THÔNG TIN TÓM TẮT VỀ NHỮNG KẾT LUẬN MỚI CỦA LUẬN ÁN TIẾN SĨ Tên đề tài: Giải pháp đảm bảo an toàn thông tin nhằm phát triển giao dịch thương mại điện tử mô hình doanh nghiệp với doanh nghiệp (B2B). Chuyên ngành: Thương mại Mã số: 62.34.10.01 Nghiên cứu sinh: Nguyễn Thị Minh Huyền Người hướng dẫn: PGS.TS. Đinh Văn Thành TS. Nguyễn Mạnh Quyền Cơ sở đào tạo: Viện Nghiên cứu Thương mại Bộ Công Thương Đẩy mạnh phát triển thương mại điện tử (TMĐT), đặc biệt là phát triển giao dịch TMĐT B2B là một trong những định hướng quan trọng của phát triển thương mại nói chung và TMĐT nói riêng. Những năm qua, TMĐT tại Việt Nam đã có bước phát triển nhanh nhưng thiếu bền vững. Một trong những nguyên n hân dẫn đến việc phát triển thiếu bền vững là do việc đảm bảo an toàn thông tin (ATTT) trong giao dịch TMĐT B2B chưa được triển khai trên cơ sở khoa học và phù hợp với thực tiễn. Thời gian qua, có hiện tượng các giao dịch TMĐT B2B đã bị làm biến dạng bản chất, gây thiệt hại về nhiều mặt cho cả phía Nhà nước và doanh nghiệp kinh doanh ở Việt Nam. ATTT trong TMĐT là vấn đề mới, đặc biệt là đảm bảo ATTT được tiếp cận riêng cho các giao dịch TMĐT B2B thì hầu như chưa tìm thấy công trình nghiên cứu nào được công bố. Vì vậy, nghiên cứu về giải pháp đảm bảo an toàn thông tin nhằm phát triển giao dịch TMĐT B2B là rất cần thiết và cấp bách. Điểm mới của Luận án : Về mặt lý luận: Luận án có đóng góp mới về khoa học, đó là: Hệ thống hóa và góp phần bổ sung lý luận như khái niệm, các yếu tố ảnh hưởng đến đảm bảo ATTT trong giao dịch TMĐT B2B; Tiếp cận đầy đủ các yếu tố đảm bảo ATTT trong giao dịch TMĐT B2B, khái quát hóa mô hình đảm bảo ATTT trong giao dịch TMĐT B2B gồm: 1) Yếu tố vĩ mô: Khung pháp lý; Hạ tầng công nghệ; Con người và bên thứ ba. 2) Yếu tố thuộc doanh nghiệp: ATTT trong nội bộ doanh nghiệp và ATTT truyền nhận giữa các doanh nghiệp. Về mặt thực tiễn: Luận án đã phân tích, đánh giá về thực trạng đảm bảo ATTT trong giao dịch TMĐT B2B một cách toàn diện và khoa học, trong đó có những nhận định trước đây chưa được đề cập hoặc đề cập chưa sâu như: (1) Hành lang pháp lý cho TMĐT tại Việt Nam tuy đã cơ bản hoàn thiện trong 3 năm qua nhưng do đặc thù TMĐT là lĩnh vực mới, công nghệ phát triển nhanh nên các cơ quan quản lý nhà nước cần có sự bao quát tốt hơn trên tất cả các lĩnh vực hoạt động; (2) Việc tổ chức thực thi pháp luật về thương mại điện tử còn gặp nhiều khó khăn, đặc biệt là công tác kiểm tra, giám sát việc thi hành pháp luật về thương mại điện tử còn kém hiệu quả ; (3) Nhận thức của doanh nghiệp về triển khai các giải pháp đảm bảo ATTT trong TMĐT còn hạn chế; (4) Thiếu hụt nguồn cung nhân lực có chuyên môn cho thương mại điện tử nói chung, đặc biệt là thiếu nguồn nhân lực kỹ thuật cao về ATTT; (5) Cơ sở hạ tầng công nghệ thông tin, viễn thông, Internet chưa đáp ứng nhu cầu về phát triển thương mại điện tử và đảm bảo sự an toàn về mặt kỹ thuật, công nghệ cho các chủ thể tham gia. Luận án đưa ra các quan điểm, định hướng có giá trị thực tiễn để hình thành giải pháp tổng thể về đảm bảo an toàn thông tin nhằm phát triển TMĐT B2B tại Việt Nam thời kỳ đến năm 2020. Trên cơ sở đó, Luận án đã xây dựng được một hệ thống các giải pháp có cơ sở khoa học và có tính khả thi, bao gồm: (1) Nhóm các giải pháp vĩ mô của nhà nước về đảm bảo ATTT nhằm phát triển TMĐT B2B, đó là hoàn thiện hành lang pháp lý cho TMĐT, trong đó chú trọng xây dựng hệ thống pháp luật đầy đủ, tăng cường các khung hình phạt xử lý về đảm bảo an toàn thông tin và triển khai thanh tra chuyên ngành về TMĐT; Phát triển hạ tầng và công nghệ hỗ trợ TMĐT B2B; Đẩy mạnh tuyên truyền về an toàn thông tin; Phát triển nguồn nhân lực về an toàn thông tin; Tăng cường hợp tác quốc tế về đảm bảo an toàn thông tin; (2) Các giải pháp của doanh nghiệp để đảm bảo ATTT trong TMĐT mô hình B2B, trong đó chú trọng các giải pháp về pháp lý và tổ chức; Giải pháp tăng cường đào tạo và nâng cao ý thức của người lao động về ATTT; (3) Và các giải pháp khác gồm: chấn chỉnh và hỗ trợ hoạt động của các sàn giao dịch TMĐT B2B; Hoàn thiện hệ thống thông tin xúc tiến thương mại trên Internet.. Người hướng dẫn Nghiên cứu sinh
