1. 1. Nhn Nhn bit bit RR  RR trong trong TM T TM T

• Nhn din r    i ro (Risk Identification): nghĩa là liệt kê

một danh sách các RR mà doanh nghiệp có thể gặp phải

đồng thời đánh giá mức độ xảy ra của chúng. Nhận dạng

rủi ro TMĐT bao gồm nhận dạng các đe dọa (Identifying

threats); xác định các lỗ hổng (vulnerabilities) đối với an

toàn TMĐT.

+ e d

a và nhn bit các e d

a (Identifying threats):

– Các đe dọa (threat) theo nghĩa rộng là các nguồn nguy hiểm; bất

kì lực lượng đối lập, điều kiện, nguồn hoặc tình huống có khả

năng ảnh hướng tới thực hiện kế hoạch, phá vỡ KH hoặc làm

giảm khả năng thực hiện nhiệm vụ.

Lỗ hổng,

• Ý nghĩa nhận dạng RR:  Nhận dạng rủi ro là nền tảng

của quá trình quản trị rủi ro: nếu một đe dọa không được

nhận dạng nó không thể được kiểm soát. Một nhận dạng

rủi ro đầy đủ, chính xác sẽ có một ảnh hưởng đa chiều

trong tác động quá trình quản trị rủi ro

1. Khái quát nhn dng r    i ro

ánh giá các e d

a: Nhận dạng và đánh giá các đe

dọa là một hoạt động trong quá trình nhận dạng và đánh

giá rủi ro của quy trình quản trị rủi ro tổng thể. Trong

nhận dạng đe dọa, nhà quản trị cần xác định các đe dọa

có thể đối mặt trong thực hiện nhiệm vụ. Trong đánh giá

đe dọa, cần xác định tác động ảnh hưởng của mỗi đe

dọa trong hoạt động.

Đánh giá rủi ro cung cấp nhà quản trị những hiểu biết về

các đe dọa và mức độ nghiêm trọng của nó, từ đó tạo ra

sự tự tin và cho phép thực hiện các biện pháp bảo vệ

phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí.

• Sơ đồ mô phỏng các hành động cần thiết để nhận dạng

rủi ro TMĐT gồm 3 giai đoạn 1) Phân tích nhiệm vụ 2)

Liệt kê các đe dọa và 3) Liệt kê các nguyên nhân. 

Hành động 1

Phân tích

nhiệm vụ

Hành động 2

Liệt kê các

đe dọa

Hành động 3

Liệt kê các

nguyên nhân

• Hành ng 1 – Phân tích nhim v (Analyze

Mission): Phân tích nhiệm vụ nhằm:

a) Khái quát các kế hoạch thực hiện và xếp hạng mô tả

nhiệm vụ;

b) Xác định các yêu cầu và các điều kiện để hoàn thành

các nhiệm vụ;

c) Cấu trúc một danh sách hoặc biểu đồ mô tả các pha chủ

yếu của thực hiện công việc trong chuỗi thời gian;

d) Phân chia hoạt động thành các nhiệm vụ nhỏ hơn.

• Hành ng 2 – Lit kê các e d

a (List Threats): Các

đe dọa (và các yếu tố có thể tạo nên đe dọa) được xác

định dựa trên phân tích nhiệm vụ và liên quan đến lỗ

hổng. Kết quả của nhận dạng là một danh sách các mối

đe dọa cố hữu hoặc điều kiện bất lợi, được phát triển

bởi các danh sách các mối đe dọa kết hợp với mỗi giai

đoạn của hoạt động này.

– Mối đe dọa có thể được theo dõi trên giấy hoặc trong một bảng

tính/ hệ thống cơ sở dữ liệu để tổ chức các ý kiến và phục vụ

như là một bản ghi của các phân  tích để sử dụng trong tương

lai.

• Hành ng 3 - Lit kê các nguyên nhân (List

Causes): Lập danh sách những nguyên nhân liên quan

đến mối đe dọa xác định trong mỗi hành động. Mặc dù

một mối đe dọa có thể có nhiều nguyên nhân, nhưng

cần xác định nguyên nhân gốc, chủ yếu, có mối quan hệ

nhân quả. Việc quản trị RR và kiểm soát rủi ro chỉ có thể

hiệu quả hơn khi gắn với các nguyên nhân gốc/nguyên

nhân chủ yếu.

