Условия жесткой конкуренции уже довольно давно вынуждают рестораторов внедрять элементарные системы оптимизации бизнес-процессов. Однако в последние 2–3 года всё более частым становится запрос на киберзащиту и, если не на полноценную систему инфобезопасности, то хотя бы ее ключевые элементы.
Какой рецепт кибербезопасности подойдёт кафе и ресторанам? Что думают собственники томских кафе? Какие меры защиты нужно использовать в первую очередь? Рассказываем в материале.
На смену буфетам пришли фуд-корты и дарк-китчены
По данным «Газета.Ru», в 2024 году в России насчитывалось 199 тыс. предприятий общественного питания (в 2023-м их было ‒ 194 тыс., в 2022-м ‒ 190 тыс.), а к 2028 году их прогнозное число увеличится до 216 тысяч.
Растет не только количественный показатель, но и форматы российского «общепита». В последнее десятилетие рестораторы просто одержимы проблемой идентификации своих заведений. Помимо традиционной концепции — ресторан или бар, кафе или кофейня, столовая или буфет — развиваются фуд-моллы, магазины-кафе, точки стритфуда, дарк-китчены и кальян-бары.
Всё более разнообразным становится калейдоскоп кулинарных возможностей, варианты посадки (с обслуживанием официантов или на вынос) и доставки (собственная или агрегаторов).
Онлайн-сервисы: и столик забронировать, и чаевые оставить
Гости и посетители тоже не сдают позиций в марафоне трансформации и диджитализации. Если в 2022 году объем бронирования в ресторанах в денежном эквиваленте составлял ₽1,911 млрд, то в 2024-м он превысил ₽2,137 млрд, а к 2028 году ожидается на отметке ₽2,691 млрд.
Как утверждают аналитики MTS StartUp Hub, каждый месяц 2 млн человек заходят на сайты с ресторанной тематикой. И если в 2022 году через онлайн-сервисы столики в ресторане бронировали 17% всех посетителей, то в 2024-м этот показатель вырос до 34%.
Россияне отточили навык не только в бронировании мест, но и поощрении официантов чаевыми через приложения. «Оборот» онлайн-чаевых также вырос: ₽1, 37 млрд в 2024 году против ₽1,03 млрд в 2022-м, а к 2028 году он прогнозируется в размере ₽2,1 млрд.
Кроме роста бронирований через онлайн-сервисы, аналитики MTS StartUp Hub отмечают все более стремительное развитие рынка RestTech, ускорение которому придал внутренний туризм, и набирающую обороты цифровизацию в сфере гастрономии.
У диджитал-революции, как у любой медали, две стороны
В условиях конкуренции российские рестораторы сосредотачиваются на кулинарных изысках, маркетинговых стратегиях, трендах здорового питания, дизайне своих заведений и качестве обслуживания. Чаще, но сильно реже, чем хотелось бы, в их фокус начинают попадать вопросы информационной безопасности систем.
Огромные гостевые базы, сотни паролей и доступов к системам учёта у разных сотрудников становятся всё более уязвимы как для хакеров, так и для преднамеренных действий со стороны персонала.
-
В 2021 году гигант быстрого питания McDonald’s пострадал от утечки данных, в результате которой были раскрыты данные клиентов и сотрудников в Южной Корее и на Тайване.
-
Громкая утечка персональных данных произошла у российского сервиса доставки еды в марте 2022 года: в сети оказались данные 6,5 млн пользователей, включая адреса и суммы заказов. Хакеры создали карту, по которой можно было отследить пользователя. Этот инцидент вызвал серьезную обеспокоенность по поводу безопасности личных данных и привел к расследованию со стороны Роскомнадзора.
-
В октябре 2024 года глобальная утечка данных произошла в сети ресторанов быстрого питания «Бургер Кинг»: в открытый доступ «утекли» 5,6 млн строк личной информации пользователей приложения популярного фастфуда. Это были имена, телефоны, адреса, даты рождения и города пользователей за последние 6 лет.
«Бургер кинг» поспешил оперативно успокоить переживающих за чувствительные сведения. Компания подтвердила, что среди данных не было платежных реквизитов, а их платформа Mindbox и третьи лица не имеют доступа к личным паспортным и платежным данным клиентов сети.
Но резонанс был мощным: на событие отреагировала Госдума РФ. Представитель комитета по информполитике, высказал мнение о необходимости наказывать компании, рые пренебрегают информационной безопасностью и ставят под угрозу персональные данные своих клиентов. «…поскольку оборотные штрафы за утечки еще не введены, если инцидент подтвердится, компания может отделаться купонами на бесплатные бургеры», — заявлял тогда парламентарий в своем Telegram-канале.
Теперь закон об оборотных штрафах принят, и вступит в силу в мае 2025 года
В ноябре 2024 года Госдума РФ приняла сразу три законопроекта (к 152-ФЗ), направленных на защиту персональных данных от незаконного использования. Поправки вступят в силу в мае 2025 года.
Административные штрафы за незаконную обработку ПД увеличатся, при повторном нарушении они составят:
- для граждан — от 30 до 600 тыс. руб.,
- для должностных лиц — от 200 тыс. руб. до 1,2 млн руб.,
- для юрлиц и ИП — от 500 тыс. руб. до суммы, составляющей от 1% до 3% годовой выручки предприятия (оборотные штрафы).
Уголовная ответственность будет введена за утечку ПД несовершеннолетних, специальной информации (раса, национальность, состояние здоровья) и биометрических данных:
- штраф до 700 тыс. руб., принудительные работы до 5 лет или лишение свободы на тот же срок,
- при корыстной заинтересованности штраф увеличивается до 1 млн руб., принудительные работы до 5 лет, лишение свободы до 6 лет,
- при утечке данных за границу — лишение свободы до 8 лет, при тяжких последствиях — до 10 лет.
Штрафы за неуведомление Роскомнадзора
- для ИП и любых юрлиц, кроме НКО — от 1 до 3 млн руб.
Как с киберзащитой в Томске?
По данным мэрии Томска, открытым за 2023 год, в Томске насчитывалось 1228 объектов общественного питания. Самой многочисленной оказалась категория «кафе» — 338, почти столько же столовых (342), а также ресторанов (38), клубов и баров (72).
Мы поинтересовались у самых продвинутых и опытных томских рестораторов, как обстоят дела с информационной безопасностью в их заведениях? И есть ли она как таковая?
Людмила Леонова, учредитель ООО «Буланже»:
— Элементы информационной безопасности в сети кофеен «Буланже», работающей в Томске с 2001 года, безусловно, есть. Прежде всего, это менеджер паролей от TeamDo, который мы внедрили вместе с IT-компанией Оnline-Media. Для нас опция очень важная: есть разные уровни доступов, например, бухгалтерия или CRM с огромной клиентской базой.
Что касается доступов к учету (списанию блюд, фиксации рабочего времени, контролю за действиями сотрудников и др.), то здесь мы пользуемся автоматизированными IIKO и R-Keeper. Каждый менеджер имеет персональную карту. Там всё видно и максимально прозрачно, поэтому почти все решения менеджеры принимают самостоятельно. Если что-то особо важное или ситуация неоднозначна, ставят в известность нас, собственников, и вопрос решается на планерке.
Здесь я хочу подчеркнуть вот какую вещь, только два человека за все время работы и создания сети Буланже сразу пришли на позицию «менеджер». Всех остальных, а штат у нас плюс-минус 200 человек, мы вырастили сами. Поэтому для них всё происходящее в компании, своё, родное и точно так же им важно и дорого, как нам самим.
В перспективе, да, нам предстоит выйти на следующие этапы информационной безопасности, которые мы планируем осваивать также при поддержке и с помощь Online-Media.
Дарья Абдрашитова, управляющий партнер гастрохолла «Лампочка»:
— Как таковой программы «финансовой безопасности» в томском гастрохолле «Лампочка» нет, потому что мы не работаем как единая система: у нас есть счета, документы и отчёты в excel.
С IIKO и R-Keeper корнеры работают сами по себе, поскольку это отдельные бизнесы. Они самостоятельно решают и выбирают эти инструменты автоматизации.
У администрации гастрохолла, безусловно, есть пароли для почт, приложений и личных кабинетов. Мы пользуемся приложением, установленным на телефонах, и только определенные люди знают эти пароли.
Каких-либо инцидентов, связанных с несанкционированным доступом работающих или уже уволившихся сотрудников, у нас не было. И пока такого уровня безопасности, на который мы вышли, нам достаточно.
Сергей Обухов, операционный директор кондитерской «ТОРТА»:
— В свое время у нас была ситуация, когда у сотрудника остался доступ к гугл-документам, которые он создал, пока работал в компании. Это продолжалось очень недолго и, к счастью, для нас обошлось без последствий.
Сейчас мы выработали простой, но эффективный алгоритм. У нас есть чек-лист, где обозначены все пункты, которые должны быть исполнены при увольнении. Например, там есть даже пункт «вернуть литературу». Вот по этому списку мы и идем, когда закрываем трудовые договоры.
Для линейного персонала исключаем доступ к IIKO. Ее обслуживанием занимается наш контрагент. Право доступа есть у меня, как у операционного директора, и я определяю, какой уровень доступа нужен сотруднику: открываю или закрываю его, вношу корректировки. Когда человек увольняется, сразу же информирую контрагента, с какого числа закрыть доступ окончательно.
Что касается системы лояльности, мы пользуемся облачной программой «Максбонус». Когда сотрудник устраивается, вносим данные, а при увольнении идем по алгоритму к последней «галочке» — «выдача заработной платы». Это очень простой принцип «Обходного листа».
Инфобез: слабости и риски сегмента HoReCa
Сектор RestTech, занимающийся внедрением технологий в индустрию общественного питания, активно развивается и в России, и за рубежом. Экономика подтверждает растущий интерес гастроиндустрии к инновационным решениям, способным улучшить работу ресторанов, повысить качество обслуживания и предложить новый клиентский опыт.
Вернемся еще раз к данным MTS StartUp Hub, подтверждающим что в 2024 году 34% россиян бронировали рестораны через онлайн-сервисы. По сравнению с США, где это вошло в привычку для 70% посетителей, российский показатель кажется небольшим.
Но риски сопоставимы, ведь злоумышленники чаще всего взламывают именно сайты, платформы онлайн-заказов и мобильные приложения.
Какие факторы усугубляют ситуацию внутри самих заведений?
- Большинство управляющих связывают информационную безопасность исключительно с хранением персональных данных сотрудников
- В пяти из шести заведений нет стандартов инфобеза, ответственных и даже специалиста на аутсорсе, который бы занимался настройкой и контролем системы безопасности
- Уволенные сотрудники остаются с подключением к системе учета, где выручка и важные финансовые показатели заведения, а также с доступами к программам лояльности
- Открыты базы, где помимо доступа к персональным данным гостей, можно зачислять или списывать виртуальные деньги.