Giải pháp quản trị rủi ro trong triển khai công nghệ chuỗi khối Blockchain tại Việt Nam

THS. NGUYỄN THỊ THU HƯƠNG (Khoa Quản trị kinh doanh - Trường Đại học Kinh tế - Kỹ thuật công nghiệp)

TÓM TẮT:

Công nghệ Blockchain có ưu điểm là đảm bảo tính bảo mật cao, loại bỏ tình trạng đánh cắp hoặc sửa đổi thông tin. Tuy nhiên, ứng dụng công nghệ Blockchain thường là mục tiêu tấn công của các tin tặc. Dù được bảo vệ bởi thuật toán đồng thuận Proof of Work nhưng các ứng dụng phát triển trên nền tảng Blockchain vẫn là mục tiêu của hơn 50% các cuộc tấn công mạng. Do đó, vấn đề quản trị rủi ro trong triển khai công nghệ chuỗi khối trở thành thách thức cho doanh nghiệp. Bài viết đề xuất giải pháp quản trị rủi ro trong triển khai công nghệ chuỗi khối Blockchain tại các doanh nghiệp.

Từ khóa: công nghệ chuỗi khối, Blockchain, quản trị rủi ro.

1. Tổng quan về công nghệ chuỗi khối - Blockchain

Blockchain (hay cuốn sổ cái) là hệ thống cơ sở dữ liệu cho phép lưu trữ và truyền tải các khối thông tin (block). Chúng được liên kết với nhau nhờ mã hóa.

Các khối thông tin này hoạt động độc lập và có thể mở rộng theo thời gian. Chúng được quản lý bởi những người tham gia hệ thống chứ không thông qua đơn vị trung gian.

Nghĩa là, khi một khối thông tin được ghi vào hệ thống Blockchain thì không có cách nào thay đổi được. Chỉ có thể bổ sung thêm khi đạt được sự đồng thuận của tất cả mọi người.

Để một block - khối thông tin được thêm vào Blockchain, phải có 4 yếu tố, gồm:

- Phải có giao dịch: nghĩa là phải có hoạt động mua bán, trao đổi diễn ra. Ví dụ: bạn thực hiện mua hàng trên Amazon

- Giao dịch đó phải được xác minh: mọi thông tin liên quan đến giao dịch như thời gian, địa điểm, số tiền giao dịch, người tham gia,… đều phải được ghi lại. Ví dụ: khi xem tình trạng đơn hàng, bạn sẽ biết được mình đã order những gì, tổng tiền là bao nhiêu, khi nào thì nhận được hàng,…

- Giao dịch đó phải được lưu trữ trong block: bất cứ lúc nào bạn cũng xem lại được thông tin đơn hàng mà mình đã thực hiện. Chúng được lưu trữ trong mục “Quản lý đơn hàng”.

- Block đó phải nhận được hash (hàm chuyển đổi một giá trị sang giá trị khác): chỉ khi nhận được hash thì một block mới có thể được thêm vào Blockchain.

Công nghệ Blockchain cho phép trao đổi tài sản/thực hiện giao dịch mà không cần có sự chứng kiến của người thứ ba hoặc không cần dựa trên sự tin tưởng. Hay nói cách khác, Blockchain là nền tảng cho sự ra đời của các hợp đồng thông minh.

Công nghệ Blockchain có ưu điểm là đảm bảo tính bảo mật cao, loại bỏ tình trạng đánh cắp hoặc sửa đổi thông tin.

Nhờ nền tảng phi tập trung, các thông tin trong Blockchain không bị kiểm soát bởi một bên duy nhất mà được biết đến là “cơ chế đồng thuận phân tán đồng đẳng”. Tuy nhiên, ứng dụng công nghệ Blockchain thường là mục tiêu tấn công của các tin tặc. Dù được bảo vệ bởi thuật toán đồng thuận Proof of Work nhưng các ứng dụng phát triển trên nền tảng Blockchain vẫn là mục tiêu của hơn 50% các cuộc tấn công mạng. Do đó, vấn đề quản trị rủi ro trong triển khai công nghệ chuỗi khối trở thành thách thức cho doanh nghiệp.

