Menu
Деловой завтрак HotelAdvisors Hospitality Management & Consulting в Санкт-Петербурге. Подведение итогов и награждения лучших.

Деловой завтрак HotelAdvisors Hospi…

19 января 2017 года ...

Oktogo.ru на грани. Марина Колесник предупредила сотрудников о возможной ликвидации сервиса в России и на Кипре.

Oktogo.ru на грани. Марина Колесник…

История с задержками...

Может ли "Ревизорро" разрушать основы патриотизма. В питерском УФМС не одобрили Елену Летучую в роли Кутузова. Одетые женщины в рекламе и обороноспособность страны.

Может ли "Ревизорро" разр…

Общественный совет п...

Аналитика JLL. 2016 год стал рекордным для гостиничных рынков Москвы, Подмосковья и Санкт-Петербурга. Рост RevPAR по всем сегментам. Долларовые показатели восстанавливаются.

Аналитика JLL. 2016 год стал рекорд…

Компания JLL предста...

ВЭБ вложит 1,5 млрд в ростовский Hyatt, областные власти – 350 млн. Строительство возобновится в феврале. Новый дедлайн – конец 2017 года.

ВЭБ вложит 1,5 млрд в ростовский Hy…

Внешэкономбанк стане...

Вице-президент АФК "Система" рассказал о структурных переменах и прокомментировал расставание с Алексеем Воловым.

Вице-президент АФК "Система…

Вице-президент АФК "...

Как засудить TripАdvisor. Кубанский отель пожаловался в прокуратуру на популярный ресурс. Негативные отзывы, мошенничество и нарушение авторских прав. UPDATE

Как засудить TripАdvisor. Кубанский…

Владельцы гостинично...

Prev Next

Наталия Дьяконова / КРОК. Про Dark Hotel, взлом гостиничного Wi-Fi и нюансы информационной безопасности в отелях. Эксклюзив

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса.

По следам DDOS-атаки на портал Hotelier.PRO Наталия Дьяконова, директор департамента телекоммуникаций компании КРОК, рассказала редакции об основах информационной безопасности, техниках взломов и вариантах защиты от ущерба.


Предыстория интервью. 20 января в 13.16 московского времени Hotelier.PRO подвергся DDOS-атаке. Автоматика нашего (теперь уже бывшего) провайдера NIC.RU отключила сайт от обслуживания, сообщив, что услуги по защите от DDOS-атак не предоставляет. Касперский выставил 100 тысяч рублей. Редакции, столкнувшейся с подобным впервые, пришлось в срочном порядке учить матчасть, проводить тендер на нового хостера и переносить сайт в другой дата-центр с соответствующим ПО.

DDoS (от англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») — хакерская атака на вычислительную систему (сервер, сайт) с целью довести её до отказа. Отказ атакуемой системы может быть и шагом к ее овладению (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Вячеслав Сапожников, Hotelier.PRO: Наталия, спасибо, что согласились проконсультировать нас и наших читателей на предмет информационной безопасности. Как только мы подверглись атаке, мне пришлось в срочном порядке искать в интернете материалы на эту тему. И одна из первых статей, найденных мной, была статья Андрея Врублевского, руководителя направления оптимизации и контроля сети компании КРОК. В ней он рассказывал и про гостиничную индустрию в качестве примера отрасли, подвергающийся хакерским атакам.

Наталия Дьяконова / КРОК: В нашем информационно-зависимом мире стать объектом взлома или DDOS-атаки может любой бизнес. Цели разные – от коммерческого заказа конкурентов до банального баловства хакеров. «Положить», т.е. вывести из строя на какое-то время, не защищенный сайт сегодня может каждый студент, более-менее разбирающийся в вопросе и осваивающий тему безопасности и защиты информации в любом ВУЗе.

Вячеслав Сапожников, Hotelier.PRO: С чем связана такая легкость взломов и атак? Это технологии настолько уязвимы? Издержки открытой архитектуры? Что-то еще?

