Thương Mại điện Tử - Chương 4: Rủi Ro Và Phòng Tránh ... - SlideShare

Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT•0 likes•3,004 viewsSShare Tai LieuFollow

Môn học thương mại điện tử Giảng viên: Trần Đức Trí - Đại Học Kinh Tế HuếRead less

Read more1 of 65Download nowDownloaded 22 times

More Related Content

Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT

• 1. 1 11 RỦI RO VÀ PHÒNG TRÁNH RỦI RO TRONG TMĐT Trần Đức Trí - ĐH Kinh tế - ĐH Huế
• 2. Rủi ro và phòng tránh rủi ro TMĐT 2 2 Nội dung trình bày Tổng quan4.1 Rủi ro chính4.2 Xây dựng kế hoạch an ninh4.3
• 3. Rủi ro và phòng tránh rủi ro TMĐT 3 333 4.1 Tổng quan về an toàn và phòng tránh rủi ro trong TMĐT
• 4. Rủi ro và phòng tránh rủi ro TMĐT 4 Khái niệm rủi ro trong TMĐT Rủi ro trong thương mại điện tử là những tai nạn, sự cố, tai họa xảy ra một cách ngẫu nhiên, khách quan ngoài ý muốn của con người 4
• 5. Rủi ro và phòng tránh rủi ro TMĐT 5 Vì sao phải phòng tránh rủi ro? • Liên tục bị tấn công • Hình thức đa dạng • Thiệt hại tài chính lớn • Phải dùng nhiều biện pháp đồng thời để phòng chống
• 6. Rủi ro và phòng tránh rủi ro TMĐT 6 Rủi ro trong TMĐT tại Việt Nam 6 Nguồn: Báo cáo TMĐT Việt Nam năm 2011
• 7. Rủi ro và phòng tránh rủi ro TMĐT 7 Rủi ro trong TMĐT tại Việt Nam (tt)
• 8. Rủi ro và phòng tránh rủi ro TMĐT 8 Rủi ro trong TMĐT tại Việt Nam (tt) • Số lượng sự cố máy tính được thông báo và xử lý tăng gần gấp 3 lần so với năm ngoái, tần xuất tấn công lớn hơn • Tháng 10/2011 có hơn 150 website tại Việt Nam có tên miền .vn, .com, .net bị đánh sập. Tính đến 7/11 đã có hơn 300 website có đuôi .gov.vn bị tấn công. Đối tượng bị tấn công và sửa đổi thông tin không chỉ ở các đơn vị nhà nước mà còn có cả các trang thông tin điện tử, báo điện tử, trang tin của các tập đoàn, doanh nghiệp... • 73% doanh nghiệp hiện không có chính sách an toàn thông tin, 45% doanh nghiệp không có quy trình xử lý sự cố về an toàn thông tin, 23% không biết hệ thống mình có bị tấn công hay không. • Việt Nam đứng thứ 4 thế giới về số người dùng di động bị mã độc tấn công (Kaspersky Lab, 28/02/2014) • Việt Nam đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng (Symaltec, 2012) 8
• 9. Rủi ro và phòng tránh rủi ro TMĐT 9 Quy trình bảo đảm an toàn đối với TMĐT • Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độ truy cập và ai giao quyền truy cập • Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,… • Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này • Cập nhật chính sách an ninh thương mại điện tử: mức độ thường xuyên và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó. 9
• 10. Rủi ro và phòng tránh rủi ro TMĐT 10 101010 4.2 Rủi ro chính trong TMĐT
• 11. Rủi ro và phòng tránh rủi ro TMĐT 11 Phân loại rủi ro trong TMĐT 11
• 12. Rủi ro và phòng tránh rủi ro TMĐT 12 Rủi ro về dữ liệu 12 Đối với người mua Đối với chính phủ Đối với người bán •Thay đổi địa chỉ nhận đối với chuyển khoản ngân hàng •Nhận được những đơn đặt hàng giả mạo •Thông tin bí mật về tài khoản bị đánh cắp •Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet, phong tỏa dịch vụ và thư điện tử giả mạo của các tổ chức tài chính ngân hàng •Tin tặc tấn công vào các website thương mại điện tử •Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động.
