Menu

Наталия Дьяконова / КРОК. Про Dark Hotel, взлом гостиничного Wi-Fi и нюансы информационной безопасности в отелях. Эксклюзив

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса.

По следам DDOS-атаки на портал Hotelier.PRO Наталия Дьяконова, директор департамента телекоммуникаций компании КРОК, рассказала редакции об основах информационной безопасности, техниках взломов и вариантах защиты от ущерба.


Предыстория интервью. 20 января в 13.16 московского времени Hotelier.PRO подвергся DDOS-атаке. Автоматика нашего (теперь уже бывшего) провайдера NIC.RU отключила сайт от обслуживания, сообщив, что услуги по защите от DDOS-атак не предоставляет. Касперский выставил 100 тысяч рублей. Редакции, столкнувшейся с подобным впервые, пришлось в срочном порядке учить матчасть, проводить тендер на нового хостера и переносить сайт в другой дата-центр с соответствующим ПО.

DDoS (от англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») — хакерская атака на вычислительную систему (сервер, сайт) с целью довести её до отказа. Отказ атакуемой системы может быть и шагом к ее овладению (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Вячеслав Сапожников, Hotelier.PRO: Наталия, спасибо, что согласились проконсультировать нас и наших читателей на предмет информационной безопасности. Как только мы подверглись атаке, мне пришлось в срочном порядке искать в интернете материалы на эту тему. И одна из первых статей, найденных мной, была статья Андрея Врублевского, руководителя направления оптимизации и контроля сети компании КРОК. В ней он рассказывал и про гостиничную индустрию в качестве примера отрасли, подвергающийся хакерским атакам.

Наталия Дьяконова / КРОК: В нашем информационно-зависимом мире стать объектом взлома или DDOS-атаки может любой бизнес. Цели разные – от коммерческого заказа конкурентов до банального баловства хакеров. «Положить», т.е. вывести из строя на какое-то время, не защищенный сайт сегодня может каждый студент, более-менее разбирающийся в вопросе и осваивающий тему безопасности и защиты информации в любом ВУЗе.

Вячеслав Сапожников, Hotelier.PRO: С чем связана такая легкость взломов и атак? Это технологии настолько уязвимы? Издержки открытой архитектуры? Что-то еще?

Наталья Дьяконова / КРОК: Во-первых, практически в любом коде программного обеспечения содержится много т.н. уязвимостей. Существуют целые сообщества и хакерские сайты, где люди изучают эти уязвимости, часто более подробно, чем сами производители ПО, обмениваются информацией и способами использования таких уязвимостей. Любой поисковик сегодня выдаст вам множество ссылок на сайты, на которых можно узнать, как «положить» тот или иной ресурс. Получается, что при желании такую информацию можно найти, это не тайна за семью печатями. Но проблема в другом – в том, что есть люди, которые зарабатывают на этом. Как правило, отследить их непросто. И несмотря на то, что у нас в правоохранительных органах есть Управление «К», которое занимается подобными вопросами, профессионалов, заметающих следы, часто найти невозможно. IP-адреса компьютеров можно спрятать, подключение к сети можно производить в общественных местах через открытый и незащищенный Wi-Fi, управлять инфицированными компьютерами можно на расстоянии – способов остаться незамеченным у злоумышленников масса.

Вячеслав Сапожников, Hotelier.PRO: Если софт такой незащищенный – юридически его производитель несет какую-либо ответственность за то, что его могут взломать и нанести мне ущерб?

Наталия Дьяконова / КРОК: Никто ответственность за это не несет. При обнаружении уязвимостей и выпуске обновлений производитель ПО сообщает об этом на своем сайте. С этого момента ответственность лежит на вас, если вы не установили это обновление. Судебных перспектив подобные дела, как правило, не имеют. Такова сложившаяся практика.

Вячеслав Сапожников, Hotelier.PRO: Вы упомянули защищённый Wi-Fi и не защищённый Wi-Fi, можно более подробно про это?

Наталия Дьяконова / КРОК: Во многих отелях, например, каждому гостю выдается один общий пароль на доступ к Wi-Fi. Как правило, этот пароль не меняют месяцами, а число людей, которые его знают, может составлять несколько тысяч.

