RỦI RO VỀ AN TOÀN THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ

Cuộc khủng hoảng từ đại dịch COVID-19 đã ảnh hưởng đến các nền kinh tế thế giới, buộc các tổ chức, các doanh nghiệp phải thiết kế lại mô hình hoạt động, tận dụng công nghệ kỹ thuật số để đảm bảo tính liên tục của các hoạt động thương mại hiện tại, thậm chí là có thể quản lý và điều hành từ xa. Sự thay đổi này đã tác động mạnh mẽ đến hành vi của người tiêu dùng [1]. Thói quen lựa chọn và mua sản phẩm hoặc dịch vụ trực tuyến của các cá nhân đã thay đổi, buộc các nhà sản xuất và nhà bán lẻ phải điều chỉnh các đề xuất của họ cho phù hợp với các yêu cầu mới, đặc biệt là bằng cách tận dụng việc sử dụng rộng rãi công nghệ và dữ liệu khách hàng [2, 3]. Điều này cũng đồng thời làm xuất hiện những nguy cơ mới về an toàn thông tin.

Hình 1. Dữ liệu người dùng trên Tokopedia bị lộ

Rủi ro về an toàn thông tin trong thương mại điện tử không đơn thuần chỉ là vấn đề của Việt Nam mà nó cũng là mối quan tâm chung của thế giới. Điều đó được thể hiện thông qua việc các website điện tử lớn liên tục bị tấn công khiến tài khoản của khách hàng bị đánh cắp, câu chuyện eBay là một ví dụ khi website mua bán trực tuyến này bị tấn công vào năm 2014, làm ảnh hưởng đến 145 triệu thành viên đăng ký trên thế giới [4].

Ví dụ điển hình, vào tháng 3/2020, một tin tặc cũng đã tiết lộ chi tiết dữ liệu của 15 triệu người dùng trên trang thương mại điện tử lớn nhất Indonesia là Tokopedia. Thông tin bị đánh cắp gồm: họ tên, email, số điện thoại, mật khẩu, ngày sinh và chi tiết liên quan đến hồ sơ Tokopedia (ngày tạo tài khoản, đăng nhập lần cuối, mã kích hoạt email,…) và nhiều thông tin khác [5].

Rủi ro bảo mật và an toàn thông tin trong thương mại điện tử có rất nhiều hình thái, tuy nhiên chủ yếu gồm các nhóm rủi ro cơ bản sau:

Rủi ro từ tấn công Phishing

Tấn công theo hình thức lừa đảo Phishing luôn là một trong những rủi ro bảo mật phổ biến hàng đầu của thương mại điện tử. Kẻ tấn công thường sử dụng email, tin nhắn pop-up hay trang web giả mạo ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng, tài khoản ngân hàng.

Hình 2. Một trang web giả mạo thương hiệu của doanh nghiệp

Rủi ro gian lận thẻ tín dụng

Gian lận thẻ tín dụng là các hoạt động sử dụng công nghệ cao để đánh cắp thông tin thẻ tín dụng (Visa, MasterCard, ATM...), thực hiện các giao dịch thanh toán và rút tiền bằng thẻ mà người thực hiện không phải là chủ thẻ. Tin tặc sử dụng dữ liệu thẻ tín dụng bị đánh cắp để mua sản phẩm trên cửa hàng thương mại điện tử. Một hình thức gian lận thẻ tín dụng khác là khi tin tặc đánh cắp thông tin cá nhân và danh tính của người dùng để cho phép chúng làm thẻ tín dụng mới. Tại Việt Nam, gian lận thẻ tín dụng cũng có xu hướng tăng. Mới đây, các ngân hàng đồng loạt cảnh báo thủ đoạn mới đánh cắp mã OTP để thực hiện lấy dữ liệu rồi kết nối ví điện tử, từ đó thực hiện rút tiền qua các ví [6].

Rủi ro gián đoạn hoạt động của website

Nhiều doanh nghiệp thương mại điện tử đã phải chịu tổn thất nặng nề vì website của họ bị gián đoạn hoạt động, hình thức tấn công điển hình thường được tin tặc sử dụng đó là tấn công từ chối dịch vụ phân tán (DDoS). Tấn công DDoS xảy ra khi các máy chủ nhận được một lượng lớn các yêu cầu truy cập, khiến nó quá tải, không xử lý được. Đối với các website thương mại điện tử luôn đặt việc phục vụ khách hàng lên hàng đầu thì tính đe dọa của tấn công DDoS rất nghiêm trọng, có thể ảnh hưởng đến doanh thu của công ty và làm sụt giảm niềm tin của khách hàng. Thậm chí, doanh nghiệp có thể phải chịu trách nhiệm pháp lý với khách hàng, hay bồi thường tổn thất để khắc phục hậu quả. Vào tháng 2/2020, Amazon đã chịu thiệt hại nghiêm trọng do bị tấn công DDoS với lưu lượng truy cập vào website lên đến 2,3 Tbps và khoảng 150.000 USD tiền ảo từ người dùng cuối bị đánh cắp [7].

