Các vấn đề về an toàn và phòng tránh rủi ro trong thương mại điện tử
25/09/2016
Tại sao cần quan tâm đến an toàn và phòng tránh rủi ro trong thương mại điện tử?
Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ. Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra tiếp tục cho thấy những vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng mạnh. Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện tử năm 2002:
- Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó. Trong những tổ chức được điều tra, khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.
- Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau. Ví dụ, 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS)
- Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các tổ chức được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn công khác nhau qua mạng. Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.
- Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các vụ tấn công qua mạng. Hầu hết các tổ chức được điều tra đều trả lời rằng họ đã sử dụng các thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống. Tuy nhiên, không có tổ chức nào tin rằng hệ thống thương mại điện tử của mình tuyệt đối an toàn.
Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn công qua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con số này cao gấp 20 lần so với con số nạn nhân năm 1998. Để đối phó với tình trạng mất an ninh qua mạng, ở hầu hết các nước đã thành lập những trung tâm an ninh mạng mang tính quốc gia, như Trung tâm bảo về Cơ sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt động cấp cứu và các hoạt động khác của chính phủ. Tại Việt Nam cũng đã thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT) vào tháng 12/2005
Tại Việt Nam đã xảy ra rủi ro trong thương mại điện tử chưa?
Đã xảy ra, câu chuyện sau đây là một ví dụ.
Báo động nạn "đi chợ mạng" rút tiền tỷ trong tài khoản người khác
Vào 16h30’ ngày 18-12-2005, cơ quan điều tra Công an quận Đống Đa đã phối hợp với một đơn vị Công an quận Ba Đình (Hà Nội) thực hiện lệnh bắt và khám xét khẩn cấp nơi ở của Nguyễn Anh Tuấn, một đối tượng trong đường dây trộm cắp tiền qua mạng. Tuấn (sinh năm 1986) có hộ khẩu thường trú tại phường Bắc Hà, thị xã Hà Tĩnh, là sinh viên của Trường đại học Bách khoa Hà Nội. Theo như khai nhận của Tuấn trước cơ quan điều tra thì sau khoảng một năm ra Hà Nội học đại học, thấy Tuấn có khả năng tin học, một số anh chị quen biết học khóa trên đã rủ "vào mạng" chơi. Họ cũng hướng dẫn Tuấn cách rút tiền bằng việc làm giả các thẻ ATM của các ngân hàng ở Việt Nam. Lâu dần, Tuấn trở thành một thành viên trong đường dây lừa đảo chiếm đoạt tài sản tiền gửi tại ngân hàng Mỹ mà cơ quan Công an đang bóc gỡ. Qua máy tính, ngồi ngay tại nhà riêng, các đối tượng này đã rút số tiền tương đương 590 triệu đồng về Việt Nam qua hệ thống ngân hàng Vietcombank.
Ngày 22-11, các điều tra viên Đội 3, Phòng Cảnh sát điều tra tội phạm về Trật tự xã hội Công an Hà Nội phát hiện được một vụ "đi chợ mạng" gồm 5 đối tượng, hầu hết đang là sinh viên đã thực hiện hàng chục vụ "bẻ" mật mã trộm tiền trong tài khoản của người nước ngoài... Các đối tượng này đã vào mạng, lợi dụng các mã số tài khoản của người nước ngoài để làm lệnh rút tiền ra. Từ đó, họ không chuyển tiền mặt về Việt Nam mà thông qua một mạng bán hàng trung gian để mua các loại hàng hóa có giá trị như điện thoại di động, máy tính xách tay, sách tin học, ngoại ngữ... với số tiền hàng nghìn USD rồi chuyển về.
Nguồn: Báo Công an nhân dân & Báo cáo TMĐT Việt Nam
Những trang web thương mại điện tử nào dễ bị tấn công?
Giả sử doanh nghiệp bạn quyết định xây dựng một trang web B2B để phục vụ khách hàng và các nhà cung cấp. Vì trang web này không phải là trang web công cộng, những người sẽ biết về trang web này chỉ là chính doanh nghiệp bạn, các nhà cung cấp và các đối tác kinh doanh. Do đó, bạn cho rằng không cần thiết phải xây dựng những giải pháp mạnh cho vấn đề bảo đảm an ninh. Như vậy là sai lầm! Với những ưu thế của các công cụ rà soát tự động, chỉ cần sau một thời gian tính bằng ngày, các hacker đã tìm ra trang web của doanh nghiệp bạn. Sau khi đã tìm ra, nếu trang web của bạn được đánh giá là dễ bị tấn công, sau thời gian vài giờ hoặc thậm chí vài phút, các hacker đã có thể xâm nhập và chiếm quyền điều khiển website của bạn. Một trang web dù không được quảng cáo, hình thức không hấp dẫn hay không được ai biết tới, bất kể trang web thương mại điện tử nào cũng cần phải tính tới giải pháp an ninh. Các trang web này cần được xem xét kỹ càng những yêu cầu về an ninh và áp dụng các biện pháp hữu hiệu để bảo vệ trang web chống lại những hiểm họa tấn công từ trên mạng.
Những website càng hoạt động tốt, càng nổi tiếng thì càng có khả năng bị tấn công. Có nhiều khả năng, một phần có thể do cạnh tranh, một phần do các hacker muốn chứng tỏ khả năng của mình bằng cách tấn công vào những website thành công vốn có hệ thống bảo mật kiên cố. Đặc biệt, những website có giao dịch điện tử trực tuyến, có liên quan đến các thông tin nhạy cảm như thẻ tín dụng, thông tin khách hàng, các cơ sở dữ liệu phục vụ kinh doanh...
Những nhóm rủi ro chính doanh nghiệp có thể gặp phải trong thương mại điện tử?
