trình bày các nguy cơ cách phòng chống và khắc phục sự cố đối với hệ thống thanh toán trực tuyến

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (407.46 KB, 39 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b> TRƯỜNG ĐẠI HỌC THƯƠNG MẠI</b>

<b> KHOA HỆ THỐNG THÔNG TIN KINH TẾ & TMĐT</b>

<b> BÀI THẢO LUẬN</b>

<b> AN TỒN VÀ BẢO MẬT THƠNG TIN</b>

<i><b>Đề tài: “Trình bày các nguy cơ, cách phòng chống và khắc phục sự cố đối với hệ thống thanh toán trực tuyến”</b></i>

<b>Hà Nội, Tháng 4/2023</b>

<i>Giảng viên hướng dẫn:Trần Thị Nhung</i>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>DANH SÁCH THÀNH VIÊN </b>

2 20D140244 Nguyễn Thị Ánh Làm chương 2 mục 13 20D140245 Trần Ngọc Bích Làm chương 2 mục 24 20D140247 Lê Quỳnh Chi Làm chương 1 + Word5 20D140246 Nguyễn Kim Cúc Làm chương 2 mục 3

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

MỤC LỤC

LỜI MỞ ĐẦU...4

CHƯƠNG 1 CƠ SỞ LÝ THUYẾT...5

<i>1.1. Các thuật ngữ liên quan...5</i>

<b>1.1.2.Hệ thống thanh toán trực tuyến...5</b>

<b>1.2.1.Các nguy cơ ngẫu nhiên...6</b>

<i>1.3. Tầm quan trọng của nhận dạng các nguy cơ...8</i>

2.1. Các nguy cơ đối với hệ thống thanh toán trực tuyến...13

<i><b>2.1.1.Nguy cơ ngẫu nhiên...13</b></i>

2.2. Cách phịng chống đối với hệ thống thanh toán trực tuyến...25

<i><b>2.2.1.Nguy cơ ngẫu nhiên...25</b></i>

2.3. Cách khắc phục đối với hệ thống thanh toán trực tuyến...29

<i><b>2.3.1.Nguy cơ ngẫu nhiên...29</b></i>

KẾT LUẬN ………39

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>LỜI MỞ ĐẦU</b>

Trong thời đại số hóa ngày càng phát triển, các giao dịch thanh toán trực tuyến ngàycàng trở nên phổ biến và quan trọng hơn bao giờ hết. Khi các giao dịch thanh toán trựctuyến trở nên phổ biến hơn, cũng như là một phần của cuộc sống hàng ngày của chúng ta,việc bảo vệ an ninh và bảo mật cho các hệ thống thanh toán trực tuyến càng trở nên cấpbách hơn bao giờ hết. Tuy nhiên, các nguy cơ an ninh mạng cũng ngày càng phức tạp vàtinh vi hơn. Những kẻ tấn công sẽ ln tìm cách khai thác những lỗ hổng an ninh để truycập vào thông tin nhạy cảm của người dùng, ví dụ như tài khoản ngân hàng, thơng tin thẻtín dụng và các thơng tin cá nhân khác…

Do đó, việc hiểu rõ các nguy cơ thường gặp trong việc sử dụng các hệ thống thanhtoán trực tuyến, cũng như cách phịng chống và khắc phục những sự cố có thể xảy ra là rấtquan trọng. Do đó, nhóm đã chọn đề tài này để đưa ra được những cái nhìn tổng quan vềcác nguy cơ thường gặp và các biện pháp bảo vệ để ngăn chặn các cuộc tấn công, cũngnhư cách giải quyết những sự cố nếu chúng xảy ra. Khi sử dụng các hệ thống thanh toántrực tuyến.

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>CHƯƠNG 1 CƠ SỞ LÝ THUYẾT</b>

<i><b>1.1. Các thuật ngữ liên quan</b></i>

Nguy cơ là một tình huống, một hành động, một nguồn có thể gây ra tổn hại đối vớicon người, tài nguyên của hệ thống. Các thuật ngữ "Mối nguy" và "rủi ro" thường được sửdụng thay thế cho nhau. Tuy nhiên, về mặt đánh giá rủi ro, chúng là hai thuật ngữ rất khácbiệt. Một nguy cơ là bất kỳ tác nhân nào có thể gây tổn hại sức khỏe và tính mạng cho conngười, hay gây thiệt hại về tài sản hoặc môi trường. Rủi ro được định nghĩa là xác suất màviệc tiếp xúc với một mối nguy sẽ dẫn đến một hậu quả tiêu cực, hay đơn giản hơn, mộtmối nguy khơng có rủi ro nếu khơng có sự phơi nhiễm với mối nguy đó.

Các tổ chức phải xác định được tất cả các nguy cơ, lên kế hoạch, triển khai giải pháphiệu quả để ngăn chặn:

- Nguy cơ về khía cạnh vật lý

- Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin- Nguy cơ tấn công bằng phần mềm độc hại

- Nguy cơ xâm nhập từ lỗ hổng

- Nguy cơ tấn công bằng cách phá mật khẩu- Nguy cơ mất an tồn thơng tin do sử dụng email

- Nguy cơ mất an tồn thơng tin trong q trình truyền tin

<b>1.1.2. Hệ thống thanh tốn trực tuyến</b>

Thanh tốn trực tuyến hay cịn gọi là thanh toán điện tử là dịch vụ thanh toán đượcthực hiện trên các thiết bị điện tử như máy tính, điện thoại thơng minh có kết nối internet.Khi đó, với một số tiền có sẵn trong tài khoản, bạn có thể dễ dàng gửi tới người nhận trêncác ứng dụng/nền tảng kỹ thuật số, mà không cần sử dụng tiền mặt. Thanh tốn trực tuyếnhiện đang là một mơ hình giao dịch phổ biến trên khắp các quốc gia.

