Анархия – мать беспорядка

Почему отели не могут справиться с утечками информации и когда это кончится.


Получив прекрасный сервис в отеле, постоялец часто не догадывается, что может получить бонус: микрокредит по одному документу, аккаунт в онлайн-казино, долю в фирме-однодневке. К сожалению, сфера гостеприимства остается надежным поставщиком баз копий паспортов для злоумышленников.

Даже если вы не эксперт по даркнету, вам не составит труда найти в Интернете копии любых документов. Как минимум паспортов. Один из массовых поставщиков этого добра в общий доступ – гостиничная сфера. Давайте прикинем, сколько паспортов ежедневно сканирует ваш сотрудник на стойке ресепшн? Что происходит с копией документа после того, как его данные были внесены в систему для служебных нужд?

Чтобы оценить масштаб проблемы во всем мире сошлюсь на статью в Hotel News Now. В январе 2018 года это специализированное издание опубликовало список утечек в гостиничном бизнесе за последние 3 года. Среди них инциденты в Hilton, Hyatt, утечка в агрегаторе, который обеспечил бронирование отелям Hard Rock Hotels & Casinos, Four Seasons Hotels and Resorts, Trump Hotels, Loews Hotels, Kimpton Hotels & Restaurants, RLH Corporation и Club Quarter Hotels. Как видите, среди пострадавших сплошь известные бренды. И все это только те случаи, которые стали известны в СМИ.

О крупных утечках данных из российских отелей особо не слышно. Но совсем не потому, что их нет. В российских компаниях (и отели с гостиницами тут не выбиваются из общего числа) совершенно не принято сообщать о фактах утечек информации. По данным нашего исследования 86% компаний хранят торжественное молчание о факте. Да, потом на слитые паспорта оформляют однодневки, на них берут микро-кредиты, на них регистрируют аккаунты в онлайн-казино. Но пусть потом правоохранительные органы докажут, что утечка произошла из конкретной компании.

«Не знаю, значит этого нет»

Еще одна причина, почему информации об утечках данных из отелей в СМИ нет, в том что отельеры просто не в курсе, что происходит с их коммерческой информацией. Среди всех клиентов «СёрчИнформ» (наша компания занимается разработкой ПО для защиты от утечек информации и корпоративного мошенничества) доля компаний из сферы гостеприимства составляет крохи – 0,5%. Из более чем 2000 наших клиентов лишь восемь – это гостиницы, дома отдыха, пансионаты. Дело не в том, что мы плохо продаем. Ситуация у других разработчиков примерно та же, у них клиентов из гостиничной отрасли от 1 до 3%.

Поделюсь парой кейсов из российской практики. Перед одним из наших клиентов стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с задачей выявить мошенников, был настроен поиск информации о перемещении сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен – один из тех поставщиков, которые пополняют базы документов в Интернете. Помимо сотрудников ресепшн таким поведением грешат и сисадмины отелей.

Другая типичная история. Наш аналитический центр обнаружил, что в гостинице сканы паспортов постояльцев находились в общесетевых папках. При подключении к бесплатному вайфаю в сети появлялось несколько компьютеров, в том числе и ПК ресепшена. Наш аналитик свободно скачал скан-копии постояльцев и обратился с этими данными к руководству гостиницы. Оказалось, что в организации нет даже постоянного системного администратора, который бы смог оперативно устранить проблему.

Пожалуйста, сами сделайте вывод, насколько ситуация похожа на ту, что складывается в вашем отеле или в отелях ваших коллег. Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему свету. При этом отдавая для копирования паспорт в банке, я могу быть относительно спокоен. В остальных случаях – совсем нет. В большинстве компаний сферы услуг нет даже регламентов, которые предписывают сотрудникам обеспечивать конфиденциальность клиентских данных.

Европейский закон России в помощь.

Из всего, что я говорил выше, следует, что гостиницам и отелям как бы и не нужно озадачиваться проблемой утечек данных, пока существует безнаказанность. Да даже если ответственность и будет доказана, штраф составит вполне посильную сумму даже для небольшого хостела – по ситуации на 2018 год до 75 тысяч рублей. Усугубляет ситуацию то, что и владельцы персональных данных беспечны относительно их сохранности. Часто ли вы слышали, чтобы кто-то из них обращался в суд?

Но попробую даже в этой ситуации разбудить социальную ответственность управляющих отелей, гостиниц, хостелов, пансионатов. Ситуация бесконтрольности ненормальна. Для того, чтобы навести порядок, достаточно начать с малых и бесплатных мер. Сотрудники должны знать, что информация об их гостях охраняется законом и имеет ценность. Одно только разъяснение, чем грозит утечка для ваших гостей, убережет от случайных ошибок со стороны персонала. Нужны регламенты, в которых будут описаны шаги действий с паспортными и платежными данными. Ну и что касается злоумышленников в лице сотрудников. По своей практике знаю, сотрудник, для которого нормально криминальное поведение в отношении клиентов, не бывает кристально чист по отношению к работодателю. Таким сотрудникам у вас точно не место, правда, увещевания и регламент на них не действуют, нужен жесткий контроль в том числе автоматизированными средствами защиты.

И последнее. Ситуация, какой мы ее знаем сейчас, не сохранится вечно. Она уже начинает меняться с вступлением в силу GDPR. Профильные СМИ регулярно сообщают о рисках, которые несет новый регламент защиты персональных данных Европейского Союза. И хоть риски есть только в отношении действий с данными граждан ЕС, парадигма, по которой действуют отельеры, меняется. И это очень радует.

Иван Бируля, директор по безопасности компании «СёрчИнформ»

Важно:

Друзья, присоединяйтесь к нашим пабликам в социальных сетях: instagram.com/horecaprofessionals, facebook.com/horecaprofessionals, vk.com/horecaprofessionals, наш канал на Youtube и в telegram: t.me/Hotelier.PRO. Подписаться на еженедельную рассылку по электронной почте:

Поделиться публикацией
Смотрите также
«Black Sea Hospitality Club». Двухдневная конференция для Профессионалов Индустрии Гостеприимства...
«Prison Inside Me» — рецепт от стресса из Южной Кореи
В 2021 году в Москве начнет работу отель «Mandarin Oriental»
Подписаться на еженедельную рассылку Hotelier.Pro
Комментарии