Menu
Деньги / Дрязги: IPO Trivago на $5 млрд. Проблемы Hyatt-ов в Минске и Владивостоке. Отельеры под стражей в Ростове-на-Дону и Кирове.

Деньги / Дрязги: IPO Trivago на $5 …

Trivago выходит на I...

Hotel Price Index. Расходы иностранцев в российских отелях растут. Данные Hotels.com. Богатые американцы и экономные канадцы.

Hotel Price Index. Расходы иностран…

Гости из США стали л...

Итоги премии World Travel Awards 2016 в технологической области. Marriott, IHG, RoomGuru.ru, TripAdvisor, Amadeus и Thomas Cook.

Итоги премии World Travel Awards 20…

Подведены итоги в те...

Ростовский Sheraton купил самарский банкир. История на 1,5 миллиарда. Еще одна попытка достроить отель к мундиалю.

Ростовский Sheraton купил самарский…

Совладелец и председ...

Итоги Премии BBT Awards Russia & CIS. Церемония в отеле Marriott Moscow Grand. Перечень победителей.

Итоги Премии BBT Awards Russia …

В отеле Marriott Mos...

Продвижение Hilton на Алтае под угрозой срыва. Девелопер приостановил реализацию проектов. Земля, кредиты и региональные власти.

Продвижение Hilton на Алтае под угр…

Перспективы строител...

Отель Park Izmailovo Moscow (ex. Park Dedeman Izmailovo) станет Park Inn by Radisson Измайлово. Rezidor расширяет присутствие в России.

Отель Park Izmailovo Moscow (ex. Pa…

Компания Rezidor, од...

Prev Next

Наталия Дьяконова / КРОК. Про Dark Hotel, взлом гостиничного Wi-Fi и нюансы информационной безопасности в отелях. Эксклюзив

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса.

По следам DDOS-атаки на портал Hotelier.PRO Наталия Дьяконова, директор департамента телекоммуникаций компании КРОК, рассказала редакции об основах информационной безопасности, техниках взломов и вариантах защиты от ущерба.


Предыстория интервью. 20 января в 13.16 московского времени Hotelier.PRO подвергся DDOS-атаке. Автоматика нашего (теперь уже бывшего) провайдера NIC.RU отключила сайт от обслуживания, сообщив, что услуги по защите от DDOS-атак не предоставляет. Касперский выставил 100 тысяч рублей. Редакции, столкнувшейся с подобным впервые, пришлось в срочном порядке учить матчасть, проводить тендер на нового хостера и переносить сайт в другой дата-центр с соответствующим ПО.

DDoS (от англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») — хакерская атака на вычислительную систему (сервер, сайт) с целью довести её до отказа. Отказ атакуемой системы может быть и шагом к ее овладению (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Вячеслав Сапожников, Hotelier.PRO: Наталия, спасибо, что согласились проконсультировать нас и наших читателей на предмет информационной безопасности. Как только мы подверглись атаке, мне пришлось в срочном порядке искать в интернете материалы на эту тему. И одна из первых статей, найденных мной, была статья Андрея Врублевского, руководителя направления оптимизации и контроля сети компании КРОК. В ней он рассказывал и про гостиничную индустрию в качестве примера отрасли, подвергающийся хакерским атакам.

Наталия Дьяконова / КРОК: В нашем информационно-зависимом мире стать объектом взлома или DDOS-атаки может любой бизнес. Цели разные – от коммерческого заказа конкурентов до банального баловства хакеров. «Положить», т.е. вывести из строя на какое-то время, не защищенный сайт сегодня может каждый студент, более-менее разбирающийся в вопросе и осваивающий тему безопасности и защиты информации в любом ВУЗе.

Вячеслав Сапожников, Hotelier.PRO: С чем связана такая легкость взломов и атак? Это технологии настолько уязвимы? Издержки открытой архитектуры? Что-то еще?

Наталья Дьяконова / КРОК: Во-первых, практически в любом коде программного обеспечения содержится много т.н. уязвимостей. Существуют целые сообщества и хакерские сайты, где люди изучают эти уязвимости, часто более подробно, чем сами производители ПО, обмениваются информацией и способами использования таких уязвимостей. Любой поисковик сегодня выдаст вам множество ссылок на сайты, на которых можно узнать, как «положить» тот или иной ресурс. Получается, что при желании такую информацию можно найти, это не тайна за семью печатями. Но проблема в другом – в том, что есть люди, которые зарабатывают на этом. Как правило, отследить их непросто. И несмотря на то, что у нас в правоохранительных органах есть Управление «К», которое занимается подобными вопросами, профессионалов, заметающих следы, часто найти невозможно. IP-адреса компьютеров можно спрятать, подключение к сети можно производить в общественных местах через открытый и незащищенный Wi-Fi, управлять инфицированными компьютерами можно на расстоянии – способов остаться незамеченным у злоумышленников масса.

