Menu
Hotel Price Index. Расходы иностранцев в российских отелях растут. Данные Hotels.com. Богатые американцы и экономные канадцы.

Hotel Price Index. Расходы иностран…

Гости из США стали л...

Итоги премии World Travel Awards 2016 в технологической области. Marriott, IHG, RoomGuru.ru, TripAdvisor, Amadeus и Thomas Cook.

Итоги премии World Travel Awards 20…

Подведены итоги в те...

Ростовский Sheraton купил самарский банкир. История на 1,5 миллиарда. Еще одна попытка достроить отель к мундиалю.

Ростовский Sheraton купил самарский…

Совладелец и председ...

Итоги Премии BBT Awards Russia & CIS. Церемония в отеле Marriott Moscow Grand. Перечень победителей.

Итоги Премии BBT Awards Russia …

В отеле Marriott Mos...

Продвижение Hilton на Алтае под угрозой срыва. Девелопер приостановил реализацию проектов. Земля, кредиты и региональные власти.

Продвижение Hilton на Алтае под угр…

Перспективы строител...

Отель Park Izmailovo Moscow (ex. Park Dedeman Izmailovo) станет Park Inn by Radisson Измайлово. Rezidor расширяет присутствие в России.

Отель Park Izmailovo Moscow (ex. Pa…

Компания Rezidor, од...

Торжественное открытие отеля "ibis Ступино". Первый отель AccorHotels в Подмосковье.

Торжественное открытие отеля "…

В пятницу, 2 декабря...

Prev Next

Наталия Дьяконова / КРОК. Про Dark Hotel, взлом гостиничного Wi-Fi и нюансы информационной безопасности в отелях. Эксклюзив

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса.

По следам DDOS-атаки на портал Hotelier.PRO Наталия Дьяконова, директор департамента телекоммуникаций компании КРОК, рассказала редакции об основах информационной безопасности, техниках взломов и вариантах защиты от ущерба.


Предыстория интервью. 20 января в 13.16 московского времени Hotelier.PRO подвергся DDOS-атаке. Автоматика нашего (теперь уже бывшего) провайдера NIC.RU отключила сайт от обслуживания, сообщив, что услуги по защите от DDOS-атак не предоставляет. Касперский выставил 100 тысяч рублей. Редакции, столкнувшейся с подобным впервые, пришлось в срочном порядке учить матчасть, проводить тендер на нового хостера и переносить сайт в другой дата-центр с соответствующим ПО.

DDoS (от англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») — хакерская атака на вычислительную систему (сервер, сайт) с целью довести её до отказа. Отказ атакуемой системы может быть и шагом к ее овладению (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Вячеслав Сапожников, Hotelier.PRO: Наталия, спасибо, что согласились проконсультировать нас и наших читателей на предмет информационной безопасности. Как только мы подверглись атаке, мне пришлось в срочном порядке искать в интернете материалы на эту тему. И одна из первых статей, найденных мной, была статья Андрея Врублевского, руководителя направления оптимизации и контроля сети компании КРОК. В ней он рассказывал и про гостиничную индустрию в качестве примера отрасли, подвергающийся хакерским атакам.

Наталия Дьяконова / КРОК: В нашем информационно-зависимом мире стать объектом взлома или DDOS-атаки может любой бизнес. Цели разные – от коммерческого заказа конкурентов до банального баловства хакеров. «Положить», т.е. вывести из строя на какое-то время, не защищенный сайт сегодня может каждый студент, более-менее разбирающийся в вопросе и осваивающий тему безопасности и защиты информации в любом ВУЗе.

Вячеслав Сапожников, Hotelier.PRO: С чем связана такая легкость взломов и атак? Это технологии настолько уязвимы? Издержки открытой архитектуры? Что-то еще?

Наталья Дьяконова / КРОК: Во-первых, практически в любом коде программного обеспечения содержится много т.н. уязвимостей. Существуют целые сообщества и хакерские сайты, где люди изучают эти уязвимости, часто более подробно, чем сами производители ПО, обмениваются информацией и способами использования таких уязвимостей. Любой поисковик сегодня выдаст вам множество ссылок на сайты, на которых можно узнать, как «положить» тот или иной ресурс. Получается, что при желании такую информацию можно найти, это не тайна за семью печатями. Но проблема в другом – в том, что есть люди, которые зарабатывают на этом. Как правило, отследить их непросто. И несмотря на то, что у нас в правоохранительных органах есть Управление «К», которое занимается подобными вопросами, профессионалов, заметающих следы, часто найти невозможно. IP-адреса компьютеров можно спрятать, подключение к сети можно производить в общественных местах через открытый и незащищенный Wi-Fi, управлять инфицированными компьютерами можно на расстоянии – способов остаться незамеченным у злоумышленников масса.