Trang 1NGUYỄN THỊ MINH HUYỀN
GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN NHẰM PHÁT TRIỂN
GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ MÔ HÌNH DOANH NGHIỆP VỚI DOANH NGHIỆP (B2B)
Chuyên ngành: Thương mại
Mã số: 62.34.10.01
TÓM TẮT LUẬN ÁN TIẾN SỸ KINH TẾ
Hà Nội - 2015
Trang 2VIỆN NGHIÊN CỨU THƯƠNG MẠI – BỘ CÔNG THƯƠNG
NGƯỜI HƯỚNG DẪN KHOA HỌC:
Trang 3MỞ ĐẦU
1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI
Thực hiện kế hoạch phát triển thương mại điện tử (TMĐT) Việt Nam giai đoạn
2011-2015 và Chương trình phát triển thương mại điện tử quốc gia giai đoạn 2014-2020 đã được Thủ tướng Chính phủ phê duyệt, TMĐT tại Việt Nam đã có những bước phát triển nhanh chóng, đã có nhiều tổ chức, doanh nghiệp và cá nhân tích cực khai thác lợi ích của TMĐT
Việc triển khai ứng dụng TMĐT ở các doanh nghiệp trên thế giới cũng như ở Việt Nam thời gian qua thường tập trung ở hai hình thức: TMĐT B2C và TMĐT B2B, trong đó, tại Việt Nam, TMĐT B2B chiếm khoảng 80% tỷ trọng tổng giao dịch TMĐT cả nước Đối với những nước bước đầu ứng dụng TMĐT như Việt Nam, phát triển TMĐT B2B vừa phù hợp với tình hình thực tế, vừa là cơ sở, động lực thúc đẩy phát triển TMĐT Tuy nhiên, việc đảm bảo an toàn thông tin trong TMĐT B2B (TMĐT) ở nước ta còn nhiều hạn chế đã và đang là một trong những nguyên nhân cản trở phát triển TMĐT B2B tại Việt Nam
Quyết định 63/NĐ-CP năm 2010 của Thủ tướng chính phủ phê duyệt quy hoạch phát triển an toàn thông tin số quốc gia đến 2020 đã đặt ra mục tiêu đến năm 2015, 100% các giao dịch điện tử có biện pháp bảo đảm an toàn thông tin Các dịch vụ TMĐT mới phải công bố công khai và cam kết tuân thủ các tiêu chuẩn chất lượng về an toàn thông tin trước khi vận hành chính thức
Trong các loại hình TMĐT, TMĐT B2B là một trong những định hướng quan trọng
để phát triển thương mại nói chung và TMĐT nói riêng Trong những năm qua, TMĐT tại Việt Nam đã có bước phát triển nhanh nhưng thiếu bền vững Một trong những nguyên nhân dẫn đến kết quả đó là do việc đảm bảo an toàn thông tin trong giao dịch TMĐT B2B chưa được triển khai trên cơ sở khoa học và phù hợp với thực tiễn Đã có một số nghiên cứu về vấn đề này nhưng chủ yếu trên giác độ công nghệ của vấn đề Vì vậy, nghiên cứu về giải pháp đảm bảo an toàn thông tin nhằm phát triển TMĐT B2B ở giác độ chính sách vĩ mô trong mối quan hệ với quản trị kinh doanh TMĐT doanh nghiệp là rất cần thiết và cấp bách
Xuất phát từ tình hình và những đòi hỏi khách quan của thực tiễn, Nghiên cứu sinh
(NCS) đã chọn đề tài: “Giải pháp đảm bảo an toàn thông tin nhằm phát triển giao dịch TMĐT theo mô hình doanh nghiệp với doanh nghiệp B2B”
Đảm bảo ATTT trong giao dịch TMĐT B2B được tiếp cận cả trên bình diện vĩ mô và
vi mô Đối với vĩ mô, đó là các quy định pháp luật về đảm bảo ATTT trong các giao dịch TMĐT B2B, các điều kiện hạ tầng, các quy chuẩn và tiêu chuẩn quốc gia áp dụng đối với các bên tham gia giao dịch TMĐT phù hợp với quy mô giao dịch và chuẩn mực quốc gia và quốc tế Đối với doanh nghiệp, là nguồn nhân lực thực hiện TMĐT, công nghệ ứng dụng cho TMĐT và các chính sách đảm bảo ATTT của doanh nghiệp bên mua, bên bán và các tổ chức cung cấp dịch vụ TMĐT
2 MỤC TIÊU NGHIÊN CỨU
- Hệ thống hóa, bổ sung cơ sở lý luận về đảm bảo ATTT và đảm bảo ATTT nhằm phát triển giao dịch TMĐT B2B
Trang 4- Phân tích và đánh giá một cách khách quan và khoa học về thực trạng đảm bảo ATTT trong giao dịch TMĐT B2B tại Việt Nam; chỉ ra kết quả đạt được, hạn chế và nguyên nhân để làm cơ sở thực tiễn cho việc xây dựng các giải pháp
