Trong những năm gần đây, Thương Mại Điện Tử tại Việt Nam chứng kiến sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip, hay Luxstay. Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như: vấn đề lòng tin của người tiêu dùng, vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp… Bài viết này sẽ phân tích những thách thức bảo mật mà các công ty Thương mại điện tử ở Việt Nam đang gặp phải và đưa ra giải pháp xử lý rủi ro an ninh mạng cho ngành công nghiệp tỷ đô này.
Các vấn đề bảo mật trong Thương mại điện tử
1. Gian lận thanh toán
Gian lận thanh toán là vấn đề nan giải, đã xuất hiện ngay từ khi TMĐT ra đời. Đây là hình thức mà kẻ gian hoặc hacker lợi dụng lỗi của hệ thống thanh toán để thực hiện những giao dịch ảo dẫn tới thất thoát lớn cho doanh nghiệp TMĐT.
Ví dụ: Ví điện tử X ra mắt chương trình tặng tiền vào tài khoản cho người dùng mới đăng ký. Nếu ứng dụng X còn tồn tại lỗ hổng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới, rất có thể kẻ gian sẽ tạo được nhiều tài khoản để nhận được nhiều tiền.
2. Spam
Khi mà email marketing đang là kênh thúc đẩy doanh số hiệu quả, thì đó cũng là kênh để những kẻ phá phách thực hiện hành vi SPAM. Không chỉ vậy, chúng có thể spam bình luận, form liên hệ bằng những đường link có gắn mã độc, hoặc spam với tần suất lớn khiến cho tốc độ tải trang giảm đáng kể.
3. Phishing
Tấn công mạng theo hình thức lừa đảo Phishing luôn nằm top những rủi ro bảo mật phổ biến của TMĐT. Với hình thức này, Hacker thường giả mạo thành doanh nghiệp hoặc đơn vị có uy tín để lừa người tiêu dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng, tài khoản – mật khẩu trang TMĐT. Để đạt được mục đích này, chúng tạo ra một website giả trông gần giống như bản gốc khiến người dùng nhầm lẫn và nhập thông tin quan trọng. Cũng có khi chúng gửi một email, tin nhắn SMS mạo danh nhân viên công ty hoặc thực hiện một cuộc gọi mạo danh cơ quan chức năng để chiếm được lòng tin của nạn nhân.
4. Bots
Kẻ gian có thể viết ra một chương trình (bot) có khả năng thu thập dữ liệu quan trọng trong website Thương mại điện tử của bạn, từ đó tạo ra lợi thế cạnh tranh riêng cho họ. Những thông tin dễ bị thu thập là các mặt hàng đang “hot”, số lượng hàng tồn kho, hay số lượng hàng đã bán. Những thông tin này tuy không ảnh hưởng trực tiếp, nhưng ảnh hưởng gián tiếp tới doanh thu của sàn TMĐT nếu như kẻ xấu biết tận dụng đúng cách.
5. DDoS
DDoS (tấn công từ chối dịch vụ) luôn là nỗi ác mộng của các website thương mại điện tử. Để đảm bảo trải nghiệm khách hàng, các trang web TMĐT được kỳ vọng sẽ liên tục online và có thể chịu được một lượng traffic đủ lớn phục vụ nhu cầu mua sắm của khách hàng (tùy từng giai đoạn phát triển). Tuy nhiên, chỉ cần một cuộc tấn công DDoS khiến website bị sập, doanh nghiệp sẽ phải chịu thiệt hại cả về doanh thu trực tiếp lẫn gián tiếp (mất uy tín).
6. Brute-force Attack
Tấn công brute-force là kiểu tấn công nhắm vào tài khoản admin của quản trị viên trang web TMĐT. Bằng cách sử dụng công cụ chuyên dụng và test thử tất cả các cụm từ phổ biến, kẻ tấn công có thể dò ra mật khẩu và chiếm quyền quản trị website. Chính vì vậy, bạn có thể tự bảo vệ mình khỏi brute-force attacks bằng cách đặt mật khẩu phức tạp, và đừng quên thay đổi mật khẩu định kỳ.
7. SQL injections
Tấn công tiêm SQL (hay SQL injection) nhắm vào cơ sở dữ liệu của website thương mại điện tử. Hacker tiêm một đoạn mã độc hại vào database, thường thông qua submit form (tìm kiếm, đăng ký email…). Khi đó, chúng có thể truy cập vào cơ sở dữ liệu của website, thu thập những thông tin như data khách hàng, inventory, và nhiều dữ liệu khác.
