An toàn thông tin trong lĩnh vực vận chuyển và thương mại điện tử (Logistic & E-Commerce)

Theo báo cáo thị trường bán lẻ trực tuyến tại Việt Nam của Metric (dẫn nguồn từ VnEconomy), trong năm 2023 và dự báo cho năm 2024 từ Metric cho thấy doanh thu từ 5 nền tảng thương mại điện tử hàng đầu trong nước - Shopee, Lazada, Tiki, TikTok Shop và Sendo - đạt 232,13 nghìn tỷ đồng (9,52 tỷ USD), tăng 53,4% so với năm 2022. Theo báo cáo này, Việt Nam có mức tăng trưởng cao nhất về mua sắm trực tuyến ở Đông Nam Á.

Còn theo Statista, doanh thu thị trường thương mại điện tử tại Việt Nam dự kiến sẽ đạt 13,90 tỷ USD vào năm 2024. Doanh thu kỳ vọng sẽ có mức tăng trưởng năm (CAGR 2023 – 2029) là 11,21% dẫn đến khối lượng thị trường dự kiến là 23,65 tỷ USD vào năm 2029. Thị trường thương mại điện tử cũng được dự đoán rằng số lượng người dùng dự kiến sẽ đạt 24,610,000 người vào năm 2029 tương đương 24% dân số Việt Nam (dân số trung bình Việt Nam 2023), bằng dân số của cả nước Úc, sẽ là công dân số thường trực trên môi trường thương mại điện tử.

Mô hình hoạt động đa kết nối, đa kênh và đa nền tảng

Thương mại điện tử đã biến việc mua bán hàng hóa và các dịch vụ trở nên dễ dàng và nhanh hơn, tiến hóa mỗi ngày sau 40 năm hình thành của lĩnh vực này. Không chỉ vậy, mô hình hoạt động này đã làm thay đổi mãi mãi đặc tính và cả hành vi mua sắm của người dùng, đồng thời đem lại sự phát triển chóng mặt của hệ sinh thái xung quanh nó.

Đầu tiên phải kể đến hệ thống nền tảng, ứng dụng kết nối trong mô hình hoạt động này. Sẵn có, dễ dàng cài đặt và sử dụng nên khối lượng các doanh nghiệp tham gia vào sân chơi này càng trở nên chằng chịt. Không chỉ các ông lớn tên tuổi như Amazon (người chơi hệ eCommerce đầu tiên), eBay, Alibaba… mà nó cũng mở ra cơ hội rộng lớn cho các doanh nghiệp vừa và nhỏ nằm trong chuỗi cung ứng (supply chain) của mình. Để thích ứng nhanh và làm hài lòng người mua bằng tốc độ xử lý đơn hàng, toàn bộ hệ thống này đều phải kết nối Internet. Và đây chính là nguyên nhân của thành công cũng như cả thất bại nếu gặp phải các rủi ro mạng.

Kết nối này bao gồm cả phần mềm và phần cứng. Có thể kể ra như toàn bộ các ứng dụng/công cụ/nền tảng phục vụ cho hoạt động quảng cáo và tiếp thị cho hoạt động mua bán và tương tác với khách hàng; tiếp theo là hệ thống quản lý và vận hành trên website hoặc ứng dụng trên điện thoại di động; công cụ quản lý đơn hàng mà ở đó việc liên kết với các cổng thanh toán trực tuyến là điều bắt buộc; hệ thống xử lý thông tin để vận chuyển và giao nhận hàng hóa theo dõi hành trình 24/7; kênh hỗ trợ khách hàng CRM và tích hợp với các bên thứ ba cung ứng; chưa kể đến ứng dụng theo dõi kho hàng…

Các hoạt động này có liên kết chặt chẽ với nhau và đòi hỏi môi trường kết nối liên tục để đảm bảo các dữ liệu được đồng bộ một cách nhanh chóng mới mang lại hiệu quả cho kênh bán. Một thế giới của những kết nối và chứa đựng quá nhiều rủi ro về an toàn thông tin.

Hấp dẫn nhà đầu tư và cơ hội “trộm cắp” mở cửa cho tin tặc

Với những tiềm năng thị trường, nên số lượng những đơn vị gia nhập vào thị trường này vẫn luôn mở rộng, và vì vậy, càng tạo ra một “sân chơi” hấp dẫn cho tin tặc tham gia. Cơ hội của tin tặc luôn tiềm tàng ở những đâu?