2. Những cuộc tấn công của tin tặc vào lĩnh vực ứng dụng Blockchain

2.1. Sử dụng mã độc tấn công người sử dụng Internet

Theo số liệu thống kê mới nhất của Hãng Sản xuất và phân phối phần mềm bảo mật  Kaspersky về các doanh nghiệp nhỏ và vừa (SMB) ở khu vực Đông Nam Á, trong quý 1 /2021 đã có hơn 1 triệu vụ tấn công khai thác tiền mã hóa được thực hiện nhằm vào các thiết bị doanh nghiệp, tương ứng với mức tăng 12% so với 949.592 vụ tấn công khai thác tiền ảo (crypto-mining) bị ngăn chặn trong cùng kỳ năm ngoái. Trong đó, Indonesia và Việt Nam nằm trong số các quốc gia ở khu vực Đông Nam Á và trên phạm vi toàn cầu có số vụ tấn công đào tiền ảo nhằm vào các SMB nhiều nhất. Cụ thể, tổng số vụ tấn công đào tiền ảo nhắm vào các doanh nghiệp Việt bị phát hiện trong quý 1/2021 là 289.118 vụ, đứng thứ 2 Đông Nam Á và thứ 5 toàn cầu. Con số này nhiều gần gấp 2 lần so với số lượng vụ tấn công nhắm vào quốc gia xếp thứ 3 Đông Nam Á là Thái Lan (hơn 152.000 vụ) và gấp hơn 24 lần so với Singapore (chỉ hơn 7.500 vụ).

Hoạt động tấn công khai thác tiền mã hóa (đào tiền ảo), còn có tên gọi khác là cryptojacking, xảy ra khi tội phạm mạng cài đặt một chương trình độc hại trên máy tính đích hoặc sử dụng mã độc không dựa vào tập tin mà người dùng không hề hay biết. Điều đó cho phép tin tặc khai thác tài nguyên tính toán trên máy tính của nạn nhân cho các mục đích xấu. Cryptojacking còn có thể xảy ra khi một nạn nhân truy cập trang web có một mã script chiếm tài nguyên máy tính được nhúng sẵn trong trình duyệt.

Trong khi đó, theo thống kê tình hình an ninh mạng quốc gia tuần đầu tháng 7/2020 của Trung tâm giám sát an toàn không gian mạng quốc gia, Bộ Thông tin và Truyền thông, mạng máy tính ma (botnet) Necurs có hơn 67.200 lượt địa chỉ IP tại Việt Nam kết nối với máy chủ điều khiển từ xa, tăng so với tuần trước đó là 51.120. Mạng botnet Iotbotnet có hơn 172.500 lượt địa chỉ IP tại Việt Nam, tăng hơn gấp 3 lần so với tuần trước đó. Mạng botnet Conficker có đến 219.004 lượt địa chỉ IP, tăng hơn gấp 5 lần so với tuần trước đó. Những con số này cho thấy xu hướng tấn công mạng vào Việt Nam, đặc biệt là các doanh nghiệp ngày càng tăng mạnh.

2.2. Dịch vụ lưu trữ mã nguồn

Dịch vụ lưu trữ mã nguồn GitHub đã hứng chịu cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất trong lịch sử vào ngày 28/02/2018. Cuộc tấn công kéo dài trong 10 phút với băng thông lên tới 1,35 TBps, gây gián đoạn dịch vụ. Các tin tặc đã sử dụng kỹ thuật tấn công khuếch đại, tạo ra hàng nghìn byte phản hồi UDP (User Datagram Protocol) cho một truy vấn UDP rất ngắn. Theo ghi nhận, thời điểm cao nhất cuộc tấn công là 1,35 TBps với 126,9 triệu gói tin/giây, khiến GitHub ngừng hoạt động (liên tục từ 17 giờ 21 phút đến 17 giờ 26 phút) và gây gián đoạn (không liên tục từ 17 giờ 26 phút đến 17 giờ 30 phút theo giờ quốc tế UTC). Cuộc tấn công này có nguồn gốc từ hàng nghìn hệ thống tự hành (autonomous system – AS) khác nhau trên hàng chục nghìn thiết bị đầu cuối riêng biệt. Tuy nhiên, GitHub đã nhanh chóng chặn được cuộc tấn công và phục hồi dịch vụ bình thường. Đây là thành công mà GitHub đạt được do đã tăng gấp đôi khả năng chuyển tiếp trong năm qua và quyết định chuyển lưu lượng truy cập đến nền tảng phân phối nội dung của công ty công nghệ Akamai (Mỹ).

