Bài giảng Hệ thống thông tin quản lý - Chương 11: Vấn đề bảo mật và kiểm soát các hệ thống thông tin

Chương 11: Vấn đề bảo mật và kiểm soát các hệ thống thông tin Nội dung 1. Giới thiệu 2. Quyền riêng tư (Privacy) 3. Bảo mật (Security) 4. Đạo đức (Ethic) 3/30/201 6 Trang 2 Tính dể bị tổn thương của các HTTT  Thông tin và dữ liệu tồn tại dưới nhiều dạng khác nhau:  In hoặc viết ra giấy  Trong các thiết bị lưu trữ  Truyền phát qua con đường thư tín  Trên internet Tại sao các HTTT lại dễ bị tổn thương  Con người là 1 thành phần quan trọng trong các HTTT  Con người dùng hệ thống với những mục đích khác nhau Những câu hỏi cho vấn đề bảo mật liệu những thông tin cá nhân của chúng ta có bị phát tán và sử dụng mà không có sự cho phép của chúng ta?  Và khi chúng ta sử dụng Internet, liệu các thông tin của chúng ta có đang bị thu thập và chia sẻ với những người khác?  Liệu công nghệ có làm cho việc xâm nhập sự riêng tư của người khác trở nên dễ dàng?  Khi chúng ta thực hiện một giao dịch vay tiền, đăng ký bằng lái xe, hay thanh toán tiền ở siêu thị, Những vấn đề cần quan tâm  Quyền riêng tư (Privacy): Những mối đe dọa đến sự riêng tư cá nhân là gì và làm thế nào chúng ta có thể bảo vệ chính mình?  Bảo mật (Security): Làm thế nào để việc truy cập vào các thông tin nhạy cảm được kiểm soát và làm thế nào chúng ta có thể đảm bảo an toàn cho phần cứng và phần mềm?  Đạo đức (Ethic): Những hành động của người dùng cá nhân và tổ chức sẽ ảnh hưởng như thế nào đến xã hội? Nội dung 1. Giới thiệu 2. Quyền riêng tư (Privacy) 3. Bảo mật (Security) 4. Đạo đức (Ethic) 3/30/201 6 Trang 7 Quyền riêng tư (Privacy)  Liên quan đến việc thu thập và sử dụng dữ liệu cá nhân. Có ba vấn đề về quyền riêng tư chính:  Độ chính xác (Accuracy) liên quan đến trách nhiệm của những người thu thập dữ liệu để đảm bảo rằng dữ liệu là chính xác.  Quyền sở hữu (Property) liên quan đến những người sở hữu dữ liệu và quyền đối với phần mềm.  Truy cập (Access) liên quan đến trách nhiệm của những người kiểm soát dữ liệu, đảm bảo dữ liệu được truy cập chính xác. Thông tin được thu thập mọi nơi  Những công ty viễn thông tổng hợp danh sách các cuộc gọi của khách hàng, thời gian gọi, vị trí từ GPS  Những ngân hàng lưu trữ các thông tin của khách hàng như các giao dịch trực tiếp hay thông qua ATM, mua bán bằng thẻ  Các siêu thị lưu trữ những sản phẩm khách hàng mua, khi nào mua, số lượng và giá.  Các công cụ tìm kiếm (search engine) lưu trữ lịch sử tìm kiếm cũng như các trang người dùng viếng thăm  ... Kỷ nguyên Big Data  Dung lượng (Volume): Theo tài liệu của Intel vào tháng 9/2013, cứ mỗi 11 giây, 1 PB dữ liệu được tạo ra trên toàn thế giới, tương đương với một đoạn video HD dài 13 năm. Facebook phải xử lý khoảng 500 TB dữ liệu mỗi ngày  Tốc độ (velocity): Tổ chức McKinsey Global ước tính lượng dữ liệu đang tăng trưởng với tốc độ 40%/năm, và sẽ tăng 44 lần từ năm 2009 đến 2020  Tính đa dạng (variety): Các kiểu dữ liệu có cấu trúc, bán cấu trúc và không có cấu trúc tồn tại dưới nhiều hình thức bao gồm hình ảnh, âm thanh, video, văn bản, v.v Một ngành công nghiệp thu thập dữ liệu  Một ngành công nghiệp