Гипотетически, злоумышленник может прийти в ваш отель, зарегистрировать свою точку доступа с этим логином-паролем и выставить себе максимальный уровень сигнала. Это называется имитирование беспроводной сети. Далее все абоненты автоматически начинают подключаться именно к этой точке, потому что у неё лучший уровень сигнала. Все, дело сделано – злоумышленник может «слушать» весь трафик, перехватывать любую информацию, переданную с устройства, даже осуществлять атаки (фишинг, например) для получения конфиденциальной информации вашего гостя. Таким образом, он наносит ущерб не только вашим посетителям, но и, соответственно, вашему бизнесу.

Каждому проживающему необходимо выделять собственной пароль для доступа, делать привязку к номеру телефона. Незащищенный Wi-Fi можно взломать в течение суток, поэтому нужно использовать наиболее безопасные механизмы защиты и аутентификации беспроводной сети. На сегодня — это протокол 802.1х. Однако, это только первый этап защиты. Мы советуем выключить неиспользуемые сетевые порты, т.к. по умолчанию в большинстве ПО и настройках оборудования все открыто. Ограничить физический доступ к оборудованию, фильтровать трафик, который не нужен, обязательно выполнять обновление ПО, мониторить оборудование на предмет разных угроз. И ещё очень важно защищать внутренние ИТ-сервисы, с которыми может взаимодействовать беспроводное оборудование.

Когда мы начинаем проектировать Wi-Fi сеть в отеле, первое, что мы делаем — это радиоразведка помещений, расставляем точки доступа оптимальным образом, чтобы переключение было автоматическим, а мертвые зоны отсутствовали. Причем, делаем мы этот аудит и замеры непосредственно перед вводом объекта в эксплуатацию. Почему? Знаете, как это бывает – вдруг собственник или управляющий в последний момент неожиданно решили поставить где-то стеклянную стену с жалюзи – для декора, скажем. Но жалюзи-то железные, да и про то, что стекло влияет на сигнал, тоже никто не думал. Вот и случилось экранирование сигнала в чистом виде. Поэтому все необходимо предусматривать заранее – и толстые железобетонные стены, и железные конструкции, и этажи.

Вячеслав Сапожников, Hotelier.PRO: По большим отелям история ясна – все понимают, что надо приглашать специалистов, платить и так далее. Но если говорить про малые отели, то история совсем иная, как мне представляется. Собственник, инвестор или GM часто в целях экономии мыслят следующим образом – у себя дома я же Wi-Fi поставил. Купил какой-нибудь трехсотый D-Link, все летает, все замечательно…

Наталия Дьяконова / КРОК: Да, и это история про то, как соседи могут пользоваться вашим интернетом бесплатно. Это совершенно простая задача – мало того, что люди ставят общие пароли и оставляют их на всю жизнь, так они и предустановленные дефолтные пароли не меняют – те, с которыми вы купили железку. Ничто не мешает злоумышленнику взять документацию по оборудованию и получить к нему доступ через предустановленный пароль.

На самом деле, для малых отелей есть масса решений. У любого провайдера интернета есть b2b-отдел, который за небольшие деньги делает инсталляции с защитой. Более того, сегодня уже можно заказать услугу из облака — существуют облачные Wi-Fi-решения. В этом случае вы вообще не занимаетесь аппаратной частью, все стоит у провайдера, а контроллер управления инфраструктурой будет стоять, например, в КРОКе. И мы, соответственно, будем управлять всеми вашими политиками, мониторить вашу сеть. Это будет дешевле, чем все делать самостоятельно.

Вячеслав Сапожников, Hotelier.PRO: К чему может привести небрежность с доступом в интернет в отеле?

