Hiện trạng an toàn thông tin trong thương mại điện tử việt nam

Tháng 01 năm 2017, thủ tướng chính phủ đã phê duyệt đề án thanh toán không dùng tiền mặt giai đoạn 2016 đến 2020, tiền đề quan trọng cho phát triển giao dịch trực tuyến. Vị vậy, vấn đề an toàn an ninh thông tin khi giao dịch rất quan trọng. Tỉ lệ giao dịch trực tuyến ngày càng tăng, ngành thương mại điện tử thể hiện rõ nhất điều đó khi doanh số trong lĩnh vực này đạt hơn 4 tỉ USD và tăng trưởng 37% trong năm 2015 (theo báo cáo TMDT của Bộ Công Thương). Giá trị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàn càng cấp thiết.

Tại Trung Quốc, theo con số của Cục thống kê quốc gia, giá trị giao dịch thương mại điện tử hơn 589 tỉ USD (năm 2015), gấp đôi Hoa Kỳ. Trong đó, sàn giao dịch thương mại điện tử Taobao và TMall của công ty Alibaba dẫn đầu thị trường Trung Quốc với hơn 80% thị phần. Đầu năm 2016, thị trường đã chứng kiến một cuộc tấn công mạng cực lớn vào nền tảng Taobao nhằm cung cấp sai lệch thông tin của các cửa hàng sử dụng nền tảng C2C này. Dựa trên các chứng cứ có được thì từ tháng 10 năm 2015 đến tháng 2 năm 2016, nhóm tấn công đã sử dụng hơn 100 triệu tài khoản (gồm địa chỉ email và mật khẩu) lấy cắp từ nhiều nguồn khác nhau để thử đăng nhập vào Taobao và đã có hơn 20 triệu tài khoản đăng nhập thành công (~1/5 dân số Việt Nam). Các tài khoản này, sau đó, được chúng sử dụng tạo thành lượng dữ liệu khổng lồ giả mạo giá thầu (bidding), cung cấp sai nội dung nhận xét (review),… Trong trường hợp này, tấn công mạng lấy trộm tài khoản và sự thiếu chặt chẽ trong cấu hình nền tảng Taobao đã gây ra hàng loạt thông tin sai lệch, dẫn đến người mua hàng đánh giá sai lầm, nhận được nhiều sản phẩm chất lượng không như mong đợi.

Hoa Kỳ là quốc gia có nền thương mại điện tử phát triển từ lâu so với mặt bằng chung của thế giới. Thương mại điện tử tại Hoa Kỳ là mục tiêu tấn công mạng béo bở từ nhiều năm nay. Năm 2014 và 2015, liên tục trong 2 năm, hai hãng bán lẻ và trực tuyến hàng đầu của Hoa Kỳ là Target và HomeDepot đã bị tin tặc tấn công. Với trường hợp Target, tin tặc đã lợi dụng nhà cung cấp dịch vụ của Target (third-party) để lây nhiễm mã độc và tiến hành lây lan vào các hệ thống quan trọng phía sau, trong đó có hệ thống máy quẹt thẻ POS. Sự việc được phát hiện khi một lượng lớn dữ liệu thẻ của người dùng bị rao bán trên chợ đen. Theo thống kê thiệt hại, hơn 40 triệu dữ liệu thẻ của người dùng (mã thẻ, ngày hết hạn, CVV,…) đã bị đánh cắp. Sự việc dẫn đến khủng hoảng nghiêm trọng tại Target và là nguyên nhân mà CEO của chuỗi bán lẻ này buộc phải từ chức. Gần đây nhất, tháng 12 năm 2016, Yahoo, một trong những hãng công nghệ Internet lâu đời và nổi tiếng thế giới đã đưa ra thông báo gây sốc, hơn một tỉ chủ tài khoản thư điện tử của hãng này đã bị mất dữ liệu: tên, địa chỉ email, mật khẩu (đã mã hóa),… Sự kiện này tác động dây chuyền nghiêm trọng vì rất nhiều người sử dụng cùng tài khoản để đăng nhập các trang thương mại điện tử

