Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tử - Chương 1: Tổng quan an toàn thông tin và quản trị rủi ro TMĐT - Chử Bá Quyết

AN TOÀN THÔNG TIN VÀ QUẢN TRỊ RỦI RO THƯƠNG MẠI ĐIỆN TỬ 1 9/26/2017 Biên soạn: TS.Chử Bá Quyết Bộ môn Thương mại điện tử DHTM_TMU Chương 1 Tổng quan An toàn thông tin và Quản trị rủi ro TMĐT 1. Một số khái niệm về An toàn thông tin 2. Các khía cạnh của An toàn thông tin 3. An toàn thông tin và quản trị rủi ro 4. Quản trị rủi ro trong TMĐT 5. Câu hỏi & thảo luận 2 9/26/2017 DHTM_TMU 1. Một số khái niệm về An toàn thông tin • An toàn (security), • An toàn máy tính (computer security) • An toàn thông tin (Information security) • An toàn dữ liệu (data security) • An toàn trình duyệt (Browser security) 3 9/26/2017 DHTM_TMU 1. Một số khái niệm (tiếp) • An toàn (security): Là được bảo vệ, không bị xâm hại hoặc bị tấn công • An toàn là chống lại, hoặc bảo vệ khỏi tấn công, gây tổn hại. An toàn không chỉ gắn với bảo vệ con người, mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin 4 9/26/2017 DHTM_TMU 1. Một số khái niệm (tiếp) • An toàn (security): • An toàn là trạng thái mà khả năng gây hại cho con người hoặc hủy hoại tài sản được giảm thiểu và duy trì tại hoặc dưới mức độ chấp nhận được thông qua quá trình liên tục nhận dạng mối nguy hiểm và quản lý rủi ro (53/2011/TT-BGTVT) 5 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn máy tính (Computer security) còn đc gọi là an toàn mạng (cybersecurity), an toàn thông tin (IT security) là việc bảo vệ các HTTT khỏi hành vi trộm cắp, phá hoại phần cứng, phần mềm, và các thông tin trong hệ thống, cũng như làm gián đoạn, hoặc lạc hướng (misdirection) của các DV mà HT cung cấp. • ATMT bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng như việc bảo vệ chống lại các tác động có thể đến thông qua truy cập mạng, dữ liệu và lỗ hổng code injection, do sơ suất của các nhà khai thác cố ý, vô ý, hoặc do không thực hiện đúng các quy trình an toàn. 6 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn thông tin (Information security) là việc bảo đảm, duy trì tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của thông tin; có thể bao hàm: tính xác thực, tính trách nhiệm, tính chống phủ nhận và tính tin cậy" (ISO/IEC 27000:2009) • ATTT là bảo vệ thông tin, các HTTT từ việc truy cập, sử dụng, tiết lộ trái phép, làm gián đoạn, sửa đổi hoặc phá hủy để đảm bảo tính tin cậy, toàn vẹn và tính sẵn có của thông tin (CNSS, 2010) 7 9/26/2017 DHTM_TMU 1. Một số khái niệm ▫ ATTT là việc bảo đảm chỉ những người có thẩm quyền (confidentiality) được truy cập thông tin đầy đủ và chính xác (integrity) khi có nhu cầu (availability)." (ISACA, 2008) ▫ ATTT là quá trình bảo vệ tài sản trí tuệ của một tổ chức (Pipkin, 2000) ▫ ATTT là bảo vệ TT và tối thiểu rủi ro tiết lộ thông tin tới những bên không có quyền (Venter and Eloff, 2003). 