8. Tấn công chéo trang XSS
XSS (cross-site scripting) là kiểu tấn công nhắm vào người dùng website – chính là những khách hàng của TMĐT. Lợi dụng lỗ hổng XSS của website TMĐT, hacker có thể chèn mã độc thông qua các đoạn script thực thi ở phía client. Kiểu tấn công này có thể gây ra tổn thất cho cả 2 đối tượng là user và website. Chính vì thế nó được xếp vào loại nguy hiểm, các website TMĐT cần hết sức cảnh giác và kiểm tra lỗ hổng XSS thường xuyên.
9. Trojan Horse
Nếu bạn đã nghe về sự tích thành Troy, thì Trojan Horse là một loại malware như thế. Một Trojan horse được định nghĩa là một “chương trình độc hại ngụy trang như một cái gì đó được cho là lành tính”. Nếu thiếu kiến thức về internet, cả admin và user trang web TMĐT đều có thể trở thành nạn nhân của Trojan Horse. Khi đó, hacker có toàn quyền điều khiển máy tính, dữ liệu của nạn nhân để thực hiện các hành vi nguy hại cho website thương mại điện tử.
Giải pháp bảo mật Thương mại điện tử
1. Sử dụng HTTPS
HTTPS là tiêu chuẩn bắt buộc dành cho mọi website, đặc biệt là TMĐT. Giao thức HTTPS giúp bảo mật thông điệp truyền tải giữa server và client. Điều này không chỉ giúp bảo mật tài khoản của người dùng, mà còn giúp website TMĐT phòng tránh nhiều rủi ro bị tấn công.
Bên cạnh đó, chứng chỉ SSL của HTTPS còn có những ích lợi lớn đối với website TMĐT:
- Hiện khóa xanh bảo mật, giúp tăng sự tin tưởng của người dùng.
- Có lợi cho SEO. Google thích những trang web an toàn và thân thiện với người dùng.
- Không bị trình duyệt (Chrome, Firefox, Safari) chặn vì thiếu bảo mật.
2. Bảo mật server và Admin panel
Nếu sở hữu server riêng, việc áp dụng các biện pháp end-point security (bảo mật tại điểm cuối) là cần thiết cho mọi web TMĐT. Ngoài ra, các quản trị viên website cần có kiến thức để tự bảo vệ tài khoản Admin của mình bằng cách:
- Đặt mật khẩu khó, thay đổi mật khẩu định kỳ
- Cẩn trọng với những phần mềm, đường link, email không tin cậy.
- Phân quyền tài khoản rõ ràng.
- Đặt cảnh báo khi có địa chỉ IP lạ đăng nhập vào Admin panel.
Ví dụ về việc đặt mật khẩu:
- Mật khẩu kém an toàn: tieubinh123
- Mật khẩu an toàn hơn: !TieuBinh@123$$
3. Bảo mật hệ thống thanh toán
Cổng thanh toán là một mục tiêu hấp dẫn của tin tặc, vì nó chứa thông tin giao dịch của người dùng và website TMĐT, đặc biệt là thông tin thẻ tín dụng. Để bảo mật cổng thanh toán, doanh nghiệp cần tuân thủ tối thiểu các chuẩn sau:
- Tích hợp chứng chỉ SSL mã hóa thông tin truyền tải
- Chuẩn bảo mật PCI DSS
- Mật khẩu OTP
- Mã hóa MD5 128 bit
- Cơ chế lưu token của người dùng
- Không lưu giữ thông tin thẻ của người dùng.
Việc tự tạo một cổng thanh toán rất tốn công sức, tiền bạc, rủi ro pháp lý, vì thế hầu hết doanh nghiệp TMDT đều liên kết với một đối tác thanh toán bên thứ 3. Khi đó, cần chọn những cổng thanh toán uy tín, có các kênh thanh toán phù hợp với khách hàng, quy trình thanh toán đơn giản, và cam kết bảo mật cao.
