Категории
Категории

Кибератака на отель: есть ли у вас план?

Интервью с Анной Крампец — CEO, сооснователем платформы по хранению данных TeamDo

О цифровой гигиене в сфере отельного бизнеса: как защитить персональные данные клиентов, избежать цифровых утечек и создать структуру парольной политики. Кейсы по кибербезопасности.

Бонус: 5 главных правил для защиты своих данных.


Как пришла идея создать платформу по управлению паролями и доступами?

— Уже больше 20 лет мы работаем в диджитал-сфере. Занимаемся созданием сайтов, мобильных приложений, чат-ботов. В ходе такой проектной работы мы всегда получали и получаем от клиентов разные доступы. Не только разные логины и пароли к соцсетям или доменам, но также ссылки к рабочим материалам, важным документам и файлам.

И весь этот список данных мы храним в своей специальной системе учета задач и времени до тех пор, пока работаем над проектом. Как показала практика: хранить приходится ещё дольше. Даже после окончания работ к нам регулярно обращаются за восстановлением доступов.

Кто-то потерял пароль к социальной сети, у другого нет доступа к облачному диску или корпоративной почте. Недавно один клиент, который не работает с нами уже несколько лет, спросил, не остался ли у нас доступ к биллингу.

К нам регулярно обращаются за восстановлением доступов даже после окончания работ.

Обращения от наших заказчиков стали такими частыми, что мы задумались над отдельным модулем по хранению паролей и доступов. Его можно было бы использовать не только для клиентов, но и для наших рабочих процессов.

Теперь во время работы с проектами клиентов все полученные данные мы храним в TeamDo и обучаем импользоваться. После окончания работ у заказчиков остаётся не просто файл на гугл-диске, а защищённое хранилище паролей.

Разве в отельном бизнесе много утечек?

Количество утечек растёт с каждым годом. Например, за первый квартал 2024 года утекло впятеро больше данных, чем за аналогичный период 2023 года. А в июле из-за сбоя в Microsoft серьёзно пострадала работа в аэропортах.

Чаще всего утечкам подвергаются IT-компании и медицинские организации, но это не значит, что в сфере гостеприимного сервиса их мало. За последнее время было достаточно случаев.

Например, в середине 2023 года американская компания понесла ущерб в 110 млн долларов, в которые входила компенсация и восстановление безопасности сети. Также произошел неприятный момент, когда хакеры украли крупнейшую базу данных в отрасли гостеприимства.

Организации очень часто используют незащищённые сервисы и не задумываются о возможной компрометации личных данных.

Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре. Он взломал интернет-шлюз и скомпрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов.

Что в таком случае нужно делать отелям?

За время работы с отелями наша команда сформулировала 5 главных правил, на которых следует заострить внимание, чтобы защитить свои данные.

Избавляйтесь от устаревших цифровых технологий. «Дырявые» системы, приложения, программные продукты только увеличивают риск взломов. Каждый день ваш корпоративный сайт могут атаковать хакеры, а в почту вашей компании — разослать фишинговые письма. Рано или поздно утечка данных гарантирована.

Следите за изменениями и принимать меры до того, как что-то случится. Постарайтесь обучить сотрудников хотя бы базовым методам защиты корпоративной информации. Если вам сложно сформировать такую политику, можете обратиться к нам. Внедрите резервное копированиеважной информации, а также программные и технические средства защиты.

Откажитесь от поспешной цифровизации. Не вся она полезна. Быстрый выбор готовых программных продуктов или разработка своего решения может привести к напрасно потраченному времени и дополнительным рискам.

Тщательно выбирайте IТ-сотрудников и проверяйте, закрыли ли вы доступы для тех, с кем уже не работаете.

Избавляйтесь от ручного труда и рисков человеческих ошибок. Отправка данных по ошибке через почту, случайное предоставление доступа друзьям к корпоративному устройству во время работы из дома, плохой менеджмент пользовательских паролей, — всё это ставит под угрозу ваш бизнес.

Мы понимаем, что только крупные отели могут позволить себе дорогие IT-услуги, специалистов по информационной безопасности в штате, специальные средства технической защиты, регулярное обучение сотрудников. У большинства отелей нет запланированной статьи в бюджете на информационную безопасность.

Однако я рекомендую выделить в бюджете средства на кибербезопасность. О каких суммах может идти речь? Например, о сумме в размере штрафа за утечку персональных данных. Соотнесите размеры штрафа с количеством персональных данных в вашем отеле.

Не вся информационная безопасность требует высоких затрат. Большая часть работы сводится к ежедневным рутинным действиям сотрудников и выполнению простых правил, которые не требуют от отеля больших вложений. Например, научите администратора не открывать незнакомые ссылки из электронных писем корпоративной почты. Или маркетолога отеля не отправлять доступ к сайту отеля в мессенджере. 

Основные правила и важные моменты мы собрали в чек-лист «Кибербезопасность отеля». Мы отдаём его всем нашим клиентам или пользователям, которые к нам обратились. Чек-лист разбит на пять блоков:

  • Персональные данные гостей и сотрудников

  • Техническая защита

  • Безопасность цифровых активов

  • Пароли и менеджер паролей

  • Процедуры и знания

Каждый из этих разделов имеет свои подпункты, которые важно выполнять, чтобы минимизировать риск утечки и избежать штрафов.

Где посмотреть этот чек-лист?

Чек-лист доступен на нашем сайте абсолютно бесплатно, его может пройти любой желающий. Наша задача — предоставлять как можно больше кейсов по защите ваших данных от утечек и хакерских взломов.

Беседовала Лидия Зимницкая