Dovậy, việc chuyểndần sang Thương mại điện tử ở các mức độ khác nhau đang là một hiện tượngphổ biến của các doanh nghiệp trên toàn cầu và là một xu thế tất yếu của thươngmại toàn cầu.. L
Trang 1AN TOÀN THƯƠNG MẠI ĐIỆN TỬ
QUY TRÌNH QUẢN LÝ RỦI RO TRONG
THƯƠNG MẠI ĐIỆN TỬ
Nhóm sinh viên thực hiện: Nhóm 8
Võ Trà My – Mã SV: AT160535
Nguyễn Đức Minh – Mã SV: AT160431
Trần Minh Tú – Mã SV: AT160755
Người hướng dẫn:
ThS Nguyễn Thị Thu Thủy
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2023
Trang 21.1.3 Lợi ích của TMĐT 7
1.1.4 Trở ngại của TMĐT 9
1.2 Vai trò của an toàn và phòng tránh rủi ro trong thương mại điện tử 11
1.3 Vai trò của chính sách và quy trình bảo đảm an toàn đối với TMĐT 12
II Rủi ro trong thương mại điện tử 13
2.1 Một số rủi ro chính doanh nghiệp có thể gặp phải trong thương mại điện tử 13
2.2 Một số dạng tấn công chính vào các website thương mại điện tử 13
2.2.1 Virus 13
2.2.2 Tin tặc (hacker) và các chương trình phá hoại (cybervandalism) 14
2.2.3 Rủi ro về gian lận thẻ tín dụng 14
2.2.4 Tấn công từ chối dịch vụ 14
2.2.5 Kẻ trộm trên mạng (sniffer) 15
2.2.6 Phishing – “ kẻ giả mạo” 16
2.2.7 Một số khác 17
III Xây dựng kế hoạch an ninh cho thương mại điện tử 17
3.1 Những biện pháp cơ bản đảm bảo an toàn cho giao dịch TMĐT 18
3.1.1 Sử dụng kỹ thuật mã hoá thông tin: 18
3.1.2 Chữ ký số (Digital signature) 20
3.1.3 Phong bì số (Digital Envelope) 21
Trang 33.1.4 Chứng thư số hóa (Digital Certificate): 21
3.2 Các biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống TMĐT 22
3.2.1 Tường lửa 22
3.2.2 Mạng riêng ảo (VPN) 23
3.3 Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống TMĐT 23
3.3.1 Sử dụng password đủ mạnh 23
3.3.2 Phòng chống virus 24
3.3.3 Giải pháp an ninh nguồn nhân lực 24
3.3.4 Giải pháp về trang thiết bị an ninh mạng 24
Kết luận 25
Trang 4MỤC LỤC HÌNH ẢNH
Hình 1: Các mô hình TMĐT 7
Hình 2: Phương pháp mã hoá khoá bí mật 19
Hình 3: Phương pháp mã hoá khoá công khai 19
Hình 4: Bảng so sánh mã khóa công khai và khóa bí mật 20
Trang 5LỜI MỞ ĐẦU
Công nghệ thông tin hiện đang là một trong những ngành kinh tế có tốc
độ tăng trưởng mạnh nhất Đồng thời tác động của công nghệ thông tin tới đờisống xã hội nói chung và thương mại nói chung Chính vì vậy mà Thương mạiđiện tử đã ra đời và phát triển mạnh mẽ cùng với sự phát triển của công nghệthông tin
Thương mại điện tử đã làm thổi một luồng gió hoàn toàn mới vào cáchthức tiến hành kinh doanh truyền thống Thương mại điện tử đã đem lại nhiềulợi ích cho nền kinh tế hơn nhiều người vẫn thường nghĩ Dovậy, việc chuyểndần sang Thương mại điện tử ở các mức độ khác nhau đang là một hiện tượngphổ biến của các doanh nghiệp trên toàn cầu và là một xu thế tất yếu của thươngmại toàn cầu
Tuy nhiên, cũng không ít doanh nghiệp dã không nhận thức được nhữngrủi ro tiềm ẩn trong môi trường kinh doanh Thương mại điện tử Những rủi ronày có thể coi là đặc thù cho việc kinh doanh trên mạng Do vậy, công việc quảntrị rủi ro của một doanh nghiệp tham gia vào Thương mại điện tử luôn là mộtcông tác quan trọng hàng đầu
Đề tài này của chúng em sẽ trình bày về quy trình quản lý rủi ro trongThương mại điện tử Chủ đề này chúng em chia làm 3 phần chính:
Chương I: Khái quát về Thương mại điện tử, an toàn và phòng tránhrủi ro trong thương mại điện tử
Chương II: Rủi ro trong Thương mại điện tửChương III: Xây dựng kế hoạch an ninh trong TMĐT
Do thời gian và trình độ còn hạn chế, bài báo cáo không thể tránh khỏinhững thiếu sót Kính mong cô chỉ bảo và đóng góp ý kiến để bài báo cáo của
em được hoàn thiện hơn Chúng em xin chân thành cảm ơn!