Наталия Дьяконова / КРОК: Наверное, самой известный случай – с DarkHotel. Вы в курсе, что на всех телефонах с определенной регулярностью происходят обновления – операционных систем, программ, приложений и т.п. Условно: если выходит некое обновление, вендор присылает уведомление о нем, а поскольку вы в большинстве случаев по умолчанию соглашаетесь на установку такого обновления, все делается автоматически. В этом и была суть такой атаки DarkHotel – тысячи пользователей установили себе на устройства вирусного трояна вместо настоящего обновления софта. Соответственно, посредством трояна злоумышленники получали доступ ко всей вашей информации, файловой системе, биллингу и т.п. Все это привело к тому, что в течение семи лет в премиальных отелях действовала группа преступников, которая получала доступ ко всем целевым и не целевым гостям. Кого-то они мониторили, кого-то взламывали под заказ и забирали нужную информацию для заказчика. Чьи-то данные перепродавали. Абсолютно коммерческая история, люди долго зарабатывали на этом деньги, просуществовали семь лет. Скомпрометировали огромное количество отелей. Это к вопросу о том, что можно долго жить и не знать, что гостям кто-то постоянно наносит ущерб из-за твоего пренебрежения к технологиям.

Dark Hotel – кампания операций кибершпионажа, связанная с беспроводными компьютерными сетями в гостиницах и бизнес-центрах. Частично проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Подробности: http://securelist.ru/analysis/obzor/24321/apt-ataka-darkhotel/ и http://blog.kaspersky.ru/darkhotel-apt/6018/#Darkhotel

Вячеслав Сапожников, Hotelier.PRO: Среди отельеров периодически возникают дискуссии – каким должен быть Wi-Fi в отеле? Бесплатным или платным? И часто есть понимание, что поскольку это история бесплатная, то и финансируется она по остаточному признаку. Есть ли решения, которые каким-либо образом помогают монетизировать доступ в интернет, оставляя его при этом бесплатным?

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Как это выглядит? Гость подключается к гостиничному Wi-Fi, открывает браузер и на первой же странице видит рекламный блок с обязательным просмотром или действием (перейти, закрыть, согласен и т.п.). Задача это совершенно тривиальная, недорогая в реализации и эффективная. Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Вячеслав Сапожников, Hotelier.PRO: С Wi-Fi разобрались, вернемся к DDoS-атакам. Конкуренция усиливается, мы вот частично стали ее жертвой. Я читал в сети материалы про войну пиццерий, которые глушили сайты друг друга, чтобы обрушить сервис доставки. Гипотетически можно представить и конкурирующие отели, стоящие на одной территории и выводящие сайты друг друга из строя… Мало ли…

Наталия Дьяконова / КРОК: Вообще, DDOS-атаки накрывают всех. Думаю, гостиничная индустрия не станет исключением. Что делать? В большинстве случаев, отель не содержит у себя на площадке собственный веб-сервер. Как правило, сайт размещают у хост-провайдера. Поэтому надо выбрать себе ресурс для хостинга, который будет максимально защищен. Почитать отзывы, посмотреть рейтинги, почитать про дополнительные функции. По сути, главное – наличие у хостера специализированного программного обеспечения, анализирующего трафик и имеющего алгоритмы по отключению запросов, явно идущих от бот-нетов или зараженных компьютеров.

Разумеется, важный момент – лицензионное программное обеспечение. Все, без исключения. Ситуация, когда вы купили дорогую систему автоматизации гостиницы или серверное ПО и поставили все это на компьютер под «крэкнутой» Windows – по определению, фатальна. Защита – либо комплексна, либо ее просто нет. Оправданны ли усилия по ее внедрению – решать вам, вы либо никогда этого не узнаете, потому что бизнес не пострадает, либо внезапный крах выльется в копеечку. Как мне представляется, грамотный управленец, собственник, инвестор допускать такого не должен принципиально.


Редакция рекомендуетСергей Фомин, Libra Hospitality: Служба безопасности отеля. Конфликты, воровство, информационный и репутационный ущерб.


Чтобы всегда оставаться в курсе новостей и событий гостиничной индустрии, а также следить за обновлениями на Hotelier.PRO – подпишитесь на еженедельную рассылку. Это бесплатно.

Материалы, близкие по теме

СПЕЦИАЛЬНОЕ ВИДЕО В ТЕМУ:

Наверх
  1. Исследования
  2. Около отельное
  3. Реклама
  4. Эксклюзив
  5. Еще +
Аналитика. Тренды гостиничного бизнеса, которые невозможно игнорировать.