• 13. Rủi ro và phòng tránh rủi ro TMĐT 13 Rủi ro về dữ liệu đối với chính phủ 13
• 14. Rủi ro và phòng tránh rủi ro TMĐT 14 Wikileaks gây ra "sự cố" như thế nào? • Tháng 7/2010, Wikileak đã cho công bố hàng vạn bản tài liệu mật về quân đội Mỹ, trong đó bao gồm các tài liệu liên quan đến cuộc chiến ở Afghanistan, và chuyển các tài liệu này đến các báo New York Times, Guardian và Der Spiegel. – "Afghan War Diary" (Nhật kí chiến tranh Afghanistan), 91.000 tài liệu được thu thập trong suốt thời kỳ chiến tranh ở Afghanistan từ năm 2004 đến 2010 đã được công bố. • Đầu tháng 10/2010, Wikileaks đã liên hệ với hơn 10 tờ báo lớn trên thế giới như: tờ New York Times (Mỹ), Le Monde (Pháp), CNN (Mỹ), The Guardian (Anh), BBC (Anh), Channel 4 (Anh), SVT (Thụy Điển), Al-Jazeera (Ả rập), Der Spiegel (Đức),… và Văn phòng Báo chí điều tra (Anh), Tổ chức Đếm xác Irag, Tổ chức Các luật sư vì lợi ích chung… – Các cơ quan trên đã cam kết với Wikileaks sẽ đồng loạt tung ra tài liệu mật sau ngày 22/10 • Ngày 22/10/2010, WikiLeaks đã cho công bố 400.000 gói tài liệu mật về cuộc chiếc tranh của Mỹ tại Iraq. • Ngày 29/11, một gói dữ liệu khoảng 250.000 điện tín ngoại giao của Mỹ, hầu hết trong vòng ba năm trở lại, đã được Wikileaks tung ra. – Gói dữ liệu này cung cấp một cái nhìn chưa từng có về việc tranh cãi của các đại sứ quán Mỹ trên thế giới, quan điểm phía sau "cánh gà" của giới lãnh đạo nhiều nước và những nhận định về nguy cơ hạt nhân và khủng bố.
• 15. Rủi ro và phòng tránh rủi ro TMĐT 15 Một số dạng tấn công 15 15 Rủi ro về gian lận thẻ tín dụng Tấn công từ chối dịch vụ (DOS, DDoS, DRDoS) Phishing – “kẻ giả mạo” Kẻ trộm trên mạng (sniffer) Các chương trình máy tính nguy hiểm (malicious code) Rủi ro Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
• 16. Rủi ro và phòng tránh rủi ro TMĐT 16 Các dạng tấn công không về mặt công nghệ phổ biến • Malware (Virus, Worms, Trojan) – Phần mềm độc hại • Unauthorized Access – Truy cập trái phép • Denial-of-Service Attacks – Tấn công từ chối dịch vụ • Spam and Spyware - Thư rác và phần mềm gián điệp • Hijacking (Servers, Pages) – Chiếm kết nối • Botnets Các dạng tấn công về mặt công nghệ phổ biến (xếp hạng từ cao đến thấp) • Financial fraud • Spam • Phishing • ….