Rủi ro trong thương mại điện tử với những hình thái muôn màu muôn vẻ, tuy nhiên tựu chung lại có thể chia thành bốn nhóm cơ bản sau:
- Nhóm rủi ro dữ liệu
- Nhóm rủi ro về công nghệ
- Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
- Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp
Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi chúng đồng thời cùng xảy đến và không xác định tách bạch rõ ràng được. Nếu các rủi ro này đồng thời xảy ra, thiệt hại đối với tổ chức có thể rất lớn cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình thường.
Trong TMĐT, doanh nghiệp thường gặp những dạng tấn công nào?
Trong thương mại điện tử, ngoài những rủi ro về phần cứng do bị mất cắp hay bị phá hủy các thiết bị (máy tính, máy chủ, thiết bị mạng...), các doanh nghiệp có thể phải chịu những rủi ro về mặt công nghệ phổ biến như sau:
- Virus
Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là.COM hoặc.EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện.
Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point. Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.
Các loại virus có thể gây ra những tác hại nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi các nội dung dữ liệu hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống trong đó có các website thương mại điện tử. Nó được đánh giá là mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.
- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website, một cơ sở dữ liệu hay hệ thống thông tin. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. Thí dụ như ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server (IIS) của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả cả về tài chính và uy tín.
- Rủi ro về gian lận thẻ tín dụng
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của website thương mại điện tử để lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp.
- Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DOS - Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DdoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS
- Tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service). Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử. Những tấn công này cũng đồng nghĩa với những khoản chi phí rất lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán. Đồng thời, sự gián đoạn hoạt động này sẽ ảnh hưởng đến uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì lấy lại được. Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra phiền toái, gây trở ngại cho hoạt động của nhiều doanh nghiệp. Vụ tấn công DOS điển hình đầu tiên xảy ra vào tháng 2-2000, các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ, trong đó có những website hàng đầu như: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, Etrade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động từ 3 đến 4 giờ.
Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Ở Việt Nam, cũng đã có rất nhiều doanh nghiệp bị tấn công dưới hình thức này.
- Kẻ trộm trên mạng (sniffer)
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cử nơi nào trên mạng.
Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên thông báo phát hiện của mình.
Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này.
Các bước xây dựng kế hoạch an ninh thương mại điện tử như thế nào?
Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm 4 giai đoạn sau:
- Giai đoạn đánh giá: Giai đoạn này xác định những tài sản doanh nghiệp có, bao gồm cả tài sản hữu hình và vô hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài sản. Việc đánh giá gồm các nội dung sau:
+ Xác định các mối đe dọa: đa số những vụ xâm phạm an ninh trái phép là do sự can thiệp trực tiếp hay gián tíếp của con người các hệ thống và những người có quyền truy cập tới tài sản phải được định rõ như giám đốc IT, nhân viên, các nhà tư vấn,… Khả năng mối đe dọa trở thành hiện thực cũng cần được đánh giá.
+ Xác định hình thức thiệt hại: ví dụ các thông tin quan trọng có thể bị sửa đổi hoặc đánh cắp bởi các cá nhân, hoặc có thể bị phá hủy do bị tấn công.
- Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa nào cần phải chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể và người chịu trách nhiệm triển khai. Đánh giá và lựa chọn các giải pháp phù hợp.
- Giai đoạn thực thi: Các công nghệ đặc thù có thể được chọn để chống đỡ với các nguy cơ dễ xảy ra nhất. Việc lựa chọn công nghệ dựa vào những định hướng đã được nêu ra ở giai đoạn Lập kế hoạch. Ngoài những công nghệ đặc thù, các phần mềm an ninh từ những nhà cung cấp khác cũng có thể được lựa chọn.
- Giai đoạn giám sát: Xác định những biện pháp nào mang lại thành công, những biện pháp nào không hiệu quả cần thay đổi, liệu có những mối đe dọa mới xuất hiện hay có những cải tiến hoặc thay đổi gì trong công nghệ, hoặc có những tài sản nào khác của doanh nghiệp cần bảo đảm an ninh.
Có những biện pháp cơ bản nào đảm bảo an toàn cho giao dịch TMĐT?
Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng chỉ số. Các kỹ thuật sử dụng trong Hạ tầng khóa công khai có thể hiểu như sau:
Sử dụng kỹ thuật mã hoá thông tin:
Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát.
Mã hoá thông tin là một kỹ thuật được sử dụng rất sớm kể từ khi loài người bắt đầu giao tiếp với nhau và thuật mã hóa cũng phát triển từ những thuật toán rất sơ khai trước đây tới các công nghệ mã hóa phức tạp hiện nay. Một phần mềm mã hóa sẽ thực hiện hai công đoạn: thứ nhất là tạo ra một chìa khóa và thứ hai là sử dụng chìa khóa đó cùng thuật mã hóa để mã hóa văn bản hoặc giải mã.
Có hai kỹ thuật cơ bản thường được sử dụng để mã hoá thông tin là mã hoá “khoá đơn” sử dụng một “khoá bí mật” và mã hoá kép sử dụng hai khóa gồm “khoá công khai” và ”khóa bí mật”.
Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật:
Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã hoá khoá riêng, là việc sử dụng một khoá chung, giống nhau cho cả quá trình mã hoá và quá trình giải mã.
Tuy nhiên, tính bảo mật trong phương pháp mã hóa bí mật phụ thuộc rất lớn vào chìa khóa bí mật. Ngoài ra, sử dụng phương pháp mã hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an toàn các mã khoá bí mật với hàng ngàn khách hàng trực tuyến của mình trên những mạng thông tin rộng lớn. Và doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một mã khoá riêng và chuyển mã khoá đó tới một khách hàng bất kỳ trên mạng Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Ví dụ, một trong các hình thức đơn giản của khóa bí mật là password để khóa và mở khóa các văn bản word, excel hay power point.
Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật
Kỹ thuật mã hoá này sử dụng hai khoá khác nhau trong quá trình mã hoá và giải mã: một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã. Hai mã khoá này có quan hệ với nhau về mặt thuật toán sao cho dữ liệu được mã hoá bằng khoá này sẽ được giải mã bằng khoá kia. Khoá công cộng là phần mềm có thể công khai cho nhiều người biết, còn khoá riêng được giữ bí mật và chỉ mình chủ nhân của nó được biết và có quyền sử dụng.