Tại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanh chóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với 15%). Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toàn thông tin trong lĩnh vực thương mại điện tử. Các đơn vị kinh doanh dựa trên thương mại điện tử cũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có. Tuy vậy, điều đó không có nghĩa kinh doanh thương mại điện tử ở Việt Nam an toàn. Hoạt động nhiều năm trong lĩnh vực an toàn thông tin, Công ty cổ phần An ninh mạng Việt Nam đã nhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử. Yêu cầu hỗ trợ phổ biến nhất là hạn chế tấn công DOS/DDOS, loại hình tấn công này không làm mất dữ liệu người dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và không thể phục vụ khách hàng. Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp tấn công này như: bán vé trực tuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng về thương mại điện tử tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng. Ngay trong năm 2016, ví dụ nổi bật về sự nguy hiểm của tấn công mạng đó là vụ việc mạng lưới của Cảng Hàng Không và Vietnam Airlines bị tấn công. Kẻ tấn công đã thực hiện nhiều cách thức khai thác lỗ hổng, cài mã độc vào trong hệ thống thông tin từ rất lâu trước khi bùng nổ (theo số liệu chính thức là từ năm 2014) thay đổi giao diện, lấy cắp dữ liệu khách hàng. Mặc dù sự cố này không liên hệ trực tiếp tới lĩnh vực thương mại điện tử nhưng cũng cho thấy sự nguy hiểm của tấn công mạng khi kẻ xấu đã âm thầm lợi dụng các lỗ hổng bảo mật để trục lợi mà doanh nghiệp không hề hay biết. Sự cố khác gần gũi hơn là đầu tháng 11 năm 2016, một hệ thống con của VietnamWorks.com đã bị tấn công dẫn tới thông tin hàng nghìn tài khoản bị lộ. Nhiều tài khoản ở đây được người dùng sử dụng chung với các dịch vụ khác, dẫn đến một số ngân hàng đã phải gửi cảnh báo đến toàn bộ khách hàng về việc đổi mật khẩu tài khoản.

Trong khuôn khổ hợp tác với Hiệp hội Thương mại điện tử Việt Nam, Công ty cổ phần An ninh mạng Việt Nam (VSEC) thực hiện khảo sát và đánh giá đầu tiên về tình hình an toàn thông tin của các website thương mại điện tử tại Việt Nam. Các website vẫn là điểm kết nối quan trọng trong thương mại điện tử nên cũng có thể đại diện cho mức độ an toàn thông tin của thương mại điện tử nói chung tại Việt Nam.

 

CÁCH THỨC KHẢO SÁT VÀ ĐÁNH GIÁ

 

Các thành viên của Hiệp hội Thương mại điện tử hoạt động trên nhiều lĩnh vực: bán lẻ, thanh toán, công nghệ, logistic,… Việc khảo sát và đánh giá được tiến hành trực tiếp với 12 website thương mại điện tử của các tổ chức là thành viên của Hiệp hội Thương mại điện tử (VECOM) và hoạt động trong hai mảng quan trọng nhất: bán lẻ và thanh toán. Các website được lựa chọn đều có mức độ nhận diện thương hiệu cao, số lượng người truy cập lớn. Các website cũng có đầy đủ nhất tính năng của thương mại điện tử, với các nhà bán lẻ là hiển thị danh mục hàng hóa, giá cả, quản lý tài khoản, thanh toán,… Tuy vậy, do tính chất kết nối liên thông của hệ thống thông tin, các lỗ hổng có thể xuất phát từ nhiều vị trí khác nhau, website không phải là nơi duy nhất, nên an toàn thông tin là một quá trình và cần thực hiện tổng thể.

Việc khảo sát và đánh giá trực tiếp các website tức là cán bộ đánh giá với năng lực chuyên môn của mình sẽ kiểm tra các website trước các rủi ro an toàn thông tin được xác định trước. Việc kiểm tra thực hiện hoàn toàn từ bên ngoài, giả lập cách thức các kẻ xấu thường dùng để tấn công, lợi dụng lỗ hổng của các website. Cách thức kiểm tra như vậy đảm bảo kết quả khách quan và trung thực, cung cấp dữ liệu chân thực cho bức tranh tổng thể về Thương mại điện tử.

 

NỘI DUNG CÁC KIỂM TRA AN TOÀN THÔNG TIN

 

Trong thương mại điện tử, các vấn đề kĩ thuật về an toàn thông tin sau cần quan tâm:

– Tính bảo mật (Confidentiality): thông tin trong thương mại điện tử được bảo vệ khỏi các truy cập trái phép.

– Tính toàn vẹn (Integrity): thông tin giao dịch không bị thay đổi trên đường truyền

– Tính sẵn sàng (Availability): thông tin cần thiết phải sẵn sàng cung cấp khi có yêu cầu, truy cập từ người dùng.

