nh vậy, khi tham gia bảo hiểm, doanh nghiệp sẽ đợc công ty bảo hiểm hỗ trợ để xây dựng một trang Web dự phòng trong trờng hợp trang Web chính bị tấn công và thời gian khôi phục lâu, đồng thời doanh nghiệp cũng đợc bồi thờng một khoản tiền nhằm khắc phục một phần thiệt hại cho doanh nghiệp. Trong tháng Hai năm 2000, một cuộc tấn công từ chối phục vụ vào các trang web nổi tiếng nh Yahoo, Buy.com, CNN và các website khác đã gây ra thiệt hại cho các doanh nghiệp này về mặt doanh thu với giá trị 1,2 tỉ USD và các thiệt hại khác theo thống kê của hãng Yankee. Còn theo thông tin của hãng bảo hiểm AIG thì vào năm 2002, các công ty của Mĩ đã phải chi tới 13 tỉ USD15 để khắc phục hậu quả của những rủi ro Thơng mại điện tử. Một con số lớn hơn nhiều so với doanh thu Bảo hiểm rủi ro Thơng mại điện tử của toàn nớc Mĩ. Do vậy, tham gia Bảo hiểm doanh nghiệp sẽ có phần an tâm về mặt tài chính trớc mọi rủi ro Thơng mại điện tử.
2.2 Tổn thất qua việc bồi thờng bên thứ ba, các chi phí từ những vụ kiện pháp lí
Trong quá trình kinh doanh, doanh nghiệp luôn có những quan hệ với đối tác rồi khách hàng Trong Th… ơng mại điện tử thì doanh nghiệp luôn giữ đợc những quan hệ đó thông qua các giao dịch trực tuyến và các dữ liệu về họ. Một doanh nghiệp Thơng mại điện tử luôn lu trữ rất nhiều dữ liệu của các đối tác, khách hàng, nhân viên và những bên liên quan đến hoạt động của
15 George V. Hulme, “Viruses defenses reach the tipping point,”
doanh nghiệp. Những dữ liệu này là tài sản của doanh nghiệp nhng cũng lại liên quan đến quyền lợi cũng của các đối tác, khách hàng... Những dữ liệu này bao gồm các thông tin về đối tác và khách hàng nh thông tin về tài khoản, thông tin về các hoạt động kinh doanh, kế hoạch sản xuất kinh doanh, thông tin về sản phẩm, bí quyết công nghệ kĩ thuật và các thông tin cá nhân nh… về số thẻ tín dụng PIN (Personal Identification Name) và các thông tin ghi nhận giao dịch của doanh nghiệp với đối tác và khách hàng Những thông tin này… ngày càng là những tài sản có giá trị và là đối tợng săn đuổi của nhiều ngời. Do vậy, doanh nghiệp khi đã để lộ thông tin hoặc bị ăn cắp các thông tin trên hoặc toàn bộ dữ liệu bị xoá do virus đều có khả năng bị các bên liên quan kiện và đòi bồi thờng. Bảo hiểm sẽ giúp doanh nghiệp rà soát toàn bộ các điểm yếu trong hệ thống máy tính của doanh nghiệp tìm ra những lỗ hổng, đồng thời kiểm tra mức độ an ninh bằng việc tổ chức các cuộc đột nhập thao diễn vào mạng lới doanh nghiệp, những dữ liệu quan trọng sẽ đợc bảo vệ ở mức cao nhất và đợc tạo ra các file back-up dự phòng. Tuy nhiên, rủi ro không thể bị loại trừ một cách tuyệt đối. Một khi tổn thất xảy ra thì bảo hiểm không những giúp doanh nghiệp khôi phục những dữ liệu bị mất mà còn trợ giúp doanh nghiệp về mặt tài chính trong việc bồi thờng cho bên thứ ba hoặc chi phí kiện tụng. Trong trờng hợp virus đó gây thiệt hại lớn và có độ lây lan cao thì doanh nghiệp sẽ có trách nhiệm bồi thờng đối với rất nhiều bên thứ ba.