Như vậy, kỹ thuật mã hóa này đảm bảo tính riêng tư và bảo mật, vì chỉ có người mà thông điệp mã hóa được gửi đến mới có thể giải mã được. Ngoài ra kỹ thuật này cũng đảm bảo tính toàn vẹn, vì một khi thông điệp mã hóa bị xâm phạm, quá trình giải mã sẽ không thực hiện được.
Trong quá trình sử dụng, có một số đặc điểm cần lưu ý đối với hai kỹ thuật mã hóa trên:
Đặc điểm Mã hoá khoá riêng Mã hoá khoá công cộng
Số khoá Một khoá đơn Một cặp khoá
Loại khoá Khoá bí mật Một khóa bí mật và một khóa công khai
Quản lý khoá Đơn giản, nhưng khó quản lý Yêu cầu các chứng nhận điện tử và bên tin cậy thứ ba
Tốc độ giao dịch Nhanh Chậm
Sử dụng Sử dụng để mã hoá những dữ liệu lớn (hàng loạt)
Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp
Chữ ký số (Digital signature):
Về mặt công nghệ, chữ ký điện số là một thông điệp dữ liệu đã được mã hóa gắn kèm theo một thông điệp dữ liệu khác nhằm xác thực người gửi thông điệp đó. Quá trình ký và xác nhận chữ ký điện như sau: Người gửi muốn gửi thông điệp cho bên khác thì sẽ dùng một phần mềm rút gọn thông điệp dữ liệu điện tử, xử lý chuyển thông điệp dữ liệu điện tử thành một “thông điệp tóm tắt” (Message Digest), thuật toán này được gọi là thuật toán rút gọn (hash function). Người gửi mã hoá bản tóm tắt thông điệp bằng khóa bí mật của mình (sử dụng phần mềm bí mật được cơ quan chứng thực cấp) để tạo thành một chữ ký điện tử.
Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử này với thông điệp dữ liệu ban đầu. Sau đó gửi thông điệp đã kèm với chữ ký điện tử một cách an toàn qua mạng cho người nhận.
Sau khi nhận được, người nhận sẽ dùng khoá công khai của người gửi để giải mã chữ ký điện tử thành bản tóm tắt thông điệp. Người nhận cũng dùng rút gọn thông điệp dữ liệu giống hệt như người gửi đã làm đối với thông điệp nhận được để biến đổi thông điệp nhận được thành một bản tóm tắt thông điệp. Người nhận so sánh hai bản tóm tắt thông điệp này. Nếu chúng giống nhau tức là chữ ký điện tử đó là xác thực và thông điệp đã không bị thay đổi trên đường truyền đi.
Ngoài ra, chữ ký điện tử có thể được gắn thêm một “nhãn” thời gian: sau một thời gian nhất định quy định bởi nhãn đó, chữ ký điện tử gốc sẽ không còn hiệu lực, đồng thời nhãn thời gian cũng là công cụ để xác định thời điểm ký.
Phong bì số (Digital Envelope):
Tạo lập một phong bì số là một quá trình mã hoá sử dụng khoá công khai của người nhận (phần mềm công khai của người nhận, phần mềm này cũng do cơ quan chứng thực cấp cho người nhận, và được người nhận thông báo cho các đối tác biết để sử dụng khi họ muốn gửi thông điệp cho mình). Khóa bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận, khóa này đảm bảo chỉ có duy nhất người nhận là người mở được thông điệp để đọc. Vì duy nhất người nhận là người nắm giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa này cũng do cơ quan chứng thực cấp cho người nhận).
Chứng thư số hóa (Digital Certificate):
Nếu một bên phải được được mã hóa công khai của bên thứ 2 để có thể tiến hành mã hóa và gửi thông điệp cho bên đó, mã hóa công khai này sẽ được lấy ở đâu và liệu bên này có thể đảm bảo định danh chính xác của bên thứ 2 không? Chứng thư điện tử xác minh rằng người cầm giữ mã khóa công cộng hoặc mã khóa bí mật chính là người chủ của mã khóa đó. Bên thứ ba, Cơ quan chứng thực, sẽ phát hành chứng thư điện tử cho các bên tham gia.
Nội dung Chứng thư điện tử bao gồm: tên, mã khoá công khai, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể được mã hoá bằng mã khoá riêng của cơ quan chứng nhận) và các thông tin nhận dạng khác. Các chứng thư này được sử dụng để xác minh tính chân thực của website (website certificate), của cá nhân (personal certificate) và của các công ty phần mềm (software publisher certificate).
Các biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống TMĐT
Một số công nghệ được phát triển nhằm đảm bảo rằng trong nội bộ mạng của một doanh nghiệp, các hoạt động sẽ được đảm bảo an toàn khỏi các vụ tấn công hoặc xâm phạm từ bên ngoài, đồng thời có chức năng cảnh báo các hoạt động tấn công từ bên ngoài vào hệ thống mạng.
Tường lửa: Tường lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết hợp cả phần mềm và phần cứng, cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức. Một bức tường lửa có những đặc điểm sau:
- Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức đi ra ngoài và ngược lại đều phải đi qua thiết bị hay phần mềm này;
- Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an toàn mạng máy tính của tổ chức, mới được phép đi qua;
Về cơ bản, tường lửa cho phép những người sử dụng mạng máy tính bên trong tường lửa được bảo vệ nhưng vẫn có khả năng truy cập toàn bộ các dịch vụ bên ngoài mạng; đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đã kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên miền (domain name) …
Ví dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên miền thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa trong và ngoài mạng máy tính của tổ chức. Tường lửa bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do những tin tặc, những người tò mò từ bên ngoài tấn công. Tất cả mọi thông điệp được gửi đến và gửi đi đều được tường lửa kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập. Các tường lửa phổ biến hiện nay gồm: Windows XP Personal firewall, Microsoft ISA server (đa chức năng), Checkpoint.
