CHƯƠNG 3: VẤN ĐỀ AN NINH, BẢO MẬT TRONG THƯƠNG MẠI INTERNET

CHƯƠNG 3: VẤN ĐỀ AN NINH, BẢO MẬT TRONG THƯƠNG MẠI INTERNET 

3.1. An ninh trong Thương mại điện tử

An ninh trong thương mại điện tử là tập hợp các biện pháp, công nghệ và quy trình được áp dụng để bảo vệ thông tin, giao dịch và hệ thống trong môi trường kinh doanh trực tuyến khỏi các mối đe dọa, tấn công và truy cập trái phép. Mục tiêu chính là đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu, đồng thời bảo vệ quyền riêng tư của người dùng và uy tín của doanh nghiệp.

Các khía cạnh chính của an ninh trong thương mại điện tử bao gồm:

  • Bảo mật dữ liệu (Data Confidentiality): Đảm bảo rằng thông tin nhạy cảm (như thông tin cá nhân, tài khoản ngân hàng, lịch sử giao dịch) chỉ có thể được truy cập bởi những người dùng hoặc hệ thống được ủy quyền. Việc này ngăn chặn rò rỉ dữ liệu và đánh cắp thông tin.
  • Tính toàn vẹn dữ liệu (Data Integrity): Đảm bảo rằng dữ liệu không bị thay đổi, xóa bỏ hoặc phá hủy một cách trái phép trong quá trình truyền tải hoặc lưu trữ. Điều này quan trọng để đảm bảo tính chính xác và đáng tin cậy của thông tin giao dịch.
  • Tính sẵn sàng (Availability): Đảm bảo rằng các hệ thống và dịch vụ thương mại điện tử luôn hoạt động và có thể truy cập được bởi người dùng hợp pháp khi cần. Các cuộc tấn công từ chối dịch vụ (DDoS) là ví dụ về các mối đe dọa đến tính sẵn sàng.
  • Xác thực (Authentication): Quá trình xác minh danh tính của người dùng hoặc hệ thống trước khi cho phép truy cập. Điều này bao gồm việc sử dụng tên đăng nhập, mật khẩu, xác thực hai yếu tố (2FA) hoặc các phương pháp sinh trắc học.
  • Không thể phủ nhận (Non-repudiation): Đảm bảo rằng không bên nào trong giao dịch có thể phủ nhận hành động của mình sau khi đã thực hiện. Ví dụ, người gửi không thể phủ nhận đã gửi thông điệp và người nhận không thể phủ nhận đã nhận được. Điều này thường được thực hiện thông qua chữ ký số.

Các mối đe dọa an ninh phổ biến trong thương mại điện tử:

  • Phần mềm độc hại (Malware): Virus, Trojan, Ransomware, Spyware có thể lây nhiễm vào hệ thống, đánh cắp dữ liệu hoặc phá hoại hoạt động.
  • Tấn công lừa đảo (Phishing): Kẻ tấn công giả mạo các tổ chức uy tín để lừa người dùng tiết lộ thông tin nhạy cảm.
  • Tấn công từ chối dịch vụ (DoS/DDoS): Làm quá tải máy chủ hoặc mạng lưới, khiến dịch vụ không thể truy cập được.
  • SQL Injection: Tấn công vào cơ sở dữ liệu để truy cập, thay đổi hoặc xóa dữ liệu trái phép.
  • Cross-Site Scripting (XSS): Tiêm mã độc vào trang web để tấn công người dùng khác.
  • Đánh cắp danh tính (Identity Theft): Kẻ xấu sử dụng thông tin cá nhân của người khác để thực hiện các hành vi gian lận.

3.2. Kỹ thuật Mã hóa Thông tin

Mã hóa thông tin là quá trình chuyển đổi thông tin từ dạng dễ hiểu (văn bản gốc – plaintext) sang dạng không thể đọc được (văn bản mã hóa – ciphertext) bằng cách sử dụng một thuật toán và một khóa mã hóa. Mục đích chính của mã hóa là bảo mật dữ liệu, đảm bảo rằng chỉ những người có khóa giải mã phù hợp mới có thể truy cập lại thông tin gốc.

Có hai loại kỹ thuật mã hóa chính:

3.2.1. Mã hóa đối xứng (Symmetric Encryption / Secret-key Encryption)

  • Khái niệm: Sử dụng một khóa duy nhất cho cả quá trình mã hóa và giải mã. Khóa này phải được giữ bí mật và chia sẻ an toàn giữa người gửi và người nhận.
  • Ưu điểm: Tốc độ mã hóa và giải mã nhanh, hiệu quả cho việc mã hóa lượng lớn dữ liệu.
  • Nhược điểm: Vấn đề phân phối khóa an toàn – làm thế nào để người gửi và người nhận trao đổi khóa mà không bị lộ?
  • Thuật toán phổ biến:
    • DES (Data Encryption Standard): Thuật toán cũ hơn, hiện không còn an toàn cho các ứng dụng quan trọng.
    • 3DES (Triple DES): Một biến thể của DES, sử dụng khóa dài hơn và nhiều vòng mã hóa hơn để tăng cường bảo mật.
    • AES (Advanced Encryption Standard): Thuật toán mã hóa đối xứng mạnh nhất và được sử dụng rộng rãi nhất hiện nay, được chính phủ Mỹ chấp thuận.