Аналитика. Тренды го…

Компания Amadeus, специализирующаяся на технология...

Аналитика. Эффект TripАdvisor. Размер имеет значение – как звезд, так и отзывов.

Аналитика. Эффект Tr…

Отзывы, оставленные на TripAdvisor, привлекают не ...

Аналитика. Помогут ли гостиницам эффективные email’ы обойти по продажам сайты бронирования?

Аналитика. Помогут л…

С учетом обострившейся конкуренции и монополии OTA...

Аналитика: Блеск и нищета гостиничной индустрии. Переработки. Графики. Зарплаты.

Аналитика: Блеск и н…

О продолжительности рабочей недели линейного персо...

ТМ Tork представляет новые салфетки для лица улучшенного качества.

ТМ Tork представляет…

Торговая марка Tork расширила ассортимент продукци...

Отельеры Нижегородской области взяли на вооружение "Аналитику гостиничного рынка". Обмен информацией на конфиденциальной основе. Прогноз, управление, эффективность.

Отельеры Нижегородск…

Обмен рыночной информацией между отелями Нижегород...

Ecvi интегрирована с Tillypad. Объединение данных по заказам в ресторанах с гостевыми счетами.

Ecvi интегрирована с…

HMA Ecvi интегрирована с Tillypad, системой автома...

Бизнес-завтраки с F5 Service - новый формат развития сообщества хаускиперов.

Бизнес-завтраки с F5…

Как обеспечить качественную уборку сотен номеров, ...

Hilton Worldwide расширяется с рекордной скоростью - один отель в день. Охвачено уже 100 стран мира

Hilton Worldwide рас…

Компания Hilton Worldwide объявила о расширении се...

Влияние AccorHotels: 880.000 рабочих мест по всему миру. Вклад в мировой ВВП €22 млрд. 3700 отелей в 92 странах мира.

Влияние AccorHotels:…

Группа AccorHotels провела первое масштабное иссле...

Best Western пришел в Санкт-Петербург. Исторический отель в центре Северной столицы – от купеческого дома до комфорта бизнес-класса.

Best Western пришел …

Динамически развивающаяся в России сеть Best Weste...

Soul Kitchen Hostel заслужил HOSCAR. Хостел из Северной столицы уже дважды выиграл престижную награду в хостел-индустрии.

Soul Kitchen Hostel …

16 января 2016 года крупнейший ресурс в хостел инд...

Станислав Ивашкевич: О тренингах, карьере, сетевых отелях и профессиональных качествах

Станислав Ивашкевич:…

О рынке тренингов, важности обучения, особенностях...

Аналитика: Блеск и нищета гостиничной индустрии. Переработки. Графики. Зарплаты.

Аналитика: Блеск и н…

О продолжительности рабочей недели линейного персо...

Алексей Воробьев / ТГК «Измайлово»: Кадровая политика, аутсорсинг, зарплаты - рынок труда постоянно штормит.

Алексей Воробьев / Т…

Завершившийся на днях IV Всероссийский профессиона...

Один день в профессии. Фронт-менеджер – улыбка, стрессоустойчивость и желание помочь. Любовь к людям как профессиональное качество.

Один день в професси…

Улыбка, хорошо поставленная речь, идеально выглаже...

Дмитрий Сельков / ID Hostel: Хостельные войны – история вопроса. Туристы vs местные жители. О разных поколениях хостельеров. Запрещать или регулировать.

Дмитрий Сельков / ID…

Обсуждения судьбы хостелов и мини-отелей, располож...

Игорь Пигин, Edelink: Будущее автоматизации – не безоблачно. Хостелы и неформатные средства размещения выбирают Saas-решения.

Игорь Пигин, Edelink…

О специфике автоматизации малых отелей, хостелов и...

Москва - мировой лидер по числу хостелов среди столиц мира. Количество против качества.

Москва - мировой лид…

Москва и Санкт-Петербург входят в число мировых ли...

Мини-отели Крыма не подпадают под классификацию. Власти полуострова думают, как вывести их из тени.

Мини-отели Крыма не …

Мини-отели выпадают из видов экономической деятель...