bnovo.ru

Кибератака на отель: есть ли у вас план? Интервью с экспертом по информационной безопасности в отелях Анной Крампец

Август 8, 2024
Колонка эксперта
Анна Крампец. Кибератака на отель: есть ли у вас план?

Защита данных является важной частью стратегии управления для отелей, которая не только защищает их клиентов, но и способствует устойчивому бизнесу.

Сфера отельного бизнеса собирает множество личных данных о своих клиентах, включая имена, адреса, номера кредитных карт и предпочтения. Несанкционированный доступ к этой информации может привести к утечкам, что нарушает конфиденциальность, приводит к крупным штрафам и может повредить репутации отеля.

Отели которые эффективно защищают данные клиентов, могут использовать свою технологию безопасности как маркетинговый инструмент: подчеркнуть свою ответственность и надежность. Тренд на кибергигиену сейчас развивается с поразительной скоростью.

Мы узнали у Анны Крампец — CEO и сооснователя платформы по хранению данных TeamDo — все о цифровой гигиене отельного бизнеса: как защитить персональные данные клиентов, избежать цифровых утечек и создать структуру парольной политики. Кейсы по кибербезопасности.


Как пришла идея создать платформу по управлению паролями и доступами?

— Уже больше 20 лет мы работаем в диджитал-сфере. Занимаемся созданием сайтов, мобильных приложений, чат-ботов. В ходе такой проектной работы мы всегда получали и получаем от клиентов разные доступы. Не только разные логины и пароли к соцсетям или доменам, но также ссылки к рабочим материалам, важным документам и файлам.

И весь этот список данных мы храним в своей специальной системе учета задач и времени до тех пор, пока работаем над проектом. Как показала практика: хранить приходится ещё дольше. Даже после окончания работ к нам регулярно обращаются за восстановлением доступов.

Кто-то потерял пароль к социальной сети, у кого-то нет доступа к облачному диску или корпоративной почте. Недавно один клиент, который не работает с нами уже несколько лет, спросил, не остался ли у нас доступ к биллингу.

Обращения от наших заказчиков были такими частыми, что мы задумались над отдельным модулем по хранению паролей и доступов. Его можно было бы использовать не только для клиентов, но и для наших рабочих процессов.

Теперь во время работы с проектами клиентов все полученные данные мы храним в TeamDo и обучаем им пользоваться. После окончания работ у заказчиков остаётся не просто файл на гугл-диске, а защищённое хранилище паролей.


Разве в отельном бизнесе много утечек?

Количество утечек растёт с каждым годом. Например, за первый квартал 2024 года утекло впятеро больше данных, чем за аналогичный период 2023 года. А в июле из-за сбоя в Microsoft серьёзно пострадала работа в аэропортах.

Чаще всего утечкам подвергаются IT-компании и медицинские организации, но это не значит, что в сфере гостеприимного сервиса их мало. За последнее время было достаточно случаев. Из известных в России — утечка в “Роза Хутор”.

Например, в середине 2023 года американская компания понесла ущерб в 110 млн долларов, в которые входила компенсация и восстановление безопасности сети. А в одном из случаев хакеры украли крупнейшую базу данных в отрасли гостеприимства.

Нередки случаи, когда организации используют незащищённые сервисы, не задумываясь о возможной компрометации личных данных.

Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые часто используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре — он взломал интернет-шлюз и скомпрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов.


Что в таком случае нужно делать отелям?

— За время работы с отелями наша команда определила 5 рекомендаций, на которых следует обратить внимание, чтобы защитить свои данные.

Во-первых, любому бизнесу, в том числе и отельному, нужно избавляться от устаревших цифровых технологий. «Дырявые» системы, приложения, программные продукты только увеличивают риск взломов. Каждый день ваш корпоративный сайт могут атаковать хакеры, а в почту вашей компании присылать фишинговые письма. Рано или поздно утечка данных гарантирована.

Во-вторых, важно следить за изменениями и принимать меры до того, как что-то случится. Постарайтесь обучить сотрудников хотя бы базовым методам защиты корпоративной информации. Если вам сложно сформировать такую политику, можете обратиться к нам. Внедрите резервное копирование важной информации, а также программные и технические средства защиты.

В-третьих, откажитесь от поспешной цифровизации. Не вся она полезна. Быстрый выбор готовых программных продуктов или разработка своего решения может привести к напрасно потраченному времени и дополнительным рискам.

В-четвёртых, тщательно выбирайте IТ-сотрудников и проверяйте, закрыли ли вы доступы для тех, с кем уже не работаете.

В-пятых, избавляйтесь от ручного труда и рисков человеческих ошибок. Взломы личных аккаунтов ваших сотрудников в мессенджерах помогают хакерам получать рабочие документы, пароли к вашим информационным системам, информацию о вашем бизнесе. Отправка данных по ошибке через электронную почту, случайное предоставление доступа друзьям к корпоративному устройству во время работы из дома, плохой менеджмент пользовательских паролей, — всё это ставит под угрозу ваш бизнес.

Мы понимаем, что только крупные отели могут позволить себе дорогие IT-услуги, специалистов по информационной безопасности в штате, специальные средства технической защиты, регулярное обучение сотрудников. У большинства отелей нет запланированной статьи в бюджете на информационную безопасность.

Несмотря на это я рекомендую выделить в бюджете средства на кибербезопасность. О каких суммах может идти речь? Например, о сумме в размере штрафа за утечку персональных данных. Соотнесите размеры штрафа с количеством персональных данных в вашем отеле.

Не вся информационная безопасность требует высоких затрат.

Большая часть работы сводится к ежедневным рутинным действиям сотрудников и выполнения простых правил, которые не требуют от отеля больших вложений. Например, администратор не должен открывать незнакомые ссылки из электронных писем корпоративной почты. Или маркетолог отеля не должен отправлять доступ к сайту отеля в мессенджере.

Основные правила и важные моменты мы собрали в чек-лист “Кибербезопасность отеля”. Мы отдаём его всем нашим клиентам или пользователям, которые к нам обратились.

Чек-лист разбит на пять блоков:

  • Персональные данные гостей и сотрудников

  • Техническая защита

  • Безопасность цифровых активов

  • Пароли и менеджер паролей

  • Процедуры и знания

Каждый из этих разделов имеет свои подпункты, которые важно выполнять, чтобы минимизировать риск утечки и избежать штрафов.


— Можно ли где-то посмотреть этот чек-лист?

Чек-лист Кибербезопасность отеля доступен на нашем сайте абсолютно бесплатно, его может пройти любой желающий. Наша задача — предоставлять как можно больше кейсов по защите ваших данных от утечек и хакерских взломов.


Читайте также:

Больше эксклюзивных материалов и экспертных мнений >>>


Материал уже оценили 2 гостя на:
5
5
Другие оценили статью на 5* из 5. А ваше мнение?