2.3. Tấn công đánh cắp thông tin khách hàng

+ Dịch vụ khách sạn

Thông tin khách hàng của khách sạn cũng là một trong những mục tiêu lớn của tin tặc. Ngày 30/11/2018, Tập đoàn khách sạn lớn nhất thế giới Marriott International đã thông báo về vụ rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến khoảng 500 triệu khách hàng của hệ thống khách sạn Starwood trực thuộc tập đoàn. Kết quả qua cuộc điều tra cho thấy, đã có truy cập trái phép vào mạng lưới Starwood từ năm 2014. Công ty cho biết đã thu giữ và giải mã cơ sở dữ liệu vào ngày 19/11/2018 và xác định nội dung thuộc về cơ sở dữ liệu đặt phòng của Starwood. Cơ sở dữ liệu này bao gồm khoảng 327 triệu bản ghi có chứa tên, địa chỉ, số điện thoại, ngày sinh, giới tính, địa chỉ email, số hộ chiếu, thông tin điểm thưởng, thông tin về ngày đặt phòng của khách hàng Starwood. Theo Starwood, nhiều bản ghi còn chứa dữ liệu về thẻ tín dụng.

+ Dịch vụ y tế

Cơ quan An ninh Mạng Singapore (CSA) và Hệ thống kết nối thông tin y tế (IHIS) của nước này đã xác nhận về một vụ tấn công mạng được thực hiện vô cùng tinh vi vào ngày 20/7/2018. Bộ Y tế và Bộ Thông tin và Truyền thông Singapore cho biết, đây là vụ đánh cắp thông tin cá nhân nghiêm trọng nhất từ trước tới nay, gây rò rỉ thông tin của 1,5 triệu dữ liệu mật của ngành Y tế. Theo đánh giá, tin tặc đã thực hiện một cuộc tấn công có chủ đích và được lên kế hoạch kỹ càng. Dữ liệu cá nhân từ hồ sơ của 1,5 triệu bệnh nhân bị tin tặc đánh cắp và sao chép bao gồm: tên, số thẻ định danh cá nhân, địa chỉ, giới tính, chủng tộc và ngày tháng năm sinh. Tuy nhiên, các tin tặc không sửa đổi hay xóa các hồ sơ này. Ngoài ra, hồ sơ y tế của bệnh nhân đã bị đánh cắp còn gồm thông tin về hồ sơ bệnh án, các lần chẩn đoán, ghi chú của bác sĩ và các bản sao kết quả kiểm tra sức khỏe. Trước đó, vào năm 2017, tin tặc đã đột nhập vào cơ sở dữ liệu của Bộ Quốc phòng Singapore và đánh cắp thông tin của khoảng 850 nhân viên làm việc tại đây.

+ Mạng xã hội

Mạng xã hội Google+ đã trải qua hai vụ rò rỉ dữ liệu lớn trong năm 2018, khiến phải đóng cửa sớm. Google đã phát hiện lỗ hổng bảo mật trên nền tảng mạng xã hội Google+ từ ngày 7 - 13/11/2018, gây ảnh hưởng tới hơn 52,5 triệu tài khoản người dùng. Các thông tin có thể bị rò rỉ bao gồm tên, địa chỉ email, nghề nghiệp, độ tuổi,... Google phát hiện ra lỗ hổng này nhờ việc thực hiện quy trình kiểm tra chuẩn của hãng và khẳng định “không có bằng chứng nào về việc nhà phát triển ứng dụng tình cờ có quyền truy cập hay lạm dụng lỗ hổng này”.

Trước đó, vào trung tuần tháng 10, Google tuyên bố sẽ đóng cửa Google+ vào tháng 8/2019 sau khi phát hiện lỗ hổng cho phép bên thứ ba thu thập trái phép dữ liệu của 500 nghìn người dùng. Theo hãng công nghệ khổng lồ của Mỹ, lỗ hổng này đã được phát hiện và khắc phục vào tháng 3/2018 trong một đợt rà soát về cách thức Google chia sẻ dữ liệu với các ứng dụng khác. Việc tiếp tục phát hiện thêm lỗ hổng bảo mật vào tháng 11/2018 khiến công ty quyết định đóng cửa Google+ 4 tháng sớm hơn dự kiến vào tháng 4/2019.

+ Hệ thống bán hàng có quy mô lớn và nắm giữ nhiều thông tin khách hàng

Ngày 7/11/2018, thành viên erwincho của diễn đàn RaidForums đã đăng tải thông tin được cho là dữ liệu của hơn 5,4 triệu khách hàng Thế giới Di động. Những thông tin bị rỏ rỉ bao gồm địa chỉ email, lịch sử giao dịch và thậm chí là cả số thẻ ngân hàng. Mặc dù không công bố chi tiết về cách thức khai thác lỗ hổng, nhưng các thông tin được chia sẻ công khai trên các trang chia sẻ tập tin mà mọi người dùng đều có thể tải về và sử dụng.