Rủi ro về bảo mật dữ liệu

Tin tặc có thể phát triển một phần mềm độc hại và lén cài đặt chúng trên hệ thống mạng của doanh nghiệp qua các lỗ hổng bảo mật, hoặc qua liên kết lừa đảo trong email. Các chương trình độc hại này bao gồm phần mềm gián điệp, virus, trojan và mã độc tống tiền. Mục đích của chúng là lấy cắp thông tin cá nhân và chi tiết thanh toán của khách hàng. Chúng có thể lấy đi bất kỳ dữ liệu nhạy cảm nào và khi đó thiệt hại về danh tiếng có thể khiến doanh nghiệp phải trả giá đắt.

AN TOÀN THÔNG TIN TRONG PHÁT TRIỂN BỀN VỮNG THƯƠNG MẠI ĐIỆN TỬ

Những hậu quả nghiêm trọng đến từ những rủi ro trong thương mại điện tử nêu trên càng cho thấy vai trò quan trọng của an toàn thông tin. Giải pháp an toàn, an ninh thương mại điện tử phổ biến hiện nay là chữ ký số. Một khi đã được xác lập, mối liên hệ giữa dữ liệu giao dịch và chữ ký là duy nhất và không thể thay thế. Ngoài ra có thể triển khai đồng bộ một số giải pháp an toàn thông tin đối với thương mại điện tử như: hệ thống bảo mật thanh toán, bảo mật website,… nhằm nâng cao tính bền vững của hệ thống, nâng cao danh tiếng của doanh nghiệp và niềm tin của người tiêu dùng.

HỆ THỐNG BẢO MẬT THANH TOÁN

Thông tin thẻ tín dụng luôn là mục tiêu hấp dẫn của tin tặc. Để bảo mật cổng thanh toán, doanh nghiệp cần tuân thủ tối thiểu các tiêu chuẩn sau:

Tiêu chuẩn an ninh dữ liệu thẻ PCI DSS (Payment Card Indutry Data Security Standard) là hệ tiêu chuẩn bảo mật được các tổ chức lớn trên thế giới như VISA, Mastercard, JCB, AMEX và Discover phối hợp ban hành. Đơn vị không tuân thủ PCI có thể bị xử phạt hành chính, phải trả phí và thay thế thẻ, buộc thực hiện kiểm toán và gánh chịu tổn thất về mặt thương hiệu.

Tiêu chuẩn giao dịch điện tử an toàn SET (Secure Electronic Transaction) được phối hợp ban hành bởi MasterCard và VISA với mục tiêu đảm bảo an toàn và bảo mật thông tin cho cá nhân, tổ chức tham gia vào việc thanh toán điện tử để thực hiện giao dịch mua bán online, đảm bảo nhận diện các đối tác trả tiền và nhận tiền, đồng thời không cho phép người nhận tiền giải mã để nắm thông tin trong thẻ của người trả tiền, làm giảm nguy cơ bị trộm thông tin thẻ.

HỆ THỐNG BẢO MẬT WEBSITE

Hiện nay, hệ thống thương mại điện tử diễn ra trên các website phát triển rất mạnh mẽ, đòi hỏi phải có chính sách an toàn riêng. Đưa ra giải pháp an ninh thương mại điện tử giúp cho toàn bộ hệ thống trang web được bảo mật, ngăn ngừa và cảnh báo những xâm nhập trái phép và gây nên các lỗ hổng hệ thống, bảo vệ và ngăn ngừa thất thoát các dữ liệu. Giải pháp bảo mật website dựa trên giao thức HTTP Secure (HTTPS) thực hiện quy trình mã hóa thông tin giữa máy chủ và thiết bị của khách hàng, không chỉ giúp bảo mật tài khoản người dùng, mà còn giúp website thương mại điện tử phòng tránh các cuộc tấn công nghe lén, tấn công xen giữa Man in the Middle (MITM).

Đối với Việt Nam, thị trường thương mại điện tử ngày càng được mở rộng và được đánh giá rất tiềm năng với các tên tuổi lớn như: Shopee, Tiki, Lazada, Sendo,... Sự đa dạng về mô hình hoạt động, đối tượng tham gia, quy trình hoạt động và chuỗi cung ứng hàng hóa với sự hỗ trợ của hạ tầng Internet và ứng dụng công nghệ hiện đại đã đưa thương mại điện tử Việt Nam trở thành trụ cột quan trọng trong tiến trình phát triển kinh tế số [8].

Theo như Kế hoạch tổng thể phát triển thương mại điện tử quốc gia giai đoạn 2021-2025 tại Quyết định số 645/QĐ-TTg của Thủ tướng Chính phủ ngày 15/5/2020, Chính phủ đã đặt các mục tiêu tổng quát đến năm 2025 gồm: hỗ trợ, thúc đẩy việc ứng dụng rộng rãi thương mại điện tử trong doanh nghiệp và cộng đồng; thu hẹp khoảng cách giữa các thành phố lớn và các địa phương về mức độ phát triển thương mại điện tử; xây dựng thị trường thương mại điện tử lành mạnh, có tính cạnh tranh và phát triển bền vững [9]. Khi đó vai trò của an toàn thương mại điện tử càng trở nên quan trọng, những giải pháp nêu trên cần được các tổ chức, doanh nghiệp nghiên cứu và áp dụng hiệu quả kết hợp với các chính sách cụ thể.