Mạng riêng ảo (VPN)
Khi công ty muốn tạo ra một ứng dụng B2B, cung cấp cho các nhà cung cấp, đối tác và những đối tượng khác quyền truy cập không chỉ với dữ liệu đặt trên trang web của họ, mà còn cả quyền truy cập đối với dữ liệu chứa trong các tệp khác (như tệp Word, Excel, file đồ họa, file âm thanh, hình ảnh...). Theo cách truyền thống, liên lạc với công ty có thể thực hiện thông qua một đường truyền riêng hoặc thông qua một đường quay số tới modem hoặc tới một máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy chủ này cho phép kết nối trực tiếp tới mạng LAN của công ty. Ưu điểm của việc thuê đường truyền riêng là giảm thiêu khả năng bị hacker nghe trộm các liên lạc, tuy nhiên chi phí lại cao.
Do đó, doanh nghiệp có thể tham khảo một giải pháp kinh tế hơn đó là sử dụng mạng riêng ảo. Mạng riêng ảo sử dụng mạng internet để truyền tải thông tin nhưng vẫn duy trì sự bí mật bằng cách sử dụng thuật mã khóa (để mã giao dịch, xác minh tính chân thực để đảm bảo rằng thông tin không bị truy xuất trái phép và thông tin đến từ những nguồn tin cậy) và quản lý quyền truy cập để xác định danh tính của bất kỳ ai sử dụng mạng này. Hơn nữa, một mạng riêng ảo cũng có thể được sử dụng để hỗ trợ những liên lạc giữa các chi nhánh và trụ sở công ty và những liên lạc giữa các công nhân lưu động với trụ sở làm vịêc của họ. Số lượng các doanh nghiệp sử dụng hình thức này ngày càng tăng, điều này thể hiện ở doanh số của thị trường dịch vụ mạng riêng ảo toàn thế giới, năm 2005 đã đạt mức 23 tỷ USD vào năm 2005 và hứa hẹn sẽ tăng thêm 22% trong vòng 3 năm tới.
Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống TMĐT ?
Sử dụng password đủ mạnh: Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí như:
- Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa chữ hoa, chữ thường, chữ số và biểu tượng. Như vậy sẽ mất rất nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó mật khẩu đã có thể đã được thay đổi. Mật khẩu cũng nên thường xuyên thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu cũ.
- Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-5 lần nhập mật khẩu vẫn không đúng.
- Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài khoản
Phòng chống virus: Theo thống kê, trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc được truyền qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus cũng nên được cập nhật thường xuyên (hàng ngày, hàng tuần). Thông thường, các công ty phần mềm virus uy tín thường gửi email tới khách hàng thông báo về việc xuất hiện những virus mới và cung cấp công cụ update tự động cho khách hàng.
- Định dạng cổng email để khóa các tệp có đuôi dạng VBS, SHS, EXE, SCR, CHM và BAT hoặc những tệp có hai phần mở rộng dạng như.txt.vbs hoặc.jpg.vbs vì những tệp dạng này thường do virus tạo ra.
- Phố biến kiến thức cho người sử dụng, ví dụ, không mở những email lạ có tệp đính kèm, thậm chí từ người gửi có tên trong sổ địa chỉ; không tải về những tệp từ những nguồn không rõ ràng; thường xuyên quét virus; cập nhật phần mềm quét virus thường xuyên; không gửi những cảnh báo về virus hoặc các thư dây chuyền cho những người sử dụng khác.
Giải pháp an ninh nguồn nhân lực: Các doanh nghiệp cần lưu ý mọi nhân viên trong doanh nghiệp mình ý thức về vấn đề an ninh mạng và những nguy cơ tấn công doanh nghiệp có thể chịu trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía các nhân viên. Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng nên áp dụng như việc chọn mật khẩu, thay đổi mật khẩu, quét virus thường xuyên hay xóa bỏ những email lạ.
Giải pháp về trang thiết bị an ninh mạng: Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như: các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm tra vân tay, tròng mắt hoặc giọng nói. Các biện pháp khác có thể là sao lưu dữ liệu vào những nơi an toàn, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera vào chuông báo động.
Tác dụng của chính sách và quy trình bảo đảm an toàn đối vói hoạt động Thương mại điện tử:
Xây dựng chính sách về an ninh an toàn mạng và yêu cầu mọi người phải chấp hành có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạt động bảo vệ an ninh cho thương mại điện tử. Chính sách này thường bao gồm các nội dung sau:
- Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độ truy cập và ai giao quyền truy cập - Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…
- Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này - Cập nhật chính sách an ninh thương mại điện tử: mức độ thường xuyền và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.
sotaytmdt
Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ. Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra tiếp tục cho thấy những vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng mạnh. Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện tử năm 2002:
- Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó. Trong những tổ chức được điều tra, khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.
- Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau. Ví dụ, 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS)
- Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các tổ chức được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn công khác nhau qua mạng. Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.
- Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các vụ tấn công qua mạng. Hầu hết các tổ chức được điều tra đều trả lời rằng họ đã sử dụng các thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống. Tuy nhiên, không có tổ chức nào tin rằng hệ thống thương mại điện tử của mình tuyệt đối an toàn.
Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn công qua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con số này cao gấp 20 lần so với con số nạn nhân năm 1998. Để đối phó với tình trạng mất an ninh qua mạng, ở hầu hết các nước đã thành lập những trung tâm an ninh mạng mang tính quốc gia, như Trung tâm bảo về Cơ sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt động cấp cứu và các hoạt động khác của chính phủ. Tại Việt Nam cũng đã thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT) vào tháng 12/2005
Tại Việt Nam đã xảy ra rủi ro trong thương mại điện tử chưa?
Đã xảy ra, câu chuyện sau đây là một ví dụ.