Trang 6I KHÁI QUÁT VỀ THƯƠNG MẠI ĐIỆN TỬ, AN TOÀN VÀ PHÒNG
TRÁNH RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ 1.1 Tổng quan về Thương mại điện tử
1.1.1 Lịch sử hình thành và phát triển thương mại điện tử
Lịch sử của TMĐT được gắn liền với khái niệm thông thường là mua-bán,kết hợp với điện, máy tính, modem, và Internet Ban đầu, khái niệm TMĐTđược hiểu là một quá trình thực hiện giao dịch điện tử với giúp đỡ của các kỹthuật công nghệ
Năm 1969, mạng ARPAnet (tiền thân của Internet) được phát minh bởicác sinh viên các trường Đại học ở Mỹ
Từ khi Tim Berners-Lee phát minh ra WWW vào năm 1990, các DN, cánhân tích cực sử dụng giao thức www trong kinh doanh, hình thành nên kháiniệm TMĐT.Công ty Netsscape tung ra các phần mềm ứng dụng để khai thácthông tin trên Internet vào tháng 5 năm 1995 Công ty Amazon.com, IBM ra đờivào tháng 5 năm 1997
Năm 2000, ý nghĩa của TMĐT đã được thay đổi: TMĐT như một quátrình mua bán hàng hóa và các dịch vụ có sẵn qua Internet thông qua các kết nốibảo mật và dịch vụ thanh toán điện tử Cho đến năm 2003 Bộ thương mại mớicông bố bản báo cáo thương mại điện tử Viêt nam đầu tiên
Lịch sử của TMĐT là một lịch sử của một thế giới ảo, mới được phát triểntheo hướng có lợi cho người tiêu dùng Đó là một thế giới được xây dựng nềntảng vững chắc cho thế hệ tương lai
1.1.2 Khái niệm Thương mại điện tử
Thương mại điện tử (Electronic commerce – EC hay E.Commerce) là mộtkhái niệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm,dịch vụ và thông tin thông qua mạng máy tính, kể cả Internet
Phản ánh các bước TMĐT theo chiều ngang: “TMĐT là việc thực hiệntoàn bộ hoạt động kinh doanh bao gồm Marketing, bán hàng, phân phối và thanhtoán (MSDP) thông qua các phương tiện điện tử”
Trang 7Hnh 1: Các mô hnh TMĐT
1.1.3 Lợi ích của TMĐT Lợi ích đối với doanh nghiệp:
- Mở rộng thị trường nhưng không tốn kém quá nhiều chi phí: Các công tythương mại điện tử có thể mở rộng thị trường, tìm kiếm khách hàng, tiếp cận vớinhà cung cấp và các đối tác trên khắp thế giới dễ dàng, thuận lợi và ít tốn kémchi phí hơn so với thương mại truyền thống
- Hiệu quả về thời gian: Các hoạt động kinh doanh có thể thực hiện liên tụcvới việc tự động hoá các giao dịch thông qua mạng Internet Từ đó, tất cả nhữngthông tin liên quan đến sản phẩm hay dịch vụ cần cung cấp cho khách hàng nhưcatalogue, brochure, thông tin, bảng báo giá… sẽ được gửi đến khách hàng mộtcách nhanh chóng, tiện lợi và tiết kiệm hơn
- Dịch vụ khách hàng tốt hơn: Doanh nghiệp thương mại điện tử có thể tạođiều kiện cho khách hàng chọn mua hàng trực tiếp từ trên mạng
- Giảm chi phí hoạt động sản xuất: Doanh nghiệp có thể tiết kiệm đượcnhiều chi phí cho việc thuê mặt bằng kinh doanh, thuê nhân viên cho các hoạtđộng điều hành doanh nghiệp, chi phí gửi văn bản theo hình thức truyền thống,chi phí in ấn…
- Tăng doanh thu: Doanh nghiệp không bị giới hạn đối tượng khách hàngtrong từng vùng cư dân, địa phương mà có thể thực hiện việc bán hàng trên toànlãnh thổ của một quốc gia hoặc bán ra trên toàn thế giới Từ đó, lượng kháchhàng của doanh nghiệp nhiều hơn nên dẫn đến việc phát triển doanh thu, giatăng lợi nhuận
Trang 8- Cập nhật thông tin sản phẩm nhanh chóng, thuận tiện: Mọi thông tin sảnphẩm, dịch vụ trên web như giá cả, hình ảnh… đều có thể được cập nhật nhanhchóng và kịp thời khi có sự thay đổi.