- Đề xuất các quan điểm, định hướng và các giải pháp có tính khoa học và khả thi đảm bảo ATTT nhằm phát triển giao dịch TMĐT B2B tại Việt Nam thời kỳ đến năm 2020
3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
- Đối tượng nghiên cứu chính của luận án là các vấn đề lý luận và thực tiễn đảm bảo ATTT, đảm bảo ATTT nhằm phát triển TMĐT B2B tại Việt Nam Cụm từ viết tắt giao dịch TMĐT B2B sử dụng trong luận án được hiểu là giao dịch thương mại điện tử mô hình doanh nghiệp với doanh nghiệp (B2B)
- Phạm vi nghiên cứu: luận án giới hạn nghiên cứu các giải pháp vĩ mô của nhà nước nhằm đảm bảo ATTT trong giao dịch TMĐT B2B; nguồn nhân lực và các bên thứ ba tham gia TMĐT B2B; góc độ quản trị của doanh nghiệp đối với đảm bảo ATTT trong giao dịch TMĐT B2B (chính sách đảm bảo ATTT trong TMĐT và nhân lực cho việc triển khai công tác đảm bảo ATTT trong TMĐT) chứ không đi sâu nghiên cứu về kỹ thuật và các công nghệ bảo mật, đảm bảo ATTT trong TMĐT Về góc độ công nghệ, luận án sẽ chỉ giới thiệu các giải pháp công nghệ bổ biến về đảm bảo ATTT trong TMĐT B2B đang được ứng dụng hiện nay
Nội hàm của đảm bảo ATTT trong các giao dịch TMĐT B2B được phát triển ở hai
cấp độ Ở cấp độ vĩ mô của Nhà nước bao gồm các quy định pháp luật về đảm bảo an toàn thông tin trong giao dịch TMĐT, các tiêu chuẩn chuẩn và quy chuẩn quốc gia áp dụng đối với các bên tham gia giao dịch TMĐT phù hợp chuẩn mực quốc gia và quốc tế; hạ tầng công nghệ và các hỗ trợ khác trong đảm bảo ATTT nhằm phát triển TMĐT Ở cấp độ giao dịch TMĐT B2B giữa các doanh nghiệp, đảm bảo ATTT bao gồm các chính sách ATTT, nguồn nhân lực cho ATTT và công nghệ kỹ thuật đảm bảo ATTT của doanh nghiệp
- Thời gian nghiên cứu: tập trung nghiên cứu thực trạng đảm bảo ATTT trong TMĐT B2B trong 5 năm trở lại đây làm cơ sở cho việc đề xuất các giải pháp đảm bảo ATTT trong TMĐT B2B đến năm 2020
4 PHƯƠNG PHÁP NGHIÊN CỨU
- Phương pháp luận duy vật biện chứng và duy vật lịch sử
- Phương pháp nghiên cứu tài liệu, tổng hợp và phân tích
- Nghiên cứu sơ cấp dưới hai hình thức:
+ Nghiên cứu định lượng: điều tra bằng bảng hỏi đối với nhóm doanh nghiệp có hoạt
động giao dịch TMĐT B2B về thực trạng đảm bảo ATTT trong các giao dịch TMĐT B2B của doanh nghiệp Dữ liệu được xử lý bằng phần mềm thống kê chuyên dụng SPSS
+ Nghiên cứu định tính: phỏng vấn chuyên gia đối với cá nhân Lãnh đạo, chuyên viên
phụ trách quản lý nhà nước về TMĐT tại Cục Thương mại Điện tử - Bộ Công thương
Trang 5- Phương pháp khác: phương pháp thống kê và mô hình hóa để lượng hóa một số kết quả nghiên cứu trong và ngoài nước
5 TÌNH HÌNH NGHIÊN CỨU
Trong nước, nghiên cứu về tình hình phát triển giao dịch điện tử mô hình B2B và giải pháp đảm bảo ATTT trong giao dịch TMĐT B2B còn rất ít Tác giả đã tổng hợp một số công trình nghiên cứu, ấn phẩm đã phát hành cũng như hoạt động khoa học liên quan ít nhiều đến giao dịch TMĐT B2B, giải pháp đảm bảo ATTT trong giao dịch TMĐT B2B trong nội dung chi tiết của Luận án
Thông qua nghiên cứu các công trình khoa học có liên quan, tác giả nhận thấy các công trình nghiên cứu còn khá ít ỏi về số lượng và hẹp về phạm vi, và hiện chưa có công trình nghiên cứu chuyên sâu nào về đảm bảo ATTT trong các giao dịch TMĐT B2B (loại hình giao dịch chiếm 80% khối lượng giao dịch TMĐT tại Việt Nam) Đặc điểm chung của các nghiên cứu trên là chỉ dừng lại ở mức độ giới thiệu TMĐT B2B hoặc nghiên cứu chung
về cơ sở lý luận hoặc công nghệ đảm bảo ATTT trong các giao dịch TMĐT, chưa đi sâu phân tích toàn diện các yếu tố đảm bảo ATTT trong giao dịch TMĐT B2B, chưa có tính thực tiễn cao, do vậy, cần thiết phải có một nghiên cứu tổng thể, bên cạnh việc hệ thống cơ
sở lý luận về đảm bảo ATTT nhằm phát triển giao dịch TMĐT B2B tại Việt Nam
6 NHỮNG ĐÓNG GÓP MỚI CỦA LUẬN ÁN
