Chatbot (hộp trò chuyện) đang ngày càng trở nên phổ biến như một công cụ hỗ trợ thông minh trong mua sắm, giao hàng, chăm sóc sức khỏe, tài chính,… Nhưng việc sử dụng chatbot đang mang lại một số rủi ro và thách thức về vấn đề bảo mật cho người dùng. Những mối đe dọa bảo mật này đang ngày càng gia tăng, chẳng hạn như giả mạo, rò rỉ thông tin, quảng cáo,…
• Cảnh báo hàng loạt lỗ hổng bảo mật trong các sản phẩm của Microsoft
• Xây dựng nền tảng kiến trúc bảo mật toàn diện đảm bảo an toàn cho hệ thống báo chí điện tử
Giải pháp duy nhất để ngăn ngừa rủi ro chính là giảm thiểu các điểm yếu và lỗ hổng bảo mật có thể bị kẻ tấn công khai thác cũng như xây dựng cơ chế bảo vệ, đảm bảo các thuộc tính của chatbot, như tính toàn vẹn, tính xác thực, tính khả dụng, tính ủy quyền, tính bảo mật,…
Tuy nhiên, công nghệ này không phải lúc nào cũng khắc phục những lỗi của con người hay lỗ hổng hệ thống. Dưới đây là ba phương pháp phổ biến có thể được triển khai để đảm bảo một lớp bảo mật bổ sung cho chatbot.
Xác thực và ủy quyền
Xác thực hay xác nhận danh tính người dùng có thể không phải lúc nào cũng là bắt buộc, đặc biệt là khi người dùng yêu cầu hỗ trợ, chẳng hạn như trên một trang web mua sắm. Tuy nhiên, khi người dùng muốn truy cập vào dữ liệu của mình, chẳng hạn như thông tin cá nhân hoặc số dư tài khoản, xác thực và ủy quyền trở nên cần thiết để xác định rằng người dùng được xác minh bằng thông tin đăng nhập hợp lệ và an toàn. Việc ủy quyền giúp đảm bảo chính xác đúng người có quyền truy cập vào dữ liệu và dịch vụ phù hợp.
Thông tin đăng nhập phổ biến nhất là tên người dùng, địa chỉ mạng, số điện thoại, ID hệ thống, nhận dạng sinh trắc học, chứng chỉ, mật khẩu và các thông tin đăng nhập khác. Người dùng gửi các thông tin xác thực này đến hệ thống, hệ thống sẽ tạo mã thông báo xác thực an toàn được sử dụng trong suốt phiên sử dụng. Các mã thông báo bảo mật này chỉ là tạm thời và tồn tại trong một khoảng thời gian nhất định.
Xác thực hai yếu tố đảm bảo rằng dữ liệu và thông tin liên lạc của người dùng an toàn hơn. Người dùng có thể xác nhận xác thực thông tin đăng nhập tài khoản qua email và tin nhắn văn bản. Ngoài ra còn có các lược đồ xác thực đa yếu tố được sử dụng trong quá trình đăng nhập và cuộc trò chuyện với chatbot.
Mã hóa End-to-End
Mã hóa End-to-End (E2EE) là một hệ thống liên lạc trong đó chỉ các bên liên quan mới có thể đọc được thông điệp. Cuộc hội thoại được mã hóa để chỉ người nhận duy nhất của tin nhắn mới có thể giải mã nó, mà không có nhân vật trung gian. Do đó, điều quan trọng là phải đảm bảo rằng chỉ các bên liên quan mới có quyền truy cập vào các khóa mật mã cần thiết để giải mã cuộc hội thoại.
Nhiều chatbot trên trang web chỉ sử dụng giao thức truyền siêu văn bản an toàn (HTTPS), giao thức này mã hóa dữ liệu và gửi dữ liệu qua Lớp cổng bảo mật (SSL) hoặc Bảo mật lớp truyền tải (TLS). Thay vì mã hóa end-to-end, HTTPS sử dụng mã hóa ‘point-to-point. Kết nối của người dùng với bộ cân bằng tải là an toàn, nhưng dữ liệu được giải mã và trả về dưới dạng văn bản thuần túy. Do đó, tất cả các dịch vụ sau bộ cân bằng tải đều dễ bị tấn công. Chỉ có E2EE mới có thể đảm bảo truyền dữ liệu an toàn giữa những người tham gia.
Tin nhắn tự hủy
Tin nhắn tự hủy là một giải pháp thực tế trong nhiều trường hợp khi PII thông tin nhận dạng cá nhân PII được truyền đi. Nó có nghĩa là các tin nhắn chứa PII sẽ tự động bị xóa sau một thời gian nhất định. Đặc biệt, trong giao tiếp với chatbot lĩnh vực tài chính, ngân hàng và chăm sóc sức khỏe, tin nhắn tự hủy là phương pháp bảo mật tối quan trọng. Do đó, Điều 5(e) của Quy định bảo vệ dữ liệu chung (GDPR) quy định dữ liệu cá nhân không được lưu giữ lâu hơn mức cần thiết cho các mục đích xử lý.
Kết luận
Chatbots có những lợi thế không thể bàn cãi: chúng hoạt động 24/7, chi phí thấp hơn, giao tiếp bằng ngôn ngữ tự nhiên và quản lý nhiều nhiệm vụ khác nhau. Chatbot thân thiện với người dùng hơn so với email hoặc biểu mẫu web. Chatbot cũng có thể hoạt động trên phương tiện truyền thông xã hội, trang web, điện thoại di động, máy tính,… Người dùng có thể sử dụng chatbot để giao tiếp với ngân hàng, trợ lý chăm sóc sức khỏe, cửa hàng trực tuyến, ô tô, công ty bảo hiểm, sân bay,… Do đó, việc đảm bảo giao tiếp an toàn với chatbot là điều rất cần thiết nhằm giữ bảo mật cho dữ liệu người dùng.
Minh Hoàng