Lợi ích đối với người tiêu dùng:
- Nhiều lựa chọn hơn về sản phẩm, dịch vụ: Người mua có thể tiếp cận vớinhiều nhà cung cấp hơn thông qua các sàn thương mại điện tử, website thươngmại điện tử, các kênh mua bán trực tuyến nên có nhiều cơ hội lựa chọn hơn vềsản phẩm và dịch vụ mà mình cần
- Được lựa chọn giá thấp hơn: Người tiêu dùng có thể so sánh giá cả giữacác nhà cung cấp thuận tiện hơn và từ đó tìm được mức giá phù hợp nhất chocùng một đối tượng sản phẩm
- Mua sắm không bị giới hạn về không gian và thời gian: Thương mại điện
tử cho phép khách hàng mua sắm mọi nơi, mọi lúc đối với các cửa hàng trênkhắp thế giới
- Các sản phẩm số hoá được giao hàng nhanh hơn: Nhiều sản phẩm có thểthực hiện số hoá như phim, nhạc, sách, phần mềm… có thể thực hiện việc giaohàng nhanh chóng và dễ dàng hơn thông qua Internet
- Được đáp ứng mọi nhu cầu: Việc tự động hóa trong thương mại điện tửcho phép chấp nhận các đơn hàng khác nhau từ mọi khách hàng
- Thông tin phong phú và thuận tiện hơn: Người mua hàng có thể dễ dàngtìm kiếm được thông tin nhanh chóng của mọi loại hàng hoá dịch vụ trên môitrường thương mại điện tử thông qua các công cụ tìm kiếm phổ biến và sự hỗ trợcủa các thông tin đa phương tiện về âm thanh, hình ảnh
Lợi ích đối với xã hội:
- Tạo ra phương thức kinh doanh và làm việc mới hiện đại, phù hợp hơnvới xu thế thị trường đang phát triển mạnh trong thời đại công nghệ 4.0
- Góp phần lớn vào việc thúc đẩy xu hướng thanh toán không sử dụng tiềnmặt tại Việt Nam
- Tạo ra cơ hội cho các doanh nghiệp cạnh tranh, nâng cao vị thế của mìnhtrên thị trường và có được niềm tin của người tiêu dùng Từ đó thúc đẩy sự pháttriển của cả nền kinh tế
Hoạt động kinh doanh toàn cầu 7 ngày/tuần, 24 giờ/ngày:
- Năng cao tính thuận tiện, dễ dàng của việc mua sắm
Trang 9- Nâng cao số lượng khách hàng
- Tăng lợi nhuận vốn và đầu tư
- Cá nhân hóa dịch vụ
- Sản phẩm và dịch vụ theo yêu cầu khách hàng
- Nắm bắt được nhu cầu của khách hàng tiềm năng
- Phát triển mối quan hệ khách hàng
- Cải thiện dịch vụ khách hàng
- Cải thiện mối quan hệ với nhà cung cấp
- Cải thiện mối quan hệ với cộng động tài chính
1.1.4 Trở ngại của TMĐT Trở ngại của thương mại điện tử về an ninh mạng
An ninh mạng không chỉ là vấn đề của riêng Việt Nam mà còn là điểmhạn chế của thương mại điện tử trên toàn thế giới được nhiều người quan tâm.Người châu Á là những người mua sắm trực tuyến tích cực nhất trên thế giới,nhưng vẫn có những lo ngại lớn về tính bảo mật của các báo cáo tín dụng điện tử
ở khu vực này
Nguyên nhân là do các trang web điện tử lớn liên tục bị hack dẫn đến tàikhoản của khách hàng bị đánh cắp Câu chuyện của eBay là một ví dụ về việctrang web mua sắm trực tuyến này bị một sự cố dữ liệu lớn và vi phạm cơ sở dữliệu thành viên đã đăng ký trên toàn thế giới
ClamCase – Nhà sản xuất bàn phím và vỏ bảo vệ cho iPad, vừa thông báovới khách hàng rằng những kẻ xâm nhập không xác định đã lấy được quyền truycập cá nhân và chi tiết dữ liệu cá nhân của họ
Ngoài ra, một lỗ hổng nguy hiểm khác liên quan đến WordPress đang làmối quan tâm lớn của người tiêu dùng, đặc biệt là ở Việt Nam, khi gần 1.000người sử dụng ứng dụng này và gặp phải các vấn đề về bảo mật Đáng lo ngạihơn, các công ty Việt Nam chưa quan tâm đúng mức đến an ninh mạng
Chưa đáp ứng được tốc độ phát triển