- Về mặt lý luận, Luận án có đóng góp mới về khoa học, đó là: Hệ thống hóa và góp phần bổ sung lý luận như khái niệm, mô hình, các yếu tố ảnh hưởng đến đảm bảo ATTT trong TMĐT B2B; Tiếp cận đầy đủ các yếu tố đảm bảo ATTT trong TMĐT B2B: khung pháp lý, chính sách đảm bảo ATTT của doanh nghiệp và công nghệ áp dụng, nhân tố con người và các bên thứ ba tham gia TMĐT B2B; Luận án đưa ra khung lý luận để phân tích
và đề xuất giải pháp đảm bảo ATTT trong TMĐT B2B là nhằm phát triển TMĐT B2B
- Về mặt thực tiễn: Luận án đã phân tích, đánh giá về thực trạng đảm bảo ATTT trong TMĐT B2B một cách toàn diện và khoa học, trong đó có những nhận định trước đây chưa được đề cập hoặc đề cập chưa sâu như: (1) Hành lang pháp lý cho TMĐT tại Việt Nam tuy
đã cơ bản hoàn thiện trong 3 năm qua nhưng các cơ quan quản lý nhà nước có sự bao quát tốt hơn trên tất cả các lĩnh vực hoạt động; (2) Việc tổ chức thực thi pháp luật về TMĐT còn gặp nhiều khó khăn, đặc biệt là công tác kiểm tra, giám sát việc thi hành pháp luật về TMĐT còn kém hiệu quả; (3) Nhận thức của doanh nghiệp về triển khai các giải pháp đảm bảo ATTT trong TMĐT còn hạn chế; (4) Thiếu hụt nguồn cung nhân lực có chuyên môn cho TMĐT nói chung, đặc biệt là thiếu nguồn nhân lực kỹ thuật cao về ATTT; (5) Cơ sở hạ tầng công nghệ thông tin, viễn thông, Internet chưa đáp ứng nhu cầu về phát triển TMĐT và đảm bảo sự an toàn về mặt kỹ thuật, công nghệ cho các chủ thể tham gia
Luận án đưa ra các quan điểm, định hướng có giá trị thực tiễn để hình thành giải pháp tổng thể về đảm bảo ATTT nhằm phát triển TMĐT B2B tại Việt Nam thời kỳ đến năm
2020 Trên cơ sở đó, Luận án đã xây dựng được một hệ thống các giải pháp có cơ sở khoa học và có tính khả thi, bao gồm: (1) Nhóm các giải pháp vĩ mô của nhà nước về đảm bảo ATTT nhằm phát triển giao dịch TMĐT mô hình B2B gồm hoàn thiện hành lang pháp lý
Trang 6cho TMĐT, trong đó chú trọng xây dựng hệ thống pháp luật đầy đủ, tăng cường các khung hình phạt xử lý về đảm bảo ATTT và triển khai thanh tra chuyên ngành về TMĐT; Tăng cường đầu tư và đẩy mạnh tuyên truyền về ATTT; Phát triển nguồn nhân lực về ATTT; Tăng cường hợp tác quốc tế về đảm bảo ATTT; (2) Các giải pháp của doanh nghiệp để đảm bảo ATTT trong TMĐT mô hình B2B, trong đó chú trọng chính sách đảm bảo ATTT của doanh nghiệp và triển khai áp dụng các công nghệ tiên tiến về bảo mật và ATTT; Và nhóm các giải pháp liên quan đến bên thứ ba và khuyến nghị đối với các sàn TMĐT B2B
7 KẾT CẤU CỦA LUẬN ÁN
Ngoài phần mở đầu, kết luận, danh mục bảng, danh mục hình, luận án được bố cục thành 3 chương:
Chương 1: Một số lý luận cơ bản về đảm bảo an toàn thông tin nhằm phát triển giao dịch TMĐT B2B của doanh nghiệp
Chương 2: Thực trạng về đảm bảo an toàn thông tin trong thương mại điện tử mô hình B2B
Chương 3: Một số giải pháp chủ yếu đảm bảo an toàn thông tin nhằm phát triển giao dịch thương mại điện tử B2B tại Việt Nam
CHƯƠNG 1 MỘT SỐ LÝ LUẬN CƠ BẢN VỀ ĐẢM BẢO
AN TOÀN THÔNG TIN NHẰM PHÁT TRIỂN GIAO DỊCH
THƯƠNG MẠI ĐIỆN TỬ B2B CỦA DOANH NGHIỆP
1.1 KHÁI NIỆM VỀ ĐẢM BẢO AN TOÀN THÔNG TIN NHẰM PHÁT TRIỂN GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ B2B CỦA DOANH NGHIỆP
1.1.1 Thương mại điện tử và giao dịch thương mại điện tử B2B
1.1.1.1 Khái niệm TMĐT
Từ khi các ứng dụng của Internet được khai thác nhằm phục vụ cho mục đích thương mại, nhiều thuật ngữ khác nhau đã xuất hiện để chỉ các hoạt động kinh doanh điện tử trên Internet như: “thương mại điện tử” (electronic commerce hay e-commerce); "thương mại trực tuyến" (online trade); "thương mại điều khiển học" (cyber trade); "thương mại không giấy tờ" (paperless commerce hoặc paperless trade); “thương mại Internet” (Internet commerce) hay “thương mại số hoá” (digital commerce) Trong luận án này, tác giả sẽ sử
dụng thống nhất một thuật ngữ “thương mại điện tử” (electronic commerce), thuật ngữ
được dùng phổ biến trong tài liệu của các tổ chức trong và ngoài nước cũng như trong các tài liệu nghiên cứu khác