thu thập dữ liệu xuất hiện được gọi là các đại lý thông tin (information resellers) hoặc môi giới thông tin (information brokers) chuyên đi thu thập và bán dữ liệu cá nhân cho các tổ chức khác  Đại lý thông tin sử dụng cơ sở dữ liệu công khai và trong nhiều trường hợp cơ sở dữ liệu không công khai để tạo hồ sơ điện tử (electronic profile) hoặc mô tả chi tiết các hồ sơ cá nhân  Hồ sơ điện tử bao gồm tên của bạn, địa chỉ, số điện thoại, số chứng minh nhân dân, số bằng lái xe, số tài khoản ngân hàng, số thẻ tín dụng, hồ sơ điện thoại, và mua sắm... Thông tin cá nhân của bạn, bao gồm cả sở thích, thói quen, và dữ liệu tài chính, đã trở thành một mặt hàng trên thị trường Vấn đề đặt ra  Thông tin cá nhân từ các khu vực công cộng:  Chuyện gì sẽ xảy ra nếu mọi người có thể xem hình ảnh chi tiết của bạn và gia đình bạn? (Street View của Google, camera ở nơi công cộng)  Truyền bá thông tin cá nhân mà không được phép:  Bạn sẽ cảm thấy thế nào nếu các nhà tuyển dụng sử dụng hồ sơ y tế của bạn để đưa ra quyết định về tuyển dụng, vị trí, khen thưởng, hay sa thải?  Bạn sẽ cảm thấy thế nào nếu người nào đó giả danh tính của bạn để mua quần áo, xe hơi, và một ngôi nhà? Đây là một trong những loại tội phạm phát triển nhanh nhất trên thế giới Vấn đề đặt ra  Truyền bá thông tin không chính xác:  Điều gì xảy ra nếu bạn không thể tìm thấy một công việc hoặc bị sa thải khỏi công việc vì một lỗi hình sự trong quá khứ? Điều này có thể xảy ra do lỗi văn thư đơn giản hay do việc chuyển hay lưu trữ thông tin có sai xót Riêng tư mạng  Giả sử bạn sử dụng hệ thống thư điện tử của công ty để gửi cho một đồng nghiệp với nội dung không tốt về cấp trên hoặc để gửi một thông điệp mang đầy tính cá nhân cho bạn bè.  Theo các báo cáo gần đây nhất của Đại hội nghiệp đoàn Vương quốc Anh (Trades Union Congress - TUC) (2015), các thiết bị công nghệ cao về giám sát hoạt động của nhân viên nơi làm việc đã ngày càng được chủ công ty tăng cường đầu tư và đưa vào khai thác triệt để.  Các công ty hoàn toàn có thể tránh được trách nhiệm pháp lý nếu họ đã báo trước cho nhân viên biết về hoạt động của các hệ thống theo dõi điện toán. Ngay cả khi công ty chưa thông báo như vậy, những khiếu kiện về quyền riêng tư nơi công sở cũng khó thành công. Riêng tư mạng  Có rất nhiều kỹ thuật và công cụ hỗ trợ giúp công ty theo dõi các hoạt động của nhân viên như:  Quản lý các hoạt động trên máy tính và dùng Webcam để quan sát nhân viên;  Quan sát bằng máy quay video (video surveillance) hay theo dõi chuyển động thông qua hệ thống định vị toàn cầu (GPS tracking);  Nghe trộm điện thoại (remote listening)  Kiểm tra khả năng sử dụng chất kích thích (drug testing)  Thói quen đi vệ sinh (toilet habits). Riêng tư mạng Internet và Web  Khi bạn gửi e-mail trên Internet hoặc duyệt Web, bạn lo ngại gì về bảo mật không?  Không. Bởi vì:  Sử dụng máy tính của mình  Hạn chế tiết lộ thông tin cá nhân trên mạng Internet và Web  Mỗi máy tính trên Internet được xác định bởi một số duy nhất được biết đến như một địa chỉ IP. Nó cho phép các chuyên gia bảo mật máy tính và cán bộ thực thi pháp luật điều tra tội phạm máy tính.  Khi bạn duyệt web, trình duyệt sẽ lưu trữ thông tin quan trọng trên ổ cứng của bạn, thường là bạn không biết. Thường các trình duyệt web sẽ lưu trữ các hoạt động bạn trong các tập tin lịch sử (History file) và tập tin internet tạm thời (Temporary Internet file) Internet và Web  Các hoạt động lướt web của bạn có thể được theo dõi qua các tập tin cookie.  Cookie thường được tạo ra khi người dùng truy cập một website, cookie sẽ ghi nhớ những thông tin như tên đăng nhập, mật khẩu, các lựa chọn do người dùng lựa chọn đi kèm. Sẽ rất có ích trong các trang thương mại điện tử giúp người dùng không cần đặng nhập lại  Hacker có thể dễ dàng lắng nghe và khai thác thông tin trong cookie nếu trang web không dùng HTTPS Internet và Web  Phần mềm gián điệp (spyware) là loại phần mềm chuyên thu thập các thông tin của máy bị nhiễm qua mạng Internet mà không có sự nhận biết và cho phép  Xuất hiện trong các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware)  Có khả năng điều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác, cài đặt các spyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các thông tin trở về cho chủ spyware  Có khả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các tin tức riêng tư của người chủ máy (như là số tài khoản ở ngân hàng, ngày sinh và các con số quan trọng khác...) Internet và Web  Dấu hiệu nhận biết máy bị nhiễm Spyware:  Các chương trình chống spyware không hoạt động được  CPU 100%  Không hề làm gì với mạng mà vẫn thấy đèn gửi/nhận chớp sáng  Xuất hiện những công cụ search lạ  Bạn nhận một cửa sổ quảng cáo khi trình duyệt chưa hề chạy và ngay cả khi máy chưa nối kết với Internet hay là bạn nhận được các quảng cáo có đề tên bạn trong đó  Gõ vào các địa chỉ quen biết mà chỉ nhận được trang trống không hay bị báo lỗi "404 Page cannot be Found" Internet và Web  Dưới đây là tên một số phần mềm bạn có thể sử dụng:  Spyware Hunter  Malwarebytes  ADWCleaner  JunkWare Removal Tool  HitMan Pro  Hay các phần mềm diệt virus: Bit Defender, Bkav Pro, Kaspersky Nội dung 1. Giới thiệu 2. Quyền riêng tư (Privacy) 3. Bảo mật (Security) 4. Đạo đức (Ethic) 3/30/201 6 Trang 23 Bảo mật  Mọi người đều cần môi trường an toàn để sinh sống:  Cẩn thận để khóa xe và nhà cửa  Cẩn thận đi bộ vào ban đêm  Đây là an ninh cá nhân.  Còn an ninh máy tính là gì?  Điều gì xảy ra nếu một ai đó có quyền truy cập trái phép vào máy tính của bạn?  Những người này được biết đến như là hacker.  An ninh bao gồm việc bảo vệ những cá nhân và tổ chức khỏi trộm cắp và nguy hiểm.  An ninh máy tính tập trung vào việc bảo vệ thông tin, phần cứng, và phần mềm khỏi việc truy cập trái phép. Tội phạm máy tính  Báo cáo mới nhất từ Trung tâm Nghiên cứu Chiến lược và Quốc tế (CSIS), Mỹ với sự tài trợ của hãng bảo mật McAfee (2014) cho biết:  Tội phạm mạng đang trở thành thế lực gây tổn hại đến thương mại, cạnh tranh và đổi mới.  Thiệt hại cho nền kinh tế thế giới ước tính vào khoảng hơn 400 tỷ USD mỗi năm, trong đó thiệt hại do đánh cắp tài sản sở hữu trí tuệ vượt quá 160 tỷ USD.  Tội phạm máy tính có thể sử dụng 1 loạt các công cụ hay kỹ thuật như:  Các chương trình độc hại (malicious program)  Tấn công từ chối dịch vụ (denial of service attacks)  Lừa đảo mạng (Internet scams) Chương trình độc hại  Chương trình độc hại hay còn gọi là malware, là một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống.  Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn quen gọi chung là virus máy tính ở Việt nam như: worm, trojan, ... thậm chí là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit, key-logger, ... Chương trình độc hại  Virus:  Là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,...).  Không thể tự phát tán mà không có sự tác động của con người  Worm:  Có khả năng tự nhân bản mkhông cần tác động của con người  Lan rộng cực kỳ nhanh chóng  Trojan horse  Sự tích “Ngựa thành Troa”  Không phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản. Chương trình độc hại  Công cụ tấn công (Attacker Tool):  Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong hệ thống  Attacker tool thường gặp là backdoor và keylogger  Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,...  Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Ví dụ về keylogger như: KeySnatch, Spyster, ... Tấn công từ chối dịch vụ  Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of Service) là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính  Tại Việt Nam, theo thống kê của Cục An toàn thông tin (Bộ Thông tin – Truyền thông) trong tháng 8/2015 đã có 907 máy chủ và 2.088 website bị tấn công DDoS. Theo thống kê của VNCERT thì riêng quý 1 năm 2015 đã ghi nhận 365.644 lượt địa chỉ IP Việt Nam thuộc các mạng Botnet tham gia tấn công DDoS vào rất nhiều mục tiêu trên thế giới, trong đó có rất nhiều địa chỉ IP trực thuộc các cơ quan nhà nước Tấn công từ chối dịch vụ  Theo báo cáo của Chi hội An toàn Thông tin phía Nam tại Ngày An toàn thông tin Việt Nam lần thứ 8 ngày 19/11/2015 cho thấy:  Có 6,6% doanh nghiệp có hệ thống phòng chống tấn công DoS/DdoS  Có hơn 10% doanh nghiệp có hệ thống phát hiện xâm nhập (IDS/IPS);  Lọc nội dung web là 17,1%;  Bộ lọc chống thư rác (Anti-Spam) là 19,4%;  Kiểm soát truy cập là 13,7%;  Bảo mật mạng không dây là 26,1%;  Hệ thống quản lý sự kiện an toàn thông tin (SIEM- Sercurity Inciden&EVent Management) là 7,1%... Lừa đảo qua mạng  Lừa đảo qua mạng (thuật ngữ phổ biến trong tiếng Anh là Social Engineering) là tên gọi của một hình thức tấn công người dùng thông qua Internet.  Khác với các hình thức tấn công bằng mã độc, các vụ tấn công "social engineering" sẽ không tập trung vào khai thác điểm yếu của phần cứng hay phần mềm. Thay vào đó, chúng sẽ tập trung khai thác tâm lý của nạn nhân Lừa đảo qua mạng  Giả danh (phishing) làm quản trị của game, dịch vụ, ngân hàng  Đây là một trong những hình thức lừa đảo phổ biến nhất trên các dịch vụ trực tuyến và game online  Kẻ xấu sẽ tạo các tài khoản/địa chỉ email lừa đảo có những từ khóa dễ lừa người dùng như "admin", "mod", "quantri" hoặc tên của công ty cung cấp dịch vụ/game  Mỗi năm, ở Mỹ thiệt hại về phishing là 500 triệu đô la và có 57 triệu người ở Mỹ đã nhận được các bức thư có giới thiệu các link tới các WEBsite lừa đảo  Năm 2005, lần đầu tiên ở Việt Nam đã phát hiện và đưa ra pháp luật các vụ ăn cắp tiền qua tài khoản để mua hàng qua mạng Lừa đảo qua mạng  Tạo trang web giả  Với hình thức lừa đảo này, kẻ xấu sẽ tạo ra trang web giả dạng làm một dịch vụ mà bạn đang sử dụng.  Mục tiêu của chúng cũng là để lấy cắp thông tin cá nhân (bao gồm cả tài khoản ngân hàng và số thẻ) và lừa bạn nạp tiền qua thẻ điện thoại Lừa đảo qua mạng  "Ai quan tâm đến bạn", "Cách tạo nút dislike", "Cách đổi tên quá 5 lần" trên Facebook  Hướng dẫn cách hạn chế các chức năng bằng các đoạn mã Javascript  Các câu bình luận lừa đảo nạp thẻ trên Facebook, diễn đàn mạng  Kẻ xấu sẽ nói về một "lỗi" hệ thống trên máy chủ của các nhà mạng, sau đó khuyến cáo người dùng nạp thẻ vào một dãy số lạ Lừa đảo qua mạng  Thông báo "giả" trên trang web  Các ô thông báo giả này sẽ tuyên bố rằng Windows của bạn bị nhiễm virus, bị lỗi Khi bạn click vào các ô thông báo giả này, bạn sẽ được dẫn tới một trang web có chứa phần mềm "quét virus" hoặc "sửa lỗi“  Các thông báo dạng như "Bạn đã trúng thưởng iPhone" hoặc "Người truy cập thứ 100.000 sẽ được nhận 100.000 USD" sẽ lừa bạn tải về mã độc  Giả người nổi tiếng  Một tình trạng tương đối phổ biến trên Facebook tại Việt Nam là mỗi ca sĩ, người nổi tiếng sẽ có rất nhiều trang Facebook giả Lừa đảo qua mạng  Lừa đảo mạng Wi-Fi Hotspots  Bắt chước các mạng miễn phí.  Sau khi kết nối, mạng lưới lừa đảo sẽ lấy cắp các thông tin được gửi bởi người dùng khi truy cập các trang web như tên người dùng và mật khẩu Các biện pháp để bảo vệ an ninh máy tính  Các bước ngăn cản chương trình độc hại  Kích hoạt và luôn luôn duy trì tường lửa  Lưu dự phòng thường xuyên dữ liệu, chuẩn bị trong trường hợp máy tính gặp sự cố.  Đừng kích vào link hay tệp đính kèm trong email trừ phi chắc chắn về nội dung của chúng.  Tải và cài đặt phần mềm từ các website tin cậy  Cập nhật bản vá và phần mềm diệt virus thường xuyên Các biện pháp để bảo vệ an ninh máy tính  Cách phòng tránh lừa đảo qua mạng  Không bao giờ gửi tên tài khoản, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng và các thông tin cá nhân qua email, Skype, Facebook Messenger, tin nhắn hay các dịch vụ chat trong bất kì một trường hợp nào  Lưu ý tới các địa chỉ web, email chính thức và số điện thoại xác thực của ngân hàng, dịch vụ mà bạn đang sử dụng  Trước khi cung cấp thông tin cá nhân, trước khi nhắn tin hoặc sử dụng số thẻ nạp trên mạng, hãy thử suy nghĩ một cách tỉnh táo. Nếu Garena thực sự muốn tặng quà cho bạn, tại sao họ không công bố trên trang chủ của mình mà lại dùng tới một trang web xa lạ? Nếu Viettel muốn khuyến mại cho người dùng, tại sao họ không thông báo qua đường SMS mà lại cung cấp một cổng nạp thẻ không hề thuộc về các tên miền chính thức của Viettel? Tạo môi trường kiểm soát trong các hệ thống thông tin  Để tối thiểu hoá các sai sót, thảm họa, gián đoạn dịch vụ, tội phạm máy tính & sự vi phạm bảo mật, các chính sách & qui trình đặc biệt cần phải được kết hợp trong việc thiết kế & triển khai thực hiện HTTT. Kết hợp các đo lường thủ công & tự động để bảo vệ HTTT & bảo đảm HTTT hoạt động theo các chuẩn quản lý gọi là kiểm soát.  Kiểm soát: gồm các phương pháp, chính sách & qui trình tổ chức để đảm bảo sự an toàn cho tài sản của tổ chức, độ chính xác & tin cậy của các mẩu tin, & sự tuân thủ hoạt động điều hành theo các chuẩn quản trị Tạo môi trường kiểm soát trong các hệ thống thông tin  Kiểm soát tổng quát  Là quản lý việc thiết kế, bảo mật, sử dụng chương trình máy tính, & việc bảo mật của tập tin DL 1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ thông tin của tổ chức.  Bao gồm kiểm soát phần mềm, kiểm soát phần cứng vật lý, kiểm soát các hoạt động máy tính, kiểm soát bảo mật DL, kiểm soát trên qui trình thực hiện HT & kiểm soát quản trị Tạo môi trường kiểm soát trong các hệ thống thông tin  Kiểm soát tổng quát Tạo môi trường kiểm soát trong các hệ thống thông tin  Mã hóa bằng public-key  Hệ thống phát hiện xâm nhập  Xác thực sinh trắc học qua hệ thống quét tròng mắt  Firewall  Lớp socket an ninh (SSL)  Common Criteria - Bộ tiêu chí chung về bảo mật Nội dung 1. Giới thiệu 2. Quyền riêng tư (Privacy) 3. Bảo mật (Security) 4. Đạo đức (Ethic) 3/30/201 6 Trang 43 Đạo đức  Tình trạng vi phạm bản quyền phần mềm  Rất phổ biến không chỉ riêng ở các nước đang phát triển. Ngay ở Mỹ cũng có đến 1/3 số người dùng phần mềm không có bản quyền  Riêng năm 2013, mức thiệt hại do vi phạm bản quyền phần mềm gây ra là hơn 21 tỉ USD  Việt Nam luôn nằm trong số những nước có tỉ lệ vi phạm bản quyền phần mềm cao nhất trong khu vực và trên thế giới  Trước khi hệ thống pháp luật trong nước về sở hữu trí tuệ chưa hoàn thiện thì tỉ lệ này luôn luôn trên 90%. Sau khi Luật Sở hữu trí tuệ được ban hành và có hiệu lực từ năm 2006, trong liên tiếp 3 năm, từ 2007 đến 2009, tỉ lệ này ở Việt Nam đã giảm xuống và ở mức 85%. Đến năm 2014, tỉ lệ này tiếp tục giảm xuống còn 81% Đạo đức  Một số tình huống đạo đức trên thực tế  Điều gì sẽ xảy ra nếu bạn nghiên cứu một tài liệu nào đó và phát hiện ra bí mật thương mại của công ty?  Sẽ thế nào nếu sau đó bạn nghỉ việc và chuyển sang làm việc cho một công ty là đối thủ cạnh tranh với công ty cũ?  Liệu có sai trái không, nếu bạn sử dụng những kiến thức thu được trước đó cho công việc mới?  Và liệu có “sai hơn” hay không, nếu bạn in tài liệu đó và mang theo mình, thay vì chỉ ghi nhớ chúng trong đầu? Đạo đức  Một số tình huống đạo đức trên thực tế  Điều gì sẽ xảy ra nếu những tài liệu mà bạn đọc được cho thấy rằng công ty của bạn đã vi phạm luật pháp hoặc quy định khác của chính quyền?  Bạn sẽ vì nghĩa vụ mà tố cáo hay vì tình nghĩa mà giữ bí mật cho sếp?  Và sự lựa chọn có khác đi không, nếu trước khi thực hiện công việc, bạn đã ký với công ty một thỏa thuận không tiết lộ thông tin (nondisclosure agreement)? Đạo đức  Một số tình huống đạo đức trên thực tế  Liệu có sai trái không, nếu bạn yêu cầu từ các công ty đó quá nhiều tiền cho mỗi giờ tư vấn, hay bạn coi đó là trường hợp “ra cái giá mà thị trường chấp nhận trả”?  Liệu có là sai trái không nếu bạn kê khai giá thiết bị, phần mềm cao hơn so với thực tế để kiếm lời? Còn việc nhận “lại quả” từ nhà sản xuất thiết bị thì sao? Liệu có là sai trái nếu bạn nhận “phần trăm” từ nhà sản xuất để thuyết phục kh