Rủi ro trong thương mại điện tử có rất nhiều hình thái. Tuy nhiên,có thể chia thành bốn nhóm cơ bản sau Show Rủi ro về dữ liệu Rủi ro về dữ liệu đối với người mua Thông tin bí mật về tài khoản bị đánh cắp khi tham gia giao dịch thương mại điện tử. Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet (IP Spoofing), phong tỏa dịch vụ (DOS – denial of service), và thư điện tử giả mạo của các tổ chức tài chính ngân hàng Tin tặc tấn công và các website thương mại điện tử, truy cập các thông tin về thẻ tín dụng. Rủi ro về dữ liệu Rủi ro về dữ liệu đối với chính phủ Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động. Đặc biệt một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc tương tự như vậy. Rủi ro về gian lận thẻ tín dụng Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”(hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ra giao dịch. Sự từ chối phục vụ (DOS – Denial ofService, DDoS)Nhóm rủi ro về thủ tục , quy trình giao dịchcủa tổ chức Nhiềuwebsite vẫn tiến hành bán hàng theo các yêu cầu mà không cóbất kỳ sựxác thực cần thiếtvà cẩn trọng nào về thông tin của ngườimua. Họ đưara các đơn chào hàng và tiến hành giao hàngnếu nhận được đơn chấp nhậnchào hàng từ phíangười mua. Do không có những biệnpháp đảm bảo chống phủ định của ngườimua trong quy trình giaodịchtrên các website nên khôngthể buộc ngườimua phải nhận hàng hay thanh toán khi đơn đặthàng đã được thực hiệnvà hàng đã giao. Nhóm rủi ro về thủ tục , quy trình giao dịch của tổchức Hay những đơn đặthàng không đượcnhà cungcấp thực hiệntrong khi khách hàngđã tiến hànhtrả tiền mà không nhận đượchàng, nhà cungcấp từ chối đã nhận đơn đặt hàng Khi các bênthảo luận một hợp đồng thương mạiqua hệ thống điện tử, hợp đồng đó sẽcó thể được thiết lập bằng cáchmộtbên đưara lời chào hàng và bên kiachấp nhận lờichào hàng. Sự tồn tại của một hợp đồng cóthể gây tranh cãinếu bạnkhông cóbằng chứng về sự hình thành hợp đồng. Doanhnghiệp sử dụng một phương tiện điện tử (như e-mail) trong quá trình thiết lập một hợp đồngthì rủi ro do không lường trước được. Tuy nhiên làm thế nàođể đảm bảo rằng một thoả thuận đạt được qua hệ thống điện tử sẽcó tính ràng buộc về mặt pháp lý khi có sựkhác nhau giữa cáchệ thống pháp luật khác nhau, Ví dụ: ViệtNam và Nhật Bản? Chưacó một côngước chung nào về giaodịch thương mại điện tử có hiệu lực sẽ gây trở ngạitrongviệc giải quyết tranhchấp khihợp đồng bị vi phạm. Lấy đơn giảnlà ASEAN, chưa có quyđịnh nội khốichínhthức điều chỉnh giaodịch điện tử Nhóm rủi ro về pháp luật và tiêu chuẩn côngnghiệp Các quy định cản trở sự phát triển của thương mại điện tử hoặc chưa tạo điều kiện thuận lợi cho phát triển thương mại điện tử như đăng ký website, mua bán tên miền; sự chậm trễ về dịch vụ chứng thực điện tử, thanh toán điện tử một phần là do thiếu các văn bản pháp lý điều chỉnh Rủi ro về tiêu chuẩn công nghiệp. Nhóm rủi ro về pháp luật và tiêu chuẩn côngnghiệp Mặt khác sự khác biệt giữa tiêu chuẩn công nghiệp trong thương mại truyền thống và thương mại điện tử cũng có thể gây ra những rủi ro không mong đợi. Đặc biệt là đối với những hàng hoá vô hình như các loại dịch vụ trên Internet thì hiện nay vẫn chưa có một hệ thống tiêu chuẩn công nghiệp nào để đánh giá chính xác. Một số rủi ro điển hình khác Rủi ro vì mất cơ hội kinh doanh Rủi ro do sự thay đổi của công nghệ Rủi ro liên quan đến thông tin cá nhân Tấn công quá khích Rủi ro bị mất tài sản thông tin (Information Assets Theft) rủi ro gây ra những tổn thất về dữ liệu, các nguồn hệ thống máy tính và tài sản thông tin như số thẻ tín dụng, các thông tin về khách hàng, kể cả băng thông của đường truyền do những cuộc tấn công trên mạng www.goddady.com cung cấp hosting và tên miềm của Mỹ từ đầu năm 2004 cũng đã chặn tất cả các giao dịch có địa chỉ giao thức trên mạng (IP) 203.162.