Hiện nay, có nhiều định nghĩa về TMĐT tiếp cận theo quan điểm thuật ngữ “thương
mại điện tử” được hiểu theo nghĩa rộng và nghĩa hẹp Nghĩa rộng và hẹp ở đây phụ thuộc
vào cách tiếp cận rộng và hẹp của hai thuật ngữ "thương mại" và "điện tử"
Phương tiện điện tử (PTĐT)
Trang 7Phương tiện điện tử (PTĐT)
Thương
mại
Nghĩa rộng
1- TMĐT là toàn bộ các giao dịch mang tính thương mại được tiến hành bằng các PTĐT
3- TMĐT là toàn bộ các giao dịch mang tính thương mại được tiến hành bằng các PTĐT mà chủ yếu là các mạng truyền thông, mạng máy tính và Internet
Nghĩa hẹp
2- TMĐT là các giao dịch mua bán được tiến hành bằng các PTĐT
4- TMĐT là các giao dịch mua bán được tiến hành bằng các PTĐT mà chủ yếu là các mạng truyền thông, mạng máy tính và Internet
Bảng 1.1 TMĐT theo nghĩa rộng và nghĩa hẹp
Sau khi xem xét bản chất của TMĐT xuất phát từ đối tượng và phạm vi của đề tài nghiên cứu, tác giả thống nhất quan điểm với định nghĩa được đưa ra trong Nghị định số
52/2013/NĐ-CP ngày 16/5/2013 của Thủ tướng Chính phủ về TMĐT như sau: “Hoạt động TMĐT là việc tiến hành một phần hoặc toàn bộ quy trình của hoạt động thương mại bằng phương tiện điện tử có kết nối với mạng Internet, mạng viễn thông di động hoặc các mạng
- Thứ tư, trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất 3 chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực
- Thứ năm, “TMĐT” là thuật ngữ mang tính lịch sử Không thể có định nghĩa duy nhất
về TMĐT bởi các công nghệ mới thường xuyên ra đời và được khai thác trong kinh doanh
1.1.1.3 Giao dịch TMĐT B2B
Khái niệm giao dịch TMĐT B2B
TMĐT có thể phân chia thành nhiều loại hình giao dịch khác nhau Cách phân loại phổ biến nhất là phân chia thành bốn loại hình giao dịch cơ bản của TMĐT có tính chất và đặc điểm hoàn toàn khác nhau, đó là:
- Giao dịch TMĐT giữa các doanh nghiệp (B2B
- Giao dịch giữa doanh nghiệp với người tiêu dùng (B2C)
- Giao dịch người tiêu dùng với doanh nghiệp (C2B)
- Giao dịch giữa người tiêu dùng với người tiêu dùng (C2C)
Trang 8Từ các cách thức phân loại này, thuật ngữ TMĐT giữa các doanh nghiệp (còn gọi là TMĐT giữa doanh nghiệp với doanh nghiệp hay TMĐT B2B (xuất phát từ thuật ngữ
“business-to-business”, viết tắt là B-to-B hay B2B theo cách đọc đồng âm trong tiếng Anh), được định nghĩa như sau: “TMĐT giữa các doanh nghiệp là việc sử dụng các CNTT nói chung, công nghệ trên cơ sở Web nói riêng để mua, bán hàng hóa và dịch vụ hoặc trao đổi
thông tin giữa hai hay nhiều doanh nghiệp”
Giao dịch B2B có thể diễn ra trực tiếp giữa các doanh nghiệp hoặc qua một đối tác thứ ba (hay một trung gian giao dịch) đóng vai trò cầu nối giữa người mua và người bán đồng thời tạo điều kiện để giao dịch giữa họ diễn ra thuận lợi hơn Các giao dịch này bao gồm trao đổi dữ liệu điện tử trên Internet, các giao dịch diễn ra trên thị trường điện tử, các giao dịch trên mạng ngoại bộ và các hoạt động bên bán, nhưng không bao gồm các hoạt động trên các mạng dùng riêng (proprietary networks)
Các giao dịch TMĐT B2B có thể được tiến hành trực tiếp giữa một nhà sản xuất và khách hàng (một tổ chức hay doanh nghiệp) hoặc có thể được thực hiện qua một trung gian trực tuyến Một trung gian là một tổ chức độc lập (gọi là bên thứ ba) hoạt động trên Internet làm nhiệm vụ môi giới giao dịch giữa bên mua và bên bán
Đặc điểm giao dịch TMĐT B2B
4 đặc điểm của giao dịch TMĐT được tổng kết đúc rút như sau:
- Đối tượng hướng tới của TMĐT B2B là các khách hàng doanh nghiệp, trong khi TMĐT B2C hướng tới các khách hàng cá nhân
- Đơn hàng trong TMĐT B2B thường ít về chủng loại hàng hóa nhưng rất nhiều về khối lượng, đồng thời mức mức độ mua hàng lặp lại cao và phương thức định giá, phân phối hoặc các dịch vụ thương mại linh hoạt hơn so với TMĐT B2C
- TMĐT B2B sử dụng nhiều hình thức thanh toán khác nhau, có thể là đơn đặt hàng hoặc chuyển khoản