Một hệ thống thanh tốn trực tuyến thơng thường bao gồm các thành phần sau: Ngân hàng: Là nhà cung cấp dịch vụ thanh toán trực tuyến và phụ trách việc xử

lý các giao dịch.

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

 Người dùng: Là những người sử dụng dịch vụ thanh toán trực tuyến để mua sắmhoặc thanh toán các dịch vụ.

 Thương nhân: Là những người cung cấp sản phẩm hoặc dịch vụ và chấp nhậnthanh toán trực tuyến.

 Cổng thanh toán: Là nơi mà người dùng thực hiện thanh toán trực tuyến. Cổngthanh toán sẽ kết nối với các cổng thanh toán của ngân hàng để xử lý các giaodịch thanh toán.

Hệ thống thanh tốn trực tuyến cung cấp nhiều lợi ích cho người dùng, bao gồm tínhtiện lợi, tốc độ và khả năng truy cập. Các giao dịch thanh toán trực tuyến cũng thườngđược xử lý nhanh chóng và đáng tin cậy

Các hệ thống thanh toán trực tuyến thường bao gồm nhiều phương thức thanh toánkhác nhau, bao gồm các phương thức thanh toán trực tiếp và gián tiếp. Một số phươngthức thanh toán trực tiếp bao gồm chuyển khoản trực tuyến và thẻ tín dụng, trong khi đó,các phương thức thanh tốn gián tiếp bao gồm ví điện tử và thẻ tiền điện tử.

<b>1.2.1. Các nguy cơ ngẫu nhiên</b>

Các nguy cơ ngẫu nhiên là các rủi ro khơng thể được dự đốn hoặc kiểm sốt hồntồn. Chúng bao gồm các sự kiện tự nhiên, sự cố kỹ thuật, hoặc các lỗi do con người gâyra khơng cố ý.Các nguy cơ ngẫu nhiên có thể gây ra các hậu quả nghiêm trọng cho các tổchức và cá nhân, chẳng hạn như mất dữ liệu, thiệt hại về tài sản, hoặc tổn thất về uy tín.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

 Sai sót trong quản lý rủi ro: Khơng có kế hoạch quản lý rủi ro hoặc thiếu sự chúý và cẩn trọng trong quản lý rủi ro có thể dẫn đến các nguy cơ an tồn và bảomật thơng tin.

Các nguy cơ có chủ định (hay cịn gọi là "nguy cơ đe dọa") là những nguy cơ màmột hoặc một nhóm người có ý định gây hại cho một cá nhân, một tổ chức hoặc một cộngđồng nhất định. Những người này có thể là hacker, tin tặc, tội phạm mạng hoặc thậm chílà nhân viên bên trong của tổ chức.

Các nguy cơ có chủ định thường được hình thành bởi những kẻ có ý định gây hại vàđã nghiên cứu sâu về mục tiêu của họ. Họ sử dụng các kỹ thuật tấn công thông tin và cáclỗ hổng trong hệ thống để xâm nhập và đánh cắp thông tin hoặc gây hại cho mục tiêu.

- Nhiễm virus và malware: Thiết bị phần cứng có thể nhiễm virus và phầnmềm độc hại từ các tài liệu không rõ nguồn gốc hoặc từ các thiết bị khác.- Tấn công từ xa: Các tấn cơng viên có thể sử dụng các thiết bị phần cứng để

tấn công mạng hoặc thiết bị khác. Ví dụ, thiết bị IoT (Internet of Things)khơng được bảo mật có thể trở thành cửa sau cho các tấn công viên để tấncông vào hệ thống của bạn.

- Lỗi phần cứng: Thiết bị phần cứng có thể bị lỗi hoặc không được cài đặtđúng cách, dẫn đến việc các phần mềm hoặc hệ thống không hoạt động đúngcách hoặc hoạt động chậm.

 <b>Từ thiết bị phần mềm</b>

VD:

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

- Virus và phần mềm độc hại: Phần mềm độc hại có thể được cài đặt trên cácthiết bị phần mềm, và chúng có thể gây hại bằng cách đánh cắp dữ liệu, gâygián đoạn hoạt động của hệ thống, hoặc cho phép kẻ tấn công điều khiển từxa thiết bị của bạn.

- Lỗ hổng bảo mật: Thiết bị phần mềm có thể có các lỗ hổng bảo mật, cho phépcác kẻ tấn công truy cập vào hệ thống của bạn và lấy cắp thông tin quan trọnghoặc tấn công trực tiếp vào hệ thống.

- Phishing: Phần mềm lừa đảo có thể được cài đặt trên các thiết bị phần mềmđể lừa đảo người dùng cung cấp thông tin cá nhân và tài khoản của họ.

- Khai thác mạng xã hội: Các tấn cơng viên có thể sử dụng phần mềm để khaithác thông tin từ các mạng xã hội của bạn để tìm kiếm thơng tin quan trọnghoặc tấn công bạn trực tiếp.

