Rủi ro & Biện pháp phòng tránh rủi ro trong thương mại điện tử
27/02/2016
Thương mại điện tử là một hoạt động kinh doanh mang lại hiệu quả cao, song một khi gặp rủi ro thì những thiệt hại đối với các doanh nghiệp kinh doanh trên mạng cũng không nhỏ.
Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền dữ liệu, hay một động tác nhấp “chuột” vô tình… đều có thể làm cho toàn bộ dữ liệu của một thương vụ đang giao dịch bị xóa bỏ, hoặc những chương trình và những tệp dữ liệu đang lưu trữ mà doanh nghiệp dày công thiết kế và xây dựng bị mất, gây thiệt hại nặng nề cho các doanh nghiệp về mặt tài chính. Những yếu tố khách quan như máy hỏng hay thời tiết xấu, nghẽn máy… có thể làm tê liệt hoạt động của doanh nghiệp, hoặc tệ hại hơn là virus xâm nhập phá hủy, đảo lộn toàn bộ cơ sở dữ liệu về khách hàng, đối tác, thị trường… được lưu giữ hay ăn cắp những thông tin tuyệt mật có thể làm mất đi cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp.Ta có thể đưa ra khái niệm rủi ro trong thương mại điện tử
Khái niệm rủi ro tròn thương mại điện tử
Rủi ro trong thương mại điện tử là những tai nạn, sự cố, tai họa xảy ra một cách ngẫu nhiên, khách quan ngoài ý muốn của con người mà gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch trong Thương mại điện tử
Phân loại rủi ro trong thương mại điện tử
Rủi ro trong thương mại điện tử với những hình thái muôn màu muôn vẻ tuy nhiên tựu chung lại có thể chia thành bốn nhóm cơ bản sau
• Nhóm rủi ro dữ liệu
• Nhóm rủi ro về công nghệ
• Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
• Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ
Những rủi ro thường gặp trong thương mại điện tử
Rủi ro về dữ liệu
Số vụ tấn công vào Internet ngày càng tăng, kể cả vào những mạng được bảo vệ nghiêm ngặt (cuối năm 1996, trang web của Bộ Tư pháp Mỹ và của CIA bị truy cập và thay đổi )
Rủi ro về dữ liệu đối với người bán:
Thay đổi địa chỉ nhận đối với chuyển khoản ngân hàng và do vậy chuyển khoản này sẽ được chuyển tới một tài khoản khác của người xâm nhập bất chính.
Nhận được những đơn đặt hàng giả mạo. Trong trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán hàng trực tuyến thườn không có cách nào để xác định rằng thực chất hàng hóa đã được giao đến tay khách hàng hay chưa và chủ thẻ tín dụng có thức sự là người đã thực hiện đơn đặt hàng hay không.
Rủi ro về dữ liệu đối với người mua:
Thông tin bí mật về tài khoản bị đánh cắp khi tham gia giao dịch thương mại điện tử. Thông tin cá nhân của họ có thể bị chặn và đánh cắp khi họ gửi đi một đơn đặt hàng hay chấp nhận chào hàng
Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet (IP Spoofing), phong tỏa dịch vụ (DOS – denial of service), và thư điện tử giả mạo của các tổ chức tài chính ngân hàng
Tin tặc tấn công và các website thương mại điện tử, truy cập các thông tin về thẻ tín dụng đã không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm quyền riêng tư đối với các thông tin cá nhân của khách hàng.
Theo tạp chí bưu chính viễn thông tháng 4 năm 2000, ở Mỹ hiện có đến 60% số người chưa nối mạng Internet tỏ ý muốn nối mạng nếu như các bí mật riêng của họ được bảo vệ. Trên 50% số người nối mạng, song chưa mua hàng trên Internet là do họ lo ngại về sự xâm phạm đến các dữ liệu về họ
Rủi ro về dữ liệu đối với chính phủ
Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động.
Đặc biệt một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc tương tự như vậy. Điển hình là vụ tấn công của tin tặc Hàn Quốc vào các website của Bộ giáo dục Nhật Bản (tháng 4 – 2001) nhằm phản đối những cuốn sách giáo khoa phản ánh sai lịch sử do Nhật Bản xuất bản.
Những rủi ro liên quan đến công nghệ
Xét trên góc độ công nghệ thì có ba bộ phận dễ bị tấn công và tổn thương nhất khi thực hiện giao dịch thương mại điện tử là:
- Hệ thống của khách hàng: có thể là doanh nghiệp hay cá nhân
- Máy chủ của doanh nghiệp: ISP – nhà cung cấp dịch vụ (Internet service provider), người bán, ngân hàng
- Đường dẫn thông tin (communication pipelines)
Sau đây là những rủi ro thường gặp nhất về công nghệ đối với các website thương mại điện tử:
- Các chương trình máy tính nguy hiểm (malicious code)
Các đoạn mã nguy hiểm bao gồm nhiều mối đe dọa khác nhau như các loại virus, worm, những “con ngựa thành Tơroa”,…
Virus thực chất là chương trình máy tính có khả năng tự nhân bản hoặc tự tạo các bản sao của mình và lây lan sang các chương trình, tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái tạo) các virus máy tính đều nhằm thực hiện mụ đích nào đó. Mục đích có thể tích cực như đơn giản là hiển thị một thông điệp hay một hình ảnh hoặc cũng có thể là nhằm những mục đích xấu có tác hại ghê gớm như phá hủy các chương trình, các tệp dữ liệu, xóa sạch các thông tin hoặc định dạng lại ổ cứng của máy tính, tác động và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ thống.
Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website hay hệ thống máy tính. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. Thí dụ như ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả.
Rủi ro về gian lận thẻ tín dụng
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”(hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ra giao dịch.
Sự khước từ phục vụ (DOS – Denial of Service, DDoS)
Sự khước từ phục vụ (DOS-Denial of Service) của một website là hậu quả của việc tin tặc sử dụng những giao thông vô ích làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng (dưới dạng yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ.
Những cuộc tấn công DOS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử náo nhiệt như eBay.com hay Buy.com, những tấn công này cũng đồng nghĩa với những khoản chi phí vô cùng lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán.
Tháng 2-2000, các vụ tấn công DOS từ bọn tin tặc là nguyên nhân dẫn đến ngừng hoạt động của hàng loạt website trên thế giới trong nhiều giờ như eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động 3 đến 4 giờ. Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Cho đến nay, cả thế giới đang hi vọng tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.
DdoS: Sử dụng số lượng lớn các máy tính tấn công vào một mạng từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ
Kẻ trộm trên mạng (sniffer)
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phạm tội, nó sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện.
Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu.
Nhóm rủi ro về thủ tục, quy trình giao dịch của tổ chức
Nhiều website vẫn tiến hành bán hàng theo các yêu cầu mà không có bất kỳ sự xác thực cần thiết và cẩn trọng nào về thông tin của người mua. Họ đưa ra các đơn chào hàng và tiến hành giao hàng nếu nhận được đơn chấp nhận chào hàng từ phía người mua.
Do không có những biện pháp đảm bảo chống phủ định của người mua trong quy trình giao dịch trên các website nên không thể buộc người mua phải nhận hàng hay thanh toán khi đơn đặt hàng đã được thực hiện và hàng đã giao.
Hay những đơn đặt hàng không được nhà cung cấp thực hiện trong khi khách hàng đã tiến hành trả tiền mà không nhận được hàng, nhà cung cấp từ chối đã nhận đơn đặt hàng
Khi các bên thảo luận một hợp đồng thương mại qua hệ thống điện tử, hợp đồng đó sẽ có thể được thiết lập bằng cách một bên đưa ra lời chào hàng và bên kia chấp nhận lời chào hàng. Sự tồn tại của một hợp đồng có thể gây tranh cãi nếu bạn không có bằng chứng về sự hình thành hợp đồng. Doanh nghiệp sử dụng một phương tiện điện tử (như e-mail) trong quá trình thiết lập một hợp đồng thì rủi ro do không lường trước được.