• 17. Rủi ro và phòng tránh rủi ro TMĐT 17 Các chương trình máy tính nguy hiểm (malicious code) • Các đoạn mã nguy hiểm bao gồm: các loại virus, worm, những “con ngựa thành Tơroa”,… – Virus là chương trình máy tính có khả năng tự nhân bản hoặc tự tạo các bản sao của mình và lây lan sang các chương trình, tệp dữ liệu khác trên máy tính • Mục đích tích cực: thị một thông điệp hay một hình ảnh • Mục đích xấu: phá hủy các chương trình, các tệp dữ liệu, xóa sạch các thông tin hoặc định dạng lại ổ cứng của máy tính, tác động và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ thống. – Ví dụ: tháng 7/2001, Virus CodeRed tấn công phần mềm mạng của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt hại trong sự cố mà nó gây ra lên đến 2,6 tỷ USD. 17
• 18. Rủi ro và phòng tránh rủi ro TMĐT 18 Xu hướng tấn công mới của mã độc trên mạng • Phần mềm tống tiền (ransomware) • Mã độc “đào kiếm” bitcoin trên Skype – biến máy tính nạn nhân thành tài nguyên CPU để khai thác Bitcoin – sử dụng các email lừa đảo để chuyển hướng người dùng đến một phiên bản giả mạo của một trong những trang web Bitcoin kinh doanh phổ biến nhất là MtGox
• 19. Rủi ro và phòng tránh rủi ro TMĐT 19 “Mã đòi tiền chuộc”- Ransomeware bùng nổ
• 20. Rủi ro và phòng tránh rủi ro TMĐT 20 Tin tặc (hacker) và các chương trình phá hoại (cybervandalism) • Tin tặc hay tội phạm máy tính: những người truy cập trái phép vào một website hay hệ thống máy tính – Mục tiêu: hệ thống dữ liệu của các website thương mại điện tử; sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu – Ví dụ: ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả. 20
• 21. Rủi ro và phòng tránh rủi ro TMĐT 21 Vụ tấn công vào chodientu.com • 19/09/2006: www.chodientu.com bị tấn công, mất quyền kiểm soát và phải chuyển sang dùng tên miền mới là www.chodientu.vn – hacker tấn công vào máy chủ quản lý tên miền của www.register.com và lấy quyền kiểm soát tên miền www.chodientu.com • 23/9/2006: www.chodientu.com tiếp tục bị chiếm quyền kiểm soát và trỏ sang một trang web với nội dung bôi nhọ giám đốc công ty. 21
• 22. Rủi ro và phòng tránh rủi ro TMĐT 22 Rủi ro về gian lận thẻ tín dụng • Trong thương mại điện tử, mối đe dọa lớn nhất là bị “mất” (hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ra giao dịch mua sắm qua mạng và các thiết bị điện tử. 22
• 23. Rủi ro và phòng tránh rủi ro TMĐT 23 23 Vietcombank cảnh báo về virus lấy cắp thông tin tài khoản ngân hàng • Virus Eurograbber đã được các tin tặc sử dụng để lấy cắp 36 triệu euro từ nhiều tài khoản ngân hàng tại các nước châu Âu như Ý, Đức, Tây Ban Nha và Hà Lan. Phương thức lừa đảo sử dụng virus này cơ bản như sau: – Tin tặc sử dụng email hay các trang web độc hại để lừa khách hàng cài đặt virus trên máy cá nhân của mình; – Khi khách hàng truy cập các dịch vụ trực tuyến của ngân hàng, virus sẽ giả mạo thông báo của ngân hàng để hướng dẫn khách hàng cài đặt virus trên điện thoại di động; – Virus hoạt động trên điện thoại di động sẽ lấy cắp mã xác thực sử dụng 1 lần (OTP) của khách hàng, kết hợp với virus hoạt động trên máy tính cá nhân của khách hàng để thực hiện giao dịch giả mạo lấy trộm tiền từ tài khoản khách hàng. • Vietcombank lưu ý Quý Khách hàng thực hiện những nội dung sau: – Sử dụng các phần mềm diệt virus và thường xuyên cập nhật phiên bản mới nhất; – Không cài đặt các phần mềm độc hại, không rõ nguồn gốc xuất xứ trên máy tính cá nhân và điện thoại di động của mình. – Khi nhận được tin nhắn hoặc thông báo qua SMS, email hay từ trang web của Ngân hàng, xin Quý khách lưu ý kiểm tra lại thông tin, tránh trường hợp tin tặc lợi dụng để giả mạo thông tin.