ánh giá các e d

a (Assess Threats): Mỗi đe dọa được

đánh giá về khả năng (sác xuất) và mức độ ảnh hưởng

nếu xảy ra.

• ánh giá các e d

a:

– Xác sut (Probability): dự tính khả năng mỗi đe dọa sẽ xảy ra

ảnh hưởng tới nhiệm vụ. Một số mỗi đe dọa xảy ra thường

xuyên, trong khi một số khác xảy ra thấp hơn.

– Mc đ thit hi (Severity): kết quả hoặc hậu quả là nguyên

nhân  trực tiếp từ các đe dọa, ảnh hưởng tới thực hiện nhiệm vụ.

Hành ng 1

Đánh giá mức

độ đe dọa

Hành ng 2

Đánh giá khả

năng đe dọa

Hành ng 3

Đánh giá rủi ro

đầy đủ

• Kt qu c    a nhn dng RR: Các kết quả của quá trình

nhận dạng RR và đánh giá RR là một danh sách xếp

hạng các đe dọa. Đe dọa có mức cao nhất là một loại đe

dọa nghiêm trọng nhất đối với thực hiện nhiệm vụ, tiếp

sau là các đe dọa có mức thấp hơn.

2. Các nhn bit RR trong TMT 

 Các mối đe dọa an toàn TMĐT

 Lỗi kỹ thuật

 Lỗi do người dùng

 Gian lận thanh toán thẻ tín dụng

 Tấn công từ bên trong doanh nghiệp

 RR về pháp luật

CÁC MI E DA AN TOÀN TMT

• Các mối đe dọa vật lý

• Các đe dọa đối với máy khách

• Các đe dọa đối với máy chủ, máy chủ web

• Các đe dọa đối với kênh truyền thông

• Các đe dọa đối với cơ sở dữ liệu

– Hacker

– Virus, worm, trojan horse

– DOS, DDOS, DR DOS

• Các e d

a vt lý: Các mối đe dọa xảy ra đối với hạ

tầng CNTT và TMĐT như hỏa hoạn, lũ lụt, thiên tai, động

đất, sóng thần…

Hu qu: hủy hoại tài sản, công trình, tính mạng con người,

đứt mạng,

Ví dụ: cơn bão Morakot 2008 và các trận động đất lớn xảy ra tại khu

vực Thái Bình Dương làm đứt cáp biển quốc tế SMW3, APCN,

APCN-2, FEA, China US, EAC, C2C, gây mất liên lạc hầu hết các

kênh kết nối trực tiếp từ Việt Nam đi Đài Loan, Nhật Bản, Hàn Quốc

và một phần  liên  lạc hướng đi Mỹ. VNPT bị mất gần 6.200 Mbps

dung lượng truyền dẫn quốc tế sử dụng cho dịch vụ viễn thông quốc

tế như điện thoại, kênh thuê riêng, Frame Relay, VPN và Internet.

Những dịch vụ viễn thông bị ảnh hưởng khác gồm thoại, kênh thuê

riêng, Frame Relay, VPN và Internet. Truy cập những web có server

(máy chủ) ở nước ngoài bị chậm hơn nhiều so với bình thường do

dung lượng đường truyền bị thu hẹp. Những website phổ thông như

Yahoo, Gmail nếu xuất phát từ các máy chủ (host) ở Nhật hoặc Mỹ

tốc độ truy cập giảm đi rất nhiều.

Khoa TMĐT_ĐHTM 31

• Các e d

a i vi máy khách: Các chương trình gây

hại được phát tán thông qua các trang web, có thể phát

hiện ra số thẻ tín dụng, tên người dùng và mật khẩu.