3.2.2. Mã hóa bất đối xứng (Asymmetric Encryption / Public-key Encryption)

  • Khái niệm: Sử dụng một cặp khóa riêng biệt cho mỗi người dùng:
    • Khóa công khai (Public Key): Được công bố rộng rãi, bất kỳ ai cũng có thể sử dụng để mã hóa dữ liệu gửi cho chủ sở hữu khóa, hoặc để xác minh chữ ký số của chủ sở hữu.
    • Khóa riêng tư (Private Key): Được giữ bí mật tuyệt đối bởi chủ sở hữu. Chỉ khóa riêng tư mới có thể giải mã dữ liệu đã được mã hóa bằng khóa công khai tương ứng, hoặc tạo ra chữ ký số.
  • Ưu điểm: Giải quyết vấn đề phân phối khóa của mã hóa đối xứng. An toàn hơn trong việc trao đổi khóa và hỗ trợ chức năng chữ ký số.
  • Nhược điểm: Tốc độ mã hóa và giải mã chậm hơn nhiều so với mã hóa đối xứng, không phù hợp để mã hóa lượng lớn dữ liệu.
  • Thuật toán phổ biến:
    • RSA (Rivest-Shamir-Adleman): Thuật toán mã hóa bất đối xứng phổ biến nhất, được sử dụng rộng rãi trong các ứng dụng bảo mật như HTTPS, chữ ký số.
    • ECC (Elliptic Curve Cryptography): Một loại mã hóa khóa công khai sử dụng đường cong Elliptic, cung cấp mức độ bảo mật tương đương với RSA nhưng với kích thước khóa ngắn hơn, giúp tiết kiệm tài nguyên tính toán.

3.2.3. Hàm băm (Hash Functions)

  • Khái niệm: Một thuật toán biến đổi dữ liệu đầu vào (bất kỳ kích thước nào) thành một chuỗi ký tự có độ dài cố định (giá trị băm – hash value hoặc digest). Hàm băm có tính chất một chiều (không thể khôi phục dữ liệu gốc từ giá trị băm) và cực kỳ nhạy cảm với sự thay đổi nhỏ của dữ liệu đầu vào.
  • Ứng dụng:
    • Kiểm tra tính toàn vẹn của dữ liệu: Nếu giá trị băm của dữ liệu trước và sau khi truyền tải khớp nhau, dữ liệu không bị thay đổi.
    • Lưu trữ mật khẩu: Thay vì lưu mật khẩu gốc, hệ thống lưu trữ giá trị băm của mật khẩu. Khi người dùng đăng nhập, mật khẩu nhập vào sẽ được băm và so sánh với giá trị băm đã lưu.
  • Thuật toán phổ biến: MD5 (không còn an toàn cho mục đích bảo mật), SHA-1 (cũng đã lỗi thời), SHA-256, SHA-512 (được sử dụng rộng rãi hiện nay).

3.2.4. Hạ tầng khóa công khai (PKI – Public Key Infrastructure)

  • Khái niệm: Một hệ thống bao gồm các chính sách, quy trình, phần mềm và phần cứng để tạo, quản lý, phân phối, sử dụng, lưu trữ và hủy bỏ các chứng thư số (digital certificates) và khóa mã hóa công khai/riêng tư. PKI là nền tảng cho việc xác thực và bảo mật trong nhiều ứng dụng trực tuyến.
  • Vai trò chính: Cung cấp độ tin cậy cho các khóa công khai thông qua Chứng thư số (Digital Certificates) và Tổ chức cấp chứng thực (Certificate Authority – CA). CA là bên thứ ba đáng tin cậy chịu trách nhiệm cấp phát và quản lý các chứng thư số, đảm bảo rằng khóa công khai thực sự thuộc về người hoặc tổ chức mà nó khẳng định.
  • Ứng dụng: SSL/TLS (HTTPS), chữ ký số, mã hóa email, VPN.

3.3. An toàn trong Thương mại điện tử

An toàn trong thương mại điện tử là việc triển khai các biện pháp thực tế và chính sách để giảm thiểu rủi ro an ninh, bảo vệ người dùng và doanh nghiệp khỏi các mối đe dọa. An toàn không chỉ liên quan đến kỹ thuật mã hóa mà còn bao gồm các quy trình vận hành, giáo dục người dùng và tuân thủ pháp luật.