Đầu tiên, phải kể đến số lượng các thiết bị kết nối IoT trong hệ thống. Mỗi thiết bị nếu không được theo dõi kiểm soát đều có nguy cơ bị tấn công. Từ thiết bị cá nhân của chính người dùng cho đến các nhân viên làm việc trong môi trường kinh doanh e-commerce. Tiếp theo là lỗi người dùng, được cho là điểm yếu lớn trong hệ thống bởi thiếu hiểu biết về vấn đề an toàn thông tin, mật khẩu yếu, truy cập vào các kết nối không an toàn…

Điểm cốt yếu khác là bởi hoạt động toàn bộ trên internet nên dữ liệu, công cụ và hệ thống của doanh nghiệp e-commerce càng dễ bị tấn công hơn và các hạ tầng trọng yếu tác động trực tiếp đến hoạt động kinh doanh. Website, các ứng dụng mua sắm online, đường truyền, server, cloud lưu trữ, liên kết thanh toán đến các ngân hàng, cổng thanh toán… đều chưa đựng toàn dữ liệu quan trọng của khách hàng, đối tác như họ tên, địa chỉ, thông tin thanh toán, lịch sử mua hàng… là món mồi ngon mà tin tặc nhắm vào để thực hiện các hành vi gian lận tài chính, thực hiện các giao dịch phi pháp, mua bán dữ liệu, lừa đảo chiếm đoạt tài sản…

Những điểm yếu và hình thức tấn công đa dạng mà tin tặc sử dụng thường thấy có thể kể đến là tấn công các website/ứng dụng di động như: SQL Injection (chèn mã SQL độc hại vào các trường nhập liệu trên website để truy cập và thao tác vào các cơ sở dữ liệu), Cross-site scripting (XSS – chèn mã JavaScript độc hại vào web), Cross-site request forgery (CSRF - lừa người dùng thực hiện hành động trên web), tần công vào các lỗ hổng tồn tại trong các phần mềm mã nguồn mở (trường hợp các mã nguồn mở này không được cập nhật thường xuyên, còn tồn tại lỗ hổng). Hai hệ thống quan trọng khác mà tin tặc nhắm đến là hệ thống thanh toán và quản lý kho hàng - vận chuyển.

Đối với hệ thống thanh toán, kẻ tấn công thường thực hiện kỹ thuật phishing để lừa đảo người dùng cung cấp các thông tin thanh toán hay Man-in-the-Middle (chặn và can thiệp vào giao tiếp giữa người dùng và hệ thống thanh toán, đánh cắp các thông tin thanh toán). Thậm chí hiện nay tin tặc còn có thể sử dụng các dịch vụ nhận hàng – giao hàng bí mật để nhận được hàng hoá “ăn trộm” từ kênh thương mại điện tử và tiêu thụ mà không sợ lộ danh tính hay địa điểm nhận hàng. Một số trường hợp khác là giao thức bảo mật trên website của các đơn vị cung cấp dịch vụ mua bán online đang thiếu tiêu chuẩn bảo mật PCI-DSS dẫn đến bị tấn công, làm mát thông tin thẻ của người dùng. Trong khi đó, hệ thống quản lý đơn hàng OMS (Order Management systems) hay kho hàng WMS (Warehouse Management systems) cũng dễ dàng bị lộ lọt dữ liệu là thông tin khách và đơn hàng từ rủi ro trong quản lý quyền truy cập còn lỏng lẻo hoặc lỗ hổng trong ứng dụng quản lý. Chưa kể đến các hình thức khác tấn công trực diện vào hạ tầng cơ sở dữ liệu như DoS hay DdoS (tấn công từ chối dịch vụ) hoặc Brute force để lấy mật khẩu truy cập. Một khi bị tấn công, toàn bộ hệ thống kinh doanh sẽ đều bị ảnh hưởng, gây thiệt hại trực tiếp cho khách hàng lẫn nhà cung cấp dịch vụ. Đáng sợ nhất là tấn công bằng ransomware sẽ tạo nên khủng hoảng lớn cho doanh nghiệp bởi việc bị mã hóa tống tiền sẽ gây khó khăn trong việc hồi phục hoạt động lẫn dữ liệu khách hàng.

Những cuộc tấn công vào nền tảng e-commerce

Các ông lớn với tiềm lực tài chính và công nghệ vẫn không tránh được các cuộc tấn công mạng chủ đích.