Вячеслав Сапожников, Hotelier.PRO: Если софт такой незащищенный – юридически его производитель несет какую-либо ответственность за то, что его могут взломать и нанести мне ущерб?

Наталия Дьяконова / КРОК: Никто ответственность за это не несет. При обнаружении уязвимостей и выпуске обновлений производитель ПО сообщает об этом на своем сайте. С этого момента ответственность лежит на вас, если вы не установили это обновление. Судебных перспектив подобные дела, как правило, не имеют. Такова сложившаяся практика.

Вячеслав Сапожников, Hotelier.PRO: Вы упомянули защищённый Wi-Fi и не защищённый Wi-Fi, можно более подробно про это?

Наталия Дьяконова / КРОК: Во многих отелях, например, каждому гостю выдается один общий пароль на доступ к Wi-Fi. Как правило, этот пароль не меняют месяцами, а число людей, которые его знают, может составлять несколько тысяч.

Гипотетически, злоумышленник может прийти в ваш отель, зарегистрировать свою точку доступа с этим логином-паролем и выставить себе максимальный уровень сигнала. Это называется имитирование беспроводной сети. Далее все абоненты автоматически начинают подключаться именно к этой точке, потому что у неё лучший уровень сигнала. Все, дело сделано – злоумышленник может «слушать» весь трафик, перехватывать любую информацию, переданную с устройства, даже осуществлять атаки (фишинг, например) для получения конфиденциальной информации вашего гостя. Таким образом, он наносит ущерб не только вашим посетителям, но и, соответственно, вашему бизнесу.

Каждому проживающему необходимо выделять собственной пароль для доступа, делать привязку к номеру телефона. Незащищенный Wi-Fi можно взломать в течение суток, поэтому нужно использовать наиболее безопасные механизмы защиты и аутентификации беспроводной сети. На сегодня — это протокол 802.1х. Однако, это только первый этап защиты. Мы советуем выключить неиспользуемые сетевые порты, т.к. по умолчанию в большинстве ПО и настройках оборудования все открыто. Ограничить физический доступ к оборудованию, фильтровать трафик, который не нужен, обязательно выполнять обновление ПО, мониторить оборудование на предмет разных угроз. И ещё очень важно защищать внутренние ИТ-сервисы, с которыми может взаимодействовать беспроводное оборудование.

Когда мы начинаем проектировать Wi-Fi сеть в отеле, первое, что мы делаем — это радиоразведка помещений, расставляем точки доступа оптимальным образом, чтобы переключение было автоматическим, а мертвые зоны отсутствовали. Причем, делаем мы этот аудит и замеры непосредственно перед вводом объекта в эксплуатацию. Почему? Знаете, как это бывает – вдруг собственник или управляющий в последний момент неожиданно решили поставить где-то стеклянную стену с жалюзи – для декора, скажем. Но жалюзи-то железные, да и про то, что стекло влияет на сигнал, тоже никто не думал. Вот и случилось экранирование сигнала в чистом виде. Поэтому все необходимо предусматривать заранее – и толстые железобетонные стены, и железные конструкции, и этажи.

Вячеслав Сапожников, Hotelier.PRO: По большим отелям история ясна – все понимают, что надо приглашать специалистов, платить и так далее. Но если говорить про малые отели, то история совсем иная, как мне представляется. Собственник, инвестор или GM часто в целях экономии мыслят следующим образом – у себя дома я же Wi-Fi поставил. Купил какой-нибудь трехсотый D-Link, все летает, все замечательно…

Наталия Дьяконова / КРОК: Да, и это история про то, как соседи могут пользоваться вашим интернетом бесплатно. Это совершенно простая задача – мало того, что люди ставят общие пароли и оставляют их на всю жизнь, так они и предустановленные дефолтные пароли не меняют – те, с которыми вы купили железку. Ничто не мешает злоумышленнику взять документацию по оборудованию и получить к нему доступ через предустановленный пароль.

На самом деле, для малых отелей есть масса решений. У любого провайдера интернета есть b2b-отдел, который за небольшие деньги делает инсталляции с защитой. Более того, сегодня уже можно заказать услугу из облака — существуют облачные Wi-Fi-решения. В этом случае вы вообще не занимаетесь аппаратной частью, все стоит у провайдера, а контроллер управления инфраструктурой будет стоять, например, в КРОКе. И мы, соответственно, будем управлять всеми вашими политиками, мониторить вашу сеть. Это будет дешевле, чем все делать самостоятельно.

Вячеслав Сапожников, Hotelier.PRO: К чему может привести небрежность с доступом в интернет в отеле?

Наталия Дьяконова / КРОК: Наверное, самой известный случай – с DarkHotel. Вы в курсе, что на всех телефонах с определенной регулярностью происходят обновления – операционных систем, программ, приложений и т.п. Условно: если выходит некое обновление, вендор присылает уведомление о нем, а поскольку вы в большинстве случаев по умолчанию соглашаетесь на установку такого обновления, все делается автоматически. В этом и была суть такой атаки DarkHotel – тысячи пользователей установили себе на устройства вирусного трояна вместо настоящего обновления софта. Соответственно, посредством трояна злоумышленники получали доступ ко всей вашей информации, файловой системе, биллингу и т.п. Все это привело к тому, что в течение семи лет в премиальных отелях действовала группа преступников, которая получала доступ ко всем целевым и не целевым гостям. Кого-то они мониторили, кого-то взламывали под заказ и забирали нужную информацию для заказчика. Чьи-то данные перепродавали. Абсолютно коммерческая история, люди долго зарабатывали на этом деньги, просуществовали семь лет. Скомпрометировали огромное количество отелей. Это к вопросу о том, что можно долго жить и не знать, что гостям кто-то постоянно наносит ущерб из-за твоего пренебрежения к технологиям.

Dark Hotel – кампания операций кибершпионажа, связанная с беспроводными компьютерными сетями в гостиницах и бизнес-центрах. Частично проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Подробности: http://securelist.ru/analysis/obzor/24321/apt-ataka-darkhotel/ и http://blog.kaspersky.ru/darkhotel-apt/6018/#Darkhotel

Вячеслав Сапожников, Hotelier.PRO: Среди отельеров периодически возникают дискуссии – каким должен быть Wi-Fi в отеле? Бесплатным или платным? И часто есть понимание, что поскольку это история бесплатная, то и финансируется она по остаточному признаку. Есть ли решения, которые каким-либо образом помогают монетизировать доступ в интернет, оставляя его при этом бесплатным?

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Как это выглядит? Гость подключается к гостиничному Wi-Fi, открывает браузер и на первой же странице видит рекламный блок с обязательным просмотром или действием (перейти, закрыть, согласен и т.п.). Задача это совершенно тривиальная, недорогая в реализации и эффективная. Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Вячеслав Сапожников, Hotelier.PRO: С Wi-Fi разобрались, вернемся к DDoS-атакам. Конкуренция усиливается, мы вот частично стали ее жертвой. Я читал в сети материалы про войну пиццерий, которые глушили сайты друг друга, чтобы обрушить сервис доставки. Гипотетически можно представить и конкурирующие отели, стоящие на одной территории и выводящие сайты друг друга из строя… Мало ли…

Наталия Дьяконова / КРОК: Вообще, DDOS-атаки накрывают всех. Думаю, гостиничная индустрия не станет исключением. Что делать? В большинстве случаев, отель не содержит у себя на площадке собственный веб-сервер. Как правило, сайт размещают у хост-провайдера. Поэтому надо выбрать себе ресурс для хостинга, который будет максимально защищен. Почитать отзывы, посмотреть рейтинги, почитать про дополнительные функции. По сути, главное – наличие у хостера специализированного программного обеспечения, анализирующего трафик и имеющего алгоритмы по отключению запросов, явно идущих от бот-нетов или зараженных компьютеров.

Разумеется, важный момент – лицензионное программное обеспечение. Все, без исключения. Ситуация, когда вы купили дорогую систему автоматизации гостиницы или серверное ПО и поставили все это на компьютер под «крэкнутой» Windows – по определению, фатальна. Защита – либо комплексна, либо ее просто нет. Оправданны ли усилия по ее внедрению – решать вам, вы либо никогда этого не узнаете, потому что бизнес не пострадает, либо внезапный крах выльется в копеечку. Как мне представляется, грамотный управленец, собственник, инвестор допускать такого не должен принципиально.


Редакция рекомендуетСергей Фомин, Libra Hospitality: Служба безопасности отеля. Конфликты, воровство, информационный и репутационный ущерб.


Чтобы всегда оставаться в курсе новостей и событий гостиничной индустрии, а также следить за обновлениями на Hotelier.PRO – подпишитесь на еженедельную рассылку. Это бесплатно.