 Nguy cơ từ con người (trong và ngoài tổ chức): Con người là yếu tố quan trọngtrong hệ thống an toàn và bảo mật thơng tin và cũng có thể gây ra nhiều nguy cơ.VD:

- Lỗi người dùng: Người dùng có thể sử dụng mật khẩu yếu hoặc chia sẻ thôngtin đăng nhập với người khác, khơng đóng cửa phiên làm việc hoặc để lạithông tin đăng nhập, dẫn đến lỗ hổng bảo mật và nguy cơ bị tấn cơng.

- Sai sót nhân viên: Nhân viên có thể vơ tình xóa hoặc thay đổi thơng tin quantrọng, hoặc phát tán thơng tin bí mật, gây thiệt hại cho tổ chức.

- Tấn công bên ngồi: Kẻ tấn cơng có thể xâm nhập vào tổ chức thông qua cáchoạt động xã hội, mạo danh hoặc đánh cắp thông tin đăng nhập của nhân viênđể truy cập vào hệ thống.

- Tấn công từ bên trong: Nhân viên gian lận, gián điệp hoặc tấn công từ bêntrong tổ chức, gây thiệt hại cho hệ thống an toàn và bảo mật.

<i><b>1.3. Tầm quan trọng của nhận dạng các nguy cơ</b></i>

Nhận dạng nguy cơ là quá trình xác định, nhận diện sự tồn tại của nguy cơ và cácđặc tính của nó. Đây là hoạt động khởi đầu của quy trình đảm bảo an tồn và bảo mậtthơng tin, hoạt động khởi đầu của tiến trình quản trị rủi ro cho thông tin trong hệ thống

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

thơng tin. Do đó, hoạt động này có tầm quan trọng đặc biệt, là cơ sở, là tiền đề để có thểtriển khai có hiệu quả các bước tiếp theo trong quy trình đảm bảo an tồn và bảo mậtthơng tin. Làm tốt công tác nhận dạng nguy cơ giúp nhà quản trị có thể chủ động trongviệc ứng phó với các rủi ro, hiểm họa, là cơ sở để đảm bảo hiệu quả của hoạt động đảmbảo an toàn và bảo mật thông tin sẽ không thể được thực hiện hiệu quả nếu việc nhậndạng nguy cơ chưa được quan tâm đúng mức và tổ chức triển khai thực hiện một cáchkhoa học.

Nhận dạng các nguy cơ là một phần quan trọng trong q trình đảm bảo an tồn vàbảo mật thông tin. Việc nhận dạng và đánh giá các nguy cơ sẽ giúp cho các tổ chức và cánhân có thể nhận biết được các vấn đề bảo mật tiềm ẩn và đưa ra các biện pháp phù hợpđể bảo vệ hệ thống và thơng tin của mình. Nếu không nhận dạng được các nguy cơ, tổchức và cá nhân sẽ không thể đưa ra các biện pháp phòng ngừa, điều chỉnh hay khắc phụccác vấn đề bảo mật, dẫn đến việc hệ thống có thể bị xâm nhập, tấn cơng hoặc mất thơngtin. Ngồi ra, việc bị tấn công hoặc mất thông tin cũng sẽ gây tổn thất về tài sản và uy tíncủa tổ chức hoặc cá nhân đó.Do đó, việc nhận dạng các nguy cơ là rất quan trọng và cầnthiết trong quá trình đảm bảo an tồn và bảo mật thơng tin. Các tổ chức và cá nhân cần cócác biện pháp định kỳ để đánh giá các nguy cơ và đưa ra các biện pháp phòng ngừa, khắcphục hoặc điều chỉnh để đảm bảo an tồn và bảo mật thơng tin.

<b>1.4.1. Giới thiệu</b>

Một số quan điểm lại cho rằng phân tích rủi ro là việc xác định, đánh giá và xác địnhmức độ ưu tiên các rủi ro với mục đích tiết kiệm các nguồn lực cũng như để giảm thiểu,giám sát và kiểm soát khả năng hoặc tác động của các sự kiện khơng may hoặc để tối đahóa các cơ hội.

Đối với thông tin và hệ thống thông tin, theo tiếp cận phổ biến nhất, phân tích, đánhgiá các nguy cơ gây mất an tồn và bảo mật thơng tin được định nghĩa là quá trình nghiêncứu những nguy cơ, hiểm họa đe dọa an tồn và bảo mật thơng tin cũng như xác địnhnhững nguyên nhân, nguồn gốc của các nguy cơ, hiểm họa và phân tích, đo lường nhữngtổn thất mà các nguy cơ, hiểm họa gây ra.

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>1.4.2. Những vấn đề trong phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thơng tin</b>

Từ khái niệm về phân tích, đánh giá các nguy cơ gây mất an tồn và bảo mật thơngtin nêu trên, có thể thấy rất rõ rằng hoạt động phân tích, đánh giá các nguy cơ gây mất antồn và bảo mật thơng tin có 3 nội dung chính là: phân tích, đánh giá các nguy cơ, hiểmhọa; phân tích nguyên nhân gây ra và phân tích, đánh giá, đo lường những tổn thất do cácnguy cơ, hiểm họa gây ra.

Các nguy cơ, các mối đe dọa gọi chung là hiểm họa là biểu hiện của hàng loạt các sựcố có thể xảy ra gây thiệt hại cho hệ thống thơng tin, làm mất an tồn và bảo mật củathơng tin. Đó cũng có thể là một sự cố khơng chắc chắn nào đó. Phân tích, đánh giá cáchiểm họa cho an tồn và bảo mật thơng tin là q trình phân tích, đánh giá những điềukiện, những yếu tố tạo nên các hiểm họa hay nhng điều kiện, yếu tố làm gia tăng mức độtổn thất khi hiểm họa xảy ra.

Để có thể phân tích, đánh giá các điều kiện, các yếu tố tạo ra rủi ro cho hệ thốngthơng tin có thể sử dụng phương pháp điều tra bằng các mẫu điều tra khác nhau hoặcthông qua q trình kiểm sốt để phát hiện hiểm họa. Thông tin thu được từ điều tra là cơsở quan trọng để có thể hình dung, phán đốn, nhận dạng các nguy cơ, các mối đe dọa gâymất an toàn và bảo mật thơng tin để có những giải pháp ứng phó có hiệu quả.

Quy trình phân tích, đánh giá các nguy cơ, các mối đe dọa gây mất toàn và bảo mậtthông tin thường gồm các bước:

- Liệt kê tất cả các nguy cơ, các mối đe dọa đã biết,

- Thu thập các thông tin liên quan đến các nguy cơ, mối đe dọa đã được xác địnhnày,

- Xác định những hậu quả có thể xảy ra,

- Xây dựng các biện pháp có thể sử dụng đề phịng ngừa và giảm nhẹ ảnh hưởng củacác nguy cơ, các môi đe dọa,

- Tạo báo cáo phân tích, đánh giá

<i>1.4.2.2. Phân tích, đánh giá nguyên nhân của các nguy cơ, các mối đe dọa</i>

Các nguy cơ, các mối đe dọa gây mất an tồn và bảo mật thơng tin có ngun nhântừ 2 phía là con người và các phương tiện, cơng cụ kỹ thuật.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Có thể phân biệt ngun nhân từ phía con người thành 2 nhóm: nhóm người trongnội bộ tổ chức, doanh nghiệp và nhóm người ngoài tổ chức doanh nghiệp.

Với những người trong tổ chức, doanh nghiệp: các nguy cơ, các mối đe dọa bắtnguồn từ sự bất cẩn, chủ quan của con người trong q trình làm việc, vận hành hệ thốngthơng tin cho dù họ có hiểu biết, được đào tạo và nắm chắc các quy định, quy trình vậnhành. Nguyên nhân từ phía con người trong tổ chức cũng có thể do chưa am hiểu, thànhthạo về cáo nguyên lý sử dụng hệ thống thông tin, hoặc kỹ năng thực hành yếu. Cũng cónguyên nhân từ góc độ quản lý, điều hành của người lãnh đạo tổ chức, doanh nghiệp.

Các nguyên nhân chủ quan từ những người trong tổ chức bao gồm:

- Sai lầm của tổ chức, doanh nghiệp về chiến lược hoạt động; sai lầm trong lựa chọn,xác định chính sách, cơ chế quản lý, quy định, quy chế của tổ chức.

- Thiếu thông tin, hiểu biết về quân lý; thiếu kiến thức, kinh nghiệm trong triển khaihoạt động của hệ thống thông tin.

- Do sơ suất, bất cần, chủ quan, làm việc mất tập trung, không tuân thủ quy trình,quy định trong vận hành, sử dụng hệ thống thơng tin hoặc do thiếu tinh thần trách nhiệm,đạo đức, phẩm chất, sức khỏe, tinh thần khơng đảm bảo.

Nhóm người thứ hai ở ngồi tổ chức là những người cố tình dùng các thủ đoạn, pháthiện và lợi dụng những điểm yếu của hệ thống thơng tin để tấn cơng có thể để lấy cấpnhững thơng tin có giá trị, lừa đảo hoặc phá hoại hoạt động bình thường của hệ thốngthông tin của tổ chức, doanh nghiệp.

Các nguyên nhân liên quan đến các yếu tố kỹ thuật, công nghệ như: sự trục trặc kỹthuật của các thiết bị, các phương tiện, công cụ do thiếu sự kiểm tra, bảo dưỡng hoặc cũngcó thể do sai sót của nhà sản xuất. Nguyên nhân liên quan đến các yếu tố kỹ thuật cũngmột phần phụ thuộc vào yếu tố con người sử dụng, vận hành các phương tiện, cơng cụ,cơng nghệ. Chính vì vậy, trong thực tế, trong q trình phân tích, đánh giá nguyên nhâncủa các nguy cơ, các mối đe dọa an tồn và bảo mật thơng tin cần kết hợp phân tích cả 2nguyên nhân trên.

Các nguyên nhân của các nguy cơ, các mối đe dọa an toàn và bảo mật thơng tin cũngcó thể được phân tích, đánh giá theo tiêu chí khách quan và chủ quan. Các nguyên nhânđược coi là khách quan nếu nó độc lập với hoạt động của con người như các nguyên nhân

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

bất khả kháng gắn với thiên nhiên hoặc cũng có thể là nguyên nhân gắn liền với hoạt độngcủa con người những sự cố xảy ra không có sự tham gia của con người. Các nguyên nhânliên quan đến yếu tố con người, dưới sự tác động của con người được coi là nguyên nhânchủ quan. Chúng có thể do chính bản thân người trong hệ thống thơng tin và cũng có thểdo sự tấn cơng từ bên ngồi hệ thống thơng tin và thường là người ngồi tổ chức, doanhnghiệp (tin tặc).