*.* của Việt Nam. Goddady đã thông báo xếp Việt Nam vào danh sách các nước (cùng với Trung Quốc, Bulgaria, Indonesia, Malaysia, Pakistan, Singapore) bị chặn không được giao dịch qua mạng với mình. Biện “pháp giết lầm còn hơn bỏ sót” này gây ảnh hưởng đến nhiều doanh nghiệp làm ăn nghiêm túc của Việt Nam www.onehost.ws, từ tháng 4-2004 đã chính thức không cho người sử dụng ở Việt nam thậm chí là quyền truy cập trang web này. Chỉ cần gõ www.onehost.ws bạn chưa hề biết mặt mũi trang web ra sao thì đã nhận được ngay dòng chữ : “blocking all orders from Vietnam due to the huge number of frauds by Viet nam users” (cấm tất cả mọi đơn đặt hàng từ Việt nam do một số lượng lớn lừa đảo bởi người sử dụng Vietnam). www.yahoo.com chặn tất cả các mail từ hn.vnn.vn do có người sử dụng hòm thư này để spam vào các tài khoản mail của yahoo, việc này khiến các doanh nghiệp Việt Nam sử dụng dịch vụ của VDC không thể contact với khách hàng qua thư điện tử được, gây nhiều thiệt hại và cản trở các giao dịch.www.business.gov.com.vn không có mấy thành viên; www.vcci.com.vn không được cập nhật từ năm 2003; sự “gục ngã” của những hệ thống đã được báo chí ca ngợi hết lời như www.B2VN.com hay www.MeetVietnam.comvốn đã từng nổi tiếng một thời đều do thiếu các chiến lược kinh doanh điện tử đúng đắn, thiếu nhân lực và nguồn đầu tư dài hạn. Rủi ro vì mất cơ hội kinh doanhNhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không được giao dịch trên mạng Internet bởi vì đã có người đăng ký bản quyền. Hay tên giao dịch của sàn giao dịch hàng thủ công Mỹ nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng với tên giao dịch của một trang web thuộc một công ty trên thế giới cũng đang kinh doanh trên mạng. Sở du lịch tỉnh Quảng Ninh không đăng ký được www.halongbay.com vì đã bị đăng ký mất tên miền này, do đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dàihttp:\\halongbay.halong.net Rủi ro do sự thay đổi của công nghệNăm 2002, khi Internet Explorer 6.0 của Microsoft ra đời công việc kinh doanh trên mạng của www.VideoHome.com ngưng trệ do phầm mềm để download phim của hãng không tương thích với trình duyệt mới này. Ước tính từ lúc IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải phim mới thiệt hại lên tới 1,2 triệu USD. Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là nguy cơ cho các website thương mại điện tử vốn chạy tốt trên IE nhưng chưa chắc đã chạy tốt trên Firefox và ngược lại Rủi ro liên quan đến thông tin cá nhânMột số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm 1999, cô Sarah Clarson ở bang California đã bị bắt giam vì một lý do mà cô không hề làm. Số chứng minh cũng như các dấu hiệu định dạng của cô đã bị thay đổi và gán cho một nữ tội phạm đang bị truy nã. Tấn công quá khíchTháng 2/2000, một tin tặc 15 tuổi tự xưng là Mafiaboy tấn công các địa chỉ Internet của Yahoo, Dell, CNN, Amazon.com và eBay. Virus của người này đã tấn công máy tính của những hãng trên bằng cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền. Theo ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, đó