Những thông tin này thường được lưu giữ trong các tệp

đặc biệt – gọi là cookie. Các cookie được sử dụng để

nhớ các thông tin yêu cầu của khách hàng, hoặc tên

người dùng và mật khẩu. Nhiều nội dung động gây hại

có thể lan truyền thông qua các cookie, chúng có thể

phát hiện được nội dung của các tệp phía máy khách,

hoặc thậm chí có thể hủy bỏ các tệp được lưu giữ trong

các máy khách.

Ví dụ, một virus máy tính đã phát hiện được danh sách các

địa chỉ thư tín điện tử của người sử dụng và gửi danh

sách này cho những người khác trên Internet

• Các e d

a i vi máy ch    : Máy chủ là liên kết thứ ba

trong bộ ba máy khách – Internet – máy chủ, bao gồm

đường dẫn giữa một người sử dụng và một máy chủ

thương mại. Máy chủ có những điểm yếu dễ bị tấn công

và một đối tượng nào đó có thể lợi dụng những điểm

yếu này để phá hủy, hoặc thu được các thông tin một

cách trái phép

Ví dụ: Vụ một hacker (X_Spider) đã tấn công vào máy chủ web

của techcombank.com.vn và để lại thông báo cần phải sửa lỗi

và không gây thiệt hại gì cho website ày. X_Spider cho biết

website phuthai... đã gặp lỗ hổng bảo mật, khiến anh ta có

thể upload đoạn mã tấn công (shell) lên đó và dùng mã này

vào được cơ sở dữ liệu của techcombank.com.vn. Vì các

website đặt cùng server có chung thông số nên việc truy cập

"liên thông" (local attack) là có thể thực hiện được (nguồn:

Vnexpress.net).

 Hiểm hoạ đối với máy chủ bao gồm máy chủ Web và các phần mềm

của nó, các chương trình phụ trợ bất kỳ có chứa dữ liệu, các

chương trình tiện ích được cài đặt trong máy chủ.

• Thông thường, các máy chủ Web được thiết lập chạy ở các mức

phân quyền khác nhau. Mức thẩm quyền cao nhất cho phép các

chương trình, thực hiện  tất cả các chỉ lệnh của máy và không giới

hạn truy nhập vào tất cả các phần của hệ thống, không ngoại trừ

các vùng nhạy cảm và phải có thẩm quyền. Mức thẩm quyền  thấp

nhất tạo ra một rào cản logic xung quanh một chương trình đang

chạy, ngăn chặn không cho nó chạy tất cả các lớp lệnh của máy và

không cho phép nó truy nhập vào tất cả các vùng của máy tính, đặc

biệt là các vùng thông tin nhạy cảm. Quy tắc an toàn đặt ra là cung

cấp một chương trình và chương trình này giới hạn thẩm quyền  tối

thiểu đủ để thực hiện công việc của mình.

• Việc thiết lập một máy chủ Web chạy ở mức thẩm quyền cao có thể

gây đe doạ an toàn đối với máy chủ Web. Trong hầu hết thời gian,

máy chủ Web cung cấp các dịch vụ thông thường và thực hiện các

nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web

chạy ở mức thẩm quyền cao, một đối tượng xấu có thể lợi dụng một

máy chủ Web để thực hiện các lệnh trong chế độ thẩm quyền

• Các e d

a i vi kênh truyn thông: Internet đóng

vai trò kênh truyền thông. Các thông tin trên Internet

được gửi đi theo các tuyến ngẫu nhiên, từ nút nguồn

(node) tới nút đích. Các thông tin này đi qua một số máy

tính trung gian trên mạng trước khi tới đích cuối cùng và

mỗi lần đi, chúng có thể đi theo những tuyến khác nhau.

Hiện rất khó đảm bảo tất cả các thông tin gửi đi trên

Internet đều an toàn. Một số kẻ trộm trên mạng sniffer có

thể đọc các thông tin, sửa đổi, hoặc thậm chí có thể loại

bỏ các thông tin ra khỏi Internet. Do vậy, các thông tin

được gửi đi trên mạng thường bị xâm phạm đến tính bí

mật, tính riêng tư và tính toàn vẹn.

