Khái Quát Về Vai Trò Của Bảo Hiểm Đối Với Quản Trị Rủi Ro Trong Thương Mại Điện Tử Của Doanh Nghiệp.


mai là, Bush đưa website này ra là để tăng thêm “phần thiết kế mới của sự sáng tạo” cho hoạt động tuyên truyền tranh cử của mình, nhưng website này đưa ra hai ngày đã bị Hacker “ Pha cửa xông vào”, khiến cho mọi người vô cùng xấu hổ. Nữ phát ngôn viên của Bush Mindy Tucker cho biết: “ Chúng tôi đã áp dụng các biện pháp để vá các lỗ hổng an ninh và còn dùng các biện pháp khác để đảm bảo hơn nữa an toàn cho website này”. Tucker nói, xét từ góc độ vận động tranh cử, yêu cầu của website này đối với việc đảm bảo an ninh máy tính là rất cao, các thao tác vi tính nhạy cảm hơn hệ thống thư điện tử và những ghi chép đóng góp ủng hộ đều được hoàn thành bởi các máy móc khác nên tin rằng sẽ không có vấn đề gì. Tucker giới thiệu, những trang trên website đã bị thay thế sẽ có thể hồi phục lại nhờ hệ thống dự bị chỉ trong thời gian 5 phút. Phần mềm website này sử dụng là phần mềm IIS của Microsoft, các bài báo trong một năm qua đã nhiều lần nhắc đến vấn đề an ninh của phần mềm này. Microsoft cũng lần lượt tuyên bố sẽ có những bổ sung đối với từng sự kiện, nhưng có thể may mắn tránh khỏi sự kiện này còn phải xem người quản lý hệ thống có lắp được xong phần mềm hay không.

Bên cạnh đó, nhóm hacker chính trị cũng bao gồm khủng bố mạng, những kẻ luôn gây ra các đợt tấn công có quy mô lớn phục vụ mục đích chính trị của chúng. Những cuộc phá hoại này có thể chống lại các tổ chức tư nhân hoặc chính phủ. Gần đây nhất là hai đợt tấn công từ chối dịch vụ-Dos quy mô đã nhằm vào trang Web của Hiệp hôi công nghiệp ghi âm Mỹ. Tuy nhiên, đôi khi các cuộc chiến giữa các nhóm hacker chính trị có quan điểm khác nhau diễn ra hết sức quyết liệt. Các cuộc chiến ảo này thường diễn ra cùng với các cuộc chiến thực sự. Tiêu biểu là cuộc chiến giữa các hacker ủng hộ Trung Quốc với các hacker ủng hộ Mỹ diễn ra trong thời kì khủng hoảng ngoại giao giữa hai nước sau sự kiện một máy bay do thám của Mỹ đã xâm phạm vùng trời Trung Quốc và va chạm làm rơi một chiếc máy bay


chiến đấu của nước này. Hay mới đây nhất là cuộc chiến giữa các hacker ủng hộ và phản đối cuộc chiến của Mỹ trên đất Irắc cũng đã diễn ra hết sức quyết liệt. Những cuộc chiến kiểu này thường làm thiệt hại cho các website của cả hai bên, gây ra nghẽn mạch, thậm chí còn tê liệt hàng loạt mạng máy tính.

Bây giờ hacker còn có thể là chính những kẻ trong cuộc, mặc dù số lượng có ít hơn nhiều so với hacker thường dân, lại có mối đe doạ lớn hơn với các tập đoàn. Nhân viên công ty và các đối tác thứ ba (như nhà tư vấn hay hãng cung cấp) có thể gây thiệt hại lớn cho hệ thống của các tổ chức. Những cuộc tấn công nội bộ cũng có thể bắt nguồn từ sự tò mò, các nhân viên muốn biết đồng nghiệp của mình kiếm được bao nhiêu, đồng thời họ có thể ăn căp số thẻ tín dụng và bí mật kinh doanh.

Tuy nhiên, loại hacker đáng chú ý nhất chính là nhóm hacker là tội phạm có tổ chức hay còn gọi là tội phạm công nghệ cao. Những thiệt hại do bọn chúng ra là rất lớn và có mức độ cao. Các chuyên gia tin rằng tội phạm sử dụng Internet sẽ gia tăng nhanh chóng trong tương lai. Tiêu biểu là vào tháng 5 năm 2003 một số hacker Nga đã khai thác lỗ hổng trên các website doanh nghiệp tại Mỹ, ăn cắp dữ liệu và số thẻ tín dụng14. Sau đó,

chính những hacker này gửi e-mail thông báo cho nạn nhân về những điểm yếu trong hệ thống của họ và hứa sẽ trả lại dữ liệu đồng thời gợi ý giúp khắc phục những lỗ hổng đó với một mức giá cụ thể. Các cơ quan an ninh Mỹ đã bắt giữ 130 người liên quan. Cuộc tấn công này đã kéo dài năm tháng từ trước khi nhóm hacker này đưa ra thông báo, gây thiệt hại ước tính khoảng 176 triệu USD của 89000 doanh nghiệp và người tiêu dùng. Qua vụ việc này, một điều chúng ta cần nhận thấy là các thông tin về thẻ tín dụng ăn cắp


14 Theo theo http://Vnepress.net/hackervirus

Có thể bạn quan tâm!