Материалы, близкие по теме

СПЕЦИАЛЬНОЕ ВИДЕО В ТЕМУ:

Наверх
  1. Исследования
  2. Около отельное
  3. Реклама
  4. Эксклюзив
  5. Еще +
Аналитика. Помогут ли гостиницам эффективные email’ы обойти по продажам сайты бронирования?

Аналитика. Помогут л…

С учетом обострившейся конкуренции и монополии OTA...

Аналитика: Блеск и нищета гостиничной индустрии. Переработки. Графики. Зарплаты.

Аналитика: Блеск и н…

О продолжительности рабочей недели линейного персо...

Аналитика. Тренды гостиничного бизнеса, которые невозможно игнорировать.

Аналитика. Тренды го…

Компания Amadeus, специализирующаяся на технология...

Аналитика. Эффект TripАdvisor. Размер имеет значение – как звезд, так и отзывов.

Аналитика. Эффект Tr…

Отзывы, оставленные на TripAdvisor, привлекают не ...

АРХИДАР 3.0. Новогодний благотворительный концерт индустрии коммерческой недвижимости. Настоящее добро делать просто.

АРХИДАР 3.0. Новогод…

Ставший уже доброй традицией 3-ий благотворительны...

Екатерина Казанцева / служба сопровождения TravelLine: Мы работаем по принципу "проблема клиента – моя проблема".

Екатерина Казанцева …

Два года назад редакция Hotelier.PRO брала интервь...

15 законов личностного роста. Cеминар по методике Джона Максвелла. Как раскрыть внутренний потенциал. 

15 законов личностно…

Приглашаем принять участие в семинаре "15 законов ...

MICE-тренды от Marriott. Виртуальные туры по конференц-залам. Партнерство с компанией GoInStore. Как технологии оптимизируют организацию мероприятий.

MICE-тренды от Marri…

Компания Marriott International, Inc. объявляет об...

Soul Kitchen Hostel заслужил HOSCAR. Хостел из Северной столицы уже дважды выиграл престижную награду в хостел-индустрии.

Soul Kitchen Hostel …

16 января 2016 года крупнейший ресурс в хостел инд...

ibis подводит итоги зимних каникул по России. Динамика загрузки от +25% до -13%. Иностранных гостей стало больше.

ibis подводит итоги …

Фраза "Новый год нужно отмечать дома" с каждым год...

Hilton Worldwide расширяется с рекордной скоростью - один отель в день. Охвачено уже 100 стран мира

Hilton Worldwide рас…

Компания Hilton Worldwide объявила о расширении се...

Влияние AccorHotels: 880.000 рабочих мест по всему миру. Вклад в мировой ВВП €22 млрд. 3700 отелей в 92 странах мира.

Влияние AccorHotels:…

Группа AccorHotels провела первое масштабное иссле...

Пять составляющих образа успешного генерального менеджера независимого отеля

Пять составляющих об…

Выбор генерального управляющего отелем – одно из с...

Бен Бенгугэм / Hilton Worldwide: Ставка на российских топов. Как подобрать 3 тыс. сотрудников в десятки отелей. Низкая текучка и работа с молодежью.

Бен Бенгугэм / Hilto…

Hilton намеревается усилить свои присутствие в Рос...

Андрей Бушуев: Как создать команду. Обучение с нуля. Штат или аутсорс. Экономия или мотивация.

Андрей Бушуев: Как с…

В кризис тематика кадрового потенциала стала особе...

Сергей Фомин / Libra Hospitality: Требования к гостиничному образованию сегодня – они про то, как отелю больше заработать и меньше потратить. И Libra Hospitality School для этого – доступное и эффективное решение.

Сергей Фомин / Libra…

О сути и смысле уникального для индустрии гостепри...

Татьяна Личенко / Турбаза.ру: Малые загородные средства размещения. Бронирование на листочках, нединамическое ценообразование и человеческий фактор.

Татьяна Личенко / Ту…

О том, что происходит на рынке малых загородных об...

"Закон о хостелах" принят в первом чтении единогласно. За - 416 депутатов. Галина Хованская обвинила Минкультуры в лоббировании "туризма на нарах". На хостельном рынке грядут перемены.

"Закон о хостел…

Государственная Дума РФ на пленарном заседании 13 ...

Роман Сабиржанов, Fabrika hostel: История входа в рынок и требования к хостельеру

Роман Сабиржанов, Fa…

Московский хостельер Роман Сабиржанов рассказал Ho...

Топ-10 хостелов Москвы лета 2015 по версии Travel.RU.

Топ-10 хостелов Моск…

Качественные и экономичные варианты размещения гос...