Những tổn thất do phải bồi thờng bên thứ ba cũng rất đa dạng. Đôi khi những tổn thất đó phát sinh từ những việc mà chính doanh nghiệp cũng không hề biết. Chẳng hạn trong trờng hợp trang Web của doanh nghiệp chính là nơi trung gian phát tán các loại virus mặc dù doanh nghiệp có cố tình hay không thì họ vẫn bị bên thứ ba, có thể là khách hàng hoặc các đối tác bị thiệt hại do virus, kiện và đòi bồi thờng.
Bên cạnh đó, những cuộc tấn công từ chối dịch vụ DOS không những gây ra tổn thất cho doanh nghiệp mà còn có thể gây ra những vụ kiện tụng pháp lí
cho doanh nghiệp. Những khách hàng chính là những ngời có quyền kiện doanh nghiệp vì đã không cung cấp đợc các dịch vụ hay tiến hành các giao dịch nh đã thoả thuận và có thể gây ra thiệt hại cho khách hàng. Riêng đối với các doanh nghiệp cung cấp dịch vụ Internet chuyên nghiệp hay còn gọi là các ISP (Internet Service Provider) thì các cuộc tấn công từ chối dịch vụ còn gây ra các thiệt hại lớn hơn nhiều các doanh nghiệp Thơng mại điện tử khác. Chẳng hạn nh vào tháng Giêng năm 2002, nhà cung cấp dịch vụ Internet Cloud-Nine đã bị phá sản do các cuộc tấn công từ chối dịch vụ. Cloud-Nine đã không thể khắc phục đợc những thiệt hại đối với các thiết bị và buộc phải tuyên bố dừng cung cấp dịch vụ của mình. Tuy nhiên, doanh nghiệp này đã thực sự kiệt sức sau những vụ kiện cáo đòi bồi thờng của các khách hàng và đã buộc phải tuyên bố phá sản. Dờng nh sau vụ việc này các doanh nghiệp cung cấp các loại dịch vụ trên Internet đã rút ngay ra bài học và tỉ lệ các doanh nghiệp Thơng mại điện tử tham gia bảo hiểm tại Anh quốc đã tăng lên đáng kể.
Những tổn thất do phải bồi thờng hoặc bị phạt do những rắc rối liên quan đến thơng hiệu hay quyền sở hữu trí tuệ cũng là những tổn thất không nhỏ. Gần đây nhất vào tháng 10 năm 2003 là việc toà án ở Nanterre của Pháp ra phán quyết chống lại hãng dịch vụ trực tuyến Google. Theo phán quyết này, Google sẽ phải móc hầu bao hơn 87.000 USD vì đã cho phép các doanh nghiệp khác nối quảng cáo của họ vào những cụm từ hay những từ khoá truy tìm (serch terms) đã đợc đăng kí bảo hộ. Mỗi khi bạn truy cập vào trang chủ Google và gõ vào cụm từ “Bourse des Vols” rồi nhấn chuột vào kết quả tìm đợc một loạt trang Web quảng cáo cho các công ty khác cũng hiện ra. Vì thơng hiệu “Bourse des Vols” (tạm dịch “Thị trờng cho các chuyến bay”) là thơng hiệu đã đợc đăng kí bản quyền. Ngoài việc buộc Google phải nộp phạt, toà án cũng yêu cầu công ty muộn nhất là 30 ngày tới sẽ phải ngừng hoạt động này. Ông Fabrice Dariot, chủ sở hữu của thơng hiệu này cho rằng số tiền phạt trong vụ này là không lớn nhng có ý nghĩa rất quan trọng. Ông nói: “Từ trớc
đến nay, ngời ta cứ tởng Internet và thế giới thực là hai thực thể tách rời. Trên thực tế, chúng chỉ là một và Internet cũng sẽ phải tôn trọng quyền sở hữu trí tuệ”. Nh vậy, đây là lần đầu tiên một chủ thơng hiệu thành công trong một vụ nh kiểu này. Nó có tác động mạnh đến các dịch vụ tìm kiếm khác trên mạng, vốn có khoảng 10 triệu lợt ngừơi sử dụng mỗi ngày. Nếu án lệ tiếp tục đợc áp dụng ở những quốc gia khác, nhiều nhà cung cấp dịch vụ này có lẽ sẽ phải