8 9/26/2017 DHTM_TMU Tam giác CIA về an toàn thông tin • Tam giác CIA (Confidenttiality, integrity, availability) là trọng tâm (tâm điểm) của ATTT, và các bộ phận này: Confidentiality, Integrity và Availability được xem như là các thuộc tính, đặc tính, mục tiêu, các khía cạnh cơ bản, tiêu chí của ATTT. 9 Confidentiality AvailabilityIntegrity 9/26/2017 DHTM_TMU • Ngoài 3 yếu tố trên, những yếu tố khác đã được đề xuất như: tính trách nhiệm (Accountability), tính không thể chối cãi (Non – Repudiation), và với sự phát triển của hệ thống máy tính như hiện nay, tính riêng tư (privacy) ngày càng trở thành một nhân tố rất quan trọng. Tam giác CIA mở rộng 10 9/26/2017 DHTM_TMU Tam giác CIA mở rộng • Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi (security design and implementation), quản lý an toàn (security management), và đánh giá lại (Reassessment). 11 9/26/2017 DHTM_TMU Tam giác CIA mở rộng ▫ Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó đề xuất 33 nguyên tắc ▫ Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép): confidentiality, possession, integrity, authenticity, availability, và utility. 12 9/26/2017 DHTM_TMU Các khái niệm của CIA + 3 • Bí mật C nghĩa là thông tin không được tiết lộ đến những đối tượng không được xác thực hoặc bị rò rỉ. Ví dụ: trong 1 GD tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua đến người bán, và từ người bán đến nhà cung cấp DV thẻ tín dụng. Hệ thống phải bảo đảm tính bí mật bằng cách mã hóa số thẻ trong quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại. Nếu một người nào đó chưa được xác thực (ví dụ hacker) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa. 13 9/26/2017 DHTM_TMU Các khái niệm của CIA + 3 • Tính toàn vẹn I: nghĩa là dữ liệu không bị chỉnh sửa, nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán như được hiểu trong mô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán (consistency), tính cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch. I bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch. HTTT an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật. 14 9/26/2017 DHTM_TMU Các khái niệm của CIA + 3 • Tính sẵn sàng: Mọi HTTT đều có mục đích riêng và thông tin phải luôn luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống Đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ. 15 9/26/2017 DHTM_TMU Các khái niệm của CIA + 3 • Tính chống chối bỏ (phủ nhận) có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch với các bên khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống không đảm bảo tính ATTT trong giao dịch). 16 9/26/2017 DHTM_TMU Các khái niệm của CIA + 3 • Tính xác thực: Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là xác thật (genuine). Nó cũng quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống 17 9/26/2017 DHTM_TMU 1. Một số khái niệm (tiếp) • An toàn máy tính (computer security) • An toàn thông tin (Information security) • An toàn dữ liệu (data security) • An toàn trình duyệt (Browser security) 18 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn Internet (internet security) là một nhánh của ATMT, liên quan đến Internet, thường đề cập đến an toàn trình duyệt (Browser security) cũng như an toàn dữ liệu nhập vào dưới dạng web, và xác thực tổng thể và bảo vệ dữ liệu gửi qua giao thức Internet. Internet là một