Báo động nạn "đi chợ mạng" rút tiền tỷ trong tài khoản người khác
Vào 16h30’ ngày 18-12-2005, cơ quan điều tra Công an quận Đống Đa đã phối hợp với một đơn vị Công an quận Ba Đình (Hà Nội) thực hiện lệnh bắt và khám xét khẩn cấp nơi ở của Nguyễn Anh Tuấn, một đối tượng trong đường dây trộm cắp tiền qua mạng. Tuấn (sinh năm 1986) có hộ khẩu thường trú tại phường Bắc Hà, thị xã Hà Tĩnh, là sinh viên của Trường đại học Bách khoa Hà Nội. Theo như khai nhận của Tuấn trước cơ quan điều tra thì sau khoảng một năm ra Hà Nội học đại học, thấy Tuấn có khả năng tin học, một số anh chị quen biết học khóa trên đã rủ "vào mạng" chơi. Họ cũng hướng dẫn Tuấn cách rút tiền bằng việc làm giả các thẻ ATM của các ngân hàng ở Việt Nam. Lâu dần, Tuấn trở thành một thành viên trong đường dây lừa đảo chiếm đoạt tài sản tiền gửi tại ngân hàng Mỹ mà cơ quan Công an đang bóc gỡ. Qua máy tính, ngồi ngay tại nhà riêng, các đối tượng này đã rút số tiền tương đương 590 triệu đồng về Việt Nam qua hệ thống ngân hàng Vietcombank.
Ngày 22-11, các điều tra viên Đội 3, Phòng Cảnh sát điều tra tội phạm về Trật tự xã hội Công an Hà Nội phát hiện được một vụ "đi chợ mạng" gồm 5 đối tượng, hầu hết đang là sinh viên đã thực hiện hàng chục vụ "bẻ" mật mã trộm tiền trong tài khoản của người nước ngoài... Các đối tượng này đã vào mạng, lợi dụng các mã số tài khoản của người nước ngoài để làm lệnh rút tiền ra. Từ đó, họ không chuyển tiền mặt về Việt Nam mà thông qua một mạng bán hàng trung gian để mua các loại hàng hóa có giá trị như điện thoại di động, máy tính xách tay, sách tin học, ngoại ngữ... với số tiền hàng nghìn USD rồi chuyển về.
Nguồn: Báo Công an nhân dân & Báo cáo TMĐT Việt Nam
Những trang web thương mại điện tử nào dễ bị tấn công?
Giả sử doanh nghiệp bạn quyết định xây dựng một trang web B2B để phục vụ khách hàng và các nhà cung cấp. Vì trang web này không phải là trang web công cộng, những người sẽ biết về trang web này chỉ là chính doanh nghiệp bạn, các nhà cung cấp và các đối tác kinh doanh. Do đó, bạn cho rằng không cần thiết phải xây dựng những giải pháp mạnh cho vấn đề bảo đảm an ninh. Như vậy là sai lầm! Với những ưu thế của các công cụ rà soát tự động, chỉ cần sau một thời gian tính bằng ngày, các hacker đã tìm ra trang web của doanh nghiệp bạn. Sau khi đã tìm ra, nếu trang web của bạn được đánh giá là dễ bị tấn công, sau thời gian vài giờ hoặc thậm chí vài phút, các hacker đã có thể xâm nhập và chiếm quyền điều khiển website của bạn. Một trang web dù không được quảng cáo, hình thức không hấp dẫn hay không được ai biết tới, bất kể trang web thương mại điện tử nào cũng cần phải tính tới giải pháp an ninh. Các trang web này cần được xem xét kỹ càng những yêu cầu về an ninh và áp dụng các biện pháp hữu hiệu để bảo vệ trang web chống lại những hiểm họa tấn công từ trên mạng.
Những website càng hoạt động tốt, càng nổi tiếng thì càng có khả năng bị tấn công. Có nhiều khả năng, một phần có thể do cạnh tranh, một phần do các hacker muốn chứng tỏ khả năng của mình bằng cách tấn công vào những website thành công vốn có hệ thống bảo mật kiên cố. Đặc biệt, những website có giao dịch điện tử trực tuyến, có liên quan đến các thông tin nhạy cảm như thẻ tín dụng, thông tin khách hàng, các cơ sở dữ liệu phục vụ kinh doanh...
Những nhóm rủi ro chính doanh nghiệp có thể gặp phải trong thương mại điện tử?
Rủi ro trong thương mại điện tử với những hình thái muôn màu muôn vẻ, tuy nhiên tựu chung lại có thể chia thành bốn nhóm cơ bản sau:
- Nhóm rủi ro dữ liệu
- Nhóm rủi ro về công nghệ
- Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
- Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp
Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi chúng đồng thời cùng xảy đến và không xác định tách bạch rõ ràng được. Nếu các rủi ro này đồng thời xảy ra, thiệt hại đối với tổ chức có thể rất lớn cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình thường.
Trong TMĐT, doanh nghiệp thường gặp những dạng tấn công nào?
Trong thương mại điện tử, ngoài những rủi ro về phần cứng do bị mất cắp hay bị phá hủy các thiết bị (máy tính, máy chủ, thiết bị mạng...), các doanh nghiệp có thể phải chịu những rủi ro về mặt công nghệ phổ biến như sau:
- Virus
Virus tấn công vào thương mại điện tử thường gồm 3 loại chính: virus ảnh hưởng tới các tệp (file) chương trình (gắn liền với những file chương trình, thường là.COM hoặc.EXE), virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi động), và virus macro. Virus macro là loại virus phổ biến nhất, chiếm từ 75% đến 80% trong tổng số các virus được phát hiện.
Đây là loại virus đặc biệt chỉ nhiễm vào các tệp ứng dụng soạn thảo, chẳng hạn như các tệp ứng dụng của MS Word, Excel và Power Point. Khi người sử dụng mở các tài liệu bị nhiễm virus trong các chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.
Các loại virus có thể gây ra những tác hại nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi các nội dung dữ liệu hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống trong đó có các website thương mại điện tử. Nó được đánh giá là mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.
- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website, một cơ sở dữ liệu hay hệ thống thông tin. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. Thí dụ như ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server (IIS) của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả cả về tài chính và uy tín.
- Rủi ro về gian lận thẻ tín dụng
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình thực hiện các giao dịch mua sắm qua mạng và các thiết bị điện tử. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào website thương mại điện tử. Hơn thế, những tên tội phạm có thể đột nhập vào các cơ sở dữ liệu của website thương mại điện tử để lấy cắp các thông tin của khách hàng như tên, địa chỉ, điện thoại… với những thông tin này chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích phi pháp.
- Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DOS - Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Sơ khai nhất là hình thức DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP, tiếp đến là DdoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán, và gần đây là DRDoS
- Tấn công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service). Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử. Những tấn công này cũng đồng nghĩa với những khoản chi phí rất lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán. Đồng thời, sự gián đoạn hoạt động này sẽ ảnh hưởng đến uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì lấy lại được. Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra phiền toái, gây trở ngại cho hoạt động của nhiều doanh nghiệp. Vụ tấn công DOS điển hình đầu tiên xảy ra vào tháng 2-2000, các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ, trong đó có những website hàng đầu như: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, Etrade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động từ 3 đến 4 giờ.
Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Ở Việt Nam, cũng đã có rất nhiều doanh nghiệp bị tấn công dưới hình thức này.
- Kẻ trộm trên mạng (sniffer)
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phi pháp, các phần mềm ứng dụng này sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm sử dụng các phần mềm này nhằm lấy cắp các thông tin có giá trị như thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật…từ bất cử nơi nào trên mạng.
Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo thông báo cho cấp trên thông báo phát hiện của mình.
Người này sau đó sẽ tiếp tục gửi thông báo đến tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó sử dụng kỹ thuật xem lén thư điện tử có thể theo dõi và biết được toàn bộ thông tin trong bức thư điện tử gửi tiếp sau đó bàn về vấn đề này.
Các bước xây dựng kế hoạch an ninh thương mại điện tử như thế nào?
Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm 4 giai đoạn sau:
- Giai đoạn đánh giá: Giai đoạn này xác định những tài sản doanh nghiệp có, bao gồm cả tài sản hữu hình và vô hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài sản. Việc đánh giá gồm các nội dung sau:
+ Xác định các mối đe dọa: đa số những vụ xâm phạm an ninh trái phép là do sự can thiệp trực tiếp hay gián tíếp của con người các hệ thống và những người có quyền truy cập tới tài sản phải được định rõ như giám đốc IT, nhân viên, các nhà tư vấn,… Khả năng mối đe dọa trở thành hiện thực cũng cần được đánh giá.
+ Xác định hình thức thiệt hại: ví dụ các thông tin quan trọng có thể bị sửa đổi hoặc đánh cắp bởi các cá nhân, hoặc có thể bị phá hủy do bị tấn công.
- Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa nào cần phải chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể và người chịu trách nhiệm triển khai. Đánh giá và lựa chọn các giải pháp phù hợp.
- Giai đoạn thực thi: Các công nghệ đặc thù có thể được chọn để chống đỡ với các nguy cơ dễ xảy ra nhất. Việc lựa chọn công nghệ dựa vào những định hướng đã được nêu ra ở giai đoạn Lập kế hoạch. Ngoài những công nghệ đặc thù, các phần mềm an ninh từ những nhà cung cấp khác cũng có thể được lựa chọn.
- Giai đoạn giám sát: Xác định những biện pháp nào mang lại thành công, những biện pháp nào không hiệu quả cần thay đổi, liệu có những mối đe dọa mới xuất hiện hay có những cải tiến hoặc thay đổi gì trong công nghệ, hoặc có những tài sản nào khác của doanh nghiệp cần bảo đảm an ninh.
Có những biện pháp cơ bản nào đảm bảo an toàn cho giao dịch TMĐT?
Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng chỉ số. Các kỹ thuật sử dụng trong Hạ tầng khóa công khai có thể hiểu như sau:
Sử dụng kỹ thuật mã hoá thông tin:
Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát.
Mã hoá thông tin là một kỹ thuật được sử dụng rất sớm kể từ khi loài người bắt đầu giao tiếp với nhau và thuật mã hóa cũng phát triển từ những thuật toán rất sơ khai trước đây tới các công nghệ mã hóa phức tạp hiện nay. Một phần mềm mã hóa sẽ thực hiện hai công đoạn: thứ nhất là tạo ra một chìa khóa và thứ hai là sử dụng chìa khóa đó cùng thuật mã hóa để mã hóa văn bản hoặc giải mã.
Có hai kỹ thuật cơ bản thường được sử dụng để mã hoá thông tin là mã hoá “khoá đơn” sử dụng một “khoá bí mật” và mã hoá kép sử dụng hai khóa gồm “khoá công khai” và ”khóa bí mật”.
Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật:
Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã hoá khoá riêng, là việc sử dụng một khoá chung, giống nhau cho cả quá trình mã hoá và quá trình giải mã.
Tuy nhiên, tính bảo mật trong phương pháp mã hóa bí mật phụ thuộc rất lớn vào chìa khóa bí mật. Ngoài ra, sử dụng phương pháp mã hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an toàn các mã khoá bí mật với hàng ngàn khách hàng trực tuyến của mình trên những mạng thông tin rộng lớn. Và doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một mã khoá riêng và chuyển mã khoá đó tới một khách hàng bất kỳ trên mạng Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Ví dụ, một trong các hình thức đơn giản của khóa bí mật là password để khóa và mở khóa các văn bản word, excel hay power point.
Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật
Kỹ thuật mã hoá này sử dụng hai khoá khác nhau trong quá trình mã hoá và giải mã: một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã. Hai mã khoá này có quan hệ với nhau về mặt thuật toán sao cho dữ liệu được mã hoá bằng khoá này sẽ được giải mã bằng khoá kia. Khoá công cộng là phần mềm có thể công khai cho nhiều người biết, còn khoá riêng được giữ bí mật và chỉ mình chủ nhân của nó được biết và có quyền sử dụng.