Вячеслав Сапожников, Hotelier.PRO: Если софт такой незащищенный – юридически его производитель несет какую-либо ответственность за то, что его могут взломать и нанести мне ущерб?

Наталия Дьяконова / КРОК: Никто ответственность за это не несет. При обнаружении уязвимостей и выпуске обновлений производитель ПО сообщает об этом на своем сайте. С этого момента ответственность лежит на вас, если вы не установили это обновление. Судебных перспектив подобные дела, как правило, не имеют. Такова сложившаяся практика.

Вячеслав Сапожников, Hotelier.PRO: Вы упомянули защищённый Wi-Fi и не защищённый Wi-Fi, можно более подробно про это?

Наталия Дьяконова / КРОК: Во многих отелях, например, каждому гостю выдается один общий пароль на доступ к Wi-Fi. Как правило, этот пароль не меняют месяцами, а число людей, которые его знают, может составлять несколько тысяч.

Гипотетически, злоумышленник может прийти в ваш отель, зарегистрировать свою точку доступа с этим логином-паролем и выставить себе максимальный уровень сигнала. Это называется имитирование беспроводной сети. Далее все абоненты автоматически начинают подключаться именно к этой точке, потому что у неё лучший уровень сигнала. Все, дело сделано – злоумышленник может «слушать» весь трафик, перехватывать любую информацию, переданную с устройства, даже осуществлять атаки (фишинг, например) для получения конфиденциальной информации вашего гостя. Таким образом, он наносит ущерб не только вашим посетителям, но и, соответственно, вашему бизнесу.

Каждому проживающему необходимо выделять собственной пароль для доступа, делать привязку к номеру телефона. Незащищенный Wi-Fi можно взломать в течение суток, поэтому нужно использовать наиболее безопасные механизмы защиты и аутентификации беспроводной сети. На сегодня — это протокол 802.1х. Однако, это только первый этап защиты. Мы советуем выключить неиспользуемые сетевые порты, т.к. по умолчанию в большинстве ПО и настройках оборудования все открыто. Ограничить физический доступ к оборудованию, фильтровать трафик, который не нужен, обязательно выполнять обновление ПО, мониторить оборудование на предмет разных угроз. И ещё очень важно защищать внутренние ИТ-сервисы, с которыми может взаимодействовать беспроводное оборудование.

Когда мы начинаем проектировать Wi-Fi сеть в отеле, первое, что мы делаем — это радиоразведка помещений, расставляем точки доступа оптимальным образом, чтобы переключение было автоматическим, а мертвые зоны отсутствовали. Причем, делаем мы этот аудит и замеры непосредственно перед вводом объекта в эксплуатацию. Почему? Знаете, как это бывает – вдруг собственник или управляющий в последний момент неожиданно решили поставить где-то стеклянную стену с жалюзи – для декора, скажем. Но жалюзи-то железные, да и про то, что стекло влияет на сигнал, тоже никто не думал. Вот и случилось экранирование сигнала в чистом виде. Поэтому все необходимо предусматривать заранее – и толстые железобетонные стены, и железные конструкции, и этажи.

Вячеслав Сапожников, Hotelier.PRO: По большим отелям история ясна – все понимают, что надо приглашать специалистов, платить и так далее. Но если говорить про малые отели, то история совсем иная, как мне представляется. Собственник, инвестор или GM часто в целях экономии мыслят следующим образом – у себя дома я же Wi-Fi поставил. Купил какой-нибудь трехсотый D-Link, все летает, все замечательно…

Наталия Дьяконова / КРОК: Да, и это история про то, как соседи могут пользоваться вашим интернетом бесплатно. Это совершенно простая задача – мало того, что люди ставят общие пароли и оставляют их на всю жизнь, так они и предустановленные дефолтные пароли не меняют – те, с которыми вы купили железку. Ничто не мешает злоумышленнику взять документацию по оборудованию и получить к нему доступ через предустановленный пароль.

На самом деле, для малых отелей есть масса решений. У любого провайдера интернета есть b2b-отдел, который за небольшие деньги делает инсталляции с защитой. Более того, сегодня уже можно заказать услугу из облака — существуют облачные Wi-Fi-решения. В этом случае вы вообще не занимаетесь аппаратной частью, все стоит у провайдера, а контроллер управления инфраструктурой будет стоять, например, в КРОКе. И мы, соответственно, будем управлять всеми вашими политиками, мониторить вашу сеть. Это будет дешевле, чем все делать самостоятельно.

