Кибератака на отель: есть ли у вас план? Интервью с экспертом по информационной безопасности в отелях Анной Крампец
Защита данных является важной частью стратегии управления для отелей, которая не только защищает их клиентов, но и способствует устойчивому бизнесу.
Сфера отельного бизнеса собирает множество личных данных о своих клиентах, включая имена, адреса, номера кредитных карт и предпочтения. Несанкционированный доступ к этой информации может привести к утечкам, что нарушает конфиденциальность, приводит к крупным штрафам и может повредить репутации отеля.
Отели которые эффективно защищают данные клиентов, могут использовать свою технологию безопасности как маркетинговый инструмент: подчеркнуть свою ответственность и надежность. Тренд на кибергигиену сейчас развивается с поразительной скоростью.
Мы узнали у Анны Крампец — CEO и сооснователя платформы по хранению данных TeamDo — все о цифровой гигиене отельного бизнеса: как защитить персональные данные клиентов, избежать цифровых утечек и создать структуру парольной политики. Кейсы по кибербезопасности.
Как пришла идея создать платформу по управлению паролями и доступами?
— Уже больше 20 лет мы работаем в диджитал-сфере. Занимаемся созданием сайтов, мобильных приложений, чат-ботов. В ходе такой проектной работы мы всегда получали и получаем от клиентов разные доступы. Не только разные логины и пароли к соцсетям или доменам, но также ссылки к рабочим материалам, важным документам и файлам.
И весь этот список данных мы храним в своей специальной системе учета задач и времени до тех пор, пока работаем над проектом. Как показала практика: хранить приходится ещё дольше. Даже после окончания работ к нам регулярно обращаются за восстановлением доступов.
Кто-то потерял пароль к социальной сети, у кого-то нет доступа к облачному диску или корпоративной почте. Недавно один клиент, который не работает с нами уже несколько лет, спросил, не остался ли у нас доступ к биллингу.
Обращения от наших заказчиков были такими частыми, что мы задумались над отдельным модулем по хранению паролей и доступов. Его можно было бы использовать не только для клиентов, но и для наших рабочих процессов.
Теперь во время работы с проектами клиентов все полученные данные мы храним в TeamDo и обучаем им пользоваться. После окончания работ у заказчиков остаётся не просто файл на гугл-диске, а защищённое хранилище паролей.
Разве в отельном бизнесе много утечек?
— Количество утечек растёт с каждым годом. Например, за первый квартал 2024 года утекло впятеро больше данных, чем за аналогичный период 2023 года. А в июле из-за сбоя в Microsoft серьёзно пострадала работа в аэропортах.
Чаще всего утечкам подвергаются IT-компании и медицинские организации, но это не значит, что в сфере гостеприимного сервиса их мало. За последнее время было достаточно случаев. Из известных в России — утечка в “Роза Хутор”.
Например, в середине 2023 года американская компания понесла ущерб в 110 млн долларов, в которые входила компенсация и восстановление безопасности сети. А в одном из случаев хакеры украли крупнейшую базу данных в отрасли гостеприимства.
Нередки случаи, когда организации используют незащищённые сервисы, не задумываясь о возможной компрометации личных данных.
Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые часто используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре — он взломал интернет-шлюз и скомпрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов.
Что в таком случае нужно делать отелям?
— За время работы с отелями наша команда определила 5 рекомендаций, на которых следует обратить внимание, чтобы защитить свои данные.
Во-первых, любому бизнесу, в том числе и отельному, нужно избавляться от устаревших цифровых технологий. «Дырявые» системы, приложения, программные продукты только увеличивают риск взломов. Каждый день ваш корпоративный сайт могут атаковать хакеры, а в почту вашей компании присылать фишинговые письма. Рано или поздно утечка данных гарантирована.
Во-вторых, важно следить за изменениями и принимать меры до того, как что-то случится. Постарайтесь обучить сотрудников хотя бы базовым методам защиты корпоративной информации. Если вам сложно сформировать такую политику, можете обратиться к нам. Внедрите резервное копирование важной информации, а также программные и технические средства защиты.
В-третьих, откажитесь от поспешной цифровизации. Не вся она полезна. Быстрый выбор готовых программных продуктов или разработка своего решения может привести к напрасно потраченному времени и дополнительным рискам.
В-четвёртых, тщательно выбирайте IТ-сотрудников и проверяйте, закрыли ли вы доступы для тех, с кем уже не работаете.
В-пятых, избавляйтесь от ручного труда и рисков человеческих ошибок. Взломы личных аккаунтов ваших сотрудников в мессенджерах помогают хакерам получать рабочие документы, пароли к вашим информационным системам, информацию о вашем бизнесе. Отправка данных по ошибке через электронную почту, случайное предоставление доступа друзьям к корпоративному устройству во время работы из дома, плохой менеджмент пользовательских паролей, — всё это ставит под угрозу ваш бизнес.
Мы понимаем, что только крупные отели могут позволить себе дорогие IT-услуги, специалистов по информационной безопасности в штате, специальные средства технической защиты, регулярное обучение сотрудников. У большинства отелей нет запланированной статьи в бюджете на информационную безопасность.
Несмотря на это я рекомендую выделить в бюджете средства на кибербезопасность. О каких суммах может идти речь? Например, о сумме в размере штрафа за утечку персональных данных. Соотнесите размеры штрафа с количеством персональных данных в вашем отеле.
Большая часть работы сводится к ежедневным рутинным действиям сотрудников и выполнения простых правил, которые не требуют от отеля больших вложений. Например, администратор не должен открывать незнакомые ссылки из электронных писем корпоративной почты. Или маркетолог отеля не должен отправлять доступ к сайту отеля в мессенджере.
Основные правила и важные моменты мы собрали в чек-лист “Кибербезопасность отеля”. Мы отдаём его всем нашим клиентам или пользователям, которые к нам обратились.
Чек-лист разбит на пять блоков:
-
Персональные данные гостей и сотрудников
-
Техническая защита
-
Безопасность цифровых активов
-
Пароли и менеджер паролей
-
Процедуры и знания
Каждый из этих разделов имеет свои подпункты, которые важно выполнять, чтобы минимизировать риск утечки и избежать штрафов.
— Можно ли где-то посмотреть этот чек-лист?
Чек-лист Кибербезопасность отеля доступен на нашем сайте абсолютно бесплатно, его может пройти любой желающий. Наша задача — предоставлять как можно больше кейсов по защите ваших данных от утечек и хакерских взломов.
Читайте также:
- Ласковое слово: как отельерам работать с отзывами гостей в онлайне
- Павел Кровяков об активах Группы Мантера, цифровизации и туризме будущего
- Сергей Скорбенко: Как обеспечить конвертацию маркетинга в продажи
- 6 мифов об информационной безопасности для отеля