Target: Tin tặc sử dụng hình thức lừa đảo spear phishing thông qua một nhà cung cấp thứ ba của Target nhằm lấy cắp thông tin đăng nhập của người dùng, sau đó chúng cài đặt ransomware để chiếm dữ liệu của khách hàng trong suốt 2 tháng. Cuộc tấn công vào năm 2013 đã khiến CEO của Target phải rời khỏi công ty, bị trả tiền phạt 18.5 triệu USD, làm lộ 41 triệu thẻ thanh toán và thông tin liên lạc của khoảng 70 triệu khách hàng, tổn hại khoảng 290 triệu USD cho các hoạt động khắc phục, phí tư vấn cũng như thanh khoản khác.

eBay: Tin tặc sử dụng thông tin đăng nhập bị đánh cắp của nhân viên, truy cập vào khoảng 145 triệu tài khoản eBay vào năm 2014. eBay cũng đã thừa nhận kẻ tấn công đã sao chép nhiều dữ liệu liên quan đến các tài khoản bao gồm địa chỉ email, ngày sinh và địa chỉ gửi thư. Mặc dù sau đó hãng này đã yêu cầu 145 triệu người dùng thay đổi mật khẩu của họ, nhưng đến tháng 2/2021, 14 triệu tài khoản Amazon và eBay từ năm 2014 đến 2021 dã được bán trên một diễn đàn hacker với giá 800 USD.

Alibaba: Nền tảng thương mại điện tử lớn nhất Trung Quốc bị tấn công vào năm 2019 thông qua phần mềm quét tự động để thu thập thông tin từ website, tin tặc đã thành công thu thập dữ liệu từ 1,1 tỷ người dùng của Taobao - nền tảng bán hàng của Alibaba.

Amazon: Nhiều tài khoản người dùng của Amazon đã bị xâm nhập thông qua hình thức phishing hoặc social engineering. Nhiều người dùng đã báo cáo về việc tài khoản của họ bị truy cập trái phép cũng như các giao dịch không mong muốn đã bị thực hiện.

Shopify: Năm 2020, hai nhân viên của hãng này đã truy cập trái phép vào dữ liệu của các cửa hàng (khoảng 200 cửa hàng, truy cập vào dữ liệu khách hàng và thông tin đặt hàng). Tiếp tục trong tháng 3/2024, hơn 1.800 cửa hàng trên nền tảng thương mại điện tử của Shopify sử dụng các plugin EcoReturns và WyseMe của Saara bị lộ 25GB dữ liệu do cơ sở dữ liệu MongoDB của nhà phát triển bị cấu hình sai (theo Cybernews). Cơ sở dữ liệu này bao gồm thông tin của hơn 7.6 triệu đơn hàng cá nhân bao gồm tên khách hàng, địa chỉ, email, IP, số điện thoại, thông tin mặt hàng đã đặt, số theo dõi đơn hàng, user agent và thông tin thanh toán một lần. Ghi nhận từ Cybernews cũng phát hiện có ghi chú tống tiền trong cơ sở dữ liệu này yêu cầu gần 640 USD giá trị bitcoin.

Honda: nền tảng thương mại điện tử của Honda cho các sản phẩm thiết bị điện, sân vườn và hàng hải chứa lỗi API cho phép bất kỳ ai yêu cầu đặt lại mật khẩu cho bất kỳ tài khoản nào. Rất may mắn lỗ hổng này đã được phát hiện và đã được Honda thông báo fix lỗi trong tháng 4/2023. Nhà nghiên cứu Eaton Zveare - người phát hiện lỗ hổng bảo mật lớn này cho biết, với lỗ hổng này, tin tặc có thể truy cập vào các thông tin quan trọng như gần 24.000 đơn hàng từ tất cả các đại lý của Honda, 1.091 trang web đại lý đang hoạt động và có khả năng chỉnh sửa các các trang web này, 3.588 người dùng/tài khoản đại lý bao gồm cả thông tin cá nhân, 11.034 email khách hàng bao gồm họ và tên… thậm chí cả các báo cáo tài chính nội bộ của Honda.

Triển khai bảo mật trong lĩnh vực E-Commerce như thế nào?