Xem toàn bộ 121 trang tài liệu này.


giờ được bọn hacker sử dụng để làm một thứ “con tin” đe doạ doanh nghiệp. Bản chất của loại hacker này đã gần biến thành những loại tội phạm bảo kê trên mạng Internet. Hai năm trước, một số vụ tấn công bắt đầu hướng vào một vài điạ chỉ bán sách trực tuyến. Kể từ đó, những hình thức lừa đảo và tấn công của bọn tội phạm Internet đã gia tăng và biến đổi một cách nhanh chóng và phức tạp. Những vụ tương tự như trên đang diễn ra ở hầu hết các nước Châu Âu mà thủ phạm là các tin tặc khu vực Đông Âu trong đó có Nga. Thủ đoạn của bọn chúng là xâm nhập qua mạng máy tính đánh cắp thông tin mật hoặc đe doạ tiến hành tấn công từ chối dịch vụ Dos vào các website của doanh nghiệp để bắt họ nộp tiền để được bảo vệ. Những hoạt động này đã gây thiệt hại hàng triệu USD cho nhiều công ty bán lẻ và các hãng dịch vụ thanh toán trực tuyến. Để thực hiện các cuộc tấn công như vậy, tội phạm thường sử dụng một mạng lưới gồm nhiều máy đã bị không chế (hiện nay đã xuất hiện khái niệm “zombie” để chỉ những máy tính bị hacker cấy virus và khống chế từ xa. Tên “zombie” xuất xứ từ Châu Phi, dùng để chỉ những xác chết sống lại trong các hoạt động tôn giáo thần bí). Những máy tính bị nhiễm Trojan có thể bị kiểm soát từ xa để tìm mục tiêu mới hoặc tạo ra nhiều lưu thông giả trên mạng, tuỳ theo mục đích của kẻ tấn công, nhờ đó chúng có thể đánh lạc hướng hoặc “nhấn chìm” những yêu cầu thực.

bảo hiểm rủi ro trong thương mại điện tử - 10

Những thủ đoạn của các hacker luôn được cập nhật và biến đổi theo những đợt nâng cấp của an ninh mạng. Tuy nhiên, điều đáng lưu ý là vòng đời của lỗ hổng phần mềm thường tuân theo một chu trình nhất định. Đầu tiên, một hacker phát hiện ra sơ hở trong mã phần mềm. Nếu có trách nhiệm, người đó sẽ thông báo cho nhà cung cấp và hãng này thông báo lại tới người dùng cùng với việc phát hành miếng vá. Ngay sau đó, những kẻ khác sẽ viết ra chương trình khai thác lỗ hổng này. Cuối cùng, virus và


worm sẽ được tạo ra để phân tán mã sơ hở đó và một hacker vụng về cũng

có thể tận dụng chúng để gây ra tai hoạ trên diện rộng.

Do vậy, doanh nghiệp cần phải hiểu được bản chất của hacker và những động lực phá hoại để đi trước chúng một bước bằng cách có biện pháp ngăn chặn đề phòng hoặc mua bảo hiểm cho những rủi ro có thể xảy ra từ những động cơ đó.


CHƯƠNG III. BẢO HIỂM RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ

Thương mại điện tử ngày càng có vai trò quan trọng và là một xu thế phát triển tất yếu của nền kinh tế toàn cầu. Doanh nghiệp nào muốn tồn tại và phát triển lâu dài thì tất yếu phải tham gia vào Thương mại điện tử ở những mức độ khác nhau. Tuy nhiên, để có thể tận dụng và phát huy những ưu điểm của Thương mại điện tử một cách tối đa và bền vững thì doanh nghiệp không thể nhận thức một cách đầy đủ về các rủi ro trong Thương mại điện tử và có được những biện pháp phòng ngừa, hạn chế rủi ro trong Thương mại điện tử và cả những thiệt hại mà chúng có thể gây ra. Tuy nhiện, những rủi ro trong Thương mại điện tử lại luôn biến đổi một cách khó lường cùng với sự phát triển như vũ bão của Công nghệ thông tin. Ngay cả những chuyên gia an ninh mạng cũng không thể lường trước được hết những rủi ro do các loại tội phạm tin học gây ra ( đó là còn chưa kể tới các loại rủi