• 24. Rủi ro và phòng tránh rủi ro TMĐT 24 Tấn công từ chối dịch vụ (DOS, DDoS, DRDoS) • Tấn công từ chối dịch vụ là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động – Các hình thức tấn công: • DoS (Denial of Service), lợi dụng sự yếu kém của giao thức TCP • DDoS (Distributed Denial of Service) – tấn công từ chối dịch vụ phân tán • DRDoS (Distributed Reflection Denial of Service) – tấn công theo phương pháp phản xạ phân tán – Tác hại: chi phí lớn (khách hàng không thể thực hiện các giao dịch mua bán), ảnh hưởng đến uy tín và tiếng tăm của DN 24
• 25. Rủi ro và phòng tránh rủi ro TMĐT 25 Tấn công kiểu DDoS • Distributed Denial of Service (DDoS) – Tạm dịch là tấn công từ chối dịch vụ phân tán – Hacker xâm nhập vào các hệ thống máy tính – Cài đặt các chương trình điều khiển từ xa – Kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu  Với DDoS – Huy động tới hàng trăm, hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm – Có thể chiếm hết băng thông của mục tiêu trong thời gian ngắn nhất
• 26. Rủi ro và phòng tránh rủi ro TMĐT 26 Tấn công kiểu DDoS
• 27. Rủi ro và phòng tránh rủi ro TMĐT 27 Tấn công kiểu DRDoS • Distributed Reflection Denial of Service (DRDoS) – Tạm dịch là tấn công từ chối dịch vụ phản xạ phân tán Với DRDoS – Hacker sẽ gửi cùng lúc nhiều gói tin đến các hệ thống máy tính trên mạng – Khi các hệ thống này nhận gói tin SYN giả này sẽ chấp nhận kết nối và gửi trả một gói tin SYN/ACK để thông báo – Địa chỉ IP của gói tin SYN bị hacker sửa đổi thành địa chỉ IP máy đích nên những gói tin SYN/ACK sẽ được gửi về cho máy đích – Cùng lúc nhận được nhiều gói tin, đường truyền của máy đích không đủ khả năng đáp ứng, hệ thống máy đích sẽ từ chối nhận bất kỳ gói tin nào và lúc này hệ thống máy đích đã bị sụp đổ
• 28. Rủi ro và phòng tránh rủi ro TMĐT 28 Tấn công kiểu DRDoS
• 29. Rủi ro và phòng tránh rủi ro TMĐT 29 Ví dụ các cuộc tấn công từ chối dịch vụ • 2/2000: các hoạt động tấn công liên tục khiến hàng loạt website trên thế giới ngừng hoạt động trong nhiều giờ – Virus của người này đã tấn công máy tính của những hãng trên bằng cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền – Ebay: 5 giờ, Amazon: 4 giờ, CNN: 3,5 giờ, E-Trade: 3 giờ, Yahoo, Buy.com, ZDNet: 3-4 giờ • Ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, thiệt hại về mặt uy tín của hãng đối với khách hàng • 03/03/2006: Vietco.com bị tấn công từ chối dịch vụ với một mức độ khủng khiếp – Mỗi IP tạo ra khoảng 10 ngàn truy xuất vào hệ thống và có hàng ngàn IP (chủ yếu đến từ Việt Nam) cùng hướng vào Vietco.com một lúc – Công ty chi khoảng 50-70 triệu đồng/ngày cho tiền thuê tư vấn, chi phí đổi server liên tục… 29
• 30. Rủi ro và phòng tránh rủi ro TMĐT 30 Kẻ trộm trên mạng (sniffer) • Kẻ trộm trên mạng là một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng – Mục đích hợp pháp: giúp phát hiện ra những yếu điểm của mạng – Mục đích bất hợp pháp: mối hiểm hoạ lớn và rất khó có thể phát hiện. • Lấy cắp các thông tin có giá trị: thư điện tử, dữ liệu kinh doanh của DN, các báo cáo mật… • Xem lén thư điện tử: sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. 30
• 31. Rủi ro và phòng tránh rủi ro TMĐT 31 Trường hợp của Five Partners Asset Management • Joe Oquendo là một chuyên gia bảo mật máy tính của collegeboardwalk.com, người được phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five Partners Asset Management, một nhà đầu tư của collegeboardwalk.com. • Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. • Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này.