kênh không an toàn cho việc trao đổi thông tin dẫn đến khả năng rủi ro bị xâm nhập, gian lận, lừa đảo cao. Mục tiêu của an toàn Internet là thiết lập các quy tắc và các biện pháp để chống lại các cuộc tấn công trên Internet 19 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn trình duyệt (Browser security) là ứng dụng an toàn Internet cho các trình duyệt web để bảo vệ dữ liệu mạng và các hệ thống máy tính từ vi phạm bí mật riêng tư hoặc phần mềm độc hại. Khai thác an toàn trình duyệt cũng có thể lợi dụng các lỗ hổng bảo mật (security holes) và thường được sử dụng với tất cả các trình duyệt như Mozilla Firefox, Google Chrome, Opera, Microsoft Internet Explorer, và Safari. 20 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn mạng (Network security) bao gồm các chính sách và thực tế áp dụng để ngăn chặn và giám sát truy cập trái phép, sử dụng sai, sửa đổi, hoặc từ chối của một mạng máy tính và các tài nguyên mạng có thể truy cập. An toàn mạng đề cập đến việc cấp phép truy cập vào dữ liệu trong một mạng, (được kiểm soát bởi quản trị mạng). Người sử dụng chọn hoặc được chỉ định một ID và mật khẩu hoặc các thông tin chứng thực khác để truy cập thông tin và các chương trình theo thẩm quyền của minh 21 9/26/2017 DHTM_TMU 1. Một số khái niệm ▫ An toàn mạng bao gồm một loạt các mạng máy tính, cả công cộng và tư nhân, được sử dụng trong công việc hàng ngày; thực hiện giao dịch và truyền thông giữa các DN, CP, CN. An toàn mạng là bảo vệ mạng, là giám sát các hoạt động được thực hiện. 22 9/26/2017 DHTM_TMU Phân biệt An toàn mạng và An toàn máy tính • Ở cấp độ đơn giản, ATMT là một kỹ thuật được sử dụng để bảo vệ dữ liệu được lưu trữ trên 1 máy tính. Việc bảo vệ này đảm bảo các dữ liệu hoặc thông tin được lưu trữ trên máy tính cá nhân không thể bị truy cập, đọc, hoặc sao chép Các hệ thống bảo mật máy tính từ đơn giản đến phức tạp tùy thuộc vào mức độ bảo mật mong muốn • An toàn mạng là các biện pháp để bảo vệ mạng riêng. Đây là loại hình bảo vệ bao gồm bất kỳ máy tính nào kết nối vào mạng và đề cập đến việc đảm bảo sử dụng, tính toàn vẹn và an toàn mạng riêng và bất kỳ dữ liệu liên quan đến mạng. • ATMT được thiết kế để bảo vệ một đơn vị duy nhất hoặc một máy tính, trong khi an toàn mạng bảo vệ tất cả các máy và người dùng kết nối vào mạng. Mức độ bảo mật là tương tự và phòng ngừa nhiều vấn đề tương tự. Tuy nhiên, hầu hết các DN kết hợp cả an toàn máy tính và an toàn mạng để thiết lập mức độ bảo vệ cao nhất. 23 9/26/2017 DHTM_TMU 1. Một số khái niệm • An toàn di động (mobile security) hoặc an toàn điện thoại di động ngày càng quan trọng trong máy tính di động (mobile computing). Quan tâm đặc biệt là sự an toàn của thông tin cá nhân và kinh doanh hiện nay được lưu trữ trên điện thoại thông minh. • Ngày càng có nhiều CN và DN sử dụng điện thoại thông minh để quản trị, lưu trữ thông tin cá nhân, và công việc. Việc lưu trữ thông tin và kết nối Internet là nguồn gốc của những RR mới cho người dùng. 24 9/26/2017 DHTM_TMU 2. Các khía cạnh của an toàn thông tin • ITU-T là cụm từ viết tắt của International Telecommunication Union - Telecommunication Standardization Sector là lĩnh vực Tiêu chuẩn viễn thông - thuộc Tổ chức Viễn thông quốc tế. • Theo ITU-T X.800, ATTT bao gồm ba khía cạnh (aspects): ▫ Tấn công (security attack); ▫ Dịch vụ bảo mật (security service), ▫ Cơ chế bảo mật, an toàn (security mechanism) 25 9/26/2017 DHTM_TMU 2. Các khía cạnh của (tiếp) • Tấn công: Bất kỳ hành động nào làm ảnh hưởng hoặc tác động tới ATTT. Nhiều loại khác nhau của các cuộc tấn công, có thể được phân loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks (chương 2) • Dịch vụ bảo mật: Bảo vệ dữ liệu không bị tiết lộ trái phép, bảo đảm tính toàn vẹn, chống chối bỏ , kiểm soát truy cập, bảo đảm tính sẵn sàng . (chương 4) • Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa đối xứng, Mã hóa khóa công khai, Quản lý chìa; Hàm băm; Các mã xác thực thông điệp; Chữ ký số; Các giao thức xác thực thực thể 26 9/26/2017 DHTM_TMU 3. An toàn và rủi ro (Security and Risk) • Khái niệm rủi ro (risk) • Từ điển Oxford English Dictinary trích dẫn sớm nhất thuật ngữ risk (tiếng Pháp là risque, nguồn gốc là 'risque' ) as of 1621, and the spelling as risk from 1655. It defines risk as: “(Exposure to) the possibility of loss, injury, or other adverse or unwelcome circumstance; a chance or situation involving such a possibility” • Là tổn thất hay thiệt hại tiềm ẩn, hoặc thậm chí tài sản bị hủy hoại như là kết quả của mối đe dọa khai thác một lỗ hổng. 27 9/26/2017 DHTM_TMU 3. An toàn và rủi ro (Security and Risk) • Rủi ro: tiềm ẩn tổn thất, thiệt hại hoặc phá hủy tài sản như là kết quả của một mối đe dọa khai thác một lỗ hổng. 28 RR là một hàm thể hiện mối quan hệ giữa đe dọa khai thác lỗ hổng để gây tổn thất hoặc phá hủy tài sản. • Các mối đe dọa có thể tồn tại, nhưng nếu không có các lỗ hổng, thì có rất ít hoặc không có RR. • Tương tự, có thể có một lỗ hổng, nhưng nếu không có mối đe dọa, thì sẽ có ít hoặc không có RR. 9/26/2017 DHTM_TMU 3. An toàn và rủi ro (Security and Risk) 29 9/26/2017 DHTM_TMU Phân biệt rủi ro với không chắc chắn • RR chỉ phát sinh khi có một sự không chắc chắn về mất mát sẽ xảy ra (uncertainty about the occurrence of a loss). Nếu xác định được chính xác khả năng xảy ra (p = 0 hoặc p = 1) thì không được xem là có rủi ro. • VD: một người nhảy từ tòa nhà cao tầng xuống mặt đất thì kết quả: chết 100%. Đây ko phải là RR vì kết quả đã thấy trước • Khác, nếu một diễn viên xiếc nhảy từ nhà cao tầng xuống mặt nước, hoặc bằng dù thì có thể chết. Trường hợp này có sự không chắc chắn về kết quả, tức là có RR trong hành động của họ 30 9/26/2017 DHTM_TMU Phân biệt rủi ro với không chắc chắn 31 9/26/2017 DHTM_TMU Các khái niệm RR • RR cố hữu (Inherent Risk): còn gọi là RR vốn có, hay rủi ro cần thiết; là rủi ro có trước khi có bất kỳ tác động can thiệp nào. • RR còn lại (Residual Risk): RR tồn tại sau khi có những hành động can thiệp, phòng ngừa, xử lí. • RR giữ lại (Retained Risk): Mức RR thường chấp nhận bởi tổ chức, tương tự như RR còn lại. Đôi khi giảm RR (chuyển giao RR) bằng bảo hiểm (nhưng chỉ là hậu quả) 32 9/26/2017 DHTM_TMU Nguồn gốc RR trong TMĐT  Đến từ các mối đe dọa  vật lý  dữ liệu  Lỗ hổng  do người dùng  lỗi kỹ thuật: phần mềm, phần cứng, máy chủ phục vụ, thiết bị bên ngoài  Lỗi hạ tầng: mạng, băng thông đường truyền • Khác:  Gian lận thanh toán bằng thẻ tín dụng  Hacker tấn công  Các tấn công từ bên trong doanh nghiệp  Khác: sự cố mất điện, 33 9/26/2017 DHTM_TMU 34 Nguyên nhân RR trong TMĐT • Nguyên nhân khách quan ▫ Điều kiện tự nhiên: bão lụt, động đất, biến đổi khí hậu, ▫ Điều kiện môi trường: Chính sách kinh tế vĩ mô, khủng hoảng kinh tế, hỏa hoạn, virus • Nguyên nhân chủ quan ▫ Hoạch định sai chiến lược ▫ Phương thức KD, Nghiên cứu thị trường không đầy đủ ▫ Thiếu thông tin, thiếu kiến thức hiểu biết ▫ Thiếu trách nhiệm ▫ Tham nhũng, chủ quan.. 9/26/2017 DHTM_TMU 35 Từ con người Hackers Ex-employees Intruders Từ môi trường (Environmental) Hỏa hoạn (Fires) Vi rút (Viruses) Power Outages Tự nhiên Natural  Lũ lụt (Floods) Động đất (Earthquakes) Sóng thần (Tornadoes) 9/26/2017 DHTM_TMU Phân loại Rủi ro tmđt + Theo Holmes Miller: có 3 loại RR chính trong TMĐT là: RR thông tin (Information Risk) RR công nghệ (Technology Risk) RR kinh doanh (Business Risk) + Phân loại RR trong TMĐT và các RR chính trong TMĐT sẽ được nghiên cứu chi tiết trong chương 2, 3: Nhận dạng RR trong TMĐT 36 9/26/2017 DHTM_TMU Khái niệm QTRR • QTRR (Risk management) là quá trình nhận biết, đánh giá và xếp hạng rủi ro (theo ISO 31000). • QTRR là quá trình bao gồm nhiều giai đoạn, từ việc xây dựng/lập kế hoạch quản trị rủi ro tổng thể đến việc xác định, nhận dạng các rủi ro có thể xảy ra đối với đối tượng/hệ thống/công việc/doanh nghiệp cụ thể, phân tích và lựa chọn các xử lý rủi ro, theo dõi sự thay đổi của rủi ro cũng như đưa ra các đối phó hoặc kế hoạch phòng ngừa RR hiệu quả. 37 9/26/2017 DHTM_TMU Khái niệm QTRR • là một quá trình gồm nhiều giai đoạn, có trình tự • là hoạt động có mục đích • là một khoa học và nghệ thuật • là một nghề 38 9/26/2017 DHTM_TMU Risk Management R Planning Risk Assessment R Identification Risk Analysis Risk Priority Risk Handling Risk Monitoring 39 Risk Documentation 9/26/2017 DHTM_TMU Quản trị RR trong TMĐT • Quản trị RR trong TMĐT là cách thức trong đó những tác động ngược từ rủi ro (tính 2 mặt) được quản lý và các cơ hội, tiềm năng được triển khai thực hiện. Vì vậy, quản trị RR bao hàm: ▫ Tối thiểu hóa các tác động, các nguồn nguy hiểm đối với hệ thống/doanh nghiệp ▫ Tối ưu hóa mục tiêu của doanh nghiệp. 40 Quản trị RR trong TMĐT là việc bảo vệ các hệ thống và các hoạt động TMĐT từ các rủi ro có thể xảy ra cũng như việc nhận biết cơ hội, thách thức khi chúng xảy ra 9/26/2017 DHTM_TMU Nguyên tắc và hạn chế quản trị rủi ro • Nguyên tắc: ▫ Chấp nhận rủi ro (Accept No Unnecessary Risk). ▫ Lựa chọn rủi ro ở mức phù hợp (Make Risk Decisions at the Appropriate Level): ▫ Chấp nhận rủi ro khi lợi ích cao hơn chi phí (Accept Risk When Benefits Outweigh the Cost): ▫ Dự phòng, bảo hiểm và rủi ro • Hạn chế: ▫ Có thể tác động, ảnh hưởng tới các quyết định kinh doanh ▫ Không bảo đảm các sự cố, đe dọa sẽ không còn xảy ra ▫ Không loại trừ tất cả các rủi ro. 41 9/26/2017 DHTM_TMU