ro có tính truyền thống như thiên tai, tai nạn bất ngờ…) và những thiệt hại có thể có. Chánh thanh tra Mick Deats của Trung tâm phòng chống tội phạm công nghệ cao của Anh (NHTCU) cho rằng “Những thủ đoạn và động cơ của tội phạm tin học luôn thay đổi khó lường và khó có thể nhận biết được kịp thời”. Tính chất nguy hiểm khó lường của tội phạm công nghệ cao và những thiệt hại khó dự đoán của tất cả các loại rủi ro đã làm cho rủi ro trong Thương mại điện tử trở thành những loại rủi ro đặc thù với những đặc trưng riêng. Do vậy, các doanh nghiệp cần có biện pháp hữu hiệu nhất, toàn diện nhất để vừa có thể phòng ngừa tốt, vừa hạn chế được tốt nhất những tổn thất cũng như khắc phục những hậu qua khi rủi ro đã xảy ra. Biện pháp đó chỉ có thể là tham gia vào một loại hình bảo hiểm đặc thù: Bảo hiểm rủi ro trong Thương mại điện tử.

Từ trước đến nay, các biện pháp ngăn ngừa rủi ro đều cho thấy rằng việc loại bỏ hoàn toàn rủi ro là điều không thể làm được và thay vào đó biện pháp mua Bảo hiểm-biện pháp tập trung vào hạn chế những hậu quả tiêu cực về tài chính là biện pháp tối ưu. Ngày nay, những mô hình sơ khai của công tác đảm bảo an ninh máy tính mà chỉ tập trung vào việc loại trừ rủi ro đã không còn thích hợp nữa khi mà sự phát triển của mạng Internet toàn cầu ngày càng mạnh mẽ và phức tạp. Không một biện pháp an ninh mạng theo mô hình đó, dù có được đầu tư rất nhiều chi phí và thời gian, có thể tạo ra một hệ thống an ninh mạng hoàn hảo được. Tuy nhiên, chỉ riêng biện pháp mua Bảo hiểm cho hệ thống máy tính cũng không thể là một biện pháp hạn chế rủi ro hiệu quả nhất. Theo quan điểm về an ninh mạng hiện đại, doanh nghiệp phải phối hợp cả hai biện pháp để có thể ngăn ngừa và kiểm soát rủi ro ở trình độ cao nhất. Do vậy, ngày nay mô hình quản lí rủi ro tối ưu luôn bao gồm một chương trình nhận thức, hạn chế và chuyển nhượng rủi


ro thông qua việc sử dụng phối hợp cả công nghệ, các quá trình và biện pháp

mua Bảo hiểm.


I.Khái quát về vai trò của Bảo hiểm đối với quản trị rủi ro trong Thương mại điện tử của doanh nghiệp.

Công tác quản trị rủi ro trong Thương mại điện tử bắt đầu từ việc nhận thức những nhân tố rủi ro mà doanh nghiệp có thể gặp phải. Việc đánh giá rủi ro cho phép các nhân viên an ninh mạng xây dựng các hệ thống kiểm soát an ninh hợp lý và phối hợp các biện pháp cần thiết khác; đồng thời công đoạn đánh giá rủi ro này cũng cần thiết cho các công ty bảo hiểm nhằm phác thảo và định giá một cách hợp lý các đơn bảo hiểm.

Việc đánh giá tổng thể rủi ro không chỉ nhằm tới các rủi ro có thể nhận biết được của một hệ thống mà còn phải quan tâm tới những rủi ro có khả năng bùng phát trong tương lai. Tính hoàn thiện của công tác quản trị và đánh giá rủi ro là một nhân tố quyết định cho bất kì một hệ thống máy tính an toàn nào.

Sau khi hoàn thành việc đánh giá và hạn chế rủi ro, doanh nghiệp cần mua Bảo hiểm của một công ty Bảo hiểm có khả năng tài chính mạnh và uy tín trên toàn cầu.