- Phương thức giao dịch giữa bên mua và bên bán thường được tiến hành thông qua mạng riêng ảo, nhiều trường hợp là trao đổi dữ liệu điện tử (EDI)
Các loại hình giao dịch TMĐT B2B
- Giao dịch bên bán: một bên bán nhiều bên mua Doanh nghiệp bán xây dựng một website để bán hàng
- Giao dịch bên mua: Một bên mua và nhiều người bán
- Sàn giao dịch: nhiều người bán và nhiều người mua
- TMĐT phối kết hợp: các doanh nghiệp liên kết nhau, chia sẻ thông tin, chia sẻ thiết
kế và kế hoạch với nhau để cùng kết hợp với nhau để tạo ra sản phẩm
1.1.2 Đảm bảo an toàn thông tin và đảm bảo an toàn thông tin nhằm phát triển giao dịch thương mại điện tử B2B
1.1.2.1 Tổng quan về an toàn thông tin
Thông tin (information) là khái niệm cơ bản của khoa học cũng là khái niệm trung tâm của xã hội trong thời đại hiện nay Mọi quan hệ, mọi hoạt động của con người đều dựa trên một hình thức giao lưu thông tin nào đó Thông tin là một khái niệm trừu tượng được
Trang 9thể hiện qua các thông báo, các biểu hiện đem lại một nhận thức chủ quan cho một đối tượng nhận tin
Cần phải nhận thức rằng, ATTT không chỉ là những công cụ mà là cả một quy trình, trong đó bao gồm những chính sách liên quan đến tổ chức, con người; môi trường bảo mật
và những công nghệ để đảm bảo an toàn hệ thống mạng Trong ATTT, có hai yếu tố chủ
yếu cần quan tâm: (1) yếu tố công nghệ (các giải pháp phần cứng và phần mềm) và (2) yếu
tố con người Hai yếu tố trên được liên kết lại thông qua các chính sách về ATTT Thông
qua các chính sách về ATTT, người quản lý thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống thông tin Với vị trí quan trọng như vậy, có thể khẳng định vấn đề ATTT phải bắt đầu từ Luật pháp và các tiêu chuẩn công nghệ; Các chính sách bảo mật; trong đó con người là mắt xích quan trọng nhất
Luận án này lựa chọn khái niệm ATTT được nêu trong Nghị định số
72/2013/NĐ-CP, theo đó “An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin”
1.1.2.2 Đảm bảo ATTT trong TMĐT
ATTT trong TMĐT có liên quan mật thiết với an toàn máy tính và an toàn mạng máy tính của chính người sử dụng
An toàn máy tính (computer security) là an toàn cho các tệp tin, các dạng thông tin
chứa trong máy tính Mô hình đảm bảo an toàn máy tính đầu cuối cần triển khai theo 4 mức,
đó là: 1) Mức vật lý; 2) Mức mạng; 3) Mức hệ điều hành; 4) Mức dữ liệu
An toàn mạng máy tính (network security) đề cập đến sự an toàn của các tài nguyên
trên mạng may tính khi các máy tính kết nối và trao đổi thông tin với nhau
Đảm bảo ATTT trong giao dịch TMĐT là một khái niệm mang tính tương đối Lịch
sử ATTT trong giao dịch TMĐT đã chứng minh rằng, bất cứ hệ thống an toàn nào cũng có thể bị phá vỡ nếu không đủ sức để chống lại các cuộc tấn công Hơn nữa, một sự an toàn vĩnh viễn là không thể có trong thời đại thông tin, công nghệ truyền thông phát triển và bùng nổ như hiện nay Vì thông tin đôi khi chỉ có giá trị trong một vài giờ, một vài ngày hoặc một vài năm và cũng chỉ cần bảo vệ chúng trong khoảng thời gian đó là đủ
Các nội dung liên quan đến đảm bảo ATTT trong giao dịch TMĐT gồm:
- Đảm bảo ATTT trong bảo mật dữ liệu
- Đảm bảo ATTT trong ứng dụng Website của doanh nghiệp
- Đảm bảo ATTT trong thanh toán điện tử
1.1.2.3 ATTT trong giao dịch TMĐT B2B
ATTT trong TMĐT B2B có thể được chia thành hai phần chính: ATTT trong doanh nghiệp và ATTT giữa các doanh nghiệp với nhau Các khâu/các quy trình khác có liên quan,
ví dụ như khâu thanh toán, xác thực thông tin… đều có thể coi là quá trình truyền/gửi dữ liệu giữa các doanh nghiệp (có thể coi ngân hàng đóng vai trò là một doanh nghiệp trong quá trình thanh toán) ATTT trong doanh nghiệp liên quan tới các vấn đề về bảo mật dữ liệu nội bộ của doanh nghiệp, trong khi đó, ATTT giữa các doanh nghiệp với nhau liên quan tới