<i>1.4.2.3. Phân tích, đo lường những tổn thất mà các nguy cơ, hiểm họa gây ra</i>

Tổn thất thông tin do các nguy cơ, hiểm họa gây ra là sự thiệt hại sinh ra từ các hiểmhọa nằm ngồi ý muốn, từ những tấn cơng của tin tặc mất an tồn và bảo mật thơng tincủa cá nhân, tổ chức, doanh nghiệp.

Việc phân tích, đánh giá, đo lường rủi ro trong hệ thống thông tin thường được thựchiện bằng cách phân tích cáo rủi ro và phân loại chúng để đưa ra các giải pháp phù hợpcho các loại rủi ro trong hệ thống thông tin, có nhiều cách thức để phân tích để đưa ra mộtcách phân loại phù hợp cho các rủi ro trong các hệ thống thông tin của doanh nghiệp. Cơbản để đánh giá một rủi ro trong hệ thống thông tin thường sử dụng công thức sau đây:

<b>X Chi phi do thiệt hại</b>

Trong đó mối đe dọa là những nguy cơ có thể xảy ra đối với loại tài sản đang xemxét. Lỗ hổng là một điểm yếu trong cơ sở hạ tầng của hệ thống thông tin dẫn đến khảnăng một mối đe dọa nào đó có thế xảy đến với hệ thống, như vậy, rủi ro là chi phí tổnthất của hệ thống khỉ mối đe dọa xảy ra.

Một hướng tiếp cận định lượng trong phân tích rủi ro của hệ thống thơng tin là tínhtốn xác suất khả năng xảy ra và chi phí thực tế mà mối đe dọa xảy ra, sử dụng cơng thứcALE (Annualized Loss Expectancy - Dự tính chi phí tổn thất hàng năm/kỳ vọng lỗ) dựatrên chi phí tổn thất từng lần nhân với xác suất xảy ra của mơi đe dọa đó hàng năm:

Trong đó: ALE (Annualized Loss Expectancy) là chỉ phỉ tổn thất hàng năm; SLE(Single Loss Expectancy) là chi phí tốn thất mỗi lần của mối đe dọa (kỳ vọng mất 1 lần)

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

và ARO (Annualized Rate of Occurrence) là tần suất xuất hiện của mối đe dọa trên mỗinăm (Tỷ lệ xuất hiện hàng năm).

Tuy nhiên cách tiếp cận này cũng có những mặt hạn chế nhự rất khó để xác địnhđược ARO đôi với các hệ thông mới hoạt động, hoặc các hệ thống khác nhau thì chi phívà tần suất xảy ra của mối đe dọa cũng khác nhau. Vì vậy, thơng thường các cơng thức đãđưa ra đánh giá rủi ro của hệ thống chỉ mang tính chất tương đối và còn phụ thuộc vàongữ cảnh của mỗi hệ thống thông tin.

<b>SỰ CỐ ĐỐI VỚI HỆ THỐNG THANH TOÁN TRỰC TUYẾN2.1. Các nguy cơ đối với hệ thống thanh toán trực tuyến</b>

<i><b>2.1.1. Nguy cơ ngẫu nhiên </b></i>

Các hệ thống thanh toán trực tuyến đã trở thành một phần không thể thiếu của cuộcsống hiện đại giúp chúng ta có thể thanh tốn mọi thứ từ sản phẩm trực tuyến cho đến cácdịch vụ ngân hàng. Tuy nhiên các hệ thống thanh toán ngày càng phát triển cũng gắn liềnvới các nguy cơ ảnh hưởng đến sự phát triển của hệ thống thanh tốn. Sẽ có những nguycơ ngẫu nhiên những nguy cơ mà nhà phát triển hệ thống khơng thể dự đốn trước đểphịng ngừa như:

 <b>Lũ lụt, hỏa hoạn, động đất và sóng thần: </b>

Đây là những nguy cơ thiên tai có thể ảnh hưởng rất lớn đến hệ thống thanh toántrực tuyến. Những sự kiện này có thể gây ra sự cố hệ thống và gián đoạn hoạt động củacác trang web thanh toán trực tuyến gây ra sự chậm trễ trong các giao dịch hoặc thậm chílàm mất dữ liệu quan trọng.

Đầu tiên, lũ lụt có thể ảnh hưởng đến an tồn và bảo mật thơng tin của hệ thốngthanh tốn trực tuyến nếu như trung tâm dữ liệu của các nhà cung cấp dịch vụ thanh tốntrực tuyến bị chìm trong nước hoặc bị phá hủy bởi lũ lụt. Khi đó, các giao dịch thanh tốntrực tuyến có thể khơng được xử lý hoặc xử lý chậm, dẫn đến sự cố trong việc thanh tốnvà có thể gây ra mất mát tài chính cho các đối tác thương mại. Hơn nữa, các trang webcủa các nhà cung cấp dịch vụ thanh toán trực tuyến có thể bị gián đoạn hoặc khơng thểtruy cập được khi mạng internet bị ảnh hưởng bởi lũ lụt. Điều này có thể gây ra khó khăn

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

trong việc thực hiện các giao dịch thanh toán trực tuyến và tạo ra sự phiền toái cho ngườidùng.

Tiếp theo, lũ lụt có thể làm hư hỏng các thành phần cơ bản của hệ thống như thiếtbị mạng, server hoặc dẫn đến mất điện. Nếu hệ thống khơng được đảm bảo an tồn vàchống chịu được các sự cố liên quan đến lũ lụt, thông tin thanh tốn có thể bị mất hoặc bịtiết lộ cho những kẻ tấn cơng. Bên cạnh đó, các thư viện và trung tâm dữ liệu quan trọngcó thể bị chìm trong nước do lũ lụt, dẫn đến mất mát dữ liệu quan trọng và hệ thống cầnphải được khôi phục lại từ đầu. Vì vậy, các doanh nghiệp cần đảm bảo rằng hệ thốngthanh toán trực tuyến của họ được đặt ở các khu vực an toàn và đảm bảo chống chịu đượccác tác động của thiên tai.