Вячеслав Сапожников, Hotelier.PRO: К чему может привести небрежность с доступом в интернет в отеле?

Наталия Дьяконова / КРОК: Наверное, самой известный случай – с DarkHotel. Вы в курсе, что на всех телефонах с определенной регулярностью происходят обновления – операционных систем, программ, приложений и т.п. Условно: если выходит некое обновление, вендор присылает уведомление о нем, а поскольку вы в большинстве случаев по умолчанию соглашаетесь на установку такого обновления, все делается автоматически. В этом и была суть такой атаки DarkHotel – тысячи пользователей установили себе на устройства вирусного трояна вместо настоящего обновления софта. Соответственно, посредством трояна злоумышленники получали доступ ко всей вашей информации, файловой системе, биллингу и т.п. Все это привело к тому, что в течение семи лет в премиальных отелях действовала группа преступников, которая получала доступ ко всем целевым и не целевым гостям. Кого-то они мониторили, кого-то взламывали под заказ и забирали нужную информацию для заказчика. Чьи-то данные перепродавали. Абсолютно коммерческая история, люди долго зарабатывали на этом деньги, просуществовали семь лет. Скомпрометировали огромное количество отелей. Это к вопросу о том, что можно долго жить и не знать, что гостям кто-то постоянно наносит ущерб из-за твоего пренебрежения к технологиям.

Dark Hotel – кампания операций кибершпионажа, связанная с беспроводными компьютерными сетями в гостиницах и бизнес-центрах. Частично проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Подробности: http://securelist.ru/analysis/obzor/24321/apt-ataka-darkhotel/ и http://blog.kaspersky.ru/darkhotel-apt/6018/#Darkhotel

Вячеслав Сапожников, Hotelier.PRO: Среди отельеров периодически возникают дискуссии – каким должен быть Wi-Fi в отеле? Бесплатным или платным? И часто есть понимание, что поскольку это история бесплатная, то и финансируется она по остаточному признаку. Есть ли решения, которые каким-либо образом помогают монетизировать доступ в интернет, оставляя его при этом бесплатным?

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Как это выглядит? Гость подключается к гостиничному Wi-Fi, открывает браузер и на первой же странице видит рекламный блок с обязательным просмотром или действием (перейти, закрыть, согласен и т.п.). Задача это совершенно тривиальная, недорогая в реализации и эффективная. Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Вячеслав Сапожников, Hotelier.PRO: С Wi-Fi разобрались, вернемся к DDoS-атакам. Конкуренция усиливается, мы вот частично стали ее жертвой. Я читал в сети материалы про войну пиццерий, которые глушили сайты друг друга, чтобы обрушить сервис доставки. Гипотетически можно представить и конкурирующие отели, стоящие на одной территории и выводящие сайты друг друга из строя… Мало ли…

Наталия Дьяконова / КРОК: Вообще, DDOS-атаки накрывают всех. Думаю, гостиничная индустрия не станет исключением. Что делать? В большинстве случаев, отель не содержит у себя на площадке собственный веб-сервер. Как правило, сайт размещают у хост-провайдера. Поэтому надо выбрать себе ресурс для хостинга, который будет максимально защищен. Почитать отзывы, посмотреть рейтинги, почитать про дополнительные функции. По сути, главное – наличие у хостера специализированного программного обеспечения, анализирующего трафик и имеющего алгоритмы по отключению запросов, явно идущих от бот-нетов или зараженных компьютеров.

Разумеется, важный момент – лицензионное программное обеспечение. Все, без исключения. Ситуация, когда вы купили дорогую систему автоматизации гостиницы или серверное ПО и поставили все это на компьютер под «крэкнутой» Windows – по определению, фатальна. Защита – либо комплексна, либо ее просто нет. Оправданны ли усилия по ее внедрению – решать вам, вы либо никогда этого не узнаете, потому что бизнес не пострадает, либо внезапный крах выльется в копеечку. Как мне представляется, грамотный управленец, собственник, инвестор допускать такого не должен принципиально.


Редакция рекомендуетСергей Фомин, Libra Hospitality: Служба безопасности отеля. Конфликты, воровство, информационный и репутационный ущерб.


Чтобы всегда оставаться в курсе новостей и событий гостиничной индустрии, а также следить за обновлениями на Hotelier.PRO – подпишитесь на еженедельную рассылку. Это бесплатно.

Материалы, близкие по теме

СПЕЦИАЛЬНОЕ ВИДЕО В ТЕМУ:

Наверх
  1. Исследования
  2. Около отельное
  3. Реклама
  4. Эксклюзив
  5. Еще +
Аналитика: Блеск и нищета гостиничной индустрии. Переработки. Графики. Зарплаты.

Аналитика: Блеск и н…

О продолжительности рабочей недели линейного персо...

Аналитика. Тренды гостиничного бизнеса, которые невозможно игнорировать.

Аналитика. Тренды го…

Компания Amadeus, специализирующаяся на технология...

Аналитика. Эффект TripАdvisor. Размер имеет значение – как звезд, так и отзывов.

Аналитика. Эффект Tr…

Отзывы, оставленные на TripAdvisor, привлекают не ...

Аналитика. Помогут ли гостиницам эффективные email’ы обойти по продажам сайты бронирования?

Аналитика. Помогут л…

С учетом обострившейся конкуренции и монополии OTA...

АРХИДАР 3.0. Новогодний благотворительный концерт индустрии коммерческой недвижимости. Настоящее добро делать просто.

АРХИДАР 3.0. Новогод…

Ставший уже доброй традицией 3-ий благотворительны...

Екатерина Казанцева / служба сопровождения TravelLine: Мы работаем по принципу "проблема клиента – моя проблема".

Екатерина Казанцева …

Два года назад редакция Hotelier.PRO брала интервь...

15 законов личностного роста. Cеминар по методике Джона Максвелла. Как раскрыть внутренний потенциал. 

15 законов личностно…

Приглашаем принять участие в семинаре "15 законов ...

MICE-тренды от Marriott. Виртуальные туры по конференц-залам. Партнерство с компанией GoInStore. Как технологии оптимизируют организацию мероприятий.

MICE-тренды от Marri…

Компания Marriott International, Inc. объявляет об...

ibis подводит итоги зимних каникул по России. Динамика загрузки от +25% до -13%. Иностранных гостей стало больше.

ibis подводит итоги …

Фраза "Новый год нужно отмечать дома" с каждым год...

Best Western пришел в Санкт-Петербург. Исторический отель в центре Северной столицы – от купеческого дома до комфорта бизнес-класса.

Best Western пришел …

Динамически развивающаяся в России сеть Best Weste...

Soul Kitchen Hostel заслужил HOSCAR. Хостел из Северной столицы уже дважды выиграл престижную награду в хостел-индустрии.

Soul Kitchen Hostel …

16 января 2016 года крупнейший ресурс в хостел инд...

Влияние AccorHotels: 880.000 рабочих мест по всему миру. Вклад в мировой ВВП €22 млрд. 3700 отелей в 92 странах мира.

Влияние AccorHotels:…

Группа AccorHotels провела первое масштабное иссле...

Гендерные игры. AccorHotels и женщины. Какого пола профессия «отельер»? Мнения топ-менеджеров индустрии гостеприимства.

Гендерные игры. Acco…

Группа AccorHotels на днях обязалась обеспечить в ...

Полина Приходько / Ксения Нестеренко: Китайский турист – чем брать, как понимать, что учить. Нюансы. Специфика. Выводы.

Полина Приходько / К…

О базовом минимуме знаний для начала работы с кита...

Анна Айвазян / Тануки: Нематериальная мотивация сотрудников. Как флористика, вокал и внутренние конкурсы влияют на вовлеченность персонала.

Анна Айвазян / Танук…

Экономический кризис в России довольно сильно удар...

Яков Адамов, Marriott International: Сетевой международный бренд это система, она справедлива, и она справедлива для всех.

Яков Адамов, Marriot…

О преимуществах работы в международных сетевых бре...

Дмитрий Халин / Savills: О преимуществах апартаментов под брендом отелей. Сервис, качество, инвестиционная составляющая.

Дмитрий Халин / Savi…

Апарт-отели становятся все более популярным видом ...

Отельеры против Airbnb. Игнор, претензии и бессилие Interstate, Hyatt и Starwood.

Отельеры против Airb…

Сервис сдачи частного жилья Airbnb в очередной раз...

Круглый стол. Хостелы: быть или не быть? Российское законодательство и будущее малых средств размещения.

Круглый стол. Хостел…

Что ждет индустрию хостелов и мини-гостиниц, если ...

Личный опыт. Как устроен рынок хостелов в США. Мало, дорого, эффективно.

Личный опыт. Как уст…

Споры вокруг будущего российских хостелов так или ...