- Đối tác thanh toán quốc tế: Paypal, Stripe, 2Checkout…
- Đối tác thanh toán nội địa Việt Nam: VNpay, NAPAS, Smartlink, Onepay…
Việc để lộ thông tin người dùng có thể dẫn tới một án phạt nghiêm trọng dành cho các doanh nghiệp công nghệ theo luật bảo vệ dữ liệu người tiêu dùng EU (GPDR). Ở Việt Nam chế tài xử phạt chưa thực sự rõ rệt, tuy nhiên khi để lộ dữ liệu một lượng lớn người tiêu dùng, danh tiếng và lợi thế cạnh tranh của công ty có thể bị tổn hại nghiêm trọng.
4. Sử dụng phần mềm diệt virus và Malware (End-point security)
Các giải pháp bảo mật tại điểm cuối (end-point security) là cần thiết dành cho doanh nghiệp thương mại điện tử. Không chủ doanh nghiệp nào muốn công ty mình bị nhiễm virus, mã độc tống tiền, spyware hay trojan. Vì thế mỗi máy tính làm việc cần trang bị một phần mềm diệt malware hiệu quả. Một vài phần mềm hiệu quả, đơn giản như Bitdefender, Windows Defender, Malwarebytes sẽ là ứng viên tiềm năng.
5. Sử dụng tường lửa – Web Application Firewall
Một trong những cách hiệu quả để bảo mật website thương mại điện tử là sử dụng Tường lửa bảo vệ web (Firewall). Nó sẽ giúp phân luồng traffic và loại bỏ những traffic độc hại truy cập vào trang web. Qua đó hạn chế được nhiều rủi ro bị tấn công DDoS. Tường lửa cũng tỏ ra hiệu quả trong việc chống lại SQL injection và XSS. Một trong những tường lửa phổ biến là Cloudflare Firewall, AWS WAF của Amazon.
6. Chứng chỉ SSL nâng cao (EV SSL)
Các website thương mại điện tử lớn nên sử dụng EV SSL thay vì chứng chỉ SSL thông thường. Mặc dù tính năng bảo mật của 2 loại chứng chỉ SSL này là như nhau. Nhưng việc sở hữu EV SSL sẽ giúp website TMĐT tránh việc bị giả mạo Phishing, từ đó bảo vệ người tiêu dùng tốt hơn.
7. Bảo mật nhiều tầng
Một số người cho rằng chỉ cần tường lửa là đủ chống lại các rủi ro bảo mật mạng cho thương mại điện tử. Đây là một quan niệm sai lầm. Trong thực tế, tin tặc vô cùng tinh vi và thông minh. Các nhà lãnh đạo, CTO, CISO cần thực hiện bảo mật với nhiều tầng khác nhau, từ các giải pháp endpoint tới các giải pháp đánh giá hệ thống mạng từ bên trong, kiểm thử khả năng xâm nhập – penetration testing, hay tổ chức các chương trình bug bounty để huy động nguồn lực cộng đồng – nâng cao bảo mật lên mức tối đa.
8. Plugin bảo mật dành cho TMĐT
Với các doanh nghiệp thương mại điện tử quy mô nhỏ, việc sử dụng các plugin bảo mật cho website sẽ giúp tiết kiệm chi phí hơn so với các giải pháp tốn kém khác. Một vài plugin bảo mật e-commerce phổ biến: iThemes Security, Succuri, Astra.
9. Sao lưu dữ liệu (Backup data)
Sao lưu dữ liệu là giải pháp đơn giản nhưng hiệu quả chống lại các cuộc tấn công hay các rủi ro bảo mật cho thương mại điện tử. Mỗi khi website gặp vấn đề mà không thể giải quyết được bằng các biện pháp ứng cứu thông thường, bạn có thể phục hồi lại bản sao lưu để tiếp tục phục vụ người dùng. Vấn đề khó khăn khi sao lưu dữ liệu là chọn giải pháp phù hợp với quy mô doanh nghiệp và dễ dàng scale up khi cần thiết. Dịch vụ backup của Amazon Web Service sẽ giải quyết được vấn đề này cho phần lớn doanh nghiệp. Bên cạnh đó, cũng cần thực hiện offline backup như một phương án dự phòng khi trường hợp xấu nhất xảy ra.
10. Cập nhật phần cứng và phần mềm
Luôn cập nhật phiên bản của các thành phần công nghệ như: Hệ điều hành máy trạm – máy chủ, Trình duyệt, phần mềm, phần cứng, NAS, nền tảng quản trị nội dung, website,… Việc này sẽ giúp bạn tránh được các cuộc tấn công mạng thông qua lỗ hổng của bên thứ 3.