Bên cạnh các mối nguy hiện hữu, trong tương lai lĩnh vực E-Commerce cũng đối mặt với các hình thức tấn công mới đến từ mô hình AI đang phát triển với tốc độ chóng mặt hay hình thức Remote từ xa đang thịnh hành cũng tiềm ẩn vô vàn rủi ro. Ngoài các biện pháp đơn giản nhưng cần triển khai một cách nghiêm túc như đào tạo nhận thức cho nhân viên trong hệ thống, tiến hành hoạt động cập nhật và vá lỗi phần mềm/nền tảng, tăng cường vấn đề quản lý truy cập với MFA… thì các doanh nghiệp trong hệ sinh thái E-Commerce còn cần thực hiện ít nhất các cách thức sau:

Đầu tiên, cần đảm bảo hệ thống nội bộ được kiểm soát kỹ càng. Cài đặt các công cụ bảo mật web như tường lửa, phần mềm chống virus/malware. Tiếp theo là thực hiện cài đặt SSL (Secure Socket Layers), cung cấp mã hoá mạnh cho chính dữ liệu của mình. Điều khó nhất là làm thế nào để đảm bảo rằng các bên cung cấp nằm trong chuỗi của bạn cũng phải thực hiện hành vi tương tự để đảm bảo tính toàn vẹn và riêng tư của các dữ liệu.

Thứ hai, việc thực hiện kiểm thử xâm nhập (Penetration Testing) định kỳ là điều bắt buộc. Không ai có thể đảm bảo hệ thống của mình không chứa các lỗ hổng hoặc quy trình quản lý đã đáp ứng đúng/đủ toàn bộ các tiêu chuẩn bảo mật. Việc sử dụng các chuyên gia bảo mật để thực hiện rà quét, đánh giá bảo mật thường xuyên sẽ giúp xác định nhanh cũng như đưa ra các phương án khắc phục sớm nhất để tránh các rủi ro tấn công luôn thường trực. Các hình thức Kiểm thử có thể áp dụng việc kiểm thử từ các thiết bị, ứng dụng, phần mềm, website… đồng thời nâng cao nhận thức cho chính nội bộ lẫn các thành viên trong chuỗi cung ứng.

Thứ ba, áp dụng mô hình Pentest as a service để nhanh chóng phát hiện lỗi, lỗ hổng trong hệ thống website, ứng dụng đồ sộ với chi phí hợp lý, dễ dàng thực hiện và hoàn toàn thiết lập được cơ chế triển khai chủ động, định kỳ.

Thứ tư, thực hiện Giám sát an toàn thông tin 24/7. Phòng bệnh hơn chữa bệnh. Việc áp dụng mô hình SOC (Security Operation Center – Trung tâm vận hành và giám sát ATTT) đi thuê được cho là lựa chọn tối ưu nhằm đảm bảo mô hình vận hành của hệ thống E-Commerce có được sự phòng bị tốt nhất trong việc phát hiện các cuộc xâm nhập bất thường vào hệ thống.

Thứ năm, cần xây dựng kịch bản ứng cứu sự cố Incident response dự phòng trong trường hợp bị tấn công. Với phạm vi ảnh hưởng rộng, các doanh nghiệp E-Commerce cần nắm rõ vấn đề và mức độ ảnh hưởng, khu vực và cách thức xử lý trong trường hợp tin tặc tấn công. Việc áp dụng và lên sẵn kế hoạch sẽ giúp đội ngũ nhân sự có sự chuẩn bị và phản ứng nhanh chóng, giảm thiểu các thiệt hại lớn hơn có thể xảy ra trong toàn bộ hệ thống.

Về VSEC

VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin hàng đầu tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Với hơn 20 năm hoạt động trong lĩnh vực an ninh mạng, VSEC đã cung cấp dịch vụ an toàn thông tin cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế. Đội ngũ chuyên gia, kỹ sư tâm huyết, có kinh nghiệm sở hữu hàng loạt chứng chỉ bảo mật quốc tế, VSEC đã tham gia vào nhiều dự án đóng góp lớn vào việc nghiên cứu, tìm ra nhiều lỗ hổng bảo mật của các hãng phần mềm lớn trên thế giới như: WordPress, Adobe, ManageEngine…

Hotline: 1800 2056

Hỗ trợ bảo mật: contact@vsec.com.vn

Trụ sở chính: 275 Nguyễn Trãi, quận Thanh Xuân, Hà Nội

Chi nhánh tại TP.HCM: Phòng 1802, Tầng 18, Pax IX Building, số 8 Phan Đình Giót, quận Tân Bình, TP.HCM.