còn chưa kể những thiệt hại về mặt uy tín của hãng đối với khách hàng Các hacker khai thác các lỗ hổng của các hệ điều hành như Windows2000, Windows Server 2000 và các bộ Office nổi tiếng của hãng để tạo ra các virus có sức công phá và mức độ lây lan kinh khủng. Vì các phần mềm của hãng Microsoft được sử dụng rộng rãi nên hậu quả đối với các mạng máy tính trên toán thế giới là rất lớn. Chẳng hạn như vào tháng 7/2001, Virus CodeRed tấn công phần mềm mạng của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt hại trong sự cố mà nó gây ra lên đến 2,6 tỷ Các giải pháp không mang tính kỹ thuật Hiện nay các hãng bảo hiểm chỉ nhận bảo hiểm một số lượng rủi ro hạn chế trong TMĐT. Ví dụ như AIG NetAdvantage SuiteTM hạn chỉ nhận bảo hiểm 15 loại rủi ro. Vì vậy các doanh nghiệp luôn phải tự lực và chủ động trong việc phòng tránh rủi ro cho chính mình và khách hàng của mình. (Theo www.aig.com) Tuy nhiên, theo sản phẩm AIG NetAdvantage SuiteTMthì những rủi ro sau là những rủi ro Thương mại điện tử được hãng AIG nhận bảo hiểm.1. Nội dung trang web (Web Content Liability): Các rủi ro về nội dung của Websites trên mạng Internet bao gồm những rủi ro về vi phạm bản quyền, thương hiệu, sở hữu trí tuệ, xâm phạm các thông tin cá nhân và gây ảnh hưởng xấu tới uy tín mà xuất phát từ những nội dung được trình bày trên trang web Thương mại điện tử. 2. Rủi ro dịch vụ Internet chuyên nghiệp (Internet Professional Liability): Những rủi ro do mắc lỗi trong các dịch vụ Internet chuyên nghiệp như cung cấp dịch vụ ứng dụng Internet-ASP (Application Service Providers), cung cấp dịch vụ Internet-ISP (Internet Service Providers), dịch vụ quản lí và an ninh mạng, dịch vụ thuê máy chủ, đăng kí tên miền, các dịch vụ về triển khai giao dịch Thương mại điện tử, dịch vụ tìm kiếm trên mạng và cho thuê cổng web điện tử. 3. Rủi ro an ninh mạng (Network Security Liability) Những rủi ro an ninh mạng máy tính được bảo hiểm bị xâm phạm như những truy cập và sử dụng trái phép, mất cắp hoặc tiết lộ thông tin cá nhân, lây lan virus máy tính hoặc bị tấn công từ chối phục vụ. Những tổn thất được bồi thường chỉ bao gồm tổn thất do bên thứ ba kiện đòi bồi thường 4. Rủi ro bị mất tài sản thông tin (Information Assets Theft) bao gồm những rủi ro gây ra những tổn thất về dữ liệu, các nguồn hệ thống máy tính và tài sản thông tin như số thẻ tín dụng, các thông tin về khách hàng, kể cả băng thông của đường truyền do những cuộc tấn công trên mạng 5. Rủi ro bị đánh cắp danh phận(Indenty theft), rủi ro thường do các hacker tiến hành thâm nhập vào máy tính cá nhân phá khoá mã bí mật và dùng danh phận của người bị đánh cắp vào các mục đích xấu. Nạn nhân thường là những người nổi tiếng và giàu có 6. Rủi ro về gián đoạn kinh doanh (Business Interruption)do mạng máy tính của người được bảo hiểm ngừng hoạt động hoặc hoạt động đình trệ, do một nguyên nhân an ninh mạng bị phá vỡ. Công ty Bảo hiểm sẽ bồi thường cho người được bảo hiểm những thu nhập bị mất và các chi phí phát sinh khác như chi phí kiện tụng và chi phí điều tra cũng như các thiệt hại gián đoạn kinh doanh khác liên quan. Ngoài ra, các chi phí nhằm khôi phục hoạt động của doanh nghiệp được công ty Bảo hiểm bồi thường tối đa thêm 100.000$ 7. Rủi ro bị tống tiền (Cyber Exortion) qua mạng bao gồm các rủi ro bị đe doạ tấn công mạng hay trang web, truyền virus, tiết lộ thông tin về số thẻ tín dụng, thông tin cá nhân...Công ty Bảo hiểm sẽ bồi thường các chi phí dàn xếp với bọn tống tiền và chi phí điều tra 8. Rủi ro khủng bố máy tính (Cyber Terrorism) được quy định rõ trong luật chống khủng bố của Hoa Kì và theo Luật bảo hiểm rủi ro khủng bố 2002 do tống thống Bush kí. Công ty Bảo hiểm sẽ bồi thường các thiệt hại cho cả bên thứ nhất và bên thứ ba bao gồm các thiệt hại về dữ liệu, gián đoạn kinh doanh. 