• 32. Rủi ro và phòng tránh rủi ro TMĐT 32 Phishing – “kẻ giả mạo” • Phishing là một loại tội phạm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp các thông tin cá nhân nhạy cảm như thẻ tín dụng, mật khẩu, số tài khoản ngân hàng. • Các tin tặc thường giả mạo là các công ty nổi tiếng yêu cầu khách hàng cung cấp những thông tin nhạy cảm này. Các website thường xuyên bị giả mạo đó là Paypal, Ebay, MSN, Yahoo, BestBuy, American Online…. 32
• 33. Rủi ro và phòng tránh rủi ro TMĐT 33 Website giả mạo tại Việt Nam • 21/01/2013: Cảnh giác Website giả mạo FPTShop.com.vn – website giả mạo như http://www.sieuthifpt.net, http://sieuthivienthongfpt.com. • Cảnh giác với các website giả mạo thương hiệu VNG – các website giả mạo như http://qua24h.vn; http://shopvng.vn, http://sukiengame.vn,... 33
• 34. Rủi ro và phòng tránh rủi ro TMĐT 34 Ví dụ “Kẻ giả mạo” • Ebay: 17/12/2003 một số khách hàng của eBay nhận được email với thông báo rằng hiện tại tài khoản của họ tạm ngừng hoạt động cho tới khi họ kích vào đường link được cung cấp trong email. và cập nhật thông tin về thẻ tín dụng, cùng với các thông tin cá nhân khác như ngày sinh, tên thời con gái của mẹ, số Pin của thẻ ATM. Đường link trong địa chỉ email kết nối tới trang web của ebay nhưng đây không phải là trang web thật của ebay mà chỉ là một trang web giả mạo có logo và hình thức giống với trang web ebay thật. • Paypal: Kẻ giả mạo Paypal đã xây đường URL cải trang giống URL của Paypal bằng cách sử dụng ký hiệu @ (http://paypal.com@218.36.41.188/fl/login.html). Thường thì các server bỏ qua các ký tự trước @ và chỉ sử dụng những ký tự sau nó. Như vậy là khách hàng chỉ có thể nhìn thấy đường link trong mail như http://paypal.com và đã cung cấp nhưng thông tin cá nhân và tài khoản 34
• 35. Rủi ro và phòng tránh rủi ro TMĐT 35 Rủi ro về thủ tục, quy trình giao dịch của tổ chức • Người bán: nhiều website vẫn tiến hành bán hàng theo các yêu cầu mà không có bất kỳ sự xác thực cần thiết và cẩn trọng nào về thông tin của người mua – Do không có những biện pháp đảm bảo chống phủ định của người mua trong quy trình giao dịch trên các website nên không thể buộc người mua phải nhận hàng hay thanh toán khi đơn đặt hàng đã được thực hiện và hàng đã giao. • Người mua: những đơn đặt hàng không được nhà cung cấp thực hiện trong khi khách hàng đã tiến hành trả tiền mà không nhận được hàng, nhà cung cấp từ chối đã nhận đơn đặt hàng 35
• 36. Rủi ro và phòng tránh rủi ro TMĐT 36 Rủi ro về pháp luật và tiêu chuẩn công nghiệp • Làm thế nào để đảm bảo rằng một thoả thuận đạt được qua hệ thống điện tử sẽ có tính ràng buộc về mặt pháp lý khi có sự khác nhau giữa các hệ thống pháp luật khác nhau, ví dụ Việt Nam và Nhật Bản? • Chưa có một công ước chung nào về giao dịch thương mại điện tử. • Thiếu các văn bản pháp lý điều chỉnh Rủi ro về tiêu chuẩn công nghiệp. • Thiếu một hạ tầng công nghệ thông tin đồng bộ và chưa có một hệ thống các tiêu chuẩn công nghiệp phù hợp với tiêu chuẩn quốc tế và khu vực. • Sự thiếu đồng bộ về tiêu chuẩn công nghiệp sẽ gây nhiều khó khăn trong việc trao đổi thông tin và đặc biệt là hoạt động chào hàng, đặt hàng cũng như vận chuyển hàng hoá, thủ tục hải quan, thuế… 36
• 37. Rủi ro và phòng tránh rủi ro TMĐT 37 Tiêu chuẩn bảo mật PCI DSS bị coi nhẹ tại Việt Nam • PCI-DSS: Tiêu chuẩn an ninh dữ liệu trong ngành công nghiệp thẻ thanh toán – Tiêu chuẩn PCI DSS được hình thành bởi Hội đồng Tiêu chuẩn Bảo mật (Security Standards Council) dành cho thẻ thanh toán, bao gồm các thành viên ban đầu như: Visa, MasterCard, American Express (AMEX), Discover Financial Services • Hiệp hội TMĐT Việt Nam khuyến nghị các đơn vị kinh doanh trực tuyến lưu tâm áp dụng tiêu chuẩn bảo mật PCI DSS như là dấu hiệu an toàn để thu hút khách hàng. – cổng thanh toán trực tuyến Bảo Kim - cổng trung gian thanh toán các hoạt động mua bán trên mạng đã bị chặn giao dịch thanh toán bằng thẻ Visa. Giải đáp bức xúc của khách hàng, Bảo Kim cho biết "ngân hàng thẻ quốc tế đang bị hack" nên để đảm bảo an toàn cho khách hàng, Bảo Kim tạm ngừng giao dịch qua thẻ quốc tế. – việc bị chặn có thể do đơn vị trung gian thanh toán này chưa đáp ứng đủ tiêu chuẩn PCI DSS dẫn đến gây mất an toàn thông tin cho khách hàng khi thanh toán nên đã bị tổ chức thẻ quốc tế Visa chặn giao dịch.
