Категории

17 марта 2025
1 мин
147

Менеджер паролей TeamDo для HoReCa Учёт и инвентаризация

Гостиничный бизнес: тренды информационной безопасности 2025

По данным РБК, в 2024 году количество атак программ-вымогателей выросло на 44%, в сеть утекло более 600 млн данных россиян. Кибератаки стали более продвинутыми в техническом плане, а жертвами злоумышленников чаще всего оказывались промышленные, фармацевтические, IT-компании и организации сферы услуг.

Индустрия с миллиардными доходами и инвестициями ₽0,5 трлн

Один из самых мощных сегментов сервисной отрасли это, конечно же, гостиничный бизнес. За последние годы он стал индустрией с миллиардными доходами. В 2023 году в России действовали 31,49 тыс. гостиниц, отелей и других мест отдыха (в 2022-м ─ 29,55 тыс.). При этом число строящихся гостиниц в 2024 году выросло ещё в 4 раза (!). Объем инвестиций в отрасль превысил ₽0,5 трлн.

Теперь представьте все гостиницы, отели, санатории, хостелы ─ по скромным подсчетам 1,2 млн номеров ─ принимают гостей. Ведут непрерывный учет, хранят и ежедневно обрабатывают персональные данные: ФИО, реквизиты паспортов и банковских карт. Всё это будничная работа персонала.

Персональные данные как самый ценный ресурс

В условиях роста кибератак и утечек именно персональные данные стали особо ценным ресурсом для хакеров. При неумышленных и неосторожных действиях персонала или сбоях инфраструктуры – особо уязвимым.

→ Количество сетевых атак на страны СНГ в 2024 году увеличилось в 2,6 раза;

→ В России в III квартале 2024-го их стало на 15% больше, чем за тот же период в 2023-м;

→ В каждом 4-м случае действовали хакеры;

→ В каждой 3-ей атакованной компании нарушения произошли на уровне инфраструктуры.

Оптимистичные аналитики и эксперты логично прогнозируют рост рынка кибербезопасности на 15–25% до 2028 года. И искренне полагают, что уже в 2025 году даже малый и средний бизнес займет проактивную позицию в сфере кибербезопасности и защите данных.

Для этого появился обширный выбор из отечественных решений. Но первым делом у заказчиков вырос спрос на сервисную и гибридную модель защиты данных. Для малого и среднего бизнеса она особенно хороша тем, что ее можно развернуть в короткие сроки и в моменте решить проблему с дефицитом экспертизы и кадров.

«Большие сетевые отели могут позволить себе профессиональную защиту и профильные IT-службы. У бутиковых, семейных отелей и глэмпингов защита хуже или никакой, а между тем, они владеют ровно такими же персональными данными, ─ подчеркнула СЕО TeamDo Анна Крампец. ─ При этом отдельных трендов инфобезопасности в гостиничной сфере мы не увидим, потому что она довольно скромна на фоне всех остальных бизнес-ниш, не говоря о гигантском корпоративном сегменте».

Украсть и придержать

Мишенью для киберпреступников становится любая сфера экономики. В 2024 году хакеры начали «придерживать» украденные ими данные до момента, когда их можно будет монетизировать наиболее выгодно. Так что в 2025-м компании наверняка столкнутся с «валом» скомпрометированных баз данных, что принесет дополнительные риски для бизнеса.

Почему?

В ноябре 2024 года Госдума РФ приняла новую редакцию закона о защите персональных данных от незаконного использования. Закон вступит в силу в мае 2025 года.

Для бизнеса штрафы за утечку ПД достигнут ₽15 млн, а повторные нарушения приведут к оборотным штрафам до 3% годовой выручки.
Уголовная ответственность будет введена за утечку ПД несовершеннолетних, специальной информации (раса, национальность, состояние здоровья) и биометрических данных.
Штрафы за неуведомление Роскомнадзора для ИП и любых юрлиц, кроме НКО составят до ₽3 млн.
В гостиницах менеджеры хранят данные и в системах бронирования, или в отдельных документах и файлах обычным способом. Данные действительно могут быть «украдены и слиты» в момент наивысшей ценности.

«Доступ к системе может сохраняться очень долгое время. И когда хакер поймет, что данных накоплено достаточно, он их заберет для циничной «монетизации». Поэтому сейчас актуализируются для слива доступы к CRM-системам, отвечающим за реквизиты клиентов», ─ отмечает Анна Крампец.

В самой маленькой компании или отеле на 20 человек персонала насчитывается 40–60 различных доступов и паролей. Это очень много, а значит, высок риск утечки, взлома, в конце концов преднамеренного «слива» данных.

При этом уже существуют доверенные программы российской разработки, внесенные в реестр отечественного ПО, например, платформа для управления командами, имуществом и информацией TeamDo. Этот менеджер паролей генерирует максимально надежные пароли, консолидирует их, позволяет выстроить иерархию доступов и распределять пользователей по ролям. Уволился человек, администратор меняет доступ и всё ─ базы данных клиентов, реквизиты их карт, аккаунты в соцсетях и др. ─ остаётся абсолютно неприкосновенными.

Тренд 1
Тренд 2
Тренд 3
Тренд 4
Тренд 5
Тренд 6

Тренд 1. Аудит инфраструктуры и резервное копирование

Тренды информационной безопасности в гостиничном бизнесе в 2025 году – TeamDo

«Хакерство», увы и ах, тоже бизнес со своими правилами игры и инфраструктурой. У компаний-хакеров и хакеров-одиночек есть свои бизнес-цели: получив доступ в систему жертвы, хакеры объявят об этом не сразу. Они будут скачивать данные, анализировать массив информации и выжидать до тех пор, пока станет выгодно.

Тактику и техники, которыми злоумышленники пользуются в атаках, описывает Матрица действий хакеров MITRE ATT&CK.

Вольно или невольно «на руку» кибербизнесу играет рост использования устройств и всё более «стремительный» стаж сотрудников в компании или бизнесе. Поэтому уязвимыми оказываются и сетевые отели, и мини-гостиницы на 30–35 номеров: конечно же, хакерам легче взломать того, кто наименее защищен.

Что делать?

Семейным и небольшим отелям быть внимательными к информационной структуре своего бизнеса. Оперативно (или в параллель с открытием нового отеля) провести самостоятельный аудит:

Выясните, кто из персонала и какой доступ имеет к критически важным данным;
Наведите порядок в генерации и распределении паролей. Ваш пароль должен быть надежным;
Внедрите средства защиты ваших данных;
Делайте резервное копирование всех важных данных регулярно. Установите срок, например, ежемесячно и назначьте ответственного;
Проводите аудит инфраструктуры один раз в полугодие и актуализируйте «правила игры» для сотрудников.

Тренд 2. Надёжный поставщик ─ гарантированная защита

Бизнес-компании используют целый комплекс разных решений для своей инфобезопасности: облачные инструменты и self-hosted решения (на своих серверах). Все это как техника от разных производителей, только теперь она всегда подключена к интернету и общему доступу.

Отели хранят в облачных системах видео с камер наблюдения, документы, данные сотрудников, гостей и др. Но облачные хостинг-провайдеры так же как и собственные сервера подвергаются атакам и взломам хакеров. Плюс есть риски утечек от облачного провайдера, поскольку его админы могут считать данные или использовать их для своих нужд. Свои «минусы» есть и у «коробки»: нужен ИТ-специалист в штате на постоянной основе, данные недоступны без специального ПО, закончилась лицензия и…нет данных.

Собственник бизнеса, как правило, не вникает в такие тонкости и не особо контролирует процесс или действия поставщика – на все просто не хватит времени.

Что делать?

С самого начала выбирайте надежных поставщиков и не используйте западные решения. До заключения договора выясните у поставщика или партнера все аспекты безопасности и запрашивайте подтверждающие документы:

Как шифруются данные;
Как хранятся;
Как и где создаются копии;
Какие гарантии даёт поставщик по защите этих данных от своих сотрудников;
Продумайте свою юридическую защищенность: кто будет нести потери в случае утечки данных – бизнес или провайдер?

Тренд 3. Принцип «нулевого доверия»

Доверие ─ чувство благородное, но технике не присуще: даже для информационных систем оно изначально подразумевает три уровня.

На нижнем (confidence) ─ находится лишь наша уверенность, что все обстоит так, как нам обещают. На среднем (assurance) ─ уже есть некая гарантия, что все происходит надлежащим образом. На высшем уровне (trust) имеется абсолютное доверие к информационной системе, но плохая новость в том, что этот уровень недостижим.

И это о технике, а если в отеле работают сезонные сотрудники? При увольнении у них, или у сменившегося подрядчика, наверняка могут остаться доступы к системам и данным.

Что делать?

Внедрите правила доступа к ресурсам и менеджер паролей для работы, опишите новый порядок:

Определите перечень лиц (должностей), имеющих доступ к работе с персональными данными;
Определите рабочие места (компьютеры и прочие места скопления информации), где обрабатываются данные сотрудников и клиентов: как ручным, так и автоматизированным способом;
Опишите обязанности и полномочия сотрудников, работающих с чувствительной информацией. Расскажите, как правильно и на сколько быстро реагировать на входящие запросы, объясните почему это важно;
Составьте пошаговый план действий на случай утечки: как реагировать и что делать, с указанием ответственных лиц и сроков.

Тренд 4. Незнакомые ссылки и «письма-счастья» ─ под запрет

Программы-вымогатели и фишинговые письма ─ до сих пор один из самых распространенных методов кражи данных.

Программа-вымогатель шифрует все данные в хранилище, а затем требует выкуп за то, чтобы разблокировать его.

Фишинговые письма «приходят» от лица якобы поставщика, ключевого партнёра или известного ведомства, а чтобы они выглядели достовернее, ещё и с пометкой «важное». В 2024 году такой метод использовали 61% группировок, атакующих Российскую Федерацию.

Последний метод дает возможность без особого труда обмануть пользователя и заставить его раскрыть пароль, номер кредитной карты и другую конфиденциальную информацию. Пример фишинга: вы получаете письмо от известной вам компании и добровольно, своими собственными ручками вводите логин и пароль, не обратив внимания и не заметив, что страница поддельная. Да, она очень похожа на оригинальную, но… с чуть-чуть измененным url-адресом.

Что делать?

Внимательно смотрите адрес электронной почты, с которой пришло письмо. Учитывая данные статистики, которая утверждает, что каждый 10-й всё равно нажмет на предложенную ссылку, исключите такую возможность в принципе;
Не используйте в рабочем процессе и взаимодействии между сотрудниками мессенджеры и прочие незащищенные каналы передачи данных;
Пользуйтесь корпоративной почтой, избегайте личных доступов своих сотрудников, установите иерархию доступов, распределите доступность пароля в зависимости от уровня полномочий и зоны ответственности каждого сотрудника;
Обучите ответственных за особо важную информацию сотрудников базовым правилам кибербезопасности и защите от фишинга.

Тренд 5. С IoT ─ аккуратно

В каждом отеле может быть своя «умная» конфигурация: умные двери (бесконтактный заезд), умные холодильники и даже полностью умные номера с контролем освещения, температуры и пр. Безусловно, интернет вещей повышает удобство для персонала и комфорт для гостя, но возрастает и количество устройств, подключенных к сети отеля. Каждое «умное» устройство оказывается уязвимостью, которую хакеры могут использовать для доступа к конфиденциальным данным или нарушения работы. Поэтому основная проблема, с которой связано развитие IoT, — безопасность.

По данным зарубежных источников, в 2022 году число атак с использованием программ-вымогателей в секторе гостеприимства увеличилось на 67% по сравнению с 2021 годом. Индустрия гостеприимства заняла предпоследнее место, получив среднюю оценку «D» с точки зрения общей эффективности кибербезопасности.

По иронии судьбы, среди организаций с низкими показателями эффективности безопасности – отели, ориентированные на технологии. Они получили самые низкие баллы по сравнению с другими, более традиционными типами размещения.

Что делать?

Пока одной из главных проблем с устройствами IoT является отсутствие стандартизации с точки зрения протоколов безопасности, внедрять очень аккуратно:

Используйте знания специалистов: воздержитесь от необдуманной спонтанной покупки модного устройства. Составьте план действий и обсудите его не только с экономистами, но и с ИТ-специалистами. Учтите все советы, которые получите;
Почти все умные устройства используют беспроводной канал обмена данными. Максимально обезопасьте свой wi-fi любыми доступными средствами защиты, а при возможности создайте отдельный канал, который будет использоваться по узкому назначению – только IoT-устройствами;
При выборе производителя своих умных устройств – ищите надежного, а не «дешевого».

Тренд 6. Внутреннее обучение сотрудников инфобезу

По прогнозам Gartner, в 2025 году 85% организаций перейдут на стратегию «cloud-first». Это значит, что компании в первую очередь будут ориентироваться на облачные технологии для создания, хранения и обработки данных, а традиционные решения рассматривать только как дополнительный вариант.

Очевидно, что услуги по аудиту и консультированию в области кибербезопасности будут динамично развиваться. Плюс внедрение таких технологий защиты потребует подготовки кадров и повысит потребность в специализированном обучении.

Что делать?

Для начала, не стоит надеяться, что все сотрудники знают правила безопасной работы с информацией и доверять вслепую.

Обучайте всех новых сотрудников вашим правилам и стандартам безопасности;
Оповещайте о нововведениях и изменениях всех сотрудников, которые имеют доступ к работе с информацией, а особенно с чувствительными данными;
Не стесняйтесь пользоваться сторонними обучающими материалами и курсами.

Программные продукты, в том числе уникальные российские разработки, способные обеспечить информационную безопасность вашему бизнесу уже есть. Их «облачное» или «коробочное» решение функционально и доступно для малого бизнеса в целом и гостиничного сервиса, в частности.