Trang 10vấn đề truyền/gửi dữ liệu giữa các doanh nghiệp, đảm bảo tính chính xác của thông tin trong quá trình gửi/nhận dữ liệu
1.2 MỤC TIÊU, YÊU CẦU VÀ MÔ HÌNH ĐẢM BẢO ATTT TRONG GIAO DỊCH TMĐT B2B
1.2.1 Mục tiêu và yêu cầu đảm bảo ATTT
Đảm bảm ATTT trong TMĐT B2B phải được xem xét trong phạm vi đảm bảo ATTT nội bộ doanh nghiệp và đảm bảo ATTT trao đổi giữa các doanh nghiệp với nhau, và dựa trên cơ sở chủ yếu là đảm bảo an toàn máy tính và đảm bảo an toàn mạng máy tính Tuy nhiên, do không có ranh giới rõ ràng giữa đảm bảo an toàn máy tính và đảm bảo an toàn mạng máy tính, nên các mục tiêu và yêu cầu đảm bảo ATTT được nêu dưới đây cần được tất cả các bên tham gia giao dịch TMĐTB2B tuân thủ
Trong lĩnh vực bảo mật, các tổ chức chuyên môn và các chuyên gia đã đưa ra mô
hình tam giác CIA (Confidentiality - bí mật; Intergrity - toàn vẹn: Availability - sẵn sàng)
Mô hình này được Hiệp hội An toàn máy tính quốc gia Mỹ (NCSA - National Computer Sercurity Association) sử dụng, và cũng chính là 3 mục tiêu đặt ra ngay trong khái niệm về ATTT theo Nghị định số 72/2013/NĐ-CP
Hình 1.4: Tam giác bảo mật
Nguồn: Hiệp hội An toàn máy tính quốc gia Mỹ (NCSA - National Computer Sercurity
Association)
Các yêu cầu cơ bản của đảm bảo ATTT trong TMĐT B2B được đặt ra như sau:
- Thứ nhất, phát hiện sớm các lỗ hổng trong hình thức giao dịch và thanh toán điện tử
- Thứ hai, hạn chế đến mức thấp nhất các sai sót trong việc sử dụng các giao thức truyền tin
- Thứ ba, có thể khắc phục hậu quả và đảm bảo lợi ích cho các bên tham gia
1.2.2 Mô hình đảm bảo an toàn thông tin
Với các phân tích về thông tin, ATTT, ATTT trong TMĐT, đặc điểm của mô hình TMĐT B2B, đảm bảo ATTT, các mục tiêu và yêu cầu đảm bảo ATTT trong TMĐT, cùng với nhận định về các yếu tố quan trọng đảm bảo ATTT trong TMĐT B2B… NCS đã khái
Tính toàn vẹn
Tính bí mật
Tính sẵn sàng
Trang 11quát hóa mô hình đảm bảo ATTT trong TMĐT B2B như trong hình 1.5 dưới đây
Hình 1.5: Mô hình đảm bảo ATTT nhằm phát triển TMĐT B2B
bị xâm hại bởi một bên thứ ba
- Đề đảm bảo ATTT nội bộ, các doanh nghiệp sử dụng hàng loạt các biện pháp dựa trên các nguồn lực quan trọng như: công nghệ đảm bảo an toàn, nguồn nhân lực cho TMĐT của doanh nghiệp và các chính sách ATTT của doanh nghiệp
- Nhà nước, với vai trò tạo ra và duy trì môi trường vĩ mô thuận lợi thúc đẩy các giao dịch TMĐT B2B thông qua các công cụ như khung pháp lý, các tiêu chuẩn, hạ tầng công nghệ và nguồn nhân lực quốc gia cho TMĐT và kiểm soát hành vi của bên thứ ba trong các giao dịch TMĐT B2B
- Cuối cùng, toàn bộ hệ thống trên thỏa mãn 3 mục tiêu cơ bản nhất, là đích đến của mọi hệ thống đảm bảo ATTT, đó là: tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin trong các giao dịch TMĐT B2B
1.3 CÁC NHÂN TỐ ẢNH HƯỞNG ĐẾN ĐẢM BẢO ATTT TRONG GIAO DỊCH TMĐT B2B
1.3.1 Khung pháp lý về TMĐT
1.3.1.1 Nguyên tắc xây dựng khung pháp lý TMĐT
Trang 12Toàn cầu hóa, số hóa, ứng dụng từ xa đang tác động sâu sắc đến sự phát triển của TMĐT Điều này đã đặt ra yêu cầu phải có khuôn khổ pháp lý để điều chỉnh các vấn đề mới nảy sinh liên quan tới các giao dịch TMĐT mà hệ thống luật pháp đối với TMĐT (dựa trên
cơ sở sử dụng văn bản chứng thực bằng giấy tờ và chữ ký tay làm cơ sở pháp lý) đã trở nên không thể phù hợp nữa
Việc xây dựng khuôn khổ pháp lý TMĐT phải được xây dựng dựa trên hai nguyên tắc cơ bản Một là, khuôn khổ pháp lý TMĐT phải được xây dựng trên nền tảng các khuôn khổ pháp lý điều chỉnh giao dịch thương mại truyền thống Hai là, khuôn khổ pháp lý TMĐT phải phá bỏ rào cản kiềm chế sự phát triển của TMĐT
1.3.1.2 Các yếu tố thuộc khung pháp lý TMĐT
Cơ sở pháp lý của TMĐT bao gồm:
Thừa nhận tính pháp lý của các văn bản điện tử, chữ ký điện tử và có các thiết chế pháp lý, các cơ quan pháp lý thích hợp cho việc xác thực, chứng nhận chữ ký điện tử và chữ
ký số
Bảo vệ về mặt pháp lý các thanh toán điện tử