Наталья Дьяконова / КРОК: Во-первых, практически в любом коде программного обеспечения содержится много т.н. уязвимостей. Существуют целые сообщества и хакерские сайты, где люди изучают эти уязвимости, часто более подробно, чем сами производители ПО, обмениваются информацией и способами использования таких уязвимостей. Любой поисковик сегодня выдаст вам множество ссылок на сайты, на которых можно узнать, как «положить» тот или иной ресурс. Получается, что при желании такую информацию можно найти, это не тайна за семью печатями. Но проблема в другом – в том, что есть люди, которые зарабатывают на этом. Как правило, отследить их непросто. И несмотря на то, что у нас в правоохранительных органах есть Управление «К», которое занимается подобными вопросами, профессионалов, заметающих следы, часто найти невозможно. IP-адреса компьютеров можно спрятать, подключение к сети можно производить в общественных местах через открытый и незащищенный Wi-Fi, управлять инфицированными компьютерами можно на расстоянии – способов остаться незамеченным у злоумышленников масса.

Вячеслав Сапожников, Hotelier.PRO: Если софт такой незащищенный – юридически его производитель несет какую-либо ответственность за то, что его могут взломать и нанести мне ущерб?

Наталия Дьяконова / КРОК: Никто ответственность за это не несет. При обнаружении уязвимостей и выпуске обновлений производитель ПО сообщает об этом на своем сайте. С этого момента ответственность лежит на вас, если вы не установили это обновление. Судебных перспектив подобные дела, как правило, не имеют. Такова сложившаяся практика.

Вячеслав Сапожников, Hotelier.PRO: Вы упомянули защищённый Wi-Fi и не защищённый Wi-Fi, можно более подробно про это?

Наталия Дьяконова / КРОК: Во многих отелях, например, каждому гостю выдается один общий пароль на доступ к Wi-Fi. Как правило, этот пароль не меняют месяцами, а число людей, которые его знают, может составлять несколько тысяч.

Гипотетически, злоумышленник может прийти в ваш отель, зарегистрировать свою точку доступа с этим логином-паролем и выставить себе максимальный уровень сигнала. Это называется имитирование беспроводной сети. Далее все абоненты автоматически начинают подключаться именно к этой точке, потому что у неё лучший уровень сигнала. Все, дело сделано – злоумышленник может «слушать» весь трафик, перехватывать любую информацию, переданную с устройства, даже осуществлять атаки (фишинг, например) для получения конфиденциальной информации вашего гостя. Таким образом, он наносит ущерб не только вашим посетителям, но и, соответственно, вашему бизнесу.

Каждому проживающему необходимо выделять собственной пароль для доступа, делать привязку к номеру телефона. Незащищенный Wi-Fi можно взломать в течение суток, поэтому нужно использовать наиболее безопасные механизмы защиты и аутентификации беспроводной сети. На сегодня — это протокол 802.1х. Однако, это только первый этап защиты. Мы советуем выключить неиспользуемые сетевые порты, т.к. по умолчанию в большинстве ПО и настройках оборудования все открыто. Ограничить физический доступ к оборудованию, фильтровать трафик, который не нужен, обязательно выполнять обновление ПО, мониторить оборудование на предмет разных угроз. И ещё очень важно защищать внутренние ИТ-сервисы, с которыми может взаимодействовать беспроводное оборудование.

Когда мы начинаем проектировать Wi-Fi сеть в отеле, первое, что мы делаем — это радиоразведка помещений, расставляем точки доступа оптимальным образом, чтобы переключение было автоматическим, а мертвые зоны отсутствовали. Причем, делаем мы этот аудит и замеры непосредственно перед вводом объекта в эксплуатацию. Почему? Знаете, как это бывает – вдруг собственник или управляющий в последний момент неожиданно решили поставить где-то стеклянную стену с жалюзи – для декора, скажем. Но жалюзи-то железные, да и про то, что стекло влияет на сигнал, тоже никто не думал. Вот и случилось экранирование сигнала в чистом виде. Поэтому все необходимо предусматривать заранее – и толстые железобетонные стены, и железные конструкции, и этажи.