Nhóm rủi ro về pháp luật và tiêu chuẩn công nghiệp
Hiệu lực pháp lý của giao dịch thương mại điện tử. Nước ta mặc dù đã có luật về giao dịch điện tử, trong đó thừa nhận giá trị pháp lý của các tài liệu điện tử. Cả người gửi và người nhận các tài liệu này không thể từ chối hiệu lực pháp lý của nó và cũng không thể từ chối rằng mình đã gửi hay đã nhận tài liệu đó nếu có sử dụng chữ ký điện tử an toàn
Tuy nhiên làm thế nào để đảm bảo rằng một thoả thuận đạt được qua hệ thống điện tử sẽ có tính ràng buộc về mặt pháp lý khi có sự khác nhau giữa các hệ thống pháp luật khác nhau, ví dụ Việt Nam và Nhật Bản? Chưa có một công ước chung nào về giao dịch thương mại điện tử có hiệu lực sẽ gây trở ngại trong việc giải quyết tranh chấp khi hợp đồng bị vi phạm. Lấy đơn giản là ASEAN, chưa có quy định nội khối chính thức điều chỉnh giao dịch điện tử
Việc lựa chọn toà án, trọng tài, luật điều chỉnh khi xẩy ra tranh chấp từ giao dịch điện tử là một vấn đề cần thiết để tránh các rủi ro có thể phát sinh. Các quy định cản trở sự phát triển của thương mại điện tử hoặc chưa tạo điều kiện thuận lợi cho phát triển thương mại điện tử như đăng ký website, mua bán tên miền; sự chậm trễ về dịch vụ chứng thực điện tử, thanh toán điện tử một phần là do thiếu các văn bản pháp lý điều chỉnh Rủi ro về tiêu chuẩn công nghiệp. Thiếu một hạ tầng công nghệ thông tin đồng bộ và chưa có một hệ thống các tiêu chuẩn công nghiệp phù hợp với tiêu chuẩn quốc tế và khu vực. Sự thiếu đồng bộ về tiêu chuẩn công nghiệp sẽ gây nhiều khó khăn trong việc trao đổi thông tin và đặc biệt là hoạt động chào hàng, đặt hàng cũng như vận chuyển hàng hoá, thủ tục hải quan, thuế… Mặt khác sự khác biệt giữa tiêu chuẩn công nghiệp trong thương mại truyền thống và thương mại điện tử cũng có thể gây ra những rủi ro không mong đợi. Đặc biệt là đối với những hàng hoá vô hình như các loại dịch vụ trên Internet thì hiện nay vẫn chưa có một hệ thống tiêu chuẩn công nghiệp nào để đánh giá chính xác.
Một số rủi ro điển hình khác
www.goddady.com cung cấp hosting và tên miềm của Mỹ từ đầu năm 2004 cũng đã chặn tất cả các giao dịch có địa chỉ giao thức trên mạng (IP) 203.162.*.* của Việt Nam. Goddady đã thông báo xếp Việt Nam vào danh sách các nước (cùng với Trung Quốc, Bulgaria, Indonesia, Malaysia, Pakistan, Singapore) bị chặn không được giao dịch qua mạng với mình. Biện “pháp giết lầm còn hơn bỏ sót” này gây ảnh hưởng đến nhiều doanh nghiệp làm ăn nghiêm túc của Việt Nam www.onehost.ws, từ tháng 4-2004 đã chính thức không cho người sử dụng ở Việt nam thậm chí là quyền truy cập trang web này. Chỉ cần gõ www.onehost.ws bạn chưa hề biết mặt mũi trang web ra sao thì đã nhận được ngay dòng chữ: “blocking all orders from Vietnam due to the huge number of frauds by Viet nam users” (cấm tất cả mọi đơn đặt hàng từ Việt nam do một số lượng lớn lừa đảo bởi người sử dụng Vietnam).www.yahoo.com chặn tất cả các mail từ hn.vnn.vn do có người sử dụng hòm thư này để spam vào các tài khoản mail của yahoo, việc này khiến các doanh nghiệp Việt Nam sử dụng dịch vụ của VDC không thể contact với khách hàng qua thư điện tử được, gây nhiều thiệt hại và cản trở các giao dịch.www.business.gov.com.vn không có mấy thành viên; www.vcci.com.vn không được cập nhật từ năm 2003; sự “gục ngã” của những hệ thống đã được báo chí ca ngợi hết lời như www.B2VN.com haywww.MeetVietnam.comvốn đã từng nổi tiếng một thời đều do thiếu các chiến lược kinh doanh điện tử đúng đắn, thiếu nhân lực và nguồn đầu tư dài hạn.
Rủi ro vì mất cơ hội kinh doanh
Nhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không được giao dịch trên mạng Internet bởi vì đã có người đăng ký bản quyền. Hay tên giao dịch của sàn giao dịch hàng thủ công Mỹ nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng với tên giao dịch của một trang web thuộc một công ty trên thế giới cũng đang kinh doanh trên mạng.
Sở du lịch tỉnh Quảng Ninh không đăng ký được www.halongbay.com vì đã bị đăng ký mất tên miền này, do đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dàihttp:\halongbay.halong.net
Rủi ro do sự thay đổi của công nghệ
Năm 2002, khi Internet Explorer 6.0 của Microsoft ra đời công việc kinh doanh trên mạng của www.VideoHome.com ngưng trệ do phầm mềm để download phim của hãng không tương thích với trình duyệt mới này. Ước tính từ lúc IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải phim mới thiệt hại lên tới 1,2 triệu USD. Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là nguy cơ cho các website thương mại điện tử vốn chạy tốt trên IE nhưng chưa chắc đã chạy tốt trên Firefox và ngược lại
Rủi ro liên quan đến thông tin cá nhân
Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm 1999, cô Sarah Clarson ở bang California đã bị bắt giam vì một lý do mà cô không hề làm. Số chứng minh cũng như các dấu hiệu định dạng của cô đã bị thay đổi và gán cho một nữ tội phạm đang bị truy nã.
Tấn công quá khích
Tháng 2/2000, một tin tặc 15 tuổi tự xưng là Mafiaboy tấn công các địa chỉ Internet của Yahoo, Dell, CNN, Amazon.com và eBay. Virus của người này đã tấn công máy tính của những hãng trên bằng cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền. Theo ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, đó còn chưa kể những thiệt hại về mặt uy tín của hãng đối với khách hàng
Các hacker khai thác các lỗ hổng của các hệ điều hành như Windows2000, Windows Server 2000 và các bộ Office nổi tiếng của hãng để tạo ra các virus có sức công phá và mức độ lây lan kinh khủng. Vì các phần mềm của hãng Microsoft được sử dụng rộng rãi nên hậu quả đối với các mạng máy tính trên toán thế giới là rất lớn. Chẳng hạn như vào tháng 7/2001, Virus CodeRed tấn công phần mềm mạng của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt hại trong sự cố mà nó gây ra lên đến 2,6 tỷ
Các giải pháp không mang tính kỹ thuật
Hiện nay các hãng bảo hiểm chỉ nhận bảo hiểm một số lượng rủi ro hạn chế trong TMĐT. Ví dụ như AIG NetAdvantage SuiteTM hạn chỉ nhận bảo hiểm 15 loại rủi ro. Vì vậy các doanh nghiệp luôn phải tự lực và chủ động trong việc phòng tránh rủi ro cho chính mình và khách hàng của mình. (Theo www.aig.com) Tuy nhiên, theo sản phẩm AIG NetAdvantage SuiteTMthì những rủi ro sau là những rủi ro Thương mại điện tử được hãng AIG nhận bảo hiểm.
1. Nội dung trang web (Web Content Liability): Các rủi ro về nội dung của Websites trên mạng Internet bao gồm những rủi ro về vi phạm bản quyền, thương hiệu, sở hữu trí tuệ, xâm phạm các thông tin cá nhân và gây ảnh hưởng xấu tới uy tín mà xuất phát từ những nội dung được trình bày trên trang web Thương mại điện tử.
2. Rủi ro dịch vụ Internet chuyên nghiệp (Internet Professional Liability): Những rủi ro do mắc lỗi trong các dịch vụ Internet chuyên nghiệp như cung cấp dịch vụ ứng dụng Internet-ASP (Application Service Providers), cung cấp dịch vụ Internet-ISP (Internet Service Providers), dịch vụ quản lí và an ninh mạng, dịch vụ thuê máy chủ, đăng kí tên miền, các dịch vụ về triển khai giao dịch Thương mại điện tử, dịch vụ tìm kiếm trên mạng và cho thuê cổng web điện tử.