Với sự bùng nổ của thương mại điện tử, dịch vụ internet, kết nối 3G vàthiết bị di động, thì hạn chế của thương mại điện tử ở Việt Nam vẫn chưa đápứng kịp thời tốc độ phát triển nhanh chóng của internet Thị trường hiện đangphát triển rất sôi động với nhiều hình thức như B2B, B2C, C2C, thương mại di
Trang 10động… Tuy nhiên, chúng ta vẫn còn nhiều việc phải làm để đảm bảo mua sắmtrực tuyến và niềm tin của người tiêu dùng.
Thương mại điện tử là một lĩnh vực mới dựa trên công nghệ thông tin, đặcbiệt là Internet, nhưng do hệ thống cơ sở thông tin không đồng bộ nên người tiêudùng đôi khi bị tổn hại và mất niềm tin vào lĩnh vực này
Để khắc phục trở ngại của thương mại điện tử, Việt Nam cần hoàn thiện
hệ thống thanh toán trực tuyến, hoàn thiện các dịch vụ hợp lý và phát triển cácgiải pháp ứng dụng phù hợp cho các công ty, đặc biệt là các doanh nghiệp vừa
và nhỏ nhằm tạo dựng lòng tin của khách hàng
Hạn chế ở khâu thanh toán trực tuyến
Thanh toán trực tuyến rất quan trọng trong thương mại điện tử vì nó quyếtđịnh sự phát triển của loại hình thương mại này Nhưng hiện nay, hoạt động muabán trực tuyến nói chung và thanh toán trực tuyến nói riêng tại Việt Nam vẫnđang gặp rất nhiều khó khăn Theo thống kê, năm 2013 có hơn 72 triệu thẻ ATMđược phát hành tại Việt Nam, nhưng trên thực tế, tỷ lệ thanh toán thẻ trực tuyếnchỉ đạt 19% trên tổng số thẻ nêu trên
Thương mại điện tử Việt Nam đang thực sự bế tắc trong khâu thanh toántrực tuyến Cũng vì cơ sở hạ tầng cho thanh toán thẻ còn nhiều hạn chế và rủi ro.Người ta ngại dùng thẻ vì cảm thấy an toàn với chất lượng sản phẩm trên mạng,
vì mình quen nhìn tận mắt, sờ tận tay rồi mới mua, sợ bị lừa, thông tin khôngđầy đủ dẫn đến nhiều rủi ro khi thanh toán trực tuyến
Người tiêu dùng Việt mất niềm tin với thương mại điện tử
Có thể nói, việc người tiêu dùng Việt Nam đang “mất dần niềm tin” vàothương mại điện tử là điều hoàn toàn phù hợp hiện nay Sự thuận tiện đến từ sựphát triển của thương mại trực tuyến, vốn có không ít bất cập Người mua hàngkhông chỉ khó kiểm tra, lựa chọn sản phẩm trước khi mua mà còn khiến nhiềungười e ngại mà cách này có khả năng bị lợi dụng lừa đảo rất cao
Thủ đoạn lừa đảo phổ biến nhất là yêu cầu người mua chuyển khoản trướcrồi mới nhận hàng nhằm lấy tiền của khách Tinh vi hơn là chiêu lừa đảo “ngườichia đôi” lợi dụng các giao dịch thật để lấy tiền, ra lệnh cho khách đến cửa hànglấy sản phẩm rồi bỏ đi… và còn nhiều kiểu lừa đảo khác khiến người mua ngàycàng thận trọng và giảm lòng tin nhất là khi bán hàng trực tuyến, từ tràn lan sangthương mại điện tử
Trang 11Tóm lại trở ngại của thương mại điện tử cần khắc phục bên cạnh những
ưu điểm lớn mạnh của nó Cùng với xu hướng phát triển thương mại điện tử,doanh nghiệp của bạn cần đưa ra những cách tối ưu cho những vấn đề này đểphát triển nhanh chóng
1.2 Vai trò của an toàn và phòng tránh rủi ro trong thương mại điện tử
Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đềmới mẻ Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra cho thấynhững vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mạiđiện tử đang gia tăng nhanh từng ngày Theo báo cáo của Viện An ninh Máy tính(CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện
tử năm 2002 cho biết:
- Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bêntrong lẫn bên ngoài tổ chức Trong những tổ chức được điều tra, khoảng 90%cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất
- Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khácnhau: 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% lànạn nhân của tấn công từ chối dịch vụ (DoS)
- Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các
tổ chức được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàngloạt các kiểu tấn công khác nhau qua mạng Tổng thiệt hại của những tổ chứcnày khoảng 455 triệu đôla Mỹ
- Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năngphòng chống các vụ tấn công qua mạng Hầu hết các tổ chức được điều tra đềutrả lời rằng họ đã sử dụng các thiết bị bảo vệ an ninh, tường lửa, quản lý việctruy cập hệ thống Tuy nhiên, không có tổ chức nào tin rằng hệ thống thươngmại điện tử của mình tuyệt đối an toàn
Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT)của đại học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn côngqua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con sốnày cao gấp 20 lần so với con số nạn nhân năm 1998 Để đối phó với tình trạngmất an ninh qua mạng, ở hầu hết các nước đã thành lập những trung tâm an ninhmạng mang tính quốc gia, như Trung tâm bảo về Cơ sở hạ tầng quốc gia (NIPC)
Trang 12trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia vềviễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạtđộng cấp cứu và các hoạt động khác của chính phủ Tại Việt Nam cũng đã thànhlập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT- VietnamComputer Emergency Response Teams) vào tháng 12/2005 theo quyết định số13/2006/QĐ-BBCVT Trung tâm VNCERT sẽ là đầu mối trao đổi thông tin vớicác trung tâm an toàn mạng quốc tế của Việt Nam và hợp tác với các tổ chứcCERT trên thế giới Theo ông Đỗ Duy Trác, phụ trách CERT, thì trong nhữngnăm gần đây, tội phạm tin học gia tăng cả về phạm vi và mức độ chuyên nghiệp.Ban đầu là lấy cắp mật khẩu thể tín dụng để mua sách và phần mềm qua mạng,tiếp đến là làm thẻ tín dụng giả để lấy cắp tiền từ máy ATM, thiết lập các mạngmáy tính giả để gửi thư rác, thư quảng cáo, hay tấn công từ chối dịch vụ, thậmchí ngang nhiên hơn nữa là đe dọa tấn công, tống tiền hay bảo kê các websitethương mại điện tử
Việt Nam là nước đi sau trong ứng dụng thương mại điện tử và mức độphát triển của lĩnh vực này còn hạn chế Tuy nhiên Việt Nam cũng không tránhkhỏi được những rủi ro mà các nước phát triển về thương mại điện tử gặp phải
Số vụ tấn công các trang web với mục đích xấu hay cảnh bảo, cũng như số vụ ăntrộm thông tin tài khoản thanh toán của cá nhân trên mạng ngày càng gia tăng
1.3 Vai trò của chính sách và quy trình bảo đảm an toàn đối với TMĐT
Xây dựng chính sách về an ninh an toàn mạng và yêu cầu mọi người phảichấp hành có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạtđộng bảo vệ an ninh cho thương mại điện tử Chính sách này thường bao gồmcác nội dung sau:
- Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độtruy cập và ai giao quyền truy cập
- Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữliệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…
- Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dungđăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra vàcập nhật những nội dung này