Вячеслав Сапожников, Hotelier.PRO: По большим отелям история ясна – все понимают, что надо приглашать специалистов, платить и так далее. Но если говорить про малые отели, то история совсем иная, как мне представляется. Собственник, инвестор или GM часто в целях экономии мыслят следующим образом – у себя дома я же Wi-Fi поставил. Купил какой-нибудь трехсотый D-Link, все летает, все замечательно…

Наталия Дьяконова / КРОК: Да, и это история про то, как соседи могут пользоваться вашим интернетом бесплатно. Это совершенно простая задача – мало того, что люди ставят общие пароли и оставляют их на всю жизнь, так они и предустановленные дефолтные пароли не меняют – те, с которыми вы купили железку. Ничто не мешает злоумышленнику взять документацию по оборудованию и получить к нему доступ через предустановленный пароль.

На самом деле, для малых отелей есть масса решений. У любого провайдера интернета есть b2b-отдел, который за небольшие деньги делает инсталляции с защитой. Более того, сегодня уже можно заказать услугу из облака — существуют облачные Wi-Fi-решения. В этом случае вы вообще не занимаетесь аппаратной частью, все стоит у провайдера, а контроллер управления инфраструктурой будет стоять, например, в КРОКе. И мы, соответственно, будем управлять всеми вашими политиками, мониторить вашу сеть. Это будет дешевле, чем все делать самостоятельно.

Вячеслав Сапожников, Hotelier.PRO: К чему может привести небрежность с доступом в интернет в отеле?

Наталия Дьяконова / КРОК: Наверное, самой известный случай – с DarkHotel. Вы в курсе, что на всех телефонах с определенной регулярностью происходят обновления – операционных систем, программ, приложений и т.п. Условно: если выходит некое обновление, вендор присылает уведомление о нем, а поскольку вы в большинстве случаев по умолчанию соглашаетесь на установку такого обновления, все делается автоматически. В этом и была суть такой атаки DarkHotel – тысячи пользователей установили себе на устройства вирусного трояна вместо настоящего обновления софта. Соответственно, посредством трояна злоумышленники получали доступ ко всей вашей информации, файловой системе, биллингу и т.п. Все это привело к тому, что в течение семи лет в премиальных отелях действовала группа преступников, которая получала доступ ко всем целевым и не целевым гостям. Кого-то они мониторили, кого-то взламывали под заказ и забирали нужную информацию для заказчика. Чьи-то данные перепродавали. Абсолютно коммерческая история, люди долго зарабатывали на этом деньги, просуществовали семь лет. Скомпрометировали огромное количество отелей. Это к вопросу о том, что можно долго жить и не знать, что гостям кто-то постоянно наносит ущерб из-за твоего пренебрежения к технологиям.

Dark Hotel – кампания операций кибершпионажа, связанная с беспроводными компьютерными сетями в гостиницах и бизнес-центрах. Частично проявлялась в P2P файло-обменных сетях, также известны факты проведения целевых рассылок по электронной почте отдельным целям. Подробности: http://securelist.ru/analysis/obzor/24321/apt-ataka-darkhotel/ и http://blog.kaspersky.ru/darkhotel-apt/6018/#Darkhotel

Вячеслав Сапожников, Hotelier.PRO: Среди отельеров периодически возникают дискуссии – каким должен быть Wi-Fi в отеле? Бесплатным или платным? И часто есть понимание, что поскольку это история бесплатная, то и финансируется она по остаточному признаку. Есть ли решения, которые каким-либо образом помогают монетизировать доступ в интернет, оставляя его при этом бесплатным?