3. Rủi ro an ninh mạng (Network Security Liability) Những rủi ro an ninh mạng máy tính được bảo hiểm bị xâm phạm như những truy cập và sử dụng trái phép, mất cắp hoặc tiết lộ thông tin cá nhân, lây lan virus máy tính hoặc bị tấn công từ chối phục vụ. Những tổn thất được bồi thường chỉ bao gồm tổn thất do bên thứ ba kiện đòi bồi thường
4. Rủi ro bị mất tài sản thông tin (Information Assets Theft) bao gồm những rủi ro gây ra những tổn thất về dữ liệu, các nguồn hệ thống máy tính và tài sản thông tin như số thẻ tín dụng, các thông tin về khách hàng, kể cả băng thông của đường truyền do những cuộc tấn công trên mạng
5. Rủi ro bị đánh cắp danh phận(Indenty theft), rủi ro thường do các hacker tiến hành thâm nhập vào máy tính cá nhân phá khoá mã bí mật và dùng danh phận của người bị đánh cắp vào các mục đích xấu. Nạn nhân thường là những người nổi tiếng và giàu có
6. Rủi ro về gián đoạn kinh doanh (Business Interruption)do mạng máy tính của người được bảo hiểm ngừng hoạt động hoặc hoạt động đình trệ, do một nguyên nhân an ninh mạng bị phá vỡ. Công ty Bảo hiểm sẽ bồi thường cho người được bảo hiểm những thu nhập bị mất và các chi phí phát sinh khác như chi phí kiện tụng và chi phí điều tra cũng như các thiệt hại gián đoạn kinh doanh khác liên quan. Ngoài ra, các chi phí nhằm khôi phục hoạt động của doanh nghiệp được công ty Bảo hiểm bồi thường tối đa thêm 100.000$
7. Rủi ro bị tống tiền (Cyber Exortion) qua mạng bao gồm các rủi ro bị đe doạ tấn công mạng hay trang web, truyền virus, tiết lộ thông tin về số thẻ tín dụng, thông tin cá nhân...Công ty Bảo hiểm sẽ bồi thường các chi phí dàn xếp với bọn tống tiền và chi phí điều tra
8. Rủi ro khủng bố máy tính (Cyber Terrorism) được quy định rõ trong luật chống khủng bố của Hoa Kì và theo Luật bảo hiểm rủi ro khủng bố 2002 do tống thống Bush kí. Công ty Bảo hiểm sẽ bồi thường các thiệt hại cho cả bên thứ nhất và bên thứ ba bao gồm các thiệt hại về dữ liệu, gián đoạn kinh doanh. 9. Rủi ro về mất uy tín (Reputation) do các nguyên nhân như tấn công từ chối dịch vụ, bị lộ thông tin cá nhân của khách hàng...Công ty Bảo hiểm sẽ hỗ trợ một khoản tiền 50.000$ mà không cần một điều kiện nào cả
10. Rủi ro bị phạt (Punitive, Examplary risks) hoặc buộc phải bồi thường do
Các phán quyết của tòa án hay trọng tài
11. Rủi ro do bị khiếu nại (Claim Risks) đòi bồi thường vật chất hoặc phi vật chất như công khai xin lỗi, huấn thị…
12. Rủi ro bị tấn công (Computer Attacks Risks)vào trang web hay mạng máy tính như truy cập hoặc sử dụng trái phép hệ thống máy tính của doanh nghiệp, tấn công từ chối dịch vụ, nhiễm các loại virus hoặc sâu máy tính. 13. Rủi ro bị mất cắp (Physical Theft of Data) bị mất cắp các hệ thống maý tính hay phần cứng có chứa các thông tin quan trọng, các hệ thống xử lý giao dịch... 14. Rủi ro thưởng tiền (Crimminal Rewards Risk)cho những thông tin hay việc truy bắt hay buộc tội những kẻ tội phạm tin học…Công ty Bảo hiểm sẽ trả tối đa 50.000$ cho rủi ro này một cách vô điều kiện. Hiện nay, sản phẩm bảo hiểm AIG NetAdvantage SuiteTM chia ra làm 7 loại sản phẩm với các loại rủi ro được bảo hiểm khác nhau. Trường hợp của Five Partners Asset Management: Joe Oquendo là một chuyên gia bảo mật máy tính của collegeboardwalk.com, người được phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five Partners Asset Management, một nhà đầu tư của collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này. Từ trường hợp này cho thấy, nguy cơ đe doạ lộ bí mật thông tin từ phía trong doanh nghiệp rất lớn. Trong bất kỳ trường hợp nào, các công ty tham gia thương mại điện tử đều phải có biện pháp thiết thực nhằm bảo vệ những thông tin không bị đánh cắp từ cả bên ngoài và trong nội bộ nhân viên công ty. Trường hợp của công ty Tower Insurance (www.tower.co.nz)
Công ty Tower Insurance (www.tower.co.nz) là công ty tài chính đầu tiên ở New Zealand mở trang Web. Mới đầu công ty chỉ mới giới thiệu về những hoạt động bảo hiểm và tài chính của công ty mình cho đối tác. Vài tháng sau, công ty AMP (www.amp.co.nz) cũng giới thiệu trang Web của mình. Bên cạnh những nội dung giống Website của công ty Tower, AMP còn cung cấp những dịch vụ tài chính “trực tuyến” cho khách hàng cho nên đã thu hút được đông đảo khách hàng. AMP đã trở thành công ty đầu tiên ở New Zealand bán bảo hiểm ô tô qua mạng. Giờ đây Tower - người từng đi tiên phong trong thương mại điện tử lại phải đuổi theo công ty AMP
Ví dụ này cho thấy nếu không biết phát triển một cách hợp lý và nhanh chóng cập nhật những công nghệ mới, các công ty đi sau trong lĩnh vực thương mại điện tử hoàn toàn có thể đuổi kịp và vượt xa hơn những công ty đi tiên phong. Giải pháp sử dụng phần mềm AntiFraud, doanh nghiệp hoàn toàn có thể sử dụng với chi phí là dưới 10 USD một tháng, nhưng phần mềm này rất hạn chế. Phần mềm này cung cấp:
- Một chương trình cung cấp tự động miễn phí các địa chỉ chuyển tiếp thư điện tử hay địa chỉ web. AntiFraud cung cấp cho khách hàng chương trình cho phép tự động kiểm tra địa chỉ thư điện tử của người mua dựa vào danh sách “cờ đỏ” (“Red Flag”). Hiện nay danh sách này có khoảng 2000 địa chỉ đã được đăng ký và được cập nhật thường xuyên
- Một chương trình theo dõi IP (IP tracking) sẽ tự động ghi lại các địa chỉ IP của những máy tính mà các đơn đặt hàng được thiết lập trên đó. Tuy nhiên có một điểm hạn chế vì đối với một nhà cung cấp dịch vụ Internet điển hình, họ có thể tạo ra các địa chỉ IP khác nhau cho mỗi lần khách hàng vào máy và thực hiện giao dịch chính vì vậy, nhà cung cấp dịch vụ Internet (Internet Service Provider) mới là người kết thúc việc theo dõi của doanh nghiệp chứ không phải người sử dụng. - Một chương trình cảnh báo gian lận tức thời sẽ cho phép các thành viên phát hiện ra sự gian lận của nhau.
- Một bản tin được gửi đều đặn: Giải pháp hệ thống kiểm tra IP (IVS) của nhà cung cấp nổi tiếng CyberSource (bao gồm cả khả năng xử lý thanh toán) với chi phí thiết lập là 1495 USD, phí cho từng giao dịch là 0,39 USD, cùng với phí duy trì hàng tháng là 195 USD
CyberSource tuyên bố rằng hệ thống IVS của họ có khả năng giảm mức độ gian lận xuống còn 0,5% trị giá các giao dịch.IVS được xây dựng dựa trên động cơ “trí khôn nhân tạo” và hoạt động nhờ và sự phân tích những nét đặc trưng của mỗi giao dịch bao gồm: thời gian đặt hàng, địa chỉ IP, vị trí địa lý, nơi giao hàng và rất nhiều yếu tố khác … Nó bao gồm tất cả 150 giao dịch với hàng loạt các chương trình kiểm tra dữ liệu, phân tích sự tương quan, phân tích độ nhạy cảm của các giao dịch hiện thời so với các giao dịch đã từng có gian lận. Sau đó, hệ thống IVS sẽ cân nhắc đưa ra kết quả và so sánh chúng với kết quả dự đoán trước của các nhà kinh doanh để từ đó khẳng định giao dịch có thể thực hiện hay huỷ bỏ. Các doanh nhân có thể xác định được mức độ rủi ro mà họ có thể chấp nhận. Họ có thể thoả mãn được thái độ mua hàng của khách hàng đối với những sản phẩm đặc biệt. Tuy nhiên, chi phí sẽ là hơi cao so với các doanh nghiệp nhỏ, giải pháp CyberSource cung cấp những lợi ích sau:
- Nhanh và tiện lợi, chỉ trong vòng 5 giây kết quả sẽ được chuyển tới khách hàng.
