6 мифов об информационной безопасности для отеля

Категории
Категории

Пока отели и гостиницы заняты продажами и наполнением номеров, еще в январе 2024 года в первом чтении Дума РФ приняла изменения в ФЗ №152 “О персональных данных”. Планируется значительно увеличить штрафы за утечки, которые только за 2023 увеличились на 60%, в том числе сделать их оборотными.

В России пока публично известен лишь один пример утечки персональных данных в сфере гостеприимства: в 2023 г. у популярного российского курорта «Роза Хутор» слили базу клиентов — 522 тыс. строк. У компании похитили такие данные клиентов — имя/фамилия, телефон, емэйл, хешированный пароль, пол, дату рождения, город). Сумма выписанного штрафа составила 60 тыс.р. 

Миф 1. Информационная безопасность — это не про меня

По данным  объем утекших персональных данных в 2023 году составил 1,12 млрд. записей — на 60% больше, чем в 2022 году. Причем в малых организациях рост утечек вырос в два раза — с 15,5% до 36,6%.

Обычно малый бизнес думает, что он никому неинтересен, но в мировой практике 60% утечек приходится на малый бизнес, к которому можно отнести и большую часть гостиничного сектора.

Миф 2. Все наши данные под защитой платформы

Отели хранят не только ФИО клиента, а также паспортные данные и данные банковских карт. Почти всегда эти данные хранятся не только в бумажном, но и в электронном виде в CRM-системе, в системе бронирования или в облачном хранилище. 

Полагаясь на облачную платформу, уверены ли вы в том, что она надежно защищает ваши данные? Уверены ли вы, что у разработчиков нет к ним доступа? Есть ли у вас резервные копии ваших данных?

Миф 3. Сотрудников не нужно учить информационной безопасности    

По данным исследования ГК InfoWatch около 80% всех киберинцидентов в компаниях (например, утечек данных в открытый доступ или краж денег со счетов клиентов) происходит по вине сотрудников.

Узнайте, где управляющий и администраторы хранят логины и пароли к системам бронирования: на листочке, в ежедневнике или помнят наизусть? Пересылают ли друг другу в мессенджерах или по электронной почте? Есть ли система хранения приватных и конфиденциальных данных, такая как менеджер паролей? Существуют ли нормы и регламенты описывающие, как хранить чувствительные данные в безопасности?

Миф 4. За информационную безопасность отвечает наш сисадмин/ИТ-специалист   

Один человек не может полностью отвечать за информационную безопасность и контролировать все возможные риски. Тем более, что системный администратор, на которого руководители часто возлагают большие надежды, не занимается этими вопросами.

Лучшее решение для крупного бизнеса — отдел ИТ-специалистов, который сможет выстроить систему технической защиты: резервное копирование, мониторинг, контроль wifi-сетей, обновление программного обеспечения, настройку прав доступа к разным системам и данным, настройку и контроль удаленного доступа для топ-менеджеров. 

Для малого и среднего бизнеса — заинтересованность руководителя или собственника в обеспечении информационной безопасности. А именно: внедрение правил и регламентов, обучение сотрудников и использование только лицензированного безопасного ПО при работе с собственными чувствительными данными и данными клиентов.

Миф 5. Информационная безопасность - это антивирус на компьютерах на ресепшене

Для корпоративной защиты нужен комплекс технических и процедурных защит, одним антивирусом защититься невозможно. Сотрудники должны знать базовые особенности обеспечения информационной безопасности. Например, не кликать на неизвестные ссылки, картинки и файлы. Получить вирус можно через флэшку, накопитель и так далее.

Так что ещё раз повторим: у сотрудников отеля должны быть правила и инструкции о том, что можно и что нельзя делать на рабочих компьютерах.

Миф 6. Информационная безопасность — это очень дорого

Конечно есть множество дорогих комплексных аппаратно-программных систем. Обычно они устанавливаются в сетевых отелях масштаба Marriott и связывают несколько информационных уровней от сетевого трафика до видеонаблюдения. 

Но в средних и небольших отелях можно обойтись и более скромными конфигурациями и решениями. Главное — начать с процедур, определить типы конфиденциальных данных и обозначить возможные риски. Например, в гостиничном секторе чаще всего взламывают WI-FI сети и атакуют системы бронирования.


Так что же делать отелю? 

    1. Серьёзнее отнестись к хранению конфиденциальных данных и доступов.

    2. Установить правила использования систем бронирования, финансовых систем.

    3. Назначить ответственного за информационную безопасность.

    4. Разработать процедуру действий ответственного сотрудника при возникновении утечки персональных данных. Помните, что сообщить в Роскомнадзор о утечке нужно в течение 24 часов.

    5. Включить в должностную инструкцию обязательство следовать всем процедурам по обеспечению информационной безопасности предприятия.

    6. Разработать процедуры для сотрудников

    7. Внедрить парольные политики для новых сотрудников, увольняющихся сотрудников.

    8. Регулярно обучать сотрудников.

    9. Использовать инструменты, такие как менеджер паролей.

Из полезного:

Проверить свой уровень информационной защиты можно по чек-листу на сайте.