Bảo vệ pháp lý đối với vấn đề sở hữu trí tuệ liên quan đến mọi hình thức giao dịch điện tử
Bảo vệ bí mật riêng tư
Bảo vệ pháp lý với mạng thông tin, chống tội phạm thâm nhập với các mục đích bất hợp pháp
Tiêu chuẩn hóa công nghiệp và thương mại
Các quy định về thuế quan và hệ thống thuế
1.3.2 Công nghệ áp dụng
1.3.2.1 Hạ tầng thanh toán điện tử
Phương tiện thanh toán trong giao dịch TMĐT
Hạ tầng thanh toán trong giao dịch TMĐT
Dịch vụ cổng thanh toán điện tử
An toàn trong thanh toán điện tử
1.3.2.2 Hạ tầng công nghệ thông tin và Internet
Mạng Internet và giao thức TCP/IP
Công nghệ web và dịch vụ trên mạng Internet
1.3.2.3 Các hiểm họa đối với ATTT trong TMĐT
Việc nghiên cứu, thẩm tra các yêu cầu về ATTT trong TMĐT bắt đầu bằng việc kiểm tra toàn bộ quy trình, với khách hàng và kết thúc với máy chủ thương mại Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công khác nhau Có rất nhiều kiểu tấn công vào các máy tính, một số kiểu tấn công nhằm vào các hệ điều hành, một số lại nhằm vào các mạng máy tính, còn một số lại nhằm vào cả hai
1.3.3 Con người và các bên thứ ba tham gia TMĐT
1.3.3.1 Nhân lực tham gia TMĐT
Trang 13Nhân lực trong TMĐT là một nguồn lao động mang tính chuyên môn đặc thù Do các công nghệ ứng dụng trong TMĐT luôn có xu hướng thay đổi, hiện đại hóa với tốc độ nhanh chóng, nên để phát triển TMĐT yêu cầu nguồn nhân lực không những nắm vững kỹ năng
mà còn phải luôn được phát triển, nhanh nhạy, cập nhật các công nghệ mới
1.3.3.2 Tác động của bên thứ ba tham gia giao dịch TMĐT
Trong TMĐT, ngoài các chủ thể tham gia quan hệ giao dịch giống như giao dịch thương mại truyền thống đã xuất hiện một bên thứ ba đó là nhà cung cấp dịch vụ mạng, các
cơ quan chứng thực… là những người tạo môi trường cho các giao dịch TMĐT Nhà cung cấp dịch vụ mạng và cơ quan chứng thực có nhiệm vụ chuyển đi, lưu giữ các thông tin giữa các bên tham gia giao dịch TMĐT, đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch TMĐT
CHƯƠNG 2 THỰC TRẠNG VỀ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG
THƯƠNG MẠI ĐIỆN TỬ MÔ HÌNH B2B
2.1 KHÁI QUÁT VỀ AN TOÀN VÀ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG TMĐT
2.1.1 An toàn thông tin ở Việt Nam
Năm 2013, các hoạt động thể chế hóa của nhà nước trong lĩnh vực ATTT được quan tâm hơn bao giờ hết Luật An toàn thông tin đang được tích cực soạn thảo, lấy ý kiến đóng góp rộng rãi trong xã hội Cùng với văn bản quy phạm pháp luật khác, đây sẽ là hành lang pháp lý tạo điều kiện đẩy mạnh hoạt động trong lĩnh vực ATTT Bên cạnh đó, các cơ quan quản lý chuyên ngành và triển khai bảo mật và ATTT đang được xây dựng và kiện toàn tại các Bộ, ngành, địa phương
Năm 2013, Hiệp hội An toàn thông tin Việt nam (VNISA) đã tổ chức điều tra, đánh giá về hiện trạng ATTT tại Việt Nam với số liệu tổng hợp từ gần 600 tổ chức (cơ quan nhà nước và doanh nghiệp) Các chỉ số ATTT trong khảo sát được phân theo 5 nhóm, bao gồm: 1) Đào tạo, tuyên truyền nâng cao nhận thức về ATTT; 2) Ban hành các chính sách hỗ trợ ATTT và đầu tư kinh phí cho ATTT; 3) Xây dựng tổ chức, đầu tư nhân lực ATTT; 4) Thực hiện các biện pháp về kỹ thuật đảm bảo ATTT; 5) Thực hiện các biện pháp về quản lý đảm bảo ATTT
Kết quả điều tra cho thấy, các chỉ số ATTT ở mức cao là các nội dung: Nhận thức về các vấn đề khó khăn nhất trong việc thực thi bảo vệ an toàn cho hệ thống thông tin; Nhận thức về sự cần thiết tăng kinh phí đầu tư cho ATTT của tổ chức trong năm sau; Nhận biết về các tấn công mà tổ chức gặp phải kể từ tháng 1/2012
Các chỉ số ATTT đứng ở mức thấp thể hiện ở các vấn đề: Tổng số sự cố có báo cáo tìm trợ giúp trong vòng 1 tuần trở lại (khoảng dưới 0,8%); Khả năng ghi nhận các hành vi thử tấn công (kể cả chưa thành công) rất yếu; triển khai sử dụng các log file nhưng hiệu quả rất thấp, thiếu khoa học nên rất ít tổ chức có khả năng ước lượng được tổn thất khi bị tấn công