- Phát hiện ra sự gian lận trước khi nó xảy ra bởi việc định giá mỗi đơn đặt hàng, và sử dụng hàng triệu kết quả của các giao dịch thành công cũng như không thành công để khắc phục hiện trạng giả mạo của những giao dịch thẻ tín dụng có gian lận trong tương lai.
- Gián tiếp hay trực tiếp giảm chi phí của các giao dịch có sự gian lận (ví dụ như chi phí hoàn trả, tiền phạt, tỷ lệ chiết khấu cao) và hơn thế nữa là chi phí hàng tháng cho các nhân viên thực hiện công việc kiểm tra chống gian lận. - Hỗ trợ thương mại điện tử 24 giờ trong ngày, 7 ngày trong tuần. - Dễ dàng khắc phục được gian lận ngay cả khi khối lượng đơn đặt hàng lớn. - Hệ thống “trí khôn nhân tạo” phát triển phù hợp với từng giao dịch, giúp các nhà kinh doanh trên Internet sẽ tăng được hiểu biết từ mỗi giao dịch. - Kết quả - gian lận đã giảm dưới 1% và trong nhiều trường hợp hơn 5%, và thậm chí có thể giảm xuống dưới mức có thể đạt được bằng những phương tiện thủ công và hệ thống kiểm tra địa chỉ AVS
Mặc dù chi phí sử dụng phần mềm này tương đối cao, tuy nhiên giá cả không phải là yếu tố quan trọng. Đối với nhiều website, lợi ích mà CyberSource đem lại còn lớn hơn nhiều chi phí sử dụng nó. Vì vậy, nếu sản phẩm hay dịch vụ của doanh nghiệp có “sức hấp dẫn” đối với những “kẻ trộm trực tuyến”, đây là một giải pháp hữu hiệu.
Các biện pháp phòng tránh rủi ro trong thương mại điện tử
Bảo mật trong giao dịch
Trong giao dịch thương mại nói chung, và giao dịch thương mại điện tử nói riêng, việc bảo đảm tuyệt đối sự bí mật của giao dịch luôn phải được đặt lên hàng đầu. Bằng không, doanh nghiệp có thể gặp những nguy cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc...
Để đảm bảo sự bí mật trong giao dịch, người ta thường dùng những biện pháp sau
Mã hóa dữ liệu
- Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá” và “giải mã”. Khoá này phải được giữ bí mật.
Mã hóa khóa bí mật
Ưu điểm:
+ Đáp ứng yêu cầu về tính xác thực: xác định bên đối tác vì đã trao đổi chìa khóa với họ, chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa khóa
+ Đáp ứng yêu cầu về tính toàn vẹn: Không ai có thể thay đổi nội dung thông điệp nếu không biết chìa khóa
+ Đáp ứng yêu cầu về tính không thể chối bỏ: Bằng chứng đồng ý với nội dung thông điệp đã ký
+ Đáp ứng tính riêng tư: Không ai khác có thể đọc nội dung thông điệp nếu không biết chìa khóa
Nhược điểm:
+ Khó trao đổi chìa khóa giữa người gửi và người nhận
+ Mỗi khách hàng phải có một chìa khóa riêng -> việc tạo và quản lý khóa khó khăn
+ Dễ “giải mã” hơn: brute –force
- Mã hoá công khai (Public key Crytography): Mã hoá công khai hay còn gọi là mã hoá không đối xứng. Phương pháp này người ta sử dụng hai khoá khác nhau, khoá công khai (Public key) và khoá bí mật (Private key). Khoá công khai được công bố, khoá bí mật được giữ kín.
Khóa bằng chìa khóa công khai
Khóa bằng chía khóa bí mật
Chữ ký điện tử
Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ ký điện tử là một công cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai khác. Không những thế, khi chữ ký điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu. Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng.
Chữ ký điện tử có thể là chữ ký tự đánh từ bàn phím, một bản quét của chữ viết tay; một âm thanh, biểu tượng; một thông điệp được mã hoá hay dấu vân tay, giọng nói...
Phong bì số (Digital Envelope)
Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật (chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận và phải được chuyển cho người nhận để người nhận dùng giải mã những thông tin.
Cơ quan chứng thực (Certificate Authority – CA)
Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò là người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân của người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về lai lịch của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất quan trọng trong giao dịch điện tử. Cơ quan chứng thực có vai trò quan trọng, bởi trong thương mại điện tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi không quen biết nhau nên rất cần có sự đảm bảo của người thứ 3. Hệ thống bảo mật hiện nay đảm bảo độ an toàn rất cao, gần như là tuyệt đối, song việc thực hiện phụ thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng tin học của các bên.
Kiểm tra tính đúng đắn và chân thực của thông tin trong giao dịch
Mặc dù đã sử dụng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch, song khi nhận được các thông tin người sử dụng vẫn phải kiểm tra tính đúng đắn, chân thật của thông tin. Giao dịch trên mạng là loại hình giao dịch không biên giới có tính chất toàn cầu. Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc kiểm tra tính đúng đắn và chân thật của thông tin trong giao dịch cần phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo. Các biện pháp kiểm tra cần tuỳ theo tình huống cụ thể mà áp dụng. Có thể dùng các phương pháp kỹ thuật hoặc phương pháp điều tra mang tính xã hội...
Lưu trữ dữ liệu nhiều nơi với nhiều hình thức
Để đề phòng những rủi ro hiểm hoạ do thiên tai, sự cố bất ngờ hay những hành động chiến tranh khủng bố... thì việc lưu trữ dữ liệu trong thương mại điện tử ở nhiều nơi với nhiều hình thức là việc làm rất có ý nghĩa. Việc làm này tạo sự an toàn và liên tục trong hoạt động kinh doanh trên mạng.
Cài đặt các phần mềm chống Virut tấn công
Virút luôn là hiểm hoạ đối với các doanh nghiệp kinh doanh trên mạng. Sự phá hoại của virút là không thể lường hết được.
Virút máy tính là những đoạn mã được lập trình ra, do sự vô ý hay bất cẩn của người sử dụng mà virút được cài vào hệ thống. Khi đã được cài đặt vào hệ thống, nó sẽ tiến hành phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu của doanh nghiệp được lưu trữ trong máy tính hay ăn cắp những thông tin và chuyển những thông tin đó cho người gửi virút... Virút máy tính có độ phát tán nhanh và ảnh hưởng trong một phạm vi rộng. Các virút có cấu tạo ngày càng phức tạp và sự phá hoại ngày càng lớn với mức độ nghiêm trọng.
Vì vậy để chống sự tấn công của virút máy tính các doanh nghiệp kinh doanh trên mạng cần cài đặt những phần mềm chống virút có hiệu quả và thường xuyên cập nhật để chống những virút mới.
Tham gia bảo hiểm
Các biện pháp nêu trên đều là những biện pháp cần thiết để phòng tránh những rủi ro bất trắc trong thương mại điện tử. Song cho dù có áp dụng biện pháp nào đi chăng nữa cũng không thể đảm bảo an toàn một cách tuyệt đối bởi có rất nhiều rủi ro mang tính khách quan. Rủi ro có thể xảy ra hoặc không, lúc này hay lúc khác, mang lại tai hoạ lớn, vừa hay nhỏ... con người đều hoàn toàn không lường trước được.
Vì vậy, để đảm bảo an toàn hơn trong quá trình giao dịch trên mạng, ngoài áp dụng các biện pháp nêu trên, các doanh nghiệp kinh doanh nên tham gia bảo hiểm các rủi ro trong kinh doanh trên mạng. Hiện nay, một số công ty bảo hiểm nước ngoài đã tung ra thị trường một loại dịch vụ bảo hiểm mới là “Bảo hiểm Internet - Internet insurance” cũng ở ngay trên mạng Internet. Mặc dù chưa phải là đầy đủ, song những biện pháp nêu là các bước cơ bản để phòng ngừa và hạn chế những rủi ro tổn thất có thể gặp phải trong quá trình kinh doanh trên mạng của các doanh nghiệp.
Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền dữ liệu, hay một động tác nhấp “chuột” vô tình… đều có thể làm cho toàn bộ dữ liệu của một thương vụ đang giao dịch bị xóa bỏ, hoặc những chương trình và những tệp dữ liệu đang lưu trữ mà doanh nghiệp dày công thiết kế và xây dựng bị mất, gây thiệt hại nặng nề cho các doanh nghiệp về mặt tài chính. Những yếu tố khách quan như máy hỏng hay thời tiết xấu, nghẽn máy… có thể làm tê liệt hoạt động của doanh nghiệp, hoặc tệ hại hơn là virus xâm nhập phá hủy, đảo lộn toàn bộ cơ sở dữ liệu về khách hàng, đối tác, thị trường… được lưu giữ hay ăn cắp những thông tin tuyệt mật có thể làm mất đi cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp.Ta có thể đưa ra khái niệm rủi ro trong thương mại điện tử
Khái niệm rủi ro tròn thương mại điện tử
Rủi ro trong thương mại điện tử là những tai nạn, sự cố, tai họa xảy ra một cách ngẫu nhiên, khách quan ngoài ý muốn của con người mà gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch trong Thương mại điện tử
Phân loại rủi ro trong thương mại điện tử
Rủi ro trong thương mại điện tử với những hình thái muôn màu muôn vẻ tuy nhiên tựu chung lại có thể chia thành bốn nhóm cơ bản sau
• Nhóm rủi ro dữ liệu
• Nhóm rủi ro về công nghệ
• Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
• Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ
Những rủi ro thường gặp trong thương mại điện tử
Rủi ro về dữ liệu
Số vụ tấn công vào Internet ngày càng tăng, kể cả vào những mạng được bảo vệ nghiêm ngặt (cuối năm 1996, trang web của Bộ Tư pháp Mỹ và của CIA bị truy cập và thay đổi )
Rủi ro về dữ liệu đối với người bán:
Thay đổi địa chỉ nhận đối với chuyển khoản ngân hàng và do vậy chuyển khoản này sẽ được chuyển tới một tài khoản khác của người xâm nhập bất chính.
Nhận được những đơn đặt hàng giả mạo. Trong trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán hàng trực tuyến thườn không có cách nào để xác định rằng thực chất hàng hóa đã được giao đến tay khách hàng hay chưa và chủ thẻ tín dụng có thức sự là người đã thực hiện đơn đặt hàng hay không.
Rủi ro về dữ liệu đối với người mua:
Thông tin bí mật về tài khoản bị đánh cắp khi tham gia giao dịch thương mại điện tử. Thông tin cá nhân của họ có thể bị chặn và đánh cắp khi họ gửi đi một đơn đặt hàng hay chấp nhận chào hàng
Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet (IP Spoofing), phong tỏa dịch vụ (DOS – denial of service), và thư điện tử giả mạo của các tổ chức tài chính ngân hàng
Tin tặc tấn công và các website thương mại điện tử, truy cập các thông tin về thẻ tín dụng đã không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm quyền riêng tư đối với các thông tin cá nhân của khách hàng.
Theo tạp chí bưu chính viễn thông tháng 4 năm 2000, ở Mỹ hiện có đến 60% số người chưa nối mạng Internet tỏ ý muốn nối mạng nếu như các bí mật riêng của họ được bảo vệ. Trên 50% số người nối mạng, song chưa mua hàng trên Internet là do họ lo ngại về sự xâm phạm đến các dữ liệu về họ
Rủi ro về dữ liệu đối với chính phủ
Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động.
Đặc biệt một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc tương tự như vậy. Điển hình là vụ tấn công của tin tặc Hàn Quốc vào các website của Bộ giáo dục Nhật Bản (tháng 4 – 2001) nhằm phản đối những cuốn sách giáo khoa phản ánh sai lịch sử do Nhật Bản xuất bản.
Những rủi ro liên quan đến công nghệ
Xét trên góc độ công nghệ thì có ba bộ phận dễ bị tấn công và tổn thương nhất khi thực hiện giao dịch thương mại điện tử là:
- Hệ thống của khách hàng: có thể là doanh nghiệp hay cá nhân
- Máy chủ của doanh nghiệp: ISP – nhà cung cấp dịch vụ (Internet service provider), người bán, ngân hàng
- Đường dẫn thông tin (communication pipelines)
Sau đây là những rủi ro thường gặp nhất về công nghệ đối với các website thương mại điện tử:
- Các chương trình máy tính nguy hiểm (malicious code)
Các đoạn mã nguy hiểm bao gồm nhiều mối đe dọa khác nhau như các loại virus, worm, những “con ngựa thành Tơroa”,…
Virus thực chất là chương trình máy tính có khả năng tự nhân bản hoặc tự tạo các bản sao của mình và lây lan sang các chương trình, tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái tạo) các virus máy tính đều nhằm thực hiện mụ đích nào đó. Mục đích có thể tích cực như đơn giản là hiển thị một thông điệp hay một hình ảnh hoặc cũng có thể là nhằm những mục đích xấu có tác hại ghê gớm như phá hủy các chương trình, các tệp dữ liệu, xóa sạch các thông tin hoặc định dạng lại ổ cứng của máy tính, tác động và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ thống.
Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website hay hệ thống máy tính. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. Thí dụ như ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả.
Rủi ro về gian lận thẻ tín dụng
Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”(hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ra giao dịch.
Sự khước từ phục vụ (DOS – Denial of Service, DDoS)
Sự khước từ phục vụ (DOS-Denial of Service) của một website là hậu quả của việc tin tặc sử dụng những giao thông vô ích làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng (dưới dạng yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ.
Những cuộc tấn công DOS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử náo nhiệt như eBay.com hay Buy.com, những tấn công này cũng đồng nghĩa với những khoản chi phí vô cùng lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán.
Tháng 2-2000, các vụ tấn công DOS từ bọn tin tặc là nguyên nhân dẫn đến ngừng hoạt động của hàng loạt website trên thế giới trong nhiều giờ như eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động 3 đến 4 giờ. Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Cho đến nay, cả thế giới đang hi vọng tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.
DdoS: Sử dụng số lượng lớn các máy tính tấn công vào một mạng từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ
Kẻ trộm trên mạng (sniffer)
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phạm tội, nó sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện.
Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu.
Nhóm rủi ro về thủ tục, quy trình giao dịch của tổ chức
Nhiều website vẫn tiến hành bán hàng theo các yêu cầu mà không có bất kỳ sự xác thực cần thiết và cẩn trọng nào về thông tin của người mua. Họ đưa ra các đơn chào hàng và tiến hành giao hàng nếu nhận được đơn chấp nhận chào hàng từ phía người mua.
Do không có những biện pháp đảm bảo chống phủ định của người mua trong quy trình giao dịch trên các website nên không thể buộc người mua phải nhận hàng hay thanh toán khi đơn đặt hàng đã được thực hiện và hàng đã giao.
Hay những đơn đặt hàng không được nhà cung cấp thực hiện trong khi khách hàng đã tiến hành trả tiền mà không nhận được hàng, nhà cung cấp từ chối đã nhận đơn đặt hàng
Khi các bên thảo luận một hợp đồng thương mại qua hệ thống điện tử, hợp đồng đó sẽ có thể được thiết lập bằng cách một bên đưa ra lời chào hàng và bên kia chấp nhận lời chào hàng. Sự tồn tại của một hợp đồng có thể gây tranh cãi nếu bạn không có bằng chứng về sự hình thành hợp đồng. Doanh nghiệp sử dụng một phương tiện điện tử (như e-mail) trong quá trình thiết lập một hợp đồng thì rủi ro do không lường trước được.