Các e d

a i vi cơ s d liu (CSDL): Các hệ thống

TMĐT lưu giữ dữ liệu của người dùng và nhận các thông tin

về s/phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các

thông tin về s/phẩm, các CSDL có thể chứa các thông tin có

giá trị khác. Hầu hết các hệ thống CSDL có quy mô lớn và

hiện đại sử dụng cơ chế xác thực (tên người dùng + mật

khẩu). Khi được xác thực, người sử dụng có thể xem các

phần đã chọn trong CSDL. Y/c về tính bí mật đối với CSDL

được đề cập thông qua cơ chế phân quyền được thiết lập

trong CSDL. Tuy nhiên, một số CSDL lưu giữ mật khẩu & tên

người dùng không an toàn, hoặc dựa vào máy chủ Web để

có an toàn. Khi máy chủ Web bị vi phạm, CSDL bị sử dụng

bất hợp pháp, làm lộ bí mật thông tin cá nhân. Các Trojan

horse nằm ẩn trong hệ thống CSDL cũng có thể làm lộ các

thông tin bằng việc chuyển các thông tin nhạy cảm sang khu

vuc it được bảo vệ của CSDL, do đó bất kì ai cũng có thể

xem xét các thông tin này. Khi các thông tin bị làm lộ, các

user, kẻ cả đối tượng xấu đều có thể truy nhập.

Vi rút máy tính là chương trình máy tính có khả năng lây

lan, gây ra hoạt động không bình thường cho thiết bị số

hoặc sao chép, sửa đổi, xóa bỏ thông tin lưu trữ trong

thiết bị số. (Điều 3, .16 Luật CNTT 2006). Virus máy tính

có thể là một chương trình hay là một đoạn mã xâm nhập

vào máy tính. Nó có thể xâm nhập vào các tệp tin khác

hoặc nhân bản chính nó. Có một số cách thức mà virus

lan truyền: gắn vào email, bằng việc tải các chương trình

hay các phần mềm từ các website khác hay thông qua

các thiết bị di động gắn ngoài (usb, ổ cứng di động…).

Sâu máy tính (Worm): là các chương trình có khả năng

tự nhân bản tự tìm cách lan truyền qua mạng hoặc thư

điện tử. Ngoài tác hại lên máy bị nhiễm, worm còn phá

các mạng thông tin, làm giảm khả năng hoạt động hoặc

hủy hoại các mạng này. Worm được xem là một loại

virus đặc biệt.

Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm

1998. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào

trên Internet. Worm tồn tại lâu nhất là virus happy99, hay

các thế hệ sau đó của nó có tên là Trojan. Các worm này

sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự

gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi

lần gửi điện thư hay thông điệp.

Con nga thành Tơ-roa (Trojan horse): Đây là loại

chương trình cũng có tác hại như virus, nhưng không

phải là một loại virus bởi không có khả năng tự nhân

bản, nhưng chính nó lại tạo cơ hội để các loại virus nguy

hiểm khác xâm nhập vào các hệ thống máy tính. Cách

lan truyền duy nhất là thông qua các thư dây chuyền. Nó

cũng có thể phá hủy ổ cứng, hủy dữ liệu.

Các chương trình gián ip (spyware): là sử dụng các

chương trình phần mềm, virus với mục đích thâm nhập

trực tiếp vào hệ điều hành để nghe lén, xem trộm các

thông tin có giá trị trên máy, mạng internet.

..........

Lỗi hạ tầng kỹ thuật

Lỗi do người dùng

Ví dụ nhân viên nhấp chuột vào các liên kết với các

thông điệp/tin nhắn được nhận trong website mạng xã

hội chúng được tìm bởi việc xóa dữ liệu ác ý hoặc sự cố

bởi một nhân viên

• RR  do tấn công từ bên trong doanh nghiệp (nhân viên

làm gián điệp)

• Rủi ro đến thông tin công ty và tài sản trí tuệ từ nhân

viên bên trong và các đối tác giao dịch

RR V' PHÁP LUT

• RR do thiếu hiểu biết về pháp luật

• RR liên quan đến các chế định pháp luật như HĐ, SHTT,

Thuế, Thương hiệu, nhãn hiệu hàng hóa

• RR do luật pháp thay đổi, ban hành mới...