11. Chọn nền tảng E-commerce uy tín
Những nền tảng thương mại điện tử uy tín sẽ quan tâm tới bảo mật nhiều hơn, họ thường tung ra các bản vá bảo mật kịp thời để khắc phục những lỗ hổng Zero-day, giúp bảo vệ website TMĐT của bạn. Các nền tảng TMĐT phổ biến bao gồm: Magento, WooCommerce, Shopify.
12. Nâng cao nhận thức bảo mật cho nhân viên
“Lỗ hổng công nghệ nguy hiểm nhất nằm ở yếu tố con người”.
Shark Phạm Thanh Hưng trong chương trình Shark Tank Việt Nam đã chỉ ra đúng rủi ro bảo mật lớn nhất trong công nghệ nói chung và bảo mật nói riêng, đó là con người. Kể cả khi doanh nghiệp E-commerce đã trang bị hệ thống phòng thủ kiên cố, chỉ một sai sót của một nhân viên trong quá trình vận hành cũng có thể khiến tin tặc xâm nhập được vào tổ chức và phá hoại. Đó là lý do việc tổ chức các lớp đào tạo ngắn hạn về bảo mật và kiến thức sử dụng internet là quan trọng trong việc tăng cường an ninh mạng cho tổ chức.
13. Theo dõi tình hình an ninh mạng toàn cầu và Việt Nam
Để tránh được những rủi ro bảo mật có thể xảy đến, bạn cần nắm bắt được tình hình – xu hướng an ninh mạng toàn cầu và trong khu vực. Việc này giúp các giám đốc kỹ thuật và team IT/Security chủ động hơn trong việc ứng phó khi có sự cố bảo mật xảy đến với website thương mại điện tử.
- Báo trong nước: securitydaily.net, ictnews.vn, cystack.net
- Báo quốc tế: GBhackers.com, securityweek.com, portswigger.com
14. Cảnh báo người dùng và đối tác
Đôi khi, rủi ro không đến trực tiếp mà đến gián tiếp từ khách hàng và đối tác của doanh nghiệp thương mại điện tử. Một công ty agency du lịch online (online travel agency – OTA) như VNtrip có tới hàng trăm nghìn user và hàng nghìn đối tác khách sạn. Đó là những kênh mà kẻ tấn công có thể lợi dụng để nhắm vào chính doanh nghiệp của bạn.
Vì thế, cần đảm bảo khách hàng và đối tác được cung cấp kiến thức bảo mật cơ bản để phòng tránh các rủi ro thường gặp. Ví dụ: Yêu cầu người dùng đặt mật khẩu bao gồm cả chữ viết thường – viết hoa, hỗn hợp chữ và số. Cảnh báo user và client về những xu hướng tấn công lừa đảo giả mạo mới nhất thông qua push notification.
15. Công bố chương trình Bug Bounty
Bug Bounty (trao thưởng tìm lỗi) là giải pháp hiệu quả giúp bảo mật TMĐT nâng lên một tầm cao mới. Chương trình Bug Bounty khuyến khích các hacker mũ trắng và chuyên gia bảo mật tìm kiếm những lỗ hổng trên website/app TMĐT và báo cho doanh nghiệp. Bằng việc khắc phục những lỗ hổng bảo mật này, doanh nghiệp có thể hạn chế tối đa khả năng website, mobile app bị hack.
>> WhiteHub Bug Bounty Vietnam là nền tảng hoàn thiện đầu tiên giúp doanh nghiệp triển khai Bug Bounty chuyên nghiệp tại Việt Nam.
Tạm kết
Việc tăng cường bảo mật là cần thiết với bất kỳ một doanh nghiệp hiện đại nào, không chỉ riêng e-commerce. Danh sách trên có thể chưa đầy đủ nhưng hy vọng đã cung cấp cho các CTO và trưởng nhóm bảo mật những lưu ý cần thiết khi triển khai bảo mật cho Thương mại điện tử. Việc không ngừng cập nhật xu hướng an toàn thông tin sẽ giúp công ty TMĐT tránh được các rủi ro bảo mật nguy hiểm có thể ảnh hưởng tới quá trình kinh doanh.