Hỏa hoạn là một trong những rủi ro khơng ngờ có thể ảnh hưởng đến an tồn vàbảo mật thơng tin của hệ thống thanh tốn trực tuyến. Nếu hệ thống thanh toán trực tuyếnđược lưu trữ trên máy chủ vật lý tại một trung tâm dữ liệu, một vụ cháy tại trung tâm dữliệu có thể làm hỏng hồn tồn hệ thống thanh tốn trực tuyến đó. Hơn nữa, các cuộn giấyin hóa đơn, chứng từ, tài liệu liên quan đến thanh tốn cũng có thể bị hư hỏng hoặc mấttrong trường hợp cháy lan ra tại các văn phịng của các tổ chức thanh tốn.

Hơn nữa, hỏa hoạn có thể ảnh hưởng nghiêm trọng đến an tồn và bảo mật thơngtin của hệ thống thanh toán trực tuyến. Nếu hệ thống thanh toán được lưu trữ trên các máychủ vật lý trong trung tâm dữ liệu, thì hỏa hoạn có thể gây thiệt hại đến các máy chủ vàphá hủy dữ liệu quan trọng. Nếu các dữ liệu liên quan đến giao dịch thanh toán bị mấthoặc bị phá hủy, khả năng để phục hồi chúng và đảm bảo tính tồn vẹn của dữ liệu có thểbị giảm. Khơng những thế nếu các hệ thống tài khoản ngân hàng hoặc cổng thanh tốntrực tuyến bị ảnh hưởng, khách hàng có thể khơng thể truy cập vào tài khoản của họ, hoặcthông tin cá nhân của họ có thể bị lộ ra. Do đó, để đảm bảo an tồn và bảo mật thơng tintrong trường hợp xảy ra hỏa hoạn, các doanh nghiệp cần triển khai các biện pháp bảo vệdữ liệu, đồng thời tăng cường khả năng phục hồi và sao lưu dữ liệu để đảm bảo tính tồnvẹn và sẵn sàng của dữ liệu khi cần thiết.

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

Động đất cũng có thể gây ra các hậu quả liên quan đến an toàn và bảo mật thơngtin của hệ thống thanh tốn trực tuyến. Ví dụ, động đất có thể làm hư hỏng các cơ sở hạtầng kỹ thuật, bao gồm các thiết bị mạng và máy chủ. Nếu các thiết bị này bị hỏng hoặc bịphá hủy, hệ thống thanh tốn trực tuyến có thể không hoạt động đúng cách hoặc bị giánđoạn.

Ngồi ra, động đất cũng có thể làm hỏng các hệ thống điện và viễn thông, làm giánđoạn kết nối và truyền tải dữ liệu giữa các máy chủ và các hệ thống thanh tốn khác nhau.Điều này có thể gây ra các lỗi và mất dữ liệu, ảnh hưởng đến tính bảo mật của các giaodịch thanh tốn.Ngồi các hậu quả đã liệt kê ở trên, động đất cịn có thể gây ra các vấn đềvề đường truyền internet và điện thoại di động, gây cản trở hoặc mất kết nối giữa các hệthống thanh toán và người dùng. Nếu cơ sở hạ tầng mạng không được xây dựng vữngchắc, nó có thể dễ dàng bị phá hủy trong trường hợp động đất mạnh. Điều này có thể dẫnđến mất mát dữ liệu và gián đoạn các giao dịch thanh toán trực tuyến, gây ra ảnh hưởngđáng kể đến người dùng và doanh nghiệp.

Có thể nói rằng trong các nguy cơ ngẫu nhiên vì thời tiết thì sóng thần là một trongnhững thiên tai có thể gây ra những ảnh hưởng nghiêm trọng đến hệ thống thanh tốn trựctuyến. Dưới đây là một số ảnh hưởng có thể xảy ra:

1. Mất kết nối mạng: Sóng thần có thể gây ra mất kết nối mạng do thiết bị mạng bịhư hỏng hoặc bị ngập nước. Việc mất kết nối mạng có thể làm gián đoạn qtrình thanh tốn, đặc biệt là khi các giao dịch đang được xử lý.

2. Thiệt hại vật chất: Sóng thần có thể gây ra thiệt hại vật chất đến các trung tâmdữ liệu, máy chủ hoặc các cơ sở hạ tầng mạng. Nếu các trung tâm dữ liệu bị hưhỏng hoặc mất điện, thơng tin thanh tốn có thể bị mất hoặc khơng thể truy cậpđược.

3. Mất dữ liệu: Nếu các trung tâm dữ liệu bị hư hỏng hoặc mất điện, thông tinthanh tốn có thể bị mất hoặc khơng thể truy cập được. Điều này có thể gây rarủi ro về an ninh thông tin, đặc biệt là khi thông tin thanh tốn chứa các thơngtin nhạy cảm như thơng tin tài khoản, thơng tin thẻ tín dụng,...