9. Rủi ro về mất uy tín (Reputation) do các nguyên nhân như tấn công từ chối dịch vụ, bị lộ thông tin cá nhân của khách hàng...Công ty Bảo hiểm sẽ hỗ trợ một khoản tiền 50.000$ mà không cần một điều kiện nào cả 10. Rủi ro bị phạt (Punitive, Examplary risks) hoặc buộc phải bồi thường do Các phán quyết của tòa án hay trọng tài 11. Rủi ro do bị khiếu nại (Claim Risks) đòi bồi thường vật chất hoặc phi vật chất như công khai xin lỗi, huấn thị… 12. Rủi ro bị tấn công (Computer Attacks Risks)vào trang web hay mạng máy tính như truy cập hoặc sử dụng trái phép hệ thống máy tính của doanh nghiệp, tấn công từ chối dịch vụ, nhiễm các loại virus hoặc sâu máy tính. 13. Rủi ro bị mất cắp (Physical Theft of Data) bị mất cắp các hệ thống maý tính hay phần cứng có chứa các thông tin quan trọng, các hệ thống xử lý giao dịch... 14. Rủi ro thưởng tiền (Crimminal Rewards Risk)cho những thông tin hay việc truy bắt hay buộc tội những kẻ tội phạm tin học…Công ty Bảo hiểm sẽ trả tối đa 50.000$ cho rủi ro này một cách vô điều kiện. Hiện nay, sản phẩm bảo hiểm AIG NetAdvantage SuiteTM chia ra làm 7 loại sản phẩm với các loại rủi ro được bảo hiểm khác nhau. Trường hợp của Five Partners Asset Management: Joe Oquendo là một chuyên gia bảo mật máy tính của collegeboardwalk.com, người được phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five Partners Asset Management, một nhà đầu tư của collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này. Từ trường hợp này cho thấy, nguy cơ đe doạ lộ bí mật thông tin từ phía trong doanh nghiệp rất lớn. Trong bất kỳ trường hợp nào, các công ty tham gia thương mại điện tử đều phải có biện pháp thiết thực nhằm bảo vệ những thông tin không bị đánh cắp từ cả bên ngoài và trong nội bộ nhân viên công ty. Trường hợp của công ty Tower Insurance (www.tower.co.nz) Công ty Tower Insurance (www.tower.co.nz) là công ty tài chính đầu tiên ở New Zealand mở trang Web. Mới đầu công ty chỉ mới giới thiệu về những hoạt động bảo hiểm và tài chính của công ty mình cho đối tác. Vài tháng sau, công ty AMP (www.amp.co.nz) cũng giới thiệu trang Web của mình. Bên cạnh những nội dung giống Website của công ty Tower, AMP còn cung cấp những dịch vụ tài chính “trực tuyến” cho khách hàng cho nên đã thu hút được đông đảo khách hàng. AMP đã trở thành công ty đầu tiên ở New Zealand bán bảo hiểm ô tô qua mạng. Giờ đây Tower - người từng đi tiên phong trong thương mại điện tử lại phải đuổi theo công ty AMP Ví dụ này cho thấy nếu không biết phát triển một cách hợp lý và nhanh chóng cập nhật những công nghệ mới, các công ty đi sau trong lĩnh vực thương mại điện tử hoàn toàn có thể đuổi kịp và vượt xa hơn những công ty đi tiên phong. Giải pháp sử dụng phần mềm AntiFraud, doanh nghiệp hoàn toàn có thể sử dụng với chi phí là dưới 10 USD một tháng, nhưng phần mềm này rất hạn chế. Phần mềm này cung cấp: - Một chương trình cung cấp tự động miễn phí các địa chỉ chuyển tiếp thư điện tử hay địa chỉ web. AntiFraud cung cấp cho khách hàng chương trình cho phép tự động kiểm