Nhóm rủi ro về pháp luật và tiêu chuẩn công nghiệp
Hiệu lực pháp lý của giao dịch thương mại điện tử. Nước ta mặc dù đã có luật về giao dịch điện tử, trong đó thừa nhận giá trị pháp lý của các tài liệu điện tử. Cả người gửi và người nhận các tài liệu này không thể từ chối hiệu lực pháp lý của nó và cũng không thể từ chối rằng mình đã gửi hay đã nhận tài liệu đó nếu có sử dụng chữ ký điện tử an toàn
Tuy nhiên làm thế nào để đảm bảo rằng một thoả thuận đạt được qua hệ thống điện tử sẽ có tính ràng buộc về mặt pháp lý khi có sự khác nhau giữa các hệ thống pháp luật khác nhau, ví dụ Việt Nam và Nhật Bản? Chưa có một công ước chung nào về giao dịch thương mại điện tử có hiệu lực sẽ gây trở ngại trong việc giải quyết tranh chấp khi hợp đồng bị vi phạm. Lấy đơn giản là ASEAN, chưa có quy định nội khối chính thức điều chỉnh giao dịch điện tử
Việc lựa chọn toà án, trọng tài, luật điều chỉnh khi xẩy ra tranh chấp từ giao dịch điện tử là một vấn đề cần thiết để tránh các rủi ro có thể phát sinh. Các quy định cản trở sự phát triển của thương mại điện tử hoặc chưa tạo điều kiện thuận lợi cho phát triển thương mại điện tử như đăng ký website, mua bán tên miền; sự chậm trễ về dịch vụ chứng thực điện tử, thanh toán điện tử một phần là do thiếu các văn bản pháp lý điều chỉnh Rủi ro về tiêu chuẩn công nghiệp. Thiếu một hạ tầng công nghệ thông tin đồng bộ và chưa có một hệ thống các tiêu chuẩn công nghiệp phù hợp với tiêu chuẩn quốc tế và khu vực. Sự thiếu đồng bộ về tiêu chuẩn công nghiệp sẽ gây nhiều khó khăn trong việc trao đổi thông tin và đặc biệt là hoạt động chào hàng, đặt hàng cũng như vận chuyển hàng hoá, thủ tục hải quan, thuế… Mặt khác sự khác biệt giữa tiêu chuẩn công nghiệp trong thương mại truyền thống và thương mại điện tử cũng có thể gây ra những rủi ro không mong đợi. Đặc biệt là đối với những hàng hoá vô hình như các loại dịch vụ trên Internet thì hiện nay vẫn chưa có một hệ thống tiêu chuẩn công nghiệp nào để đánh giá chính xác.
Một số rủi ro điển hình khác
www.goddady.com cung cấp hosting và tên miềm của Mỹ từ đầu năm 2004 cũng đã chặn tất cả các giao dịch có địa chỉ giao thức trên mạng (IP) 203.162.*.* của Việt Nam. Goddady đã thông báo xếp Việt Nam vào danh sách các nước (cùng với Trung Quốc, Bulgaria, Indonesia, Malaysia, Pakistan, Singapore) bị chặn không được giao dịch qua mạng với mình. Biện “pháp giết lầm còn hơn bỏ sót” này gây ảnh hưởng đến nhiều doanh nghiệp làm ăn nghiêm túc của Việt Nam www.onehost.ws, từ tháng 4-2004 đã chính thức không cho người sử dụng ở Việt nam thậm chí là quyền truy cập trang web này. Chỉ cần gõ www.onehost.ws bạn chưa hề biết mặt mũi trang web ra sao thì đã nhận được ngay dòng chữ: “blocking all orders from Vietnam due to the huge number of frauds by Viet nam users” (cấm tất cả mọi đơn đặt hàng từ Việt nam do một số lượng lớn lừa đảo bởi người sử dụng Vietnam).www.yahoo.com chặn tất cả các mail từ hn.vnn.vn do có người sử dụng hòm thư này để spam vào các tài khoản mail của yahoo, việc này khiến các doanh nghiệp Việt Nam sử dụng dịch vụ của VDC không thể contact với khách hàng qua thư điện tử được, gây nhiều thiệt hại và cản trở các giao dịch.www.business.gov.com.vn không có mấy thành viên; www.vcci.com.vn không được cập nhật từ năm 2003; sự “gục ngã” của những hệ thống đã được báo chí ca ngợi hết lời như www.B2VN.com haywww.MeetVietnam.comvốn đã từng nổi tiếng một thời đều do thiếu các chiến lược kinh doanh điện tử đúng đắn, thiếu nhân lực và nguồn đầu tư dài hạn.
Rủi ro vì mất cơ hội kinh doanh
Nhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không được giao dịch trên mạng Internet bởi vì đã có người đăng ký bản quyền. Hay tên giao dịch của sàn giao dịch hàng thủ công Mỹ nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng với tên giao dịch của một trang web thuộc một công ty trên thế giới cũng đang kinh doanh trên mạng.
Sở du lịch tỉnh Quảng Ninh không đăng ký được www.halongbay.com vì đã bị đăng ký mất tên miền này, do đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dàihttp:\halongbay.halong.net
Rủi ro do sự thay đổi của công nghệ
Năm 2002, khi Internet Explorer 6.0 của Microsoft ra đời công việc kinh doanh trên mạng của www.VideoHome.com ngưng trệ do phầm mềm để download phim của hãng không tương thích với trình duyệt mới này. Ước tính từ lúc IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải phim mới thiệt hại lên tới 1,2 triệu USD. Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là nguy cơ cho các website thương mại điện tử vốn chạy tốt trên IE nhưng chưa chắc đã chạy tốt trên Firefox và ngược lại
Rủi ro liên quan đến thông tin cá nhân
Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm 1999, cô Sarah Clarson ở bang California đã bị bắt giam vì một lý do mà cô không hề làm. Số chứng minh cũng như các dấu hiệu định dạng của cô đã bị thay đổi và gán cho một nữ tội phạm đang bị truy nã.
Tấn công quá khích
Tháng 2/2000, một tin tặc 15 tuổi tự xưng là Mafiaboy tấn công các địa chỉ Internet của Yahoo, Dell, CNN, Amazon.com và eBay. Virus của người này đã tấn công máy tính của những hãng trên bằng cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền. Theo ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, đó còn chưa kể những thiệt hại về mặt uy tín của hãng đối với khách hàng
Các hacker khai thác các lỗ hổng của các hệ điều hành như Windows2000, Windows Server 2000 và các bộ Office nổi tiếng của hãng để tạo ra các virus có sức công phá và mức độ lây lan kinh khủng. Vì các phần mềm của hãng Microsoft được sử dụng rộng rãi nên hậu quả đối với các mạng máy tính trên toán thế giới là rất lớn. Chẳng hạn như vào tháng 7/2001, Virus CodeRed tấn công phần mềm mạng của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt hại trong sự cố mà nó gây ra lên đến 2,6 tỷ
Các giải pháp không mang tính kỹ thuật
Hiện nay các hãng bảo hiểm chỉ nhận bảo hiểm một số lượng rủi ro hạn chế trong TMĐT. Ví dụ như AIG NetAdvantage SuiteTM hạn chỉ nhận bảo hiểm 15 loại rủi ro. Vì vậy các doanh nghiệp luôn phải tự lực và chủ động trong việc phòng tránh rủi ro cho chính mình và khách hàng của mình. (Theo www.aig.com) Tuy nhiên, theo sản phẩm AIG NetAdvantage SuiteTMthì những rủi ro sau là những rủi ro Thương mại điện tử được hãng AIG nhận bảo hiểm.
1. Nội dung trang web (Web Content Liability): Các rủi ro về nội dung của Websites trên mạng Internet bao gồm những rủi ro về vi phạm bản quyền, thương hiệu, sở hữu trí tuệ, xâm phạm các thông tin cá nhân và gây ảnh hưởng xấu tới uy tín mà xuất phát từ những nội dung được trình bày trên trang web Thương mại điện tử.
2. Rủi ro dịch vụ Internet chuyên nghiệp (Internet Professional Liability): Những rủi ro do mắc lỗi trong các dịch vụ Internet chuyên nghiệp như cung cấp dịch vụ ứng dụng Internet-ASP (Application Service Providers), cung cấp dịch vụ Internet-ISP (Internet Service Providers), dịch vụ quản lí và an ninh mạng, dịch vụ thuê máy chủ, đăng kí tên miền, các dịch vụ về triển khai giao dịch Thương mại điện tử, dịch vụ tìm kiếm trên mạng và cho thuê cổng web điện tử.