• 38. Rủi ro và phòng tránh rủi ro TMĐT 38 Một số rủi ro khác • Rủi ro bị chặn giao dịch qua mạng – www.goddady.com cung cấp hosting và tên miềm của Mỹ từ đầu năm 2004 cũng đã chặn tất cả các giao dịch có địa chỉ giao thức trên mạng (IP) 203.162.*.* của Việt Nam. Goddady đã thông báo xếp Việt Nam vào danh sách các nước (cùng với Trung Quốc, Bulgaria, Indonesia, Malaysia, Pakistan, Singapore) bị chặn không được giao dịch qua mạng với mình. – www.onehost.ws , từ tháng 4-2004 đã chính thức không cho người sử dụng ở Việt nam thậm chí là quyền truy cập trang web này. Chỉ cần gõ www.onehost.ws bạn chưa hề biết mặt mũi trang web ra sao thì đã nhận được ngay dòng chữ : “blocking all orders from Vietnam due to the huge number of frauds by Viet nam users” (cấm tất cả mọi đơn đặt hàng từ Việt nam do một số lượng lớn lừa đảo bởi người sử dụng Vietnam). 38
• 39. Rủi ro và phòng tránh rủi ro TMĐT 39 Một số rủi ro khác • Rủi ro vì mất cơ hội kinh doanh – Nhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không được giao dịch trên mạng Internet bởi vì đã có người đăng ký bản quyền. – Hay tên giao dịch của sàn giao dịch hàng thủ công Mỹ nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng với tên giao dịch của một trang web thuộc một công ty trên thế giới cũng đang kinh doanh trên mạng. – Sở du lịch tỉnh Quảng Ninh không đăng ký được www.halongbay.com vì đã bị đăng ký mất tên miền này, do đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dài http:halongbay.halong.net 39
• 40. Rủi ro và phòng tránh rủi ro TMĐT 40 Một số rủi ro khác • Rủi ro do sự thay đổi của công nghệ – Năm 2002, khi Internet Explorer 6.0 của Microsoft ra đời công việc kinh doanh trên mạng của www.VideoHome.com ngưng trệ do phầm mềm để download phim của hãng không tương thích với trình duyệt mới này. Ước tính từ lúc IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải phim mới thiệt hại lên tới 1,2 triệu USD. – Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là nguy cơ cho các website thương mại điện tử vốn chạy tốt trên IE nhưng chưa chắc đã chạy tốt trên FireFox và ngược lại. 40
• 41. Rủi ro và phòng tránh rủi ro TMĐT 41 Một số rủi ro khác • Rủi ro liên quan đến thông tin cá nhân – Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm 1999, cô Sarah Clarson ở bang California đã bị bắt giam vì một lý do mà cô không hề làm. Số chứng minh cũng như các dấu hiệu định dạng của cô đã bị thay đổi và gán cho một nữ tội phạm đang bị truy nã. 41
• 42. Rủi ro và phòng tránh rủi ro TMĐT 42 Câu hỏi • Ghép các rủi ro với mô tả phù hợp: a. Virus b. Tin tặc/hackers c. Gian lận thẻ tín dụng d. Tấn công từ chối dịch vụ e. Sniffer - trộm trên mạng f. Phishing - giả mạo trên mạng 1. Chương trình theo dõi, nghe lén, giám sát thông tin trên mạng, ví dụ xem lén thư điện tử 2. Tấn công làm hệ thống mạng, máy tính quá tải và phải dừng hoạt động 3. Thường xuất hiện khi các cơ sở dữ liệu của các công ty TMĐT bị tấn công 4. Truy cập trái phép vào các website, cơ sở dữ liệu, hệ thống thông tin 5. Gây ảnh hưởng tới các file, chương trình, ứng dụng, hệ thống phần mềm, phần cứng 6. Giả mạo email, website để lừa người sử dụng lấy thông tin cá nhân hoặc thanh toán
