Утечка персональных данных в отелях

Категории
Категории
Анна Крампец
  • 1 мин
  • 108

Авторство большинства признанных и освещённых утечек информации принадлежит киберпреступникам, орудующим как в группах, так и по одиночке. Обычно злоумышленники используют слабые места в системах передачи данных, уязвимости незащищённых хранилищ и простую невнимательность сотрудников.

Так, например, в России в 2023 г. была слита база клиентов курорта «Роза Хутор» — на сайте можно забронировать номер в отеле и оформить ски-пасс для спуска на горнолыжных трассах. Злоумышленники воспользовались «дырой» в 1С-Битрикс, в результате чего была слита база имён, телефонных номеров, адресов электронных почт и других персональных данных. 

Сумма штрафа за утечку персональных данных составила 60 тыс. рублей. Но в будущем стоимость потери в России будут гораздо выше, как и мировой практике будут введены оборотные штрафы за утечку персональных данных. Например, за повторные утечки планируется штраф от оборота в 0,1–3% от выручки за календарный год или часть текущего года. Минимальный размер 15 млн.р., максимальный — 500 млн.р.

Сфера гостеприимства является привлекательной для хакеров, поскольку отели и системы бронирования собирают огромные массивы пользовательских данных: пароли, физические адреса проживания, данные кредитных карт и другой конфиденциальной информации. В мировой практике утечки происходят ежегодно.

Хакерская атака на агрегатор Fastbooking.com

В 2018 году хакеры атаковали сервера японсткого агрегатора отелей, позволяющего забронировать номера в более чем 4000 отелях в 100 странах. Были украдены данные 320 000 персональной информации (имена, возраст, номера телефонов), 66 960 данных кредитных карт.

MGM Resorts International

В середине 2023 года MGM Resorts International в результате утечки понесла ущерб в размере более 110 млн долларов  — в эту сумму включены штрафы, компенсации пострадавшим и объём работ, необходимых для восстановления безопасности сети. Количество строк похищенных данных не было установлено.

Caesar Entertainment

В сентябре 2023 года компания Caesar Entertainment выплатила выкуп суммой 15 миллионов долларов. Злоумышленники украли базу данных программы лояльности клиентов — крупнейшую базу в отрасли, включающую не только обычные, но и чувствительные персональные данные  — данные банковских карт, номера страховых документов и водительских удостоверений.

Marriott потеря 327 млн.записей и получила штраф на 123 млн.долларов

В 2018 году и-за несанкционированного доступа в систему бронирования Starwood произошла утечка 327 млн. записей по всей сети отелей  — более 6,700 гостиниц по всему миру.

Так или иначе, компания несёт убытки вследствие утечек  — масштабных и локальных. Любая подтверждённая утечка влечёт за собой штраф и репутационные издержки, которые тоже нередко становятся позициями в чеке: выплата компенсаций, судебных исков, восстановления систем и оплата работы специалистов.

Как влияет человеческий фактор на стоимость утечки? 

Утечки данных почти всегда можно списать на рост киберпреступности: количество слитых и проданных баз данных с каждым годом всё растёт. И достаточно редко компании признают, что инцидента можно было избежать, просто приняв дополнительные меры безопасности — или объяснив коллективу, как следует работать с цифровыми активами. 

Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые часто используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре — он взломал интернет-шлюз и скопрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов. 

Нередки случаи, когда организации используют незащищённые сервисы, не задумываясь о возможной компрометации личных данных.

Советы по защите для индустрии гостеприимства

  1. Используйте корпоративную почту на домене отеля. Настройте правила по обработке всех входящих писем.
  2. Изучите процессы для улучшения безопасности и обучите сотрудников навыкам базовой кибербезопасности. Воспользуйтесь чек-листом
  3. Поддерживайте парольную политику. Воспользуйтесь чек-листом 10 правил по созданию и хранению паролей.
  4. Не храните пароли в файлах, используйте
  5. Используйте многофакторную аутентификацию.
  6. Используйте технические средства защиты сети и ИТ-инфраструктуры.