3. Rủi ro an ninh mạng (Network Security Liability) Những rủi ro an ninh mạng máy tính được bảo hiểm bị xâm phạm như những truy cập và sử dụng trái phép, mất cắp hoặc tiết lộ thông tin cá nhân, lây lan virus máy tính hoặc bị tấn công từ chối phục vụ. Những tổn thất được bồi thường chỉ bao gồm tổn thất do bên thứ ba kiện đòi bồi thường
4. Rủi ro bị mất tài sản thông tin (Information Assets Theft) bao gồm những rủi ro gây ra những tổn thất về dữ liệu, các nguồn hệ thống máy tính và tài sản thông tin như số thẻ tín dụng, các thông tin về khách hàng, kể cả băng thông của đường truyền do những cuộc tấn công trên mạng
5. Rủi ro bị đánh cắp danh phận(Indenty theft), rủi ro thường do các hacker tiến hành thâm nhập vào máy tính cá nhân phá khoá mã bí mật và dùng danh phận của người bị đánh cắp vào các mục đích xấu. Nạn nhân thường là những người nổi tiếng và giàu có
6. Rủi ro về gián đoạn kinh doanh (Business Interruption)do mạng máy tính của người được bảo hiểm ngừng hoạt động hoặc hoạt động đình trệ, do một nguyên nhân an ninh mạng bị phá vỡ. Công ty Bảo hiểm sẽ bồi thường cho người được bảo hiểm những thu nhập bị mất và các chi phí phát sinh khác như chi phí kiện tụng và chi phí điều tra cũng như các thiệt hại gián đoạn kinh doanh khác liên quan. Ngoài ra, các chi phí nhằm khôi phục hoạt động của doanh nghiệp được công ty Bảo hiểm bồi thường tối đa thêm 100.000$
7. Rủi ro bị tống tiền (Cyber Exortion) qua mạng bao gồm các rủi ro bị đe doạ tấn công mạng hay trang web, truyền virus, tiết lộ thông tin về số thẻ tín dụng, thông tin cá nhân...Công ty Bảo hiểm sẽ bồi thường các chi phí dàn xếp với bọn tống tiền và chi phí điều tra
8. Rủi ro khủng bố máy tính (Cyber Terrorism) được quy định rõ trong luật chống khủng bố của Hoa Kì và theo Luật bảo hiểm rủi ro khủng bố 2002 do tống thống Bush kí. Công ty Bảo hiểm sẽ bồi thường các thiệt hại cho cả bên thứ nhất và bên thứ ba bao gồm các thiệt hại về dữ liệu, gián đoạn kinh doanh. 9. Rủi ro về mất uy tín (Reputation) do các nguyên nhân như tấn công từ chối dịch vụ, bị lộ thông tin cá nhân của khách hàng...Công ty Bảo hiểm sẽ hỗ trợ một khoản tiền 50.000$ mà không cần một điều kiện nào cả
10. Rủi ro bị phạt (Punitive, Examplary risks) hoặc buộc phải bồi thường do
Các phán quyết của tòa án hay trọng tài
11. Rủi ro do bị khiếu nại (Claim Risks) đòi bồi thường vật chất hoặc phi vật chất như công khai xin lỗi, huấn thị…
12. Rủi ro bị tấn công (Computer Attacks Risks)vào trang web hay mạng máy tính như truy cập hoặc sử dụng trái phép hệ thống máy tính của doanh nghiệp, tấn công từ chối dịch vụ, nhiễm các loại virus hoặc sâu máy tính. 13. Rủi ro bị mất cắp (Physical Theft of Data) bị mất cắp các hệ thống maý tính hay phần cứng có chứa các thông tin quan trọng, các hệ thống xử lý giao dịch... 14. Rủi ro thưởng tiền (Crimminal Rewards Risk)cho những thông tin hay việc truy bắt hay buộc tội những kẻ tội phạm tin học…Công ty Bảo hiểm sẽ trả tối đa 50.000$ cho rủi ro này một cách vô điều kiện. Hiện nay, sản phẩm bảo hiểm AIG NetAdvantage SuiteTM chia ra làm 7 loại sản phẩm với các loại rủi ro được bảo hiểm khác nhau. Trường hợp của Five Partners Asset Management: Joe Oquendo là một chuyên gia bảo mật máy tính của collegeboardwalk.com, người được phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five Partners Asset Management, một nhà đầu tư của collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này. Từ trường hợp này cho thấy, nguy cơ đe doạ lộ bí mật thông tin từ phía trong doanh nghiệp rất lớn. Trong bất kỳ trường hợp nào, các công ty tham gia thương mại điện tử đều phải có biện pháp thiết thực nhằm bảo vệ những thông tin không bị đánh cắp từ cả bên ngoài và trong nội bộ nhân viên công ty. Trường hợp của công ty Tower Insurance (www.tower.co.nz)
Công ty Tower Insurance (www.tower.co.nz) là công ty tài chính đầu tiên ở New Zealand mở trang Web. Mới đầu công ty chỉ mới giới thiệu về những hoạt động bảo hiểm và tài chính của công ty mình cho đối tác. Vài tháng sau, công ty AMP (www.amp.co.nz) cũng giới thiệu trang Web của mình. Bên cạnh những nội dung giống Website của công ty Tower, AMP còn cung cấp những dịch vụ tài chính “trực tuyến” cho khách hàng cho nên đã thu hút được đông đảo khách hàng. AMP đã trở thành công ty đầu tiên ở New Zealand bán bảo hiểm ô tô qua mạng. Giờ đây Tower - người từng đi tiên phong trong thương mại điện tử lại phải đuổi theo công ty AMP
Ví dụ này cho thấy nếu không biết phát triển một cách hợp lý và nhanh chóng cập nhật những công nghệ mới, các công ty đi sau trong lĩnh vực thương mại điện tử hoàn toàn có thể đuổi kịp và vượt xa hơn những công ty đi tiên phong. Giải pháp sử dụng phần mềm AntiFraud, doanh nghiệp hoàn toàn có thể sử dụng với chi phí là dưới 10 USD một tháng, nhưng phần mềm này rất hạn chế. Phần mềm này cung cấp:
- Một chương trình cung cấp tự động miễn phí các địa chỉ chuyển tiếp thư điện tử hay địa chỉ web. AntiFraud cung cấp cho khách hàng chương trình cho phép tự động kiểm tra địa chỉ thư điện tử của người mua dựa vào danh sách “cờ đỏ” (“Red Flag”). Hiện nay danh sách này có khoảng 2000 địa chỉ đã được đăng ký và được cập nhật thường xuyên
- Một chương trình theo dõi IP (IP tracking) sẽ tự động ghi lại các địa chỉ IP của những máy tính mà các đơn đặt hàng được thiết lập trên đó. Tuy nhiên có một điểm hạn chế vì đối với một nhà cung cấp dịch vụ Internet điển hình, họ có thể tạo ra các địa chỉ IP khác nhau cho mỗi lần khách hàng vào máy và thực hiện giao dịch chính vì vậy, nhà cung cấp dịch vụ Internet (Internet Service Provider) mới là người kết thúc việc theo dõi của doanh nghiệp chứ không phải người sử dụng. - Một chương trình cảnh báo gian lận tức thời sẽ cho phép các thành viên phát hiện ra sự gian lận của nhau.
- Một bản tin được gửi đều đặn: Giải pháp hệ thống kiểm tra IP (IVS) của nhà cung cấp nổi tiếng CyberSource (bao gồm cả khả năng xử lý thanh toán) với chi phí thiết lập là 1495 USD, phí cho từng giao dịch là 0,39 USD, cùng với phí duy trì hàng tháng là 195 USD
CyberSource tuyên bố rằng hệ thống IVS của họ có khả năng giảm mức độ gian lận xuống còn 0,5% trị giá các giao dịch.IVS được xây dựng dựa trên động cơ “trí khôn nhân tạo” và hoạt động nhờ và sự phân tích những nét đặc trưng của mỗi giao dịch bao gồm: thời gian đặt hàng, địa chỉ IP, vị trí địa lý, nơi giao hàng và rất nhiều yếu tố khác … Nó bao gồm tất cả 150 giao dịch với hàng loạt các chương trình kiểm tra dữ liệu, phân tích sự tương quan, phân tích độ nhạy cảm của các giao dịch hiện thời so với các giao dịch đã từng có gian lận. Sau đó, hệ thống IVS sẽ cân nhắc đưa ra kết quả và so sánh chúng với kết quả dự đoán trước của các nhà kinh doanh để từ đó khẳng định giao dịch có thể thực hiện hay huỷ bỏ. Các doanh nhân có thể xác định được mức độ rủi ro mà họ có thể chấp nhận. Họ có thể thoả mãn được thái độ mua hàng của khách hàng đối với những sản phẩm đặc biệt. Tuy nhiên, chi phí sẽ là hơi cao so với các doanh nghiệp nhỏ, giải pháp CyberSource cung cấp những lợi ích sau:
- Nhanh và tiện lợi, chỉ trong vòng 5 giây kết quả sẽ được chuyển tới khách hàng.
- Phát hiện ra sự gian lận trước khi nó xảy ra bởi việc định giá mỗi đơn đặt hàng, và sử dụng hàng triệu kết quả của các giao dịch thành công cũng như không thành công để khắc phục hiện trạng giả mạo của những giao dịch thẻ tín dụng có gian lận trong tương lai.