• RR trong lựa chọn luật áp dụng, giải quyết tranh chấp.

• RR trong thi hành án, phán quyết của trọng tài nước

ngoài.

Tiếp cận nhận dạng RR theo quá trình

• RR trong đặt hàng, xử lí đơn hàng

• RR trong thanh toán điện tử

• RR trong thực hiện đơn hàng

Rủi ro trong thanh toán điện tử

• Thiệt hại: Tổng hợp từ CyberSource: năm 2003 là 1,9 tỷ

và 2004 là 4 tỷ đô la Mỹ từ gian lận trong thanh toán thẻ

• Nguồn gốc:

– Doanh nghiệp bị hạn chế trong công tác xác thực khách hàng:

không kiểm tra được thẻ vật lý, hóa đơn không có chữ ký của

người mua.

– Người mua bị hạn chế trong công tác xác thực hàng hóa hay

dịch vụ: không được kiểm tra hàng hóa trước khi thanh toán.

– Giao dịch thanh  toán thành công trên cổng thanh toán trực tuyến

chưa phải là một giao dịch mua bán hàng hóa thành công.

• Phân loại: RR trong thanh toán thẻ (thẻ CC) và chuyển

khoản

Rủi ro trong thanh toán thẻ tín dụng

R    i ro i vi ngân hàng phát hành th(

– Chủ thẻ sử dụng thẻ thanh  toán ở nhiều điểm chấp nhận  thẻ khác

nhau với mức thanh toán thấp hơn hạn mức thanh toán nhưng có

tổng mức thanh  toán cao hơn hạn mức thanh  toán cho phép

– Giao thẻ cho người khác sử dụng tại quốc gia không phải là nơi

chủ thẻ cư trú

– Chủ thẻ báo cho ngân hàng phát hành thẻ là thẻ đã bị mất nhưng

vẫn thực hiện rút tiền hoặc mua hàng trước khi ngân hàng phát

hành đưa mã số thẻ đó vào danh sách hủy  thẻ

– Thẻ giả mạo trùng với thẻ đang lưu hành của ngân hàng phát

hành  thẻ

– Chủ thẻ mất khả năng thanh  toán vì những lý do khách quan

• Rủi ro đối với ngân hàng thanh toán

– Ngân hàng thanh toán có sai sót trong việc cấp phép

– Ngân hàng thanh toán không cung cấp kịp thời thông tin về thẻ giả

mạo và những thẻ không hợp lệ

• Rủi ro cho cơ sở chấp nhận thanh toán thẻ

– Cơ sở chấp nhận thẻ không phát hiện được hiệu lực của thẻ đã hết

hạn

– Bán hàng vượt hạn mức cho phép mà không nhận được sự đồng ý

của đơn vị cấp phép

– Sửa chữa số tiền trên hóa đơn

– Người mua thay đổi quyết định mua,

• Rủi ro đối với chủ thẻ

– Để lộ mã số bí mật (PIN) đồng thời làm mất thẻ mà chưa kịp báo

cho ngân hàng phát hành thẻ.

Rủi ro trong thanh toán thẻ tín dụng

Các biện pháp hạn chế rủi ro trong thanh toán thẻ

• Hệ thống xác minh địa chỉ (Address verification): hệ thống

giúp so sánh địa chỉ khách hàng nhập vào trang web và địa

chỉ của chủ thẻ tín dụng do ngân hàng phát hành thẻ lưu

Khoảng 80% các ngân hàng sử dụng hệ thống xác minh địa

chỉ (AVS), PP này có một số hạn chế khi KH thay đổi thực

sự thay đổi địa chỉ

• Kiểm tra thủ công (manual review): nhân viên tiến hành

kiểm tra thông tin khách hàng khi nghi ngờ bất cứ đơn đặt

hàng nào

80% các ngân hàng sử dụng, dựa trên nhân viên xem xét

những đơn đặt hàng đáng ngờ. Đối với việc đặt hàng ít, pp

này thích hợp; nhưng đối với đơn đặt hàng lớn, gây phiền

toái cho KH