Như vậy, kỹ thuật mã hóa này đảm bảo tính riêng tư và bảo mật, vì chỉ có người mà thông điệp mã hóa được gửi đến mới có thể giải mã được. Ngoài ra kỹ thuật này cũng đảm bảo tính toàn vẹn, vì một khi thông điệp mã hóa bị xâm phạm, quá trình giải mã sẽ không thực hiện được.
Trong quá trình sử dụng, có một số đặc điểm cần lưu ý đối với hai kỹ thuật mã hóa trên:
Đặc điểm Mã hoá khoá riêng Mã hoá khoá công cộng
Số khoá Một khoá đơn Một cặp khoá
Loại khoá Khoá bí mật Một khóa bí mật và một khóa công khai
Quản lý khoá Đơn giản, nhưng khó quản lý Yêu cầu các chứng nhận điện tử và bên tin cậy thứ ba
Tốc độ giao dịch Nhanh Chậm
Sử dụng Sử dụng để mã hoá những dữ liệu lớn (hàng loạt)
Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp
Chữ ký số (Digital signature):
Về mặt công nghệ, chữ ký điện số là một thông điệp dữ liệu đã được mã hóa gắn kèm theo một thông điệp dữ liệu khác nhằm xác thực người gửi thông điệp đó. Quá trình ký và xác nhận chữ ký điện như sau: Người gửi muốn gửi thông điệp cho bên khác thì sẽ dùng một phần mềm rút gọn thông điệp dữ liệu điện tử, xử lý chuyển thông điệp dữ liệu điện tử thành một “thông điệp tóm tắt” (Message Digest), thuật toán này được gọi là thuật toán rút gọn (hash function). Người gửi mã hoá bản tóm tắt thông điệp bằng khóa bí mật của mình (sử dụng phần mềm bí mật được cơ quan chứng thực cấp) để tạo thành một chữ ký điện tử.
Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử này với thông điệp dữ liệu ban đầu. Sau đó gửi thông điệp đã kèm với chữ ký điện tử một cách an toàn qua mạng cho người nhận.
Sau khi nhận được, người nhận sẽ dùng khoá công khai của người gửi để giải mã chữ ký điện tử thành bản tóm tắt thông điệp. Người nhận cũng dùng rút gọn thông điệp dữ liệu giống hệt như người gửi đã làm đối với thông điệp nhận được để biến đổi thông điệp nhận được thành một bản tóm tắt thông điệp. Người nhận so sánh hai bản tóm tắt thông điệp này. Nếu chúng giống nhau tức là chữ ký điện tử đó là xác thực và thông điệp đã không bị thay đổi trên đường truyền đi.
Ngoài ra, chữ ký điện tử có thể được gắn thêm một “nhãn” thời gian: sau một thời gian nhất định quy định bởi nhãn đó, chữ ký điện tử gốc sẽ không còn hiệu lực, đồng thời nhãn thời gian cũng là công cụ để xác định thời điểm ký.
Phong bì số (Digital Envelope):
Tạo lập một phong bì số là một quá trình mã hoá sử dụng khoá công khai của người nhận (phần mềm công khai của người nhận, phần mềm này cũng do cơ quan chứng thực cấp cho người nhận, và được người nhận thông báo cho các đối tác biết để sử dụng khi họ muốn gửi thông điệp cho mình). Khóa bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận, khóa này đảm bảo chỉ có duy nhất người nhận là người mở được thông điệp để đọc. Vì duy nhất người nhận là người nắm giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa này cũng do cơ quan chứng thực cấp cho người nhận).
Chứng thư số hóa (Digital Certificate):
Nếu một bên phải được được mã hóa công khai của bên thứ 2 để có thể tiến hành mã hóa và gửi thông điệp cho bên đó, mã hóa công khai này sẽ được lấy ở đâu và liệu bên này có thể đảm bảo định danh chính xác của bên thứ 2 không? Chứng thư điện tử xác minh rằng người cầm giữ mã khóa công cộng hoặc mã khóa bí mật chính là người chủ của mã khóa đó. Bên thứ ba, Cơ quan chứng thực, sẽ phát hành chứng thư điện tử cho các bên tham gia.
Nội dung Chứng thư điện tử bao gồm: tên, mã khoá công khai, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể được mã hoá bằng mã khoá riêng của cơ quan chứng nhận) và các thông tin nhận dạng khác. Các chứng thư này được sử dụng để xác minh tính chân thực của website (website certificate), của cá nhân (personal certificate) và của các công ty phần mềm (software publisher certificate).
Các biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống TMĐT
Một số công nghệ được phát triển nhằm đảm bảo rằng trong nội bộ mạng của một doanh nghiệp, các hoạt động sẽ được đảm bảo an toàn khỏi các vụ tấn công hoặc xâm phạm từ bên ngoài, đồng thời có chức năng cảnh báo các hoạt động tấn công từ bên ngoài vào hệ thống mạng.
Tường lửa: Tường lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết hợp cả phần mềm và phần cứng, cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức. Một bức tường lửa có những đặc điểm sau:
- Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức đi ra ngoài và ngược lại đều phải đi qua thiết bị hay phần mềm này;
- Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an toàn mạng máy tính của tổ chức, mới được phép đi qua;
Về cơ bản, tường lửa cho phép những người sử dụng mạng máy tính bên trong tường lửa được bảo vệ nhưng vẫn có khả năng truy cập toàn bộ các dịch vụ bên ngoài mạng; đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đã kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên miền (domain name) …
Ví dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên miền thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa trong và ngoài mạng máy tính của tổ chức. Tường lửa bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do những tin tặc, những người tò mò từ bên ngoài tấn công. Tất cả mọi thông điệp được gửi đến và gửi đi đều được tường lửa kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập. Các tường lửa phổ biến hiện nay gồm: Windows XP Personal firewall, Microsoft ISA server (đa chức năng), Checkpoint.
