74% отелей не защищены должным образом от киберугроз.

С июля 2018 по июнь 2020 года исследователи Akamai зафиксировали более 100 млрд с хакерских атак с кражей персональных данных. Компания, специализирующаяся на кибербезопасности и облачных решениях, обнаружила 63 млрд инцидентов в отельной и ритейл-индустриях, сообщает welcometimes.ru. 

В «Прогнозном отчете об отелях за 2018-2022 годы» PwC, гостиничная индустрия стоит на втором месте по количеству утечек данных, после ритейла. Эксперты утверждают: 74% отелей не обладают должной защитой от киберугроз. 

Прогнозы и факты 

Этот отчет оказался пророческим. Так, две из пяти нашумевших атак 2020 года поразили сети отелей. Кибермошенники украли персональные данные 5.2 млн гостей Marriott и 10.6 млн клиентов MGM Resorts. Злоумышленники завладели даже паспортными сведениями и информацией о водительских правах клиентов.

А в начале октября 2021 зафиксирована атака программы-вымогателя, направленная на испанскую сеть отелей Meliá. Хакеры получили контроль над частью внутренней сети и несколькими веб-серверами. В руках киберпреступников оказалась система бронирования номеров.
В середине октября 2021 от атаки пострадала сеть отелей в Таиланде премиум-класса Centara Hotels&Resorts. Хакерская группировка Desorden завладела 400 Гб персональных данных. А ведь эти файлы принадлежали миллионам клиентов по всему миру!

В чем уязвимость баз данных отеля? 

При бронировании пользователи вводят номера карт на специальном сайте или в приложении. И если в этот момент случится веб-атака, банковская информация попадет в руки к преступникам. Также многие отели запускают программы лояльности, собирают данные клиентов в специальных формах. Организации рассылают электронные письма и SMS-сообщения с напоминаниями и обновлениями. Но при взломе программы лояльности, хакеры получат персональные данные клиентов. Дальше киберпреступники требуют выкуп за эти сведения или продают информацию в темном вебе.

Wi-Fi – беда или благо?

Как сообщает Hospitality Net, на сегодняшний день главной угрозой безопасности является Wi-Fi соединение. С одной стороны, любой отель должен предоставить беспроводной Интернет гостям. С другой, в гостевых сетях часто находят уязвимости, открывающие портал в мир хакерских атак. Как правило, в гостевом Wi-Fi запрограммированы пароли, которые хакер легко подберет. Учитывая, что программы для взлома Wi-Fi можно за пару долларов купить в темном вебе, это сделает даже школьник. Итак, киберпреступник взламывает Wi-Fi, удаленно подключается к настройкам, заходит в базы данных. Программирует сеть так, как ему заблагорассудится, даже может перенаправлять ничего не подозревающих пользователей на вирусные сайты.
Но у этой проблемы, оказывается, есть простые решения.

Ответственность.

На отеле лежит ответственность за сохранность персональных данных гостей в соответствии с 152 ФЗ РФ «О персональных данных». Поскольку отель является оператором персональных данных, в случае кражи и распространения данных гостей, включая персональные данные и данные платежных карт, отель несет ответственность за их сохранность.  Лица, виновные в нарушении требований 152 ФЗ РФ «О персональных данных», несут гражданскую, уголовную, административную ответственность, а на отель может быть наложен штраф до 18 млн рублей!

Статус и имидж

Плохие отзывы про безопасность данных в отеле ведут к снижению бронирований. Более 50% гостей не поедут в отель, если узнают, что отель не соблюдает правила безопасности данных (по статистике компании Morfices -системы кибербезопасности).

Одна из причин утечки персональных данных — человеческий фактор.

По данным исследования Лаборатории Касперского около 58% всех киберинцидентов в компаниях (например, утечек данных в открытый доступ или краж денег со счетов клиентов) происходит по вине сотрудников. Чаще всего безопасность фирмы под угрозу ставится не по злому умыслу работников, а из-за неосторожности или незнания.

Антитеррор и информационная безопасноСть - где связь?

А связь очень простая. 

Дело в том, что требованиями по антитеррористической защищенности гостиниц (п. 16 постановления Правительства РФ №447) и санаториев (п. 16 постановления Правительства РФ №8) установлены соответствующие требования для владельцев и руководителей таких объектов.

Таким объектам предписывается организовать обеспечение информационной безопасности, разработать и реализовать меры, исключающие несанкционированный доступ к информационным ресурсам объектов (территорий), применять современные информационно-коммуникационные технологии для обеспечения безопасности объектов, а также осуществлять мероприятия по защите информации.

Как все это учесть и выполнить?

Так как защитить персональные данные гостей отеля, а свой гостиничный бизнес от хакеров и огромных штрафов? Можно ли минимизировать риски утечки персональных данных через специальные правила работы с паролями? Что такое фишинг и как с ним бороться? Как устранить одну из ключевых причин утечки персональных данных — "дырявое" программное обеспечение? Как и где получить знания по основам кибербезопасности? Можно ли самостоятельно исключить дыры в Wi-Fi? Какие технологии применять и к кому обращаться в связи с уходом с рынка многих брендов в сфере информационной и кибербезопасности?

На эти вопросы эксперты сферы информационной безопасности постараются ответить на страницах специального Практического пособия для отельеров и владельцев (руководителей санаториев). Подробнее о Пособии >