tra địa chỉ thư điện tử của người mua dựa vào danh sách “cờ đỏ” (“Red Flag”). Hiện nay danh sách này có khoảng 2000 địa chỉ đã được đăng ký và được cập nhật thường xuyên - Một chương trình theo dõi IP (IP tracking) sẽ tự động ghi lại các địa chỉ IP của những máy tính mà các đơn đặt hàng được thiết lập trên đó. Tuy nhiên có một điểm hạn chế vì đối với một nhà cung cấp dịch vụ Internet điển hình, họ có thể tạo ra các địa chỉ IP khác nhau cho mỗi lần khách hàng vào máy và thực hiện giao dịch chính vì vậy, nhà cung cấp dịch vụ Internet (Internet Service Provider) mới là người kết thúc việc theo dõi của doanh nghiệp chứ không phải người sử dụng. - Một chương trình cảnh báo gian lận tức thời sẽ cho phép các thành viên phát hiện ra sự gian lận của nhau. - Một bản tin được gửi đều đặn : Giải pháp hệ thống kiểm tra IP (IVS) của nhà cung cấp nổi tiếng CyberSource (bao gồm cả khả năng xử lý thanh toán) với chi phí thiết lập là 1495 USD, phí cho từng giao dịch là 0,39 USD, cùng với phí duy trì hàng tháng là 195 USD CyberSource tuyên bố rằng hệ thống IVS của họ có khả năng giảm mức độ gian lận xuống còn 0,5% trị giá các giao dịch.IVS được xây dựng dựa trên động cơ “trí khôn nhân tạo” và hoạt động nhờ và sự phân tích những nét đặc trưng của mỗi giao dịch bao gồm: thời gian đặt hàng, địa chỉ IP, vị trí địa lý, nơi giao hàng và rất nhiều yếu tố khác … Nó bao gồm tất cả 150 giao dịch với hàng loạt các chương trình kiểm tra dữ liệu, phân tích sự tương quan, phân tích độ nhạy cảm của các giao dịch hiện thời so với các giao dịch đã từng có gian lận. Sau đó, hệ thống IVS sẽ cân nhắc đưa ra kết quả và so sánh chúng với kết quả dự đoán trước của các nhà kinh doanh để từ đó khẳng định giao dịch có thể thực hiện hay huỷ bỏ. Các doanh nhân có thể xác định được mức độ rủi ro mà họ có thể chấp nhận. Họ có thể thoả mãn được thái độ mua hàng của khách hàng đối với những sản phẩm đặc biệt. Tuy nhiên, chi phí sẽ là hơi cao so với các doanh nghiệp nhỏ, giải pháp CyberSource cung cấp những lợi ích sau: - Nhanh và tiện lợi, chỉ trong vòng 5 giây kết quả sẽ được chuyển tới khách hàng. - Phát hiện ra sự gian lận trước khi nó xảy ra bởi việc định giá mỗi đơn đặt hàng, và sử dụng hàng triệu kết quả của các giao dịch thành công cũng như không thành công để khắc phục hiện trạng giả mạo của những giao dịch thẻ tín dụng có gian lận trong tương lai. - Gián tiếp hay trực tiếp giảm chi phí của các giao dịch có sự gian lận (ví dụ như chi phí hoàn trả, tiền phạt, tỷ lệ chiết khấu cao) và hơn thế nữa là chi phí hàng tháng cho các nhân viên thực hiện công việc kiểm tra chống gian lận. - Hỗ trợ thương mại điện tử 24 giờ trong ngày, 7 ngày trong tuần. - Dễ dàng khắc phục được gian lận ngay cả khi khối lượng đơn đặt hàng lớn. - Hệ thống “trí khôn nhân tạo” phát triển phù hợp với từng giao dịch, giúp các nhà kinh doanh trên Internet sẽ tăng được hiểu biết từ mỗi giao dịch. - Kết quả - gian lận đã giảm dưới 1% và trong nhiều trường hợp hơn 5%, và thậm chí có thể giảm xuống dưới mức có thể đạt được bằng những phương tiện thủ công và hệ thống kiểm tra địa chỉ AVS Mặc dù chi phí sử dụng phần mềm này tương đối cao, tuy nhiên giá cả không phải là yếu tố quan trọng. Đối với nhiều website, lợi ích mà CyberSource đem lại còn lớn hơn nhiều chi phí sử dụng nó. Vì vậy, nếu sản phẩm hay dịch vụ của doanh nghiệp có “sức hấp dẫn” đối với những “kẻ trộm trực tuyến”, đây là một giải pháp hữu hiệu. |