– Tính xác thực (Authentication): người dùng cần xác thực trước khi tiếp cận thông tin cá nhân của họ hoặc các thông tin có quyền hạn.

– Tính chống chối bỏ (Non-Repudiability): hai bên giao dịch không thể từ chối thông tin do chính mình đã gửi/nhận.

– Tính mã hóa (Encryption): thông tin cần được mã hóa chỉ để những người dùng hợp lệ truy xuất

– Tính kiểm toán (Auditing): lưu trữ dữ liệu để đối soát khi có sự cố, hoặc khi cần thiết.

Do thời gian khảo sát có hạn và các website này đều có qui mô lớn nên bản khảo sát đầu tiên tập trung vào các kiểm tra mà có thể dẫn đến những rủi ro nghiêm trọng, ảnh hưởng đến khách hàng, giao dịch và máy chủ phục vụ. Đầu tiên là các kiểm tra dẫn đến thông tin người dùng bị xem trái phép (A1), gồm các kiểm tra kĩ thuật phát hiện sự vi phạm tới Tính bảo mật, Tính xác thực. Các kiểm tra dẫn đến thông tin người dùng bị sửa trái phép (A2), gồm các kiểm tra kĩ thuật có thể dẫn đến việc phát hiện sự vi phạm tới Tính xác thực. Các kiểm tra dẫn đến thông tin giao dịch bị xem trái phép (A3), gồm các kiểm tra kĩ thuật có thể dẫn đến việc phát hiện sự vi phạm tới Tính bảo mật, Tính xác thực. Cuối cùng là các kiểm tra dẫn đến dữ liệu trên máy chủ bị xem/sửa đổi trái phép (A4), gồm các kiểm tra kĩ thuật có thể dẫn đến việc phát hiện sự vi phạm tới Tính bảo mật, Tính mã hóa.

Các hệ thống thương mại điện tử bao gồm nhiều thành phần, báo cáo tập trung vào hai thành phần quan trọng nhất: Quản lý khách hàng, Thanh toán. Quản lý khách hàng thường bao gồm xác thực thông tin, xử lý và hiển thị các thông tin cá nhân, đơn hàng của mỗi khách hàng (tên, tuổi, thông tin thẻ, số dư,…). Thanh toán trực tuyến thường bao gồm xử lý giao dịch mua hàng của khách hàng, có thể trực tiếp hoặc gián tiếp thông qua ví điện tử, cổng thanh toán trung gian.

 

KẾT QUẢ KHẢO SÁT

 

Dưới đây là biểu đồ thể hiện kết quả khảo sát và đánh giá về an toàn thông tin trong thương mại điện tử dựa trên diễn giải ở trên. Màu cam thể hiện tỉ lệ website gặp rủi ro nghiêm trọng, màu xanh thể hiện tỉ lệ website chưa phát hiện rủi ro tương ứng.

Hiện trạng an toàn thông tin trong thương mại điện tử việt nam

Có 17% website trong khảo sát mắc rủi ro nghiêm trọng A1 tức là dữ liệu của khách hàng có thể bị xem trái phép bởi người dùng khác. Một khách hàng khi sử dụng dịch vụ thương mại điện tử tại các website này có khả năng mất thông tin cá nhân của mình: tên, email, mật khẩu (dạng mã hóa) hoặc thông tin ngân hàng. Các website thương mại điện tử bán lẻ thường có số lượng lớn khách hàng nên các dữ liệu này là tài sản quý giá đối với kẻ xấu. Các thông tin này có thể được dùng để xâm nhập trái phép tài sản thông tin của khách hàng. Các rủi ro nghiêm trọng khác A2, A3 và A4 có tỉ lệ 8%. Tức là khi khách hàng cung cấp thông tin, giao dịch qua các website đó có thể bị xem trộm dữ liệu giao dịch, đặc biệt có máy chủ bị rủi ro nghiêm trọng A4 là rủi ro mà kẻ tấn công có thể lợi dụng lỗ hổng máy chủ để kiểm soát thông tin. Thậm chí, khảo sát phát hiện có website thương mại điện tử chiếm thị phần hàng đầu thị trường tồn tại đồng thời trên một lỗi nghiêm trọng.