• 43. Rủi ro và phòng tránh rủi ro TMĐT 43 43 4343 4.3 Xây dựng kế hoạch an ninh cho TMĐT
• 44. Rủi ro và phòng tránh rủi ro TMĐT 44 Các giai đoạn xây dựng kế hoạch an ninh TMĐT cho doanh nghiệp 44 44 Giai đoạn đánh giá Giai đoạn lên kế hoạch Giai đoạn giám sát Giai đoạn thực thi 1 2 4 3
• 45. Rủi ro và phòng tránh rủi ro TMĐT 45 Câu hỏi • Ghép các bước xây dựng kế hoạch an ninh cho Thương mại điện tử với công việc phù hợp. 1. Giai đoạn đánh giá 2. Giai đoạn lên kế hoạch 3. Giai đoạn thực thi 4. Giai đoạn giám sát a. Lựa chọn các giải pháp, công nghệ phù hợp để phòng, tránh rủi ro b. Xác định các biện pháp thành công, hiệu quả, thay đổi cần thiết c. Xác định nguy cơ, rủi ro và giải pháp tương ứng cần tiến hành d. Xác định tài sản, giá trị tài sản, mối đe dọa, mức độ thiệt hai
• 46. Rủi ro và phòng tránh rủi ro TMĐT 46 Những biện pháp cơ bản đảm bảo an toàn cho giao dịch TMĐT 46 Chữ ký số (Digital signature) Phong bì số (Digital Envelope) Sử dụng kỹ thuật mã hoá thông tin Chứng thư số hóa (Digital Certificate)
• 47. Rủi ro và phòng tránh rủi ro TMĐT 47 Kỹ thuật mã hóa thông tin • Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. • Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. • Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát. 47
• 48. Rủi ro và phòng tránh rủi ro TMĐT 48 Kỹ thuật sử dụng để mã hoá thông tin • Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật • Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật 48
• 49. Rủi ro và phòng tránh rủi ro TMĐT 49 So sánh phương pháp mã hoá khóa riêng và mã hoá khoá công cộng Đặc điểm Mã hoá khoá riêng Mã hoá khoá công cộng Số khoá Một khoá đơn Một cặp khoá Loại khoá Khoá bí mật Một khóa bí mật và một khóa công khai Quản lý khoá Đơn giản, nhưng khó quản lý Yêu cầu các chứng nhận điện tử và bên tin cậy thứ ba Tốc độ giao dịch Nhanh Chậm Sử dụng Sử dụng để mã hoá những dữ liệu lớn (hàng loạt) Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp 49
• 50. Rủi ro và phòng tránh rủi ro TMĐT 50 50 50 Tường lửa Mạng riêng ảo (VPN) Sử dụng mật khẩu (password) đủ mạnh Phòng chống virus Giải pháp an ninh nguồn nhân lực Những biện pháp cơ bản đảm bảo an toàn cho hệ thống TMĐT Giải pháp về trang thiết bị an ninh mạng
• 51. Rủi ro và phòng tránh rủi ro TMĐT 51 Câu hỏi • Ghép các biện pháp đảm bảo an toàn cho hệ thống TMĐT với mô tả phù hợp. a. Tường lửa b. Mạng riêng ảo c. Mật khẩu d. Phần mềm chống virus e. An ninh nguồn nhân lực f. An toàn cơ sở hạ tầng thông tin 1. Mạng Internet được sử dụng để truyền tải thông tin, sử dụng với công nghệ mã hóa để bảo mật 2. Các công nghệ, thiết bị kiểm soát, giám sát người vào ra hệ thống vật lý 3. Đào tạo nâng cao ý thức, nghiệp vụ, quy trình để đảm bảo an toàn thông tin 4. Giúp phát hiện, tiêu diệt và sửa lỗi do virus gây ra 5. Bảo mật bằng ký tự, số, tự động khóa nếu truy cập sai nhiều lần, không sử dụng chức năng auto complete 6. Phần mềm, phần cứng hoặc kết hợp để kiểm soát truy cập đối với hệ thống thông tin