Mạng riêng ảo (VPN)
Khi công ty muốn tạo ra một ứng dụng B2B, cung cấp cho các nhà cung cấp, đối tác và những đối tượng khác quyền truy cập không chỉ với dữ liệu đặt trên trang web của họ, mà còn cả quyền truy cập đối với dữ liệu chứa trong các tệp khác (như tệp Word, Excel, file đồ họa, file âm thanh, hình ảnh...). Theo cách truyền thống, liên lạc với công ty có thể thực hiện thông qua một đường truyền riêng hoặc thông qua một đường quay số tới modem hoặc tới một máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy chủ này cho phép kết nối trực tiếp tới mạng LAN của công ty. Ưu điểm của việc thuê đường truyền riêng là giảm thiêu khả năng bị hacker nghe trộm các liên lạc, tuy nhiên chi phí lại cao.
Do đó, doanh nghiệp có thể tham khảo một giải pháp kinh tế hơn đó là sử dụng mạng riêng ảo. Mạng riêng ảo sử dụng mạng internet để truyền tải thông tin nhưng vẫn duy trì sự bí mật bằng cách sử dụng thuật mã khóa (để mã giao dịch, xác minh tính chân thực để đảm bảo rằng thông tin không bị truy xuất trái phép và thông tin đến từ những nguồn tin cậy) và quản lý quyền truy cập để xác định danh tính của bất kỳ ai sử dụng mạng này. Hơn nữa, một mạng riêng ảo cũng có thể được sử dụng để hỗ trợ những liên lạc giữa các chi nhánh và trụ sở công ty và những liên lạc giữa các công nhân lưu động với trụ sở làm vịêc của họ. Số lượng các doanh nghiệp sử dụng hình thức này ngày càng tăng, điều này thể hiện ở doanh số của thị trường dịch vụ mạng riêng ảo toàn thế giới, năm 2005 đã đạt mức 23 tỷ USD vào năm 2005 và hứa hẹn sẽ tăng thêm 22% trong vòng 3 năm tới.
Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống TMĐT ?
Sử dụng password đủ mạnh: Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí như:
- Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa chữ hoa, chữ thường, chữ số và biểu tượng. Như vậy sẽ mất rất nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó mật khẩu đã có thể đã được thay đổi. Mật khẩu cũng nên thường xuyên thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu cũ.
- Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-5 lần nhập mật khẩu vẫn không đúng.
- Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài khoản
Phòng chống virus: Theo thống kê, trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc được truyền qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus cũng nên được cập nhật thường xuyên (hàng ngày, hàng tuần). Thông thường, các công ty phần mềm virus uy tín thường gửi email tới khách hàng thông báo về việc xuất hiện những virus mới và cung cấp công cụ update tự động cho khách hàng.
- Định dạng cổng email để khóa các tệp có đuôi dạng VBS, SHS, EXE, SCR, CHM và BAT hoặc những tệp có hai phần mở rộng dạng như.txt.vbs hoặc.jpg.vbs vì những tệp dạng này thường do virus tạo ra.
- Phố biến kiến thức cho người sử dụng, ví dụ, không mở những email lạ có tệp đính kèm, thậm chí từ người gửi có tên trong sổ địa chỉ; không tải về những tệp từ những nguồn không rõ ràng; thường xuyên quét virus; cập nhật phần mềm quét virus thường xuyên; không gửi những cảnh báo về virus hoặc các thư dây chuyền cho những người sử dụng khác.
Giải pháp an ninh nguồn nhân lực: Các doanh nghiệp cần lưu ý mọi nhân viên trong doanh nghiệp mình ý thức về vấn đề an ninh mạng và những nguy cơ tấn công doanh nghiệp có thể chịu trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía các nhân viên. Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng nên áp dụng như việc chọn mật khẩu, thay đổi mật khẩu, quét virus thường xuyên hay xóa bỏ những email lạ.
Giải pháp về trang thiết bị an ninh mạng: Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như: các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm tra vân tay, tròng mắt hoặc giọng nói. Các biện pháp khác có thể là sao lưu dữ liệu vào những nơi an toàn, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera vào chuông báo động.
Tác dụng của chính sách và quy trình bảo đảm an toàn đối vói hoạt động Thương mại điện tử:
Xây dựng chính sách về an ninh an toàn mạng và yêu cầu mọi người phải chấp hành có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạt động bảo vệ an ninh cho thương mại điện tử. Chính sách này thường bao gồm các nội dung sau:
- Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độ truy cập và ai giao quyền truy cập - Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…
- Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này - Cập nhật chính sách an ninh thương mại điện tử: mức độ thường xuyền và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.
sotaytmdt
Ý kiến bạn đọc
TIN TỨC MỚI
• 10 thương vụ "cá lớn nuốt cá bé" nổi bật nhất thế giới công nghệ trong năm 2016 (19/12/2016)
• Cạnh tranh bán lẻ trực tuyến ngày càng khốc liệt (16/12/2016)
• Phạm vi và đối tượng của Thương mại điện tử (16/12/2016)
• Năm 2016, thương mại điện tử tăng mạnh (15/12/2016)
• Cung cấp giải pháp tìm kiếm thông tin thương mại Thủ đô (15/12/2016)
• Thương mại điện tử Việt Nam 2016: "Tam quốc diễn nghĩa" Trung - Thái - Hàn, doanh nghiệp Việt gồng mình đấu với cả 3 (14/12/2016)
• Online Friday 2016 lập kỷ lục doanh thu (09/12/2016)
• Đại gia bán lẻ đua làm thương mại điện tử (04/12/2016)
• Để ngành hậu cần song hành cùng thương mại điện tử (02/12/2016)
• Cyber Monday khác gì với Black Friday? (02/12/2016)
TIN TỨC CŨ