Ngay sau vụ rò rỉ dữ liệu của Thế giới di động, khách hàng Việt Nam lại đối mặt với việc FPT Shop bị lộ thông tin. Ngày 13/11/2018, thành viên có tên truy cập herasvn đã đăng tải lên diễn đàn RaidForums các hình ảnh về hợp đồng khách hàng của chuỗi bán lẻ điện tử số FPT Shop. Dữ liệu này được cho là các hợp đồng trong chương trình F.Friends dành cho khách hàng của các tổ chức, doanh nghiệp,... mua hàng theo hình thức trả góp. Căn cứ một số hình ảnh khác cho thấy, thông tin về các hợp đồng hiện vẫn đang trong chương trình khuyến mãi được FPT Shop triển khai, tuy nhiên đều được ký kết từ đầu năm 2017.

3. Giải pháp quản trị rủi ro trong triển khai công nghệ chuỗi khối tại Việt Nam

Một là, tiếp tục tập trung triển khai có hiệu quả các chủ trương, chỉ thị, nghị quyết của Đảng về ứng dụng, phát triển công nghệ thông tin đi đôi với bảo đảm an toàn thông tin, an ninh mạng, trọng tâm là Nghị quyết số 52-NQ/TW, ngày 27/9/2019, của Bộ Chính trị “Về một số chủ trương, chính sách chủ động tham gia cuộc Cách mạng công nghiệp lần thứ tư”.

Hai là, hoàn thiện chính sách, pháp luật và nâng cao hiệu lực, hiệu quả quản lý nhà nước về thông tin, truyền thông và an ninh mạng. Tổ chức thực hiện nghiêm Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Bảo vệ bí mật nhà nước và các văn bản hướng dẫn thi hành; quản lý chặt chẽ các loại hình dịch vụ viễn thông.

Ba là, tiếp tục tăng cường thực hiện các giải pháp bảo đảm an ninh mạng và đấu tranh phòng, chống tội phạm trên không gian mạng. Triển khai đồng bộ các giải pháp để bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia; phát hiện, đấu tranh ngăn chặn sớm hoạt động tấn công mạng, gián điệp mạng, âm mưu, hoạt động chống phá của các thế lực thù địch, phản động trên mạng.

Bốn là, đẩy mạnh nghiên cứu, phát triển công nghệ thông tin, nhằm tự chủ về công nghệ và trang thiết bị, không để bị lệ thuộc vào nước ngoài. Có lộ trình phát triển các doanh nghiệp công nghệ thông tin và an ninh mạng, trong đó, lựa chọn các lĩnh vực mà Việt Nam có thế mạnh để ưu tiên phát triển. Hoàn thiện các chính sách nhằm khuyến khích, huy động mọi nguồn lực xã hội trong nghiên cứu khoa học, phát triển và ứng dụng công nghệ thông tin và an ninh mạng.

Năm là, nâng cao chất lượng đào tạo về công nghệ thông tin và an ninh mạng tại các cơ sở đào tạo trong nước, đồng thời đẩy mạnh hợp tác với các quốc gia, các trường đại học, các tập đoàn công nghệ tiên tiến trên thế giới để tiếp thu công nghệ mới và kinh nghiệm bảo đảm an ninh mạng nhằm đáp ứng yêu cầu của tình hình mới.

TÀI LIỆU THAM KHẢO:

  1. Nguyễn Thị Hoài Lê, Nguyễn Lê Cường (2015), Giáo trình Nguyên lý quản trị rủi ro, NXB Tài chính.
  2. Các trang web:

https://medium.com/@micheledaliessi/how-does-the-blockchain-work-98c8cd01d2ae

https://blockgeeks.com/guides/what-is-blockchain-technology/

https://blog.iqoption.com/is-blockchain-the-next-revolution-after-the-internet/

 Risk management in implementting the blockchain technology at enterprises in Vietnam

Master. Nguyen Thi Thu Huong

Faculty of Business Administration

University of Economics - Technology for Industries

ABSTRACT:

One of the advantages of blockchain technology is the high level of security, greatly reducing the risk of malicious intervention and preventing fraud. However, the Blockchain-based applications are often attacked by hackers. Although the security guarantee of a blockchain system is based on the proof-of-work consensus protocol, the number of attacks targeting Blockchain-based applications accounts for more than 50% of the total network attacks. As a result, the risk management becomes a challenge for enterprises when they implement the blockchain technology. This paper proposes some risk management solutions in implementting the blockchain technology at enterprises.

Keywords: Blockchain technology, Blockchain, risk management.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 17, tháng 7 năm 2021]