• 52. Rủi ro và phòng tránh rủi ro TMĐT 52 Tường lửa • Tường lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết hợp cả phần mềm và phần cứng, cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức. 52
• 53. Rủi ro và phòng tránh rủi ro TMĐT 53 Mô hình bức tường lửa 53
• 54. Rủi ro và phòng tránh rủi ro TMĐT 54 Mạng riêng ảo • Mạng riêng ảo sử dụng mạng internet để truyền tải thông tin nhưng vẫn duy trì sự bí mật bằng cách sử dụng thuật mã khóa (để mã giao dịch, xác minh tính chân thực để đảm bảo rằng thông tin không bị truy xuất trái phép và thông tin đến từ những nguồn tin cậy) và quản lý quyền truy cập để xác định danh tính của bất kỳ ai sử dụng mạng này 54
• 55. Rủi ro và phòng tránh rủi ro TMĐT 55 Câu hỏi • Các mật khẩu phổ biến nhất thế giới năm 2013 là gì? – 123456 – Password – 12345678
• 56. Rủi ro và phòng tránh rủi ro TMĐT 56 Thảo luận • Lưu ý khi đặt và dùng password – không sử dụng cùng một mật khẩu cho nhiều website (giải pháp: mật khẩu sẽ đi kèm với tên website đó) – kết hợp giữa chữ cái, số và các ký tự cho phép trên bàn phím – đổi mật khẩu định kỳ ba tháng một lần – tránh tiết lộ mật khẩu – không lưu mật khẩu vào các tập tin văn bản không có biện pháp bảo vệ phù hợp – dùng ứng dụng bàn phím ảo – dùng phần mềm quản lý mật khẩu như Trend Micro DirectPass hoặc phần mềm nguồn mở Keepass
• 57. Rủi ro và phòng tránh rủi ro TMĐT 57 Những biện pháp khác • Một số giao thức bảo mật thông dụng – Cơ chế bảo mật SSL (Secure Socket Layer) – Cơ chế bảo mật SET (Secure Electronic Transaction) • Tham gia bảo hiểm 57
• 58. Rủi ro và phòng tránh rủi ro TMĐT 58 Giải pháp phòng chống lừa đảo qua mạng (phishing) • Tránh trả lời các thư điện tử hay thông điệp pop- up yêu cầu cung cấp thông tin cá nhân • Tránh gửi các thông tin cá nhân hay tài chính dưới bất kỳ hình thức nào • Kiểm tra kỹ các thông tin tài khoản và chi tiết mua sắm thẻ tín dụng hàng tháng • Sử dụng và cập nhật các phần mềm diệt virus thường xuyên • Cẩn trọng khi mở bất kỳ thông điệp dữ liệu gắn kèm theo thư điện tử 58
• 59. Rủi ro và phòng tránh rủi ro TMĐT 59 Tình hình áp dụng các biện pháp bảo mật CNTT và TMĐT tại VN
• 60. Rủi ro và phòng tránh rủi ro TMĐT 60 Giới thiệu SafeWeb • Hệ thống Tiêu chuẩn trong giao dịch thương mại điện tử • Trung tâm phát triển TMĐT, Cục TMĐT và công nghệ thông tin, Bộ Công thương • 5 nguyên tắc đánh giá hình thành nên 33 tiêu chí bao gồm: - Xây dựng niềm tin; - Bảo vệ thông tin cá nhân; - Thực hiện giao kết hợp đồng; - Quảng cáo trung thực; - Giải quyết khiếu nại. • Danh sách website uy tín: www.mangdatphong.vn; www.shoptretho.com.vn; www.hangtot.com; www.vinabook.com; www.sieuthitaigia.vn; www.sieumua.com • Truste của Hòa Kỳ, TradeSafe của Nhật Bản, TrustSg của Singapore,v.v…
• 61. Rủi ro và phòng tránh rủi ro TMĐT 61
• 62. Rủi ro và phòng tránh rủi ro TMĐT 62 Điện toán đám mây • Điện toán đám mây giúp ngăn chặn các cuộc tấn công DoS – Ví dụ WikiLeaks/Amazon Web Services • Điện toán đám mây giúp nâng cao an toàn cho email
• 63. Rủi ro và phòng tránh rủi ro TMĐT 63
• 64. Rủi ro và phòng tránh rủi ro TMĐT 64
• 65. Rủi ro và phòng tránh rủi ro TMĐT 65 65 6565

Download