О цифровой гигиене в сфере отельного бизнеса: как защитить персональные данные клиентов, избежать цифровых утечек и создать структуру парольной политики. Кейсы по кибербезопасности.
Бонус: 5 главных правил для защиты своих данных.
— Уже больше 20 лет мы работаем в диджитал-сфере. Занимаемся созданием сайтов, мобильных приложений, чат-ботов. В ходе такой проектной работы мы всегда получали и получаем от клиентов разные доступы. Не только разные логины и пароли к соцсетям или доменам, но также ссылки к рабочим материалам, важным документам и файлам.
И весь этот список данных мы храним в своей специальной системе учета задач и времени до тех пор, пока работаем над проектом. Как показала практика: хранить приходится ещё дольше. Даже после окончания работ к нам регулярно обращаются за восстановлением доступов.
Кто-то потерял пароль к социальной сети, у кого-то нет доступа к облачному диску или корпоративной почте. Недавно один клиент, который не работает с нами уже несколько лет, спросил, не остался ли у нас доступ к биллингу.
Даже после окончания работ к нам регулярно обращаются за восстановлением доступов.
Обращения от наших заказчиков были такими частыми, что мы задумались над отдельным модулем по хранению паролей и доступов. Его можно было бы использовать не только для клиентов, но и для наших рабочих процессов.
Теперь во время работы с проектами клиентов все полученные данные мы храним в TeamDo и обучаем им пользоваться. После окончания работ у заказчиков остаётся не просто файл на гугл-диске, а защищённое хранилище паролей.
Количество утечек растёт с каждым годом. Например, за первый квартал 2024 года утекло впятеро больше данных, чем за аналогичный период 2023 года. А в июле из-за сбоя в Microsoft серьёзно пострадала работа в аэропортах.
Чаще всего утечкам подвергаются IT-компании и медицинские организации, но это не значит, что в сфере гостеприимного сервиса их мало. За последнее время было достаточно случаев.
Например, в середине 2023 года американская компания понесла ущерб в 110 млн долларов, в которые входила компенсация и восстановление безопасности сети. А в одном из случаев хакеры украли крупнейшую базу данных в отрасли гостеприимства.
Нередки случаи, когда организации используют незащищённые сервисы, не задумываясь о возможной компрометации личных данных.
Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые часто используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре — он взломал интернет-шлюз и скомпрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов.
За время работы с отелями наша команда сформировала 5 главных правил, на которых следует заострить внимание, чтобы защитить свои данные.
Любому бизнесу, в том числе и отельному, нужно избавляться от устаревших цифровых технологий. «Дырявые» системы, приложения, программные продукты только увеличивают риск взломов. Каждый день ваш корпоративный сайт могут атаковать хакеры, а в почту вашей компании — разослать фишинговые письма. Рано или поздно утечка данных гарантирована.
Важно следить за изменениями и принимать меры до того, как что-то случится. Постарайтесь обучить сотрудников хотя бы базовым методам защиты корпоративной информации. Если вам сложно сформировать такую политику, можете обратиться к нам. Внедрите резервное копированиеважной информации, а также программные и технические средства защиты.
Откажитесь от поспешной цифровизации. Не вся она полезна. Быстрый выбор готовых программных продуктов или разработка своего решения может привести к напрасно потраченному времени и дополнительным рискам.
Тщательно выбирайте IТ-сотрудников и проверяйте, закрыли ли вы доступы для тех, с кем уже не работаете.
Избавляйтесь от ручного труда и рисков человеческих ошибок. Отправка данных по ошибке через почту, случайное предоставление доступа друзьям к корпоративному устройству во время работы из дома, плохой менеджмент пользовательских паролей, — всё это ставит под угрозу ваш бизнес.
Мы понимаем, что только крупные отели могут позволить себе дорогие IT-услуги, специалистов по информационной безопасности в штате, специальные средства технической защиты, регулярное обучение сотрудников. У большинства отелей нет запланированной статьи в бюджете на информационную безопасность.
Несмотря на это я рекомендую выделить в бюджете средства на кибербезопасность. О каких суммах может идти речь? Например, о сумме в размере штрафа за утечку персональных данных. Соотнесите размеры штрафа с количеством персональных данных в вашем отеле.
Не вся информационная безопасность требует высоких затрат. Большая часть работы сводится к ежедневным рутинным действиям сотрудников и выполнения простых правил, которые не требуют от отеля больших вложений. Например, администратор не должен открывать незнакомые ссылки из электронных писем корпоративной почты. Или маркетолог отеля не должен отправлять доступ к сайту отеля в мессенджере.
Основные правила и важные моменты мы собрали в чек-лист “Кибербезопасность отеля”. Мы отдаём его всем нашим клиентам или пользователям, которые к нам обратились. Чек-лист разбит на пять блоков:
Персональные данные гостей и сотрудников
Техническая защита
Безопасность цифровых активов
Пароли и менеджер паролей
Процедуры и знания
Каждый из этих разделов имеет свои подпункты, которые важно выполнять, чтобы минимизировать риск утечки и избежать штрафов.
Чек-лист доступен на нашем сайте абсолютно бесплатно, его может пройти любой желающий. Наша задача — предоставлять как можно больше кейсов по защите ваших данных от утечек и хакерских взломов.
Беседовала Лидия Зимницкая