IT-безопасность

Крупнейшая в мире гостиничная сеть Marriott International сообщила о масштабной утечке персональных данных своих постояльцев. Подробнее >

«Хакеры получили доступ к информации о пятистах миллионах постояльцев отелей сети»,— продолжает издание — «Триста двадцать семь миллионов учетных записей клиентов включали имена, даты рождения, пол, номера телефонов и паспортов, адреса электронной почты и почтовые адреса. Некоторые аккаунты содержали данные банковских карт гостей, хотя и в зашифрованном виде».

Marriott International передала информацию об инциденте правоохранительным органам. И активно сотрудничает с ними. Компания начала уведомлять о взломе регуляторов. Как следствие, 30 ноября на предварительных торгах в Нью-Йорке акции гиганта подешевели более чем на пять процентов.

К слову, по данным компании Infowatch, сектор гостиничного бизнеса, ритейла и общественного питания оказался наиболее подвержен утечкам платежной информации. В 2016 — 2017 годах было скомпрометировано более пятидесяти семи процентов платежных данных, утекло более ста миллионов записей. На Россию пришлось около десяти процентов всех утечек.

Аналитики компании связывают резкий рост утечек платежных данных с цифровой трансформацией отрасли, внедряющей новые формы оплаты и взаимодействия с клиентом. Объемы информации, обрабатываемой в торговых сетях, отелях, ресторанах растут, что повышает интерес к ним со стороны злоумышленников.

Как же мог один из главных игроков мировой гостиничной индустрии допустить беспрепятственную утечку огромного объема персональных данных своих постояльцев на протяжении почти пяти лет?

Смею предположить, что серьезный сбой в системе безопасности оператора мог произойти в непростой для компании период. В 2016 году произошло ее расширение за счет покупки другого влиятельного игрока отрасли — компании Starwood Hotels and Resorts, владеющей такими брендами, как Sheraton, Autograph, St.Regis, RitzCarlton и другими. Образовался супер-гигант — Marriott International.

Рискну предположить, что компанию застигли врасплох. В сложнейший технологический период — когда две компании объединялись в единую империю — утечку просто проглядели. И злоумышленники использовали один из двух самых распространенных сценариев кражи персональных данных в гостиницах, относительно простой и недорогой. Недобросовестный сотрудник или группа лиц «сливала» хакерам за вознаграждением клиентскую базу сети Starwood. А в 2016 году — по завершении сделки — злоумышленники получили доступ и к базе Marriott. И продолжали успешно делать свое «черное дело», пока утечку не остановила служба внутренней безопасности компании-гиганта.

Другой, более распространенный сценарий кражи данных — взлом операционной системы. Абсолютное большинство сетевых гостиниц в мире, особенно американских, использует в своей операционной деятельности надежную и хорошо отработанную систему управления отелями Micros-Fidelio, продукт созданный компанией Oracle. Взламывать «в лоб» такую систему сродни попыткам пробить молотком тяжелую бронированную дверь в сейфовое хранилище банка. Сломать ее молотком, наверное, возможно — лет за пятьдесят, потратив кучу денег. Есть более простой и недорогой путь — найти слабое место, обходной путь. И в девяноста девяти процентах случаев такой лазейкой становится пресловутый человеческий фактор — нарушение нерадивыми сотрудниками инструкций по IT— безопасности.

Дело в том, что большинство рабочих мест в гостиницах имеют доступ в интернет. Задача хакеров — в первую очередь завладеть рабочими местами. Сотрудникам гостиниц отправляют «зараженные» вирусом электронные письма, либо вирус «добровольно» заносят безответственные менеджеры — через «левые» флэшки, диски, внешние жесткие диски. А позже сами «зараженные» рабочие места становятся точками входа в систему управления отелем.

По статистике атакам хакеров чаще всего подвергаются рабочие места в службе приема и размещения. Ведь сотрудники этой службы имеют существенно больше прав доступа к системе и персональным данным гостей, чем другие подразделения.

Но главный вопрос — какой вред злоумышленники могут причинить сотням миллионов бывших постояльцев гостиниц, заполучив их персональные данные и номера банковских карт?