1. Thế nào là công tác quản trị rủi ro trong Thương mại điện tử ?

Công tác quản trị rủi ro trong Thương mại điện tử bao gồm một chu trình liên tục với việc đánh giá rủi ro (Assessment), hạn chế rủi ro (Mitigation), mua Bảo hiểm cho rủi ro (Insurance), giám sát rủi ro (Detection) và khắc phục những hậu quả của rủi ro (Remediation). Xem hình minh hoạ

2. Các bộ phận cấu thành nên công tác quản trị rủi ro Thương mại điện

tử


2.1 Đánh giá mức độ rủi ro

Đánh giá mức độ rủi ro có nghĩa là tiến hành những đánh giá toàn diện về mức độ an toàn của hệ thống máy tính của một doanh nghiệp. Quá trình này bao gồm từ việc đánh giá mức độ rủi ro có tính vật lý (physical) cho đến xác định những lỗ hổng hay những điểm yếu dễ bị tấn công (vulnerabilities) của hệ thống mạng máy tính. Quá trình đánh giá phải bao gồm những đợt kiểm tra nguy cơ bị thâm nhập của hệ thống và phỏng vấn các nhân viên quản trị công nghệ thông tin và an ninh mạng của doanh nghiệp. Doanh nghiệp cũng cần lựa chọn một tiêu chuẩn cho quá trình đánh giá rủi ro như ISO17799, INFOSEC...Tuy nhiên, dù có sử dụng một tiêu chuẩn nào thì quá trình đánh giá mức độ rủi ro cũng phải đánh giá có tình định lượng về tình hình nhân sự, phương thức, công nghệ và quản lý tài chính. Sau đó, bản báo cáo đánh giá hoàn thiện sẽ được sử dụng để xác định loại công nghệ và phương thức để hạn chế những rủi ro mà đã phát hiện trong quá trình đánh giá mức độ rủi ro. Các biện pháp này phải được tiến hành định kì nhằm xác định những lỗ hổng mới và nhằm phát triển cơ sở phân tích tương lai để tạo ra sự vững chắc và tính khách quan.

2.2 Giảm thiểu rủi ro

Giảm thiểu hay hạn chế rủi ro là hàng loạt các hành động của doanh nghiệp nhằm giảm mức độ rủi ro, giảm thiểu nguy cơ xảy ra những vụ đột nhập trái phép hay hạn chế tác động của bất kì vụ vi phạm trái phép nào. Quá trình này bao gồm việc đề ra và thực hiện các quy định đảm bảo an toàn cao. Các quy định về an toàn sẽ đề ra các thủ tục buộc mọi người phải tuân theo nhằm đảm bảo an toàn cho hệ thống máy tính của doanh nghiệp. Quá trình hạn chế rủi ro còn phải lực chọn và sử dụng một cách hợp lý các công nghệ nhằm xác định các nguy cơ mà doanh nghiệp phải đối mặt, và tiến hành việc hạn chế rủi ro tài chính và quá trình chuyển khoản thanh toán.


2.3 Bảo hiểm rủi ro

Bảo hiểm là một phương pháp cơ bản chuyển nhượng rủi ro cho phép các doanh nghiệp được an toàn về mặt tài chính khi xảy ra tổn thất. Một chương trình Bảo hiểm có chất lượng có thể giúp doanh nghiệp nhận được những chương trình ngăn ngừa tổn thất và phân tích rủi ro với sự giúp đỡ từ chính công ty cung cấp Bảo hiểm. Trước tiên, doanh nghiệp phải xác định những tác động của những tổn thất có khả năng xảy ra để có thể lựa chọn một hợp đồng Bảo hiểm phù hợp với những yêu cầu cụ thể của doanh nghiệp. Biện pháp bảo hiểm sẽ bổ sung cho những giải pháp kĩ thuật và các thủ tục an toàn của doanh nghiệp. Một bước tối quan trọng là lựa chọn một công ty bảo hiểm chuyên nghiệp trong lĩnh vực bảo mật thông tin, khả năng tài chính hùng mạnh và uy tín trên toàn cầu.

2.4 Giám sát rủi ro

Giám sát rủi ro nhằm phát hiện ra bất kì một biểu hiện bất thường nào. Thường thì công việc giám sát này được tiến hành thông qua một hệ thống bao gồm việc giám sát xâm nhập trái phép nhằm xác định và ngăn chặn bất kì sự xâm nhập trái phép nào. Thêm vào đó, các giải pháp chống virus cho phép doanh nghiệp phát hiện ra những virus hay sâu máy tính mới ngay khi chúng xuất hiện. Việc giám sát bao gồm cả việc phân tích những nhật kí nhằm phát hiện ra những sự kiện bị bỏ qua trong quá khứ. Trong công việc giám sát, doanh nghiệp còn phải thành lập một đội phản ứng nhanh để đối phó với mỗi sự kiện bất thường xảy ra.

2.5 Khắc phục

Khắc phục lỗ hổng là một phản ứng chiến lược trước những lỗ hổng mà qua quá trình đánh giá rủi ro đã phát hiện ra. Quá trình này liên quan đến việc hiểu rõ báo cáo mà công tác đánh giá cung cấp và giành ưu tiên cho những lỗ hổng an ninh cần được chú ý khắc phục ngay. Những

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 29/06/2023