Hiện trạng an toàn thông tin trong thương mại điện tử việt nam

Khảo sát và đánh giá cho thấy 33% hệ thống website thương mại điện tử gặp lỗi nghiêm trọng, đây là tỉ lệ lớn tương ứng với hàng ngàn người tiêu dùng đang gặp rủi ro đối với dữ liệu của họ. Phần màu xanh, 67%, thể hiện tỉ lệ các website chưa phát hiện rủi ro nghiêm trọng về thương mại điện tử. Do khuôn khổ của đợt khảo sát, phần này có thể bao gồm các rủi ro ít nghiêm trọng hơn, hoặc nằm ở thành phần khác và cần có thêm khảo sát, đánh giá chi tiết và toàn diện hơn.

 

KẾT LUẬN VÀ GIẢI PHÁP

 

Theo khảo sát của Hiệp hội an toàn thông tin Hàn quốc năm 2014 (KISA), nhiều lí do liên quan đến an toàn thông tin khiến người tiêu dùng e ngại thương mại điện tử, mua hàng trực tuyến: không cảm thấy tin cậy, không cảm thấy an toàn, tính riêng tư không đảm bảo (các lí do này chiếm tới hơn 26%). Từ đó cho thấy, đảm bảo an toàn thông tin ở cả khía cạnh kĩ thuật cũng như qui định, quy trình sẽ là giải pháp hỗ trợ mạnh mẽ thúc đẩy người dùng sử dụng thương mại điện tử.

Hiện trạng an toàn thông tin trong thương mại điện tử việt nam

 

Một số giải pháp mà doanh nghiệp có thể áp dụng ngay. Đầu tiên, doanh nghiệp khi phát triển sản phẩm cần chú ý đến thiết kế luồng kinh doanh hợp lý, kiểm soát chặt chẽ truy xuất dữ liệu theo nguyên tắc “khách hàng truy cập thông tin với quyền hạn phù hợp định trước”. Thứ hai, kiểm soát chặt chẽ và áp dụng các kiểm tra an toàn thông tin ngay từ khi phát triển ứng dụng và sau khi đưa vào cung cấp. Thứ ba là, doanh nghiệp định kỳ tiến hành rà soát và đánh giá lại mức độ an toàn của các hệ thống của mình vì theo thời gian hệ thống thường xuất hiện các lỗ hổng, rủi ro mới.

Khảo sát đầu tiên về tình hình an toàn thông tin của các website thương mại điện tử cho thấy các rủi ro nghiêm trọng và các doanh nghiệp kinh doanh thương mại điện tử cần sớm quan tâm tới an toàn thông tin, đưa nhận thức về an toàn thông tin song hành cùng quá trình phát triển kinh doanh. Với nhận thức sớm thì các doanh nghiệp có thể đầu tư hiệu quả cũng như tiết kiệm đáng kể các chi phí khi có các sự cố xảy ra và tạo niềm tin về thương hiệu cho người tiêu dùng.

VỀ ĐƠN VỊ KHẢO SÁT VÀ ĐÁNH GIÁ

Khảo sát và đánh giá thực hiện bởi sự phối hợp giữa Hiệp hội thương mại điện tử Việt Nam và Công ty cổ phần An ninh mạng Việt nam. Công ty cổ phần An ninh mạng Việt Nam (VSEC) bắt đầu từ một nhóm các kỹ sư yêu thích và nghiên cứu lĩnh vực An toàn thông tin (năm 2005) và đến nay, VSEC đã có hơn 7 năm uy tín cung cấp dịch vụ, sản phẩm an toàn thông tin cho thị trường Việt Nam. VSEC hoạt động với niềm tin người Việt Nam hoàn toàn có thể làm chủ các công nghệ an toàn thông tin của thế giới. Việc khảo sát và đánh giá thực hiện hoàn toàn bởi các kĩ sư Việt Nam, được đào tạo và làm việc chuyên môn về an toàn thông tin. Cuộc khảo sát cũng đảm bảo không gây bất kỳ nguy hại nào đến hoạt động kinh doanh của doanh nghiệp. Kết quả của khảo sát nhằm cung cấp thêm thông tin về hiện trạng Thương mại điện tử tại Việt Nam để phát triển bền vững lĩnh vực này cũng như đảm bảo lợi ích của người tiêu dùng và doanh nghiệp. Phản hồi về bản báo cáo này là tiền đề để chúng tôi và hiệp hội có các bản khảo sát chi tiết, chất lượng và sâu sắc hơn phục vụ cộng đồng.

BÌNH LUẬN

Please enter your comment!
Please enter your name here