Xem mẫu
- Chương 4:
An ninh trong
Thương mại điện tử
- Khái niệm rủi ro trong TMĐT
Rủi ro trong Thương mại điện tử là những tai
nạn, sự cố, tai hoạ xảy ra một cách ngẫu
nhiên, khách quan ngoài ý muốn của con
người mà gây ra tổn thất cho các bên tham gia
trong quá trình tiến hành giao dịch trong
Thương mại điện tử
- Tổng quan
Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI
(Mỹ) về thực trạng các vụ tấn công vào hoạt động
thương mại điện tử năm 2002:
Các tổ chức tiếp tục phải chịu những cuộc tấn công
qua mạng từ cả bên trong lẫn bên ngoài tổ ch ức đó.
khoảng 90% cho rằng họ đã thấy có sự xâm phạm an
ninh trong vòng 12 tháng gần nhất.
Các hình thức tấn công qua mạng mà các tổ ch ức
phải chịu rất khác nhau. Ví dụ, 85% bị virus tấn công,
78% bị sử dụng trái phép mạng internet, 40% là nạn
nhân của tấn công từ chối dịch vụ (DoS)
- Tổng quan
Thiệt hại về tài chính qua các vụ tấn công qua mạng
là rất lớn:
80% các tổ chức đã phải chịu thiệt hại về tài chính do
hàng loạt các kiểu tấn công khác nhau qua mạng.
Tổng thiệt hại của những tổ chức này khoảng 455
triệu đôla Mỹ.
Theo báo cáo của Trung tâm ứng cứu khẩn cấp máy
tính (CERT) của đại học Carnegie Mellon (Mỹ):
Số lượng nạn nhân của những vụ tấn công qua m ạng
tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm
2002, con số này cao gấp 20 lần so với con số nạn
nhân năm 1998.
- Tổng quan
Hầu hết các nước đã thành lập những trung
tâm an ninh mạng mang tính quốc gia:
Trung tâm bảo vệ Cơ sở hạ tầng quốc gia
(NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn
chặn và bảo vệ hạ tầng quốc gia về viễn
thông, năng lượng, giao thông vận tải, ngân
hàng và tài chính, các hoạt động cấp cứu và
các hoạt động khác của chính phủ.
Tại Việt Nam cũng đã thành lập Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam (VnCERT)
vào tháng 12/2005
- Yêu cầu về an ninh
1 Bí mật (secrecy):
• Đảm bảo việc, ngoài những người có quyền, không ai đọc
được các dữ liệu, lấy được các thông tin cá nhân hoặc các
thông tin bí mật khác
2 Toàn vẹn (integrity)
• Đảm bảo thông tin không bị thay đổi
3 Sẵn sàng (availability)
• Đảm bảo thông điệp hoặc mẩu tin được truyền gửi
4 Chống phủ định (nonrepudiation)
• Đảm bảo rằng các bên tham gia không thể phủ định các hành
động họ đã thực hiện
5 Xác thực (authentication)
• Có thể nhận biết được các đối tác tham gia giao dịch
- Những rủi ro thường gặp
Nhóm rủi ro về dữ liệu
Nhóm rủi ro về công nghệ
Nhóm rủi ro về thủ tục quy trình giao dịch của
công ty
Nhóm rủi ro về luật pháp và các tiêu chuẩn
công nghiệp
- Những rủi ro thường gặp
Luật pháp và tiêu chuẩn công nghiệp
C¸c thñ tô c quy tr×nh g iao dÞc h
Công nghệ
Dữ liệu
- Những rủi ro thường gặp
- Rủi ro về dữ liệu
Dữ liệu lưu trữ (website, thông tin thẻ tín
dụng)
Người bán: thay đổi thông tin website, cơ sở dữ
liệu, nhận được đơn hàng giả mạo,…
Người mua: thông tin cá nhân, nhận email giả
tạo,…
Chính phủ
Dữ liệu trên đường truyền
- Rủi ro về công nghệ
Rủi ro xảy ra do bị tấn công bằng cách sử
dụng công nghệ tin học
Các hình thức tấn công chủ yếu:
Virus hay các đoạn mã nguy hiểm (malicilous
code): Virus là chương trình máy tính có khả
năng nhân bản hoặc tự tạo các bản sao của
chính mình và lây lan sang các chương trình,
các tệp dữ liệu khác trên máy tính
Tin tặc và các chương trình phá hoại
- Rủi ro về công nghệ
Các hình thức tấn công chủ yếu
Khước từ dịch vụ (DoS, DDoS): Tấn công
bằng cách sử dụng những giao thông vô ích
làm tràn ngập dẫn đến tắc nghẽn mạng truyền
thông (DoS), hoặc sử dụng số lượng lớn các
máy tính tấn công vào một mạng từ nhiều điểm
khác nhau gây nên sự quá tải về khả năng
cung cấp dịch vụ (DDoS)
Kẻ trộm trên mạng (sniffer)
- Tấn công DDoS
Hacker
Máy tính Máy tính Máy tính
trường học gia đình Cơ quan
Máy tính Máy tính
trường học ISP
Nạn nhân
- Rủi ro về thủ tục quy trình giao dịch
của công ty
Do không kiểm tra kỹ đối tác
Do thiếu kỹ năng ký kết hợp đồng/ hợp đồng
điện tử
Rủi ro không nhận hàng hoặc không thanh
toán
VD: vụ 1 công ty VN bị lừa gần 15 tỷ khi mua
hàng từ alibaba.com
- Rủi ro về luật pháp và các tiêu chuẩn
công nghiệp
Về hiệu lực pháp lý của Giao dịch điện tử: trên
quy mô quốc tế, các nước đối tác có thừa
nhận giao dịch điện tử?
Về tiêu chuẩn công nghiệp: chưa tiêu chuẩn
hóa trong một số lĩnh vực của TMĐT
- Ảnh hưởng của rủi ro tới hoạt động
kinh doanh của DN
Hạn chế hiệu quả kinh doanh
Thiệt hại về vật chất
Thiệt hại về thông tin, phần mềm, phần cứng
Mất cơ hội kinh doanh
Ảnh hưởng đến uy tín doanh nghiệp
- Quản trị rủi ro trong TMĐT
Là quá trình xác định các khả năng bị tấn
công và đưa ra các giải pháp thích hợp để
phòng hoặc chống lại những tấn công này
Những lỗi thường gặp khi quản trị rủi ro:
Thiếu thông tin hoặc đánh giá thấp thông tin
nhận được
Xác định biên giới an ninh quá hẹp
Các quy trình quản trị rủi ro lạc hậu
Thiếu trao đổi về các khả năng xảy ra rủi ro
- Quản trị rủi ro trong TMĐT
Các bước quản trị rủi ro:
Đánh giá các tài sản, khả năng bị tấn công của
từng tài sản và mức độ thiệt hại nếu bị tấn
công
Lên kế hoạch: Xác định phải phòng chống loại
tấn công nào và biện pháp thực hiện
Thực hiện
Giám sát: Theo dõi và đánh giá hiệu quả các
giải pháp thực hiện
- Phòng tránh rủi ro trong TMĐT
Đảm bảo an toàn trong giao dịch
Đảm bảo an toàn đối với hệ thống mạng
Tham gia bảo hiểm
- Bảo mật trong giao dịch
Mã hoá dữ liệu (encryption)
Lớp ổ cắm an toàn (SSL – Secure Socket
Layer)
Các giao dịch điện tử an toàn (SET – Secure
Electronic Transaction)
nguon tai.lieu . vn