- Gián tiếp hay trực tiếp giảm chi phí của các giao dịch có sự gian lận (ví dụ như chi phí hoàn trả, tiền phạt, tỷ lệ chiết khấu cao) và hơn thế nữa là chi phí hàng tháng cho các nhân viên thực hiện công việc kiểm tra chống gian lận. - Hỗ trợ thương mại điện tử 24 giờ trong ngày, 7 ngày trong tuần. - Dễ dàng khắc phục được gian lận ngay cả khi khối lượng đơn đặt hàng lớn. - Hệ thống “trí khôn nhân tạo” phát triển phù hợp với từng giao dịch, giúp các nhà kinh doanh trên Internet sẽ tăng được hiểu biết từ mỗi giao dịch. - Kết quả - gian lận đã giảm dưới 1% và trong nhiều trường hợp hơn 5%, và thậm chí có thể giảm xuống dưới mức có thể đạt được bằng những phương tiện thủ công và hệ thống kiểm tra địa chỉ AVS
Mặc dù chi phí sử dụng phần mềm này tương đối cao, tuy nhiên giá cả không phải là yếu tố quan trọng. Đối với nhiều website, lợi ích mà CyberSource đem lại còn lớn hơn nhiều chi phí sử dụng nó. Vì vậy, nếu sản phẩm hay dịch vụ của doanh nghiệp có “sức hấp dẫn” đối với những “kẻ trộm trực tuyến”, đây là một giải pháp hữu hiệu.
Các biện pháp phòng tránh rủi ro trong thương mại điện tử
Bảo mật trong giao dịch
Trong giao dịch thương mại nói chung, và giao dịch thương mại điện tử nói riêng, việc bảo đảm tuyệt đối sự bí mật của giao dịch luôn phải được đặt lên hàng đầu. Bằng không, doanh nghiệp có thể gặp những nguy cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc...
Để đảm bảo sự bí mật trong giao dịch, người ta thường dùng những biện pháp sau
Mã hóa dữ liệu
- Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá” và “giải mã”. Khoá này phải được giữ bí mật.
Mã hóa khóa bí mật
Ưu điểm:
+ Đáp ứng yêu cầu về tính xác thực: xác định bên đối tác vì đã trao đổi chìa khóa với họ, chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa khóa
+ Đáp ứng yêu cầu về tính toàn vẹn: Không ai có thể thay đổi nội dung thông điệp nếu không biết chìa khóa
+ Đáp ứng yêu cầu về tính không thể chối bỏ: Bằng chứng đồng ý với nội dung thông điệp đã ký
+ Đáp ứng tính riêng tư: Không ai khác có thể đọc nội dung thông điệp nếu không biết chìa khóa
Nhược điểm:
+ Khó trao đổi chìa khóa giữa người gửi và người nhận
+ Mỗi khách hàng phải có một chìa khóa riêng -> việc tạo và quản lý khóa khó khăn
+ Dễ “giải mã” hơn: brute –force
- Mã hoá công khai (Public key Crytography): Mã hoá công khai hay còn gọi là mã hoá không đối xứng. Phương pháp này người ta sử dụng hai khoá khác nhau, khoá công khai (Public key) và khoá bí mật (Private key). Khoá công khai được công bố, khoá bí mật được giữ kín.
Khóa bằng chìa khóa công khai
Khóa bằng chía khóa bí mật
Chữ ký điện tử
Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ ký điện tử là một công cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai khác. Không những thế, khi chữ ký điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu. Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng.
Chữ ký điện tử có thể là chữ ký tự đánh từ bàn phím, một bản quét của chữ viết tay; một âm thanh, biểu tượng; một thông điệp được mã hoá hay dấu vân tay, giọng nói...
Phong bì số (Digital Envelope)
Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật (chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận và phải được chuyển cho người nhận để người nhận dùng giải mã những thông tin.
Cơ quan chứng thực (Certificate Authority – CA)
Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò là người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân của người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về lai lịch của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất quan trọng trong giao dịch điện tử. Cơ quan chứng thực có vai trò quan trọng, bởi trong thương mại điện tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi không quen biết nhau nên rất cần có sự đảm bảo của người thứ 3. Hệ thống bảo mật hiện nay đảm bảo độ an toàn rất cao, gần như là tuyệt đối, song việc thực hiện phụ thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng tin học của các bên.
Kiểm tra tính đúng đắn và chân thực của thông tin trong giao dịch
Mặc dù đã sử dụng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch, song khi nhận được các thông tin người sử dụng vẫn phải kiểm tra tính đúng đắn, chân thật của thông tin. Giao dịch trên mạng là loại hình giao dịch không biên giới có tính chất toàn cầu. Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc kiểm tra tính đúng đắn và chân thật của thông tin trong giao dịch cần phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo. Các biện pháp kiểm tra cần tuỳ theo tình huống cụ thể mà áp dụng. Có thể dùng các phương pháp kỹ thuật hoặc phương pháp điều tra mang tính xã hội...
Lưu trữ dữ liệu nhiều nơi với nhiều hình thức
Để đề phòng những rủi ro hiểm hoạ do thiên tai, sự cố bất ngờ hay những hành động chiến tranh khủng bố... thì việc lưu trữ dữ liệu trong thương mại điện tử ở nhiều nơi với nhiều hình thức là việc làm rất có ý nghĩa. Việc làm này tạo sự an toàn và liên tục trong hoạt động kinh doanh trên mạng.
Cài đặt các phần mềm chống Virut tấn công
Virút luôn là hiểm hoạ đối với các doanh nghiệp kinh doanh trên mạng. Sự phá hoại của virút là không thể lường hết được.
Virút máy tính là những đoạn mã được lập trình ra, do sự vô ý hay bất cẩn của người sử dụng mà virút được cài vào hệ thống. Khi đã được cài đặt vào hệ thống, nó sẽ tiến hành phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu của doanh nghiệp được lưu trữ trong máy tính hay ăn cắp những thông tin và chuyển những thông tin đó cho người gửi virút... Virút máy tính có độ phát tán nhanh và ảnh hưởng trong một phạm vi rộng. Các virút có cấu tạo ngày càng phức tạp và sự phá hoại ngày càng lớn với mức độ nghiêm trọng.
Vì vậy để chống sự tấn công của virút máy tính các doanh nghiệp kinh doanh trên mạng cần cài đặt những phần mềm chống virút có hiệu quả và thường xuyên cập nhật để chống những virút mới.
Tham gia bảo hiểm
Các biện pháp nêu trên đều là những biện pháp cần thiết để phòng tránh những rủi ro bất trắc trong thương mại điện tử. Song cho dù có áp dụng biện pháp nào đi chăng nữa cũng không thể đảm bảo an toàn một cách tuyệt đối bởi có rất nhiều rủi ro mang tính khách quan. Rủi ro có thể xảy ra hoặc không, lúc này hay lúc khác, mang lại tai hoạ lớn, vừa hay nhỏ... con người đều hoàn toàn không lường trước được.
Vì vậy, để đảm bảo an toàn hơn trong quá trình giao dịch trên mạng, ngoài áp dụng các biện pháp nêu trên, các doanh nghiệp kinh doanh nên tham gia bảo hiểm các rủi ro trong kinh doanh trên mạng. Hiện nay, một số công ty bảo hiểm nước ngoài đã tung ra thị trường một loại dịch vụ bảo hiểm mới là “Bảo hiểm Internet - Internet insurance” cũng ở ngay trên mạng Internet. Mặc dù chưa phải là đầy đủ, song những biện pháp nêu là các bước cơ bản để phòng ngừa và hạn chế những rủi ro tổn thất có thể gặp phải trong quá trình kinh doanh trên mạng của các doanh nghiệp.
Ý kiến bạn đọc
TIN TỨC MỚI
• 10 thương vụ "cá lớn nuốt cá bé" nổi bật nhất thế giới công nghệ trong năm 2016 (19/12/2016)
• Cạnh tranh bán lẻ trực tuyến ngày càng khốc liệt (16/12/2016)
• Phạm vi và đối tượng của Thương mại điện tử (16/12/2016)
• Năm 2016, thương mại điện tử tăng mạnh (15/12/2016)
• Cung cấp giải pháp tìm kiếm thông tin thương mại Thủ đô (15/12/2016)
• Thương mại điện tử Việt Nam 2016: "Tam quốc diễn nghĩa" Trung - Thái - Hàn, doanh nghiệp Việt gồng mình đấu với cả 3 (14/12/2016)
• Online Friday 2016 lập kỷ lục doanh thu (09/12/2016)
• Đại gia bán lẻ đua làm thương mại điện tử (04/12/2016)
• Để ngành hậu cần song hành cùng thương mại điện tử (02/12/2016)
• Cyber Monday khác gì với Black Friday? (02/12/2016)
TIN TỨC CŨ