3.3.1. Các biện pháp bảo vệ người mua và người bán

Đối với người mua (Consumer):

  • Sử dụng mật khẩu mạnh và độc đáo: Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt; không sử dụng mật khẩu dễ đoán.
  • Kích hoạt xác thực hai yếu tố (2FA/MFA): Thêm một lớp bảo mật ngoài mật khẩu (ví dụ: mã OTP gửi về điện thoại, ứng dụng xác thực).
  • Kiểm tra chứng chỉ SSL/TLS (HTTPS): Đảm bảo website có biểu tượng khóa xanh trên thanh địa chỉ, chứng tỏ kết nối được mã hóa.
  • Cẩn trọng với các email, tin nhắn lừa đảo (Phishing): Không nhấp vào các liên kết đáng ngờ hoặc cung cấp thông tin cá nhân qua email/tin nhắn không xác định.
  • Sử dụng mạng Wi-Fi an toàn: Tránh giao dịch tài chính trên Wi-Fi công cộng không bảo mật.
  • Kiểm tra chính sách bảo mật và hoàn trả của người bán: Đảm bảo quyền lợi của mình trong trường hợp có vấn đề.
  • Sử dụng phương thức thanh toán an toàn: Ưu tiên các cổng thanh toán uy tín, ví điện tử có lớp bảo mật cao.

Đối với người bán (Business):

  • Bảo mật website và máy chủ:
    • Sử dụng SSL/TLS (HTTPS): Bắt buộc để mã hóa toàn bộ lưu lượng truy cập giữa khách hàng và máy chủ.
    • Tường lửa (Firewall) và Hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS): Bảo vệ mạng và hệ thống khỏi các cuộc tấn công.
    • Cập nhật phần mềm và vá lỗi thường xuyên: Đảm bảo các lỗ hổng bảo mật được khắc phục kịp thời.
    • Sao lưu dữ liệu định kỳ: Đảm bảo khả năng khôi phục dữ liệu trong trường hợp xảy ra sự cố.
  • Bảo vệ dữ liệu khách hàng:
    • Mã hóa dữ liệu nhạy cảm: Mã hóa thông tin cá nhân, thông tin thanh toán khi lưu trữ và truyền tải.
    • Tuân thủ các quy định bảo vệ dữ liệu: Như GDPR (Châu Âu), CCPA (California), hoặc các quy định pháp luật liên quan đến quyền riêng tư tại Việt Nam.
    • Hệ thống phát hiện gian lận (Fraud Detection Systems): Phát hiện và ngăn chặn các giao dịch đáng ngờ.
  • Đào tạo nhân viên: Nâng cao nhận thức về an ninh mạng, các mối đe dọa lừa đảo, và quy trình xử lý dữ liệu an toàn.
  • Chính sách bảo mật rõ ràng: Công bố chính sách bảo mật và điều khoản sử dụng minh bạch trên website.
  • Kiểm tra và đánh giá an ninh định kỳ: Thực hiện kiểm thử thâm nhập (penetration testing) và đánh giá lỗ hổng bảo mật.

3.3.2. An toàn thanh toán trực tuyến

An toàn thanh toán là một khía cạnh cực kỳ quan trọng trong thương mại điện tử, đòi hỏi sự kết hợp giữa công nghệ và quy trình:

  • Giao thức SSL/TLS: Bắt buộc cho mọi trang thanh toán để mã hóa dữ liệu thẻ tín dụng và thông tin cá nhân khi được truyền tải.
  • Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI DSS – Payment Card Industry Data Security Standard): Tiêu chuẩn toàn cầu mà các doanh nghiệp xử lý, lưu trữ hoặc truyền tải thông tin thẻ tín dụng phải tuân thủ để đảm bảo an toàn dữ liệu.
  • Mã hóa thông tin thẻ: Ngay cả khi được lưu trữ (nếu cần), thông tin thẻ phải được mã hóa mạnh hoặc token hóa (chuyển đổi thành một mã số duy nhất không chứa dữ liệu nhạy cảm).
  • Xác thực 3D Secure: Các giao thức như Verified by Visa, Mastercard SecureCode yêu cầu người dùng nhập thêm mật khẩu hoặc mã OTP để hoàn tất giao dịch, tăng cường bảo mật cho giao dịch thẻ.
  • Hệ thống phát hiện gian lận: Sử dụng AI và thuật toán để phân tích hành vi giao dịch, phát hiện và gắn cờ các hoạt động đáng ngờ như mua sắm bất thường, sử dụng thẻ đánh cắp.
  • Tokenization (Mã hóa Token): Thay thế dữ liệu thẻ tín dụng nhạy cảm bằng một “token” không có giá trị, giúp bảo vệ dữ liệu gốc khỏi bị lộ ngay cả khi hệ thống bị tấn công.
  • Ví điện tử và Cổng thanh toán trung gian: Các dịch vụ như PayPal, MoMo, ZaloPay, VNPay đóng vai trò trung gian, giúp người mua không cần nhập thông tin thẻ trực tiếp vào từng website, giảm thiểu rủi ro.