Dữ liệu người mua sắm online đang gặp rủi ro?

(eFinance Online) -Hiệp hội Thương mại điện tử Việt Nam (VECOM) và Công ty cổ phần An ninh mạng Việt Nam (VSEC) mới đây đã công bố kết quả khảo sát và đánh giá đầu tiên về tình hình an toàn thông tin của các website thương mại điện tử (TMĐT) tại Việt Nam được thực hiện từ cuối năm 2016. Kết quả cho thấy 33% hệ thống website TMĐT gặp lỗi nghiêm trọng, đây là tỉ lệ lớn tương ứng với hàng ngàn người tiêu dùng đang gặp rủi ro đối với dữ liệu của họ. 
Dữ liệu người mua sắm online đang gặp rủi ro?

Theo hai đơn vị này, vấn đề an toàn thông tin (ATTT) khi giao dịch trực tuyến đang đóng vai trò quan trọng do tỉ lệ các giao dịch trực tuyến ngày càng tăng. Ngành TMĐT thể hiện rõ nhất điều này khi doanh số trong lĩnh vực này theo ước tính của Bộ Công Thương đạt hơn 4 tỉ USD và tăng trưởng 37% trong năm 2015. Giá trị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàn càng cấp thiết.

Hoạt động nhiều năm trong lĩnh vực an toàn thông tin, VSEC cho biết đã nhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử. Yêu cầu hỗ trợ phổ biến nhất là hạn chế tấn công DOS/DDOS, loại hình tấn công này không làm mất dữ liệu người dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và không thể phục vụ khách hàng. Các công ty cung cấp dịch vụ cần trực tuyến 24/24 thường gặp tấn công này có thể kể đến như bán vé máy bay trực tuyến, đặt chỗ khách sạn... Qua tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng về TMĐT tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng. Tuy vậy, trước đây Việt Nam lại chưa có con số thống kê chính thức về tình hình an toàn thông tin trong lĩnh vực TMĐT. Các đơn vị kinh doanh dựa trên TMĐT cũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có. Chính vì vậy, khảo sát này được thực hiện để bước đầu đánh giá được mức độ an toàn thông tin của TMĐT nói chung tại Việt Nam hiện nay.

Việc khảo sát và đánh giá được tiến hành trực tiếp với 12 website TMĐT là thành viên của VECOM hoạt động trong hai lĩnh vực bán lẻ và thanh toán. Các website được lựa chọn đều có mức độ nhận diện thương hiệu cao, số lượng người truy cập lớn. Các website có đầy đủ nhất tính năng của TMĐT, với các nhà bán lẻ là hiển thị danh mục hàng hóa, giá cả, quản lý tài khoản, thanh toán... Tuy vậy, do tính chất kết nối liên thông của hệ thống thông tin, các lỗ hổng có thể xuất phát từ nhiều vị trí khác nhau, website không phải là nơi duy nhất, nên ATTT là một quá trình và cần thực hiện tổng thể. Việc khảo sát và đánh giá website trước các rủi ro ATTT được xác định qua quá trình kiểm tra thực hiện hoàn toàn từ bên ngoài, giả lập cách thức các kẻ xấu thường dùng để tấn công, lợi dụng lỗ hổng của các website. Cách thức kiểm tra như vậy đảm bảo kết quả khách quan và trung thực, cung cấp dữ liệu chân thực cho bức tranh tổng thể về ATTT trong TMĐT.

Do thời gian khảo sát có hạn và các website này đều có qui mô lớn nên khảo sát tập trung vào các kiểm tra có thể dẫn đến những rủi ro nghiêm trọng, ảnh hưởng đến khách hàng, giao dịch và máy chủ phục vụ. Đó là các kiểm tra dẫn đến thông tin người dùng bị xem trái phép, bị sửa trái phép, các kiểm tra dẫn đến thông tin giao dịch bị xem trái phép và các kiểm tra dẫn đến dữ liệu trên máy chủ bị xem/sửa đổi trái phép. Các hệ thống TMĐT bao gồm nhiều thành phần, báo cáo tập trung vào hai thành phần quan trọng nhất: Quản lý khách hàng, thanh toán. Quản lý khách hàng thường bao gồm xác thực thông tin, xử lý và hiển thị các thông tin cá nhân, đơn hàng của mỗi khách hàng. Thanh toán trực tuyến thường bao gồm xử lý giao dịch mua hàng của khách hàng, có thể trực tiếp hoặc gián tiếp thông qua ví điện tử, cổng thanh toán trung gian.

Kết quả khảo sát và đánh giá về ATTT trong TMĐT cho thấy, có 17% website trong khảo sát mắc rủi ro nghiêm trọng ở mức dữ liệu của khách hàng có thể bị xem trái phép bởi người dùng khác. Một khách hàng khi sử dụng dịch vụ TMĐT tại các website này có khả năng mất thông tin cá nhân của mình bao gồm tên, email, mật khẩu dạng mã hóa hoặc thông tin ngân hàng.

Các TMĐT bán lẻ thường có số lượng lớn khách hàng nên các dữ liệu này là tài sản quý giá đối với kẻ xấu. Các thông tin này có thể được dùng để xâm nhập trái phép tài sản thông tin của khách hàng. Các rủi ro nghiêm trọng khác gồm thông tin người dùng bị sửa trái phép, thông tin giao dịch bị xem trái phép và dữ liệu trên máy chủ bị xem và sửa trái phép đều có tỉ lệ 8%. Điều này có nghĩa là khi khách hàng cung cấp thông tin, giao dịch qua các website đó có thể bị xem trộm dữ liệu giao dịch, đặc biệt có máy chủ bị rủi ro nghiêm trọng khiến kẻ tấn công có thể lợi dụng lỗ hổng máy chủ để kiểm soát thông tin. Thậm chí, khảo sát phát hiện có website TMĐT chiếm thị phần hàng đầu thị trường tồn tại đồng thời trên một lỗi nghiêm trọng. Khảo sát còn cho thấy 33% hệ thống website TMĐT gặp lỗi nghiêm trọng, đây là tỉ lệ lớn tương ứng với hàng ngàn người tiêu dùng đang gặp rủi ro đối với dữ liệu của họ.

Khảo sát đầu tiên về tình hình ATTT của các website TMĐT tại Việt Nam do VECOM và VSEC đã cho thấy các rủi ro nghiêm trọng và các doanh nghiệp kinh doanh TMĐT cần sớm quan tâm tới an toàn thông tin, đưa nhận thức về an toàn thông tin song hành cùng quá trình phát triển kinh doanh.

Nếu được nhận thức sớm thì các doanh nghiệp có thể đầu tư hiệu quả cũng như tiết kiệm đáng kể các chi phí khi có các sự cố xảy ra và tạo niềm tin về thương hiệu cho người tiêu dùng. Bởi lẽ các lo ngại liên quan đến ATTT cũng chính là một trong những nguyên nhân khiến người tiêu dùng e ngại mua hàng trực tuyến. Họ sẽ không thực hiện một giao dịch online nếu không cảm thấy tin cậy, an toàn và đủ bảo đảm tính riêng tư khi giao dịch. Vì vậy, việc đảm bảo ATTT ở cả khía cạnh kĩ thuật cũng như qui định, quy trình sẽ là giải pháp hỗ trợ mạnh mẽ thúc đẩy người dùng sử dụng TMĐT tại Việt Nam. 

(T.H - Tạp chí Tài chính điện tử số 153)