Наталия Дьяконова / КРОК: Бесплатный интернет в гостинице, безусловно, надо монетизировать. Самое простое решение – размещать рекламу: магазинов, которые присутствуют на территории отеля, туристических компаний, городских мероприятий, ресторанов и других точек интереса. Как это выглядит? Гость подключается к гостиничному Wi-Fi, открывает браузер и на первой же странице видит рекламный блок с обязательным просмотром или действием (перейти, закрыть, согласен и т.п.). Задача это совершенно тривиальная, недорогая в реализации и эффективная. Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Вячеслав Сапожников, Hotelier.PRO: С Wi-Fi разобрались, вернемся к DDoS-атакам. Конкуренция усиливается, мы вот частично стали ее жертвой. Я читал в сети материалы про войну пиццерий, которые глушили сайты друг друга, чтобы обрушить сервис доставки. Гипотетически можно представить и конкурирующие отели, стоящие на одной территории и выводящие сайты друг друга из строя… Мало ли…

Наталия Дьяконова / КРОК: Вообще, DDOS-атаки накрывают всех. Думаю, гостиничная индустрия не станет исключением. Что делать? В большинстве случаев, отель не содержит у себя на площадке собственный веб-сервер. Как правило, сайт размещают у хост-провайдера. Поэтому надо выбрать себе ресурс для хостинга, который будет максимально защищен. Почитать отзывы, посмотреть рейтинги, почитать про дополнительные функции. По сути, главное – наличие у хостера специализированного программного обеспечения, анализирующего трафик и имеющего алгоритмы по отключению запросов, явно идущих от бот-нетов или зараженных компьютеров.

Разумеется, важный момент – лицензионное программное обеспечение. Все, без исключения. Ситуация, когда вы купили дорогую систему автоматизации гостиницы или серверное ПО и поставили все это на компьютер под «крэкнутой» Windows – по определению, фатальна. Защита – либо комплексна, либо ее просто нет. Оправданны ли усилия по ее внедрению – решать вам, вы либо никогда этого не узнаете, потому что бизнес не пострадает, либо внезапный крах выльется в копеечку. Как мне представляется, грамотный управленец, собственник, инвестор допускать такого не должен принципиально.


Редакция рекомендуетСергей Фомин, Libra Hospitality: Служба безопасности отеля. Конфликты, воровство, информационный и репутационный ущерб.


Чтобы всегда оставаться в курсе новостей и событий гостиничной индустрии, а также следить за обновлениями на Hotelier.PRO – подпишитесь на еженедельную рассылку. Это бесплатно.

Материалы, близкие по теме

СПЕЦИАЛЬНОЕ ВИДЕО В ТЕМУ:

Наверх
  1. Исследования
  2. Около отельное
  3. Реклама
  4. Эксклюзив
  5. Еще +
Аналитика. Тренды гостиничного бизнеса, которые невозможно игнорировать.

Аналитика. Тренды го…

Компания Amadeus, специализирующаяся на технология...

Аналитика. Эффект TripАdvisor. Размер имеет значение – как звезд, так и отзывов.

Аналитика. Эффект Tr…

Отзывы, оставленные на TripAdvisor, привлекают не ...

Аналитика: Блеск и нищета гостиничной индустрии. Переработки. Графики. Зарплаты.

Аналитика: Блеск и н…

О продолжительности рабочей недели линейного персо...

Аналитика. Помогут ли гостиницам эффективные email’ы обойти по продажам сайты бронирования?

Аналитика. Помогут л…

С учетом обострившейся конкуренции и монополии OTA...

Деловой завтрак HotelAdvisors Hospitality Management & Consulting в Санкт-Петербурге. Подведение итогов и награждения лучших.

Деловой завтрак Hote…

19 января 2017 года в ресторане “Вернисаж” петербу...

Ведомости. Туризм в России: инвестиции в будущее. Конференция при поддержке Ростуризма.

Ведомости. Туризм в …

Туризм в России стал более востребованным за после...

Новости от Libra Hospitality. Новый дизайн и обновленный портал поддержки.

Новости от Libra Hos…

На новом сайте Libra Hospitality заработал обновле...

"Управление современной гостиницей: стабильные процессы на нестабильном рынке". Проект Ростