Информационная безопасность (прим.: далее ИБ) играет ключевую роль в современном мире, где цифровые технологии проникают во все сферы нашей жизни. Утечка конфиденциальной информации всегда грозит серьезными издержками бизнесу. Такая неосторожность ведет к очернению репутации и финансовым потерям. Компании Cybersecurity Ventures в 2024 году оценила потери от действий киберпреступников по всему миру в $9,5 трлн. Это втрое больше, чем в 2015 году. Доля потерь российских компаний составит 38% от общей суммы ущерба.
В отчете Verizon DBIR за 2024 год зафиксировано более 220 инцидентов в сфере гостеприимства, 106 из которых – официально подтвержденные утечки данных. Социальная инженерия и уязвимости веб-приложений стали причиной 92% всех нарушений. Был также случай, когда хакеры атаковали сервер японского агрегатора отелей. Через него клиенты бронировали номера в более чем 4000 отелях в 100 странах. Так украли 320 000 строк персональной информации, такие как имена, возраст, номера телефонов, и 66 960 данных кредитных карт.
Информационная безопасность в сфере гостеприимства
В индустрии гостеприимства обрабатывают огромное количество личных данных гостей и сотрудников: почтовые и электронные адреса, контактная информация и сведения о банковских картах. Поэтому отели и туристические фирмы часто становятся целью киберпреступников — на них приходится от 15% всех случаев утечки данных.
Информационная безопасность обеспечивает отелю надежную защиту информации и данных, связанных с деятельностью организации, от несанкционированного доступа, кражи и повреждения.
Индустрия гостеприимства занимает второе место по числу случаев утечки данных и уступает только сфере розничной торговли. При этом у 74% предприятий нет достаточной защиты от киберугроз.
Исходя из нашей практики взаимодействия с представителями малого и среднего бизнеса сферы гостеприимства, только у одного из десяти предприняты меры хотя бы по минимальному обеспечению ИБ в своей организации.
Анна Крампец, генеральный директор TeamDo
Как происходят утечки?
Причины утечек бывают внутренними и внешними. Внешние утечки — намеренные атаки хакеров, которые находят слабые места в системе защиты. Внутренние утечки происходят по вине сотрудников.
Как показывает практика, чаще всего причина — отсутствие норм и правил в обращении с цифровой информацией сотрудниками отеля. Халатное отношение к хранению паролей (на «бумажках» под клавиатурой) или слабый пароль от системы бронирования, пересылка паролей через мессенджеры подрядчикам — все это серьезный риск, который нужно контролировать.
Отели работают на разном программном обеспечении: PMS системы управления, модули бронирования, менеджеры каналов продаж, платформы OTA, соцсети, сайты. Если объекты размещения используют слабо защищенные решения автоматизации — это делает их уязвимыми для внешних атак. Например, те сервисы, где для доступа в систему сотрудники используют свои, легко угадываемые пароли.
Люди часто теряют свои мобильные устройства и сотрудники отелей — не исключение. 31% утечек данных происходит из-за потери или кражи мобильных устройств, а еще 27% — из-за некорректного использования прав доступа. Таким образом, в 58% случаев данные утекают непреднамеренно.
Снизить риск таких инцидентов можно за счет Менеджера паролей TeamDo с технологией шифрования данных. Во-первых, он помогает создать сильные и безопасные пароли, а во-вторых помогает сотрудникам использовать только его и не делиться паролями в мессенджерах. Использование менеджера паролей подкрепляют правилами и приказом — сотрудники подписывают соглашение о неразглашении коммерческой информации, в которое включают все данные, которые в нем хранятся.
Последствия кибератак и утечек, ФЗ №149 и №152
По расчётам аналитиков TeamDo на семейный отель или хостел, в котором до 15 номеров, приходится более 30 ценных учётных записей: доступы к системе бронирования, электронной почте, мессенджерам, финансовым инструментам, агрегаторам, соцсетям, к системам видеонаблюдения и СКУД. Потеря доступа или несанкционированный взлом этих систем часто приводит к сложно исправимым последствиям.
В первую очередь стоит переживать о репутационных потерях. Утрата доверия гостей и клиентов может стать основным отложенным фактором крупных издержек — они просто больше не вернутся и не посоветуют вас знакомым.
Из моментальных ощутимых издержек все внимание на себя возьмут финансовые потери, а именно – штрафы.
Основной закон о безопасности информации в России был принят 27 июля 2006 года и зарегистрирован под номером 149-ФЗ. Этот закон включает в себя ключевые требования, необходимые для защиты информации. И ФЗ-152 — «Закон о персональных данных», который регулирует правила обработки персональных данных.
С точки зрения закона организации обязаны соблюдать принципы и стандарты защиты данных, а также принимать необходимые технические и организационные меры для предотвращения утечек или несанкционированного доступа к личной информации. Внедрять современные технологии и методы защиты данных, бережно относиться к персональным данным своих клиентов. К таким мерам относятся шифрование, многофакторная аутентификация, регулярное обновление программного обеспечения и обучение персонала в области информационной безопасности.
Один из публичных примеров утечки персональных данных в сфере гостеприимства произошел в 2023 году, когда у популярного российского курорта «Роза Хутор» была слита база клиентов, содержащая 522 тысячи строк. Были похищены чувствительные данные пользователей, такие как имена и фамилии, номера телефонов, адреса электронных почт, данные банковских карт и хешированные пароли. Курорт был оштрафован на 60 т.р., но если будут приняты изменения, то такая потеря данных обошлась бы уже 3–5 млн.рублей.
Поговорим о мифах
Лидия Зимницкая, руководитель развития TeamDo, поделилась подборкой самых распространенных заблуждений среди управляющих и собственников отелей, которые она услышала за этот год:
Миф 1. Информационная безопасность — это не про меня
В 2023 году было зафиксировано 1,12 миллиарда утечек персональных данных, что на 60% больше, чем в 2022 году. При этом в малых организациях рост утечек увеличился вдвое — с 15,5% до 36,6%. Владельцы малого и среднего бизнеса часто считают, что не привлекают особого внимания, но в мировой практике 60% утечек приходится именно на малые предприятия, к которым относится значительная часть предприятий сектора гостеприимства.
Миф 2. Все наши данные под защитой платформы
Только ведущие лицензированные системы автоматизации, такие как Bnovo, предоставляют гостиничным объектам безопасное хранение данных в data центрах в соответствии с федеральными законами №149 и №152. Bnovo обеспечивает надежную защиту паролей пользователей с помощью многоступенчатой системы шифрования и позволяет разграничить права доступа для владельца, администратора и горничной отеля.
Если вы работаете на других решениях, убедитесь, что точно доверяете своей платформе. Уверены ли вы в надежности? Есть ли у вас резервные копии данных?
Миф 3. Сотрудников не нужно учить информационной безопасности
По данным исследования ГК InfoWatch, около 80% всех киберинцидентов в компаниях, таких как утечки данных или кражи денег со счетов клиентов, происходят по вине сотрудников.
Узнайте, где ваши сотрудники хранят логины и пароли к системам бронирования: на листочке, в ежедневнике или запоминают их? Пересылают ли они их друг другу через мессенджеры или электронную почту? Существует ли система хранения приватных и конфиденциальных данных, например, менеджер паролей? Есть ли нормы и регламенты, описывающие, как безопасно хранить чувствительные данные?
Миф 4. За информационную безопасность отвечает наш сисадмин/ИТ-специалист
Один человек не способен полностью отвечать за информационную безопасность и контролировать все возможные риски. Особенно если учесть, что системный администратор, на которого часто возлагаются большие надежды, вообще не занимается этими вопросами.
Для крупных сетевых отелей оптимальным решением будет создание отдела ИТ-специалистов, которые смогут выстроить систему технической защиты. Это включает резервное копирование, мониторинг, контроль Wi-Fi-сетей, обновление программного обеспечения, настройку прав доступа к различным системам и данным, а также настройку и контроль удаленного доступа для топ-менеджеров.
Для малого и среднего бизнеса важно, чтобы руководитель или собственник проявляли интерес к обеспечению информационной безопасности. Это — внедрение правил и регламентов, обучение сотрудников и использование только лицензированного безопасного программного обеспечения при работе с собственными и клиентскими данными.
Миф 5. Информационная безопасность — это антивирус на компьютерах
Для обеспечения корпоративной безопасности необходим комплексный подход, который включает технические и процедурные меры. Одного антивируса недостаточно. Сотрудники должны знать о базовых принципах информационной безопасности. Например, что нельзя открывать неизвестные ссылки, изображения и файлы. Вирусы часто получают через флешки, накопители, мессенджеры и другие носители.
Поэтому важно, чтобы у сотрудников были четкие правила и инструкции,что можно и нельзя делать на рабочих компьютерах.
Миф 6. Информационная безопасность — это очень дорого
Существует множество дорогостоящих комплексных продуктов для обеспечения ИБ. Чаще их устанавливают в крупных организациях, например, сетевых отелях уровня Marriott. Они охватывают несколько информационных уровней, от сетевого трафика до видеонаблюдения.
Но представители малого и среднего бизнеса могут обойтись более скромными конфигурациями и решениями. Главное — начать с процедур, определить типы конфиденциальных данных и обозначить возможные риски. Например, в сфере гостеприимства чаще всего подвергаются взлому Wi-Fi сети и системы бронирования.
Как обезопасить отель?
Потеря паролей и доступа к учетным записям может стать серьезной проблемой для любой организации, но при правильном подходе и соблюдении мер безопасности, риски можно свести к минимуму. Вот несколько советов.
Не вся защита информации требует значительных затрат. Большая часть работы заключается в ежедневных рутинных действиях сотрудников и соблюдении простых правил, которые не требуют больших вложений от отеля. Например, любой сотрудник не должен открывать незнакомые ссылки из корпоративных электронных писем. Или маркетолог не должен предоставлять доступ для фрилансера к сайту через мессенджеры.
С чего начать путь в ИБ для своего бизнеса
Простой пошаговый план для владельца любого бизнеса:
