Гостей принимать и данные защищать

Ноябрь 21, 2018
Сфера гостеприимства по уровню информационной безопасности сегодня находится на одной из самых низких позиций и остается одним из главных поставщиков персональных данных на черный рынок. Комментирует Алексей Парфентьев, ведущий аналитик «СёрчИнформ».

Сфера гостеприимства – лакомый кусок для охотников за персональными данными, поскольку в ней оседают паспортные, платежные данные, адреса места жительства и электронной почты, номера телефонов. Постояльцы отдают свои данные отелям на этапе бронирования, оплаты номера онлайн, при заселении, когда оставляют обратную связь на сайте или при использовании дополнительных услуг. В результате отели наращивают внушительную клиентскую базу с огромным количеством информации.

Одна из последних утечек данных произошла в октябре в Radisson Group. В результате действий злоумышленников, скомпрометированными оказались данные клиентов из программы лояльности. Представители сети Radisson утверждают, что пострадали «менее 10%» клиентов.

Пострадавшие получили уведомление об утечке личной информации, в котором представители компании Radisson просят их быть внимательными, так как злоумышленники могут воспользоваться уже полученной информацией для фишинговых или DDoS-атак.

Не забудем также, что информация о пребывании посетителей, особенно VIP-клиентов, в конкретном месте сама по себе может стать компрометирующей и быть использована для точечных манипуляций – шантажа.

Radisson – это один из многих примеров. Отели регулярно сообщают о новых и новых утечках данных. Мошенники любят их за огромные массивы данных и за доступность информации.

Как защищают?

По данным издания Hospitality Technology у 74% отелей нет инструментов для защиты информации на местах. И это за границей, где действует страшный GDPR, что можно сказать о России, где ответственность за утечку данных (по ФЗ-152) – сущие копейки.

Предположение подкрепляется практикой. Пару лет назад, подключившись к публичному WiFi в отеле, я легко попал во внутреннюю сеть, в которой папки хранились в открытом виде, в том числе с компьютера ресепшн, на котором в незащищенном виде хранились сканы паспортов постояльцев.

Среди всех наших клиентов (а мы занимается разработкой ПО для защиты от утечек по вине персонала) доля компаний из сферы гостеприимства составляет лишь 0,5%. Из почти 2 тысяч наших клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. Это не упущение нашего отдела продаж, у других вендоров ситуация похожая – варьируется между 1-3%.

Как правило всеми ИТ- и ИБ-процессами в гостиничной сфере управляет системный администратор, зачастую, на аутсорсинге и защита данных для него не приоритет. Проблема усугубляется отсутствием сегрегации данных. Единая экосистема для отеля, ресторанов на его базе, фитнес-центров удобна для гостя. Но утечка данных в одном из звеньев автоматически оборачивается инцидентом для других.

Отдельно отмечу, что в сфере гостеприимства остались такие объекты, до которых не только ИБ-грамотность, но и компьютерная грамотность еще не дошла. Санатории, пансионаты в маленьких городах еще не изменили былые порядки. Информацию о клиентах они собирают в бумажном виде, по старинке, причем не стесняются использовать копию паспорта в качестве черновика.

В результате отсутствия систем защиты информации и специалистов, которые отвечают за безопасность, складывается ситуация вседозволенности. И не воспользоваться ей могут только ленивые.

Кому оно надо?

По данным экспертов из Trustwave, 70% утечек данных в сфере гостеприимства являются внутренними инцидентами. На самом деле, как раз тут ничего удивительного нет – инсайдеры главная головная боль для многих сфер деятельности. Но индустрия гостеприимства из-за своей специфики найма персонала (большого числа сезонных и аутстаффинговых работников) страдает сильнее.

В гостиничной отрасли, в отличие от банковской, например, где тоже скапливаются критические объемы данных, еще не сложилась культура обращения с данными.

В подтверждение расскажу пару примеров из нашей практики:

  • Один из наших клиентов раскрыл мошенническую схему с заселением в гостиницу. DLP-система обнаружила систематическую отправку сканов паспортов на внешнюю почту. После расследования выяснилось, что сотрудница ресепшн продавала их на специализированных сайтах.
  • Другой клиент вычислил менеджера по продажам, который хотел передать паспортные данные сообщнику за вознаграждение. Сотрудник скинул сканы паспортов, которые хранились в общей сетевой папке, на флешку. Слив информации на внешний носитель зафиксировала DLP-система. В итоге менеджер признался, что паспортные данные должны были использовать для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.

Сегодня отельеры не мотивированы исправлять ситуацию: штрафы небольшие, администрируются неважно. Однако же имиджевый риск в этой ситуации куда важнее штрафов.

Да и руководствуясь простой логикой, если утекают данные клиентов, то и секреты компании под угрозой слива: бухгалтерия, списки сотрудников и их личные данные, маркетинговые разработки и многое другое. Они представляют потенциальный интерес для конкурентов, регуляторов, средств массовой информации.

Небольшой список действенных мер, которые подходят для всех объектов гостиничного бизнеса:

1. Сократите объем данных

Собирайте и храните только необходимую для работы информацию о клиентах. Уничтожайте данные, которые вам больше не нужны.

2. Обучайте сотрудников

Повышая осведомленность персонала об обработке, хранении, передаче и защите данных, вы снижаете количество инцидентов и повышаете уровень качества обслуживания клиентов.

3. Выявляйте чувствительные данные клиентов и классифицируйте их

Каждое подразделение гостиницы работает по своему направлению, а значит у каждого должна быть своя база. Разделяя данные, вы потенциально обесцениваете их для перепродажи в «темном» интернете.

4. Ограничьте доступ к клиентской базе данных

Доступ к информации о клиентах должны иметь только определенные сотрудники. Чем меньше сотрудников владеют информацией, тем проще вычислить нарушителя в случае утечки.

5. Определите требования к безопасности данных и пропишите их в контрактах с подрядчиками и сотрудниками

Подписание документов, в которых четко указана ответственность за разглашение информации обезопасит вас от целенаправленного слива данных.

6. Изучите требования законодательства

Изучите требования ФЗ, касающихся работы с персональными данными, международных законов (ряд положений имеют экстерриториальное действие), ваших отраслевых регуляторов.

7. Используйте специализированные ИТ средства

Решения для предотвращения утечек есть, наиболее эффективный класс систем для этой задачи – DLP (Data loss prevention), также полезны будут DCAP и eDiscovery продукты.

Оцените материал:
rating: 
5 (1 vote)