Tổng quan về an toàn và phòng tránh rủi ro trong thương mại điện tử

1. Vai trò của an toàn và phòng tránh rủi ro trong thương mại điện tử

Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ. Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra cho thấy những vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng nhanh từng ngày. Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện tử năm 2002 cho biết:

– Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn bên ngoài tổ chức. Trong những tổ chức được điều tra, khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.

– Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau: 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS).

– Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các tổ chức được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn công khác nhau qua mạng. Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.

– Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các vụ tấn công qua mạng. Hầu hết các tổ chức được điều tra đều trả lời rằng họ đã sử dụng các thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống. Tuy nhiên, không có tổ chức nào tin rằng hệ thống thương mại điện tử của mình tuyệt đối an toàn.

Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn công qua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con số này cao gấp 20 lần so với con số nạn nhân năm 1998. Để đối phó với tình trạng mất an ninh qua mạng, ở hầu hết các nước đã thành lập những trung tâm an ninh mạng mang tính quốc gia, như Trung tâm bảo về Cơ sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt động cấp cứu và các hoạt động khác của chính phủ. Tại Việt Nam cũng đã thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT- Vietnam Computer Emergency Response Teams) vào tháng 12/2005 theo quyết định số 13/2006/QĐ-BBCVT. Trung tâm VNCERT sẽ là đầu mối trao đổi thông tin với các  trung tâm an toàn mạng quốc tế của Việt Nam và hợp tác với các tổ chức CERT trên thế giới. Theo ông Đỗ Duy Trác, phụ trách CERT, thì trong những năm gần đây, tội phạm tin học gia tăng cả về phạm vi và mức độ chuyên nghiệp. Ban đầu là lấy cắp mật khẩu thể tín dụng để mua sách và phần mềm qua mạng, tiếp đến là làm thẻ tín dụng giả để lấy cắp tiền từ máy ATM, thiết lập các mạng máy tính giả để gửi thư rác, thư quảng cáo, hay tấn công từ chối dịch vụ, thậm chí ngang nhiên hơn nữa là đe dọa tấn công, tống tiền hay bảo kê các website thương mại điện tử

2. Rủi ro trong thương mại điện tử tại Việt Nam      

Việt Nam là nước đi sau trong ứng dụng thương mại điện tử và mức độ phát triển của lĩnh vực này còn hạn chế. Tuy nhiên Việt Nam cũng không tránh khỏi được những rủi ro mà các nước phát triển về thương mại điện tử gặp phải. Số vụ tấn công các trang web với mục đích xấu hay cảnh bảo, cũng như số vụ ăn trộm thông tin tài khoản thanh toán của cá nhân trên mạng ngày càng gia tăng.

Báo động nạn “đi chợ mạng” rút tiền tỷ trong tài khoản người khác

Vào 16h30′ ngày 18-12-2005, cơ quan điều tra Công an quận Đống Đa đã phối hợp với một đơn vị Công an quận Ba Đình (Hà Nội) thực hiện lệnh bắt và khám xét khẩn cấp nơi ở của Nguyễn Anh Tuấn, một đối tượng trong đường dây trộm cắp tiền qua mạng. Tuấn (sinh năm 1986) có hộ khẩu thường trú tại phường Bắc Hà, thị xã Hà Tĩnh, hiện đang là sinh viên của Trường đại học Bách khoa Hà Nội. Theo như khai nhận của Tuấn trước cơ quan điều tra thì sau khoảng một năm ra Hà Nội học đại học, thấy Tuấn có khả năng tin học, một số anh chị quen biết học khóa trên đã rủ “vào mạng” chơi. Họ cũng hướng dẫn Tuấn cách rút tiền bằng việc làm giả các thẻ ATM của các ngân hàng ở Việt Nam. Lâu dần, Tuấn trở thành một thành viên trong đường dây lừa đảo chiếm đoạt tài sản tiền gửi tại ngân hàng Mỹ mà cơ quan Công an đang bóc gỡ. Qua máy tính, ngồi ngay tại nhà riêng, các đối tượng này đã rút số tiền tương đương 590 triệu đồng về Việt Nam qua hệ thống ngân hàng Vietcombank.

Ngày 22-11, các điều tra viên Đội 3, Phòng Cảnh sát điều tra tội phạm về Trật tự xã hội Công an Hà Nội phát hiện được một vụ “đi chợ mạng” gồm 5 đối tượng, hầu hết đang là sinh viên đã thực hiện hàng chục vụ “bẻ” mật mã trộm tiền trong tài khoản của người nước ngoài… Các đối tượng này đã vào mạng, lợi dụng các mã số tài khoản của người nước ngoài để làm lệnh rút tiền ra. Từ đó, họ không chuyển tiền mặt về Việt Nam mà thông qua một mạng bán hàng trung gian để mua các loại hàng hóa có giá trị như điện thoại di động, máy tính xách tay, sách tin học, ngoại ngữ… với số tiền hàng nghìn USD rồi chuyển về.

 Nguồn: Báo Công an nhân dân 22/12/2005 & Báo cáo TMĐT  Việt Nam 2005

 Chỉ tính riêng từ đầu năm 2006 đến 8/2006 tại Việt Nam đã có 4 virus được tung lên mạng, trong tháng 9/2006 có 15 virus.

3. Vai trò của chính sách và quy trình bảo đảm an toàn đối với TMĐT

Xây dựng chính sách về an ninh an toàn mạng và yêu cầu mọi người phải chấp hành có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạt động bảo vệ an ninh cho thương mại điện tử. Chính sách này thường bao gồm các nội dung sau:

– Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độ truy cập và ai giao quyền truy cập

– Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…

– Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này

– Cập nhật chính sách an ninh thương mại điện tử: mức độ thường xuyên và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.