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

4. Trục trặc trong q trình xử lý giao dịch: Sóng thần có thể gây ra trục trặc trongq trình xử lý giao dịch do các máy chủ hoặc các thiết bị xử lý giao dịch bị hưhỏng hoặc mất điện. Việc này có thể dẫn đến việc giao dịch khơng được hoànthành hoặc được xử lý chậm.

5. Rủi ro bảo mật thông tin: Nếu hệ thống bảo mật của doanh nghiệp khơng đượcbảo vệ tốt, các tin tặc có thể tận dụng sự mất ổn định trong q trình sóng thầnđể tấn công hệ thống và lấy cắp thông tin thanh toán của khách hàng.

Bệnh dịch có thể ảnh hưởng đến an tồn và bảo mật thơng tin của hệ thống thanhtốn trực tuyến bởi vì nó có thể làm gián đoạn hoạt động của các cơng ty liên quan đếnthanh tốn trực tuyến. Ví dụ, nếu một cơng ty xử lý thanh tốn trực tuyến phải đóng cửahoặc giảm quy mơ hoạt động do bệnh dịch, hệ thống thanh toán trực tuyến sẽ bị ảnhhưởng đến từ đó. Ngồi ra, các nhân viên của các cơng ty liên quan đến thanh tốn trựctuyến có thể bị mắc bệnh và không thể làm việc, dẫn đến gián đoạn trong quá trình xử lýgiao dịch và bảo mật thơng tin. Bên cạnh đó, các hacker có thể tận dụng tình hình bệnhdịch để tấn cơng hệ thống thanh toán trực tuyến với các chiêu thức lừa đảo mới, như giảmạo thông tin liên quan đến bệnh dịch để lừa người dùng vào cung cấp thông tin cá nhânhoặc tài khoản ngân hàng.

 <b>Người dùng đánh mất thiết bị phần cứng, để lộ thông tin:</b>

Người dùng đánh mất các thiết bị phần cứng, chẳng hạn như máy tính, điện thoạidi động, USB hay thẻ nhớ, có thể gây ra những rủi ro về an tồn và bảo mật thơng tin đốivới hệ thống thanh toán trực tuyến như:

1. Rủi ro mất dữ liệu: Nếu thiết bị lưu trữ bị mất hoặc bị đánh cắp, các thơng tinthanh tốn và tài khoản ngân hàng của người dùng có thể bị rị rỉ hoặc mất mát.2. Rủi ro về việc truy cập trái phép: Nếu thiết bị lưu trữ của người dùng bị đánh

cắp hoặc lạc, thơng tin quan trọng có thể bị tiết lộ cho các bên thứ ba khôngđược ủy quyền.

3. Rủi ro liên quan đến mã độc và phần mềm độc hại: Thiết bị lưu trữ bị nhiễmvirus hoặc phần mềm độc hại có thể gây ra nhiều vấn đề an tồn và bảo mật,bao gồm đánh cắp thông tin và tiền tệ của người dùng.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

4. Rủi ro về việc sử dụng khơng đúng mục đích: Nếu thiết bị lưu trữ bị lạc hoặc bịđánh cắp và sau đó được sử dụng bởi một người khác, người dùng có thể gặpphải những rủi ro không mong muốn, bao gồm bị cáo buộc vi phạm quy địnhvề an toàn và bảo mật thông tin.

5. Tiền bị đánh cắp: Kẻ xấu có thể sử dụng thơng tin đăng nhập của người dùngđể truy cập vào tài khoản thanh toán của họ và thực hiện các giao dịch khôngđúng ý của người dùng.

6. Tài khoản bị xâm nhập: Kẻ xấu có thể sử dụng thông tin đăng nhập của ngườidùng để truy cập vào tài khoản thanh toán của họ và thay đổi thông tin cá nhân,mật khẩu và thông tin tài khoản khác.

7. Lộ thơng tin cá nhân: Người dùng có thể bị lộ thông tin cá nhân như địa chỉ, sốđiện thoại, số CMND, số thẻ tín dụng và thơng tin khác khi thiết bị phần cứngcủa họ bị đánh cắp hoặc bị mất.

8. Mất uy tín: Nếu một người dùng làm lộ thông tin cá nhân hoặc bị đánh cắp tàikhoản thanh tốn, họ có thể bị mất uy tín và tin tưởng của khách hàng và đốitác kinh doanh.

9. Bị lừa đảo: Kẻ xấu có thể sử dụng thông tin cá nhân của người dùng để thựchiện các hình thức lừa đảo khác nhau, gây thiệt hại cho người dùng.

10. Rủi ro pháp lý: Nếu thông tin cá nhân hoặc thơng tin thanh tốn của người dùngbị đánh cắp và lộ ra ngồi, hệ thống thanh tốn trực tuyến có thể phải chịu tráchnhiệm pháp lý đối với việc bảo vệ thông tin của khách hàng. Nếu họ không tuânthủ được các quy định bảo vệ thông tin cá nhân, họ có thể phải chịu mức phạtlớn từ cơ quan chức năng hoặc bị kiện tụng bởi khách hàng bị ảnh hưởng.11. Thiếu hụt về thông tin: Nếu người dùng đánh mất thiết bị lưu trữ thông tin

thanh tốn, thơng tin này có thể bị mất hoặc khơng thể truy cập được. Điều nàycó thể dẫn đến sự thiếu hụt về thơng tin và gây ra phiền tối cho khách hàng khicần truy cập thơng tin thanh tốn của mình.

 <b>Hỏng hóc thiết bị:</b>

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

Hỏng hóc dữ liệu là một trong những nguy cơ ngẫu nhiên có thể xảy ra trong hệthống thanh tốn trực tuyến và có thể gây ảnh hưởng đến an tồn và bảo mật thông tin.Một số hậu quả của hỏng hóc dữ liệu có thể bao gồm:

1. Mất dữ liệu: Một lỗi phần cứng hoặc phần mềm có thể dẫn đến mất dữ liệu, gâyảnh hưởng đến hoạt động của hệ thống thanh toán và tiềm tàng gây thiệt hại chocác bên liên quan.

2. Dữ liệu bị thay đổi hoặc mất tích: Nếu dữ liệu bị hỏng hoặc bị thay đổi khơngđúng cách, thơng tin quan trọng có thể bị mất hoặc bị thay đổi, gây ảnh hưởngđến tính tồn vẹn và độ chính xác của thơng tin thanh tốn.

3. Không thể truy cập dữ liệu: Nếu hệ thống thanh tốn trực tuyến bị hỏng hoặc bịlỗi, dữ liệu có thể không thể truy cập được, dẫn đến các giao dịch không thànhcông hoặc chậm trễ.

4. Thiếu ổn định: Hỏng hóc dữ liệu có thể làm gián đoạn hoạt động của hệ thốngthanh toán trực tuyến, dẫn đến sự thiếu ổn định và khả năng sử dụng của ngườidùng và các bên liên quan.

5. Nhiễm virus và phần mềm độc hại: Thiết bị hỏng hóc có thể trở thành mục tiêucho các hacker và phần mềm độc hại. Những phần mềm độc hại này có thể lâylan sang các thiết bị khác và gây ra thiệt hại cho hệ thống thanh toán trực tuyến.6. Gián đoạn hoạt động: Nếu thiết bị khơng hoạt động như mong đợi, nó có thểgây ra gián đoạn hoạt động trong hệ thống thanh toán trực tuyến. Điều này cóthể dẫn đến việc các giao dịch không thể được xử lý đúng cách, gây ra thiệt hạicho các bên liên quan.

7. Phát hiện lỗ hổng bảo mật: Khi một thiết bị hỏng hóc, nó có thể dẫn đến việcphát hiện các lỗ hổng bảo mật trong hệ thống. Điều này cung cấp cho cáchacker và tin tặc cơ hội để tấn công hệ thống và đánh cắp thông tin.

8. Nâng cao nguy cơ tấn công: Nếu thiết bị không được sửa chữa hoặc thay thếkịp thời, nó có thể trở thành điểm yếu cho các tấn cơng mạng. Hacker có thểkhai thác các lỗ hổng bảo mật trên thiết bị hỏng để truy cập vào hệ thống thanhtốn trực tuyến và lấy cắp thơng tin người dùng.

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

9. Giảm hiệu suất: Nếu thiết bị hỏng hóc, nó có thể ảnh hưởng đến hiệu suất củahệ thống thanh toán trực tuyến, làm cho các giao dịch chậm hơn hoặc khônghoạt động. Điều này có thể dẫn đến mất cơ hội kinh doanh và mất độ tin cậy từphía khách hàng.

10. Chi phí sửa chữa hoặc thay thế: Nếu thiết bị bị hỏng hóc, chi phí để sửa chữahoặc thay thế nó có thể rất đắt đỏ. Điều này có thể gây ra áp lực tài chính đốivới doanh nghiệp và dẫn đến giảm lợi nhuận.

11. Mất độ tin cậy: Nếu khách hàng thấy rằng hệ thống thanh tốn trực tuyến củabạn khơng đáng tin cậy vì các thiết bị hỏng hóc, họ có thể quyết định khơng sửdụng nó nữa. Điều này có thể dẫn đến mất mát khách hàng và doanh thu.

 <b>Lỗi và thiếu sót của người dùng</b>

Đây là 1 nguy cơ ngẫu nhiên mang tính chủ quan đến từ người dùng mà gây hại đếnchính người dùng trong việc an tồn và bảo mật thơng tin của chính mình để có để đảmbảo an tồn dữ liệu trong các hoạt động thanh toán trực tuyến qua các hành vi sau:

1. Sử dụng mật khẩu yếu: Khi người dùng sử dụng mật khẩu dễ đốn, ngắn vàkhơng bảo mật, họ trở nên dễ bị tấn cơng và hacker có thể dễ dàng truy cập vàothông tin cá nhân và tài khoản thanh tốn của họ.

2. Chia sẻ thơng tin cá nhân: Nếu người dùng chia sẻ thông tin cá nhân của mìnhvới người khác một cách khơng an tồn, ví dụ như thơng qua email khơng mãhóa hoặc trang web khơng bảo mật, thơng tin đó có thể bị đánh cắp và sử dụngmột cách sai trái.

3. Mở các email độc hại hoặc truy cập vào các trang web không an toàn: Nếungười dùng mở các email độc hại hoặc truy cập vào các trang web khơng antồn, máy tính của họ có thể bị nhiễm virus hoặc phần mềm độc hại, và thôngtin cá nhân và tài khoản thanh tốn của họ có thể bị đánh cắp.

4. Lưu trữ thơng tin cá nhân và tài khoản thanh tốn trên thiết bị khơng an tồn:Nếu người dùng lưu trữ thơng tin cá nhân và tài khoản thanh toán trên thiết bịkhông được bảo mật hoặc không được mật khẩu bảo vệ, thơng tin của họ có thểbị đánh cắp hoặc sử dụng một cách sai trái.

</div>