На мой взгляд, опасения потребителей все же преувеличены. И носят скорее эмоциональный характер. Ведь тема защиты персональных данных постоянно обсуждается в СМИ.

Несмотря на то, что в мире активно муссируются слухи о существовании сервисов по продаже личных данных, которые якобы активно используются в дальнейшем другими мошенниками для получения кредитов, оформления фирм-однодневок и прочих преступных схем, в реальности все не так. Или не совсем так.

На практике использовать полученные у гостиниц персональные данные постояльцев для проведения мало-мальски существенных сделок практически невозможно. Ведь речь идет лишь об отдельных личных данных, которые зачастую не являются даже конфиденциальной информацией. И передаются самими потребителями различным сервисам и оффлайн службам ежедневно.

Что же касается банковских карт, то с ними хакерам справиться гораздо сложнее. Ведь в системе управления отелями банковские карты и финансовая информация хранятся исключительно в зашифрованном виде. А для дешифрования злоумышленникам потребуется огромное количество времени. И главное, большие финансовые затраты — что всерьез снижает ценность и коммерческую привлекательность полученной информации.

Хакеры не стремятся получить персональные данные, чтобы дальше продать их на рынке. И, конечно, у них нет специальной цели навредить постояльцам. Их коммерческий интерес — развести «жирного» клиента «на лоха», стрясти с богатой пугливой корпорации значительные суммы, шантажируя ее тем, что утечка персональных данных клиентов — крайне чувствительная и широко обсуждаемая тема. А слив информации об утечке в паблик чреват существенными имиджевыми, а значит и финансовыми потерями для самой компании.

Но в случае с Marriott хакеры просчитались. «Выкуп» за молчание и за украденную информацию они не получат. Ведь Marriott International — глобальная публичная компания. А вступать в сделку с мошенниками для подобных компаний — гораздо более рискованный шаг, чем признать ошибки.

Шумиха в СМИ вскоре уляжется. И все забудут о случившемся. Marriott выплатит многомиллионные суммы пострадавшим и усилит контроль за своей IT-безопасностью.

На днях топ-менеджер компании сообщил Financial Times, что она «не ожидает долгосрочного негативного влияния на свои показатели». А президент и главный исполнительный директор Marriott International заверил, что «компания открыто сотрудничает с правоохранительными органами и регулятором». И возместит стоимость получения нового паспорта каждому обратившемуся». Источник >

И в самом деле, как к этому относиться и какие это может иметь последствия? Это определяет каждый для себя. Одно понятно, что доступ к персональным данным- это не просто неприятная вещь, напоминающая копание в твоем грязном белье посторонних людей, это еще и реальные риски, и угрозы лишиться денежных средств, имущества или быть втянутым в различного рода негативные истории.

А поэтому, к вопросу о праве доступа и защиты персональных данных легковесно относиться весьма и весьма неосмотрительно! Данная работа не сводится к формальному получению письменного согласия человека на получение и обработку его персональных данных. При этом не нужно забывать, что это огромнейшая ответственность, обусловленная возможными колоссальными последствиями.  

Учитывая это обстоятельство, 13 декабря 2018 года состоится заседание Комитета по IT, миграционному и регистрационному учету, защите персональных данных и кибербезопасности Ассоциации «Безопасность туризма». В рамках заседания участники рассмотрят принципы и подходы, а также подготовят предложения по развитию стратегического направления в части безопасности и цифровизации туризма. Подробнее об этом тут >

Уважаемые представители туриндустрии, в том числе гостиничного бизнеса!
Предлагаем направить ваши предложения по внедрению «умных» технологий и подходов в сфере развития и безопасности туризма, в том числе касающиеся проблематики:

• развития сервисов и эффективного управления объектами туристской инфраструктуры, инженерными системами, а также повышения их безопасности;
• обеспечения информационной безопасности, защиты, хранения и обработки персональных данных на объектах туриндустрии, ответственности за нарушение правил их обработки; 
• практики исполнения требований законодательства по миграционному и регистрационному учету туристов в гостиницах и иных средствах размещения; 
• интеграции систем безопасности объектов в системы АПК "Безопасный город", "Умный город", "Умный регион" и т.п.
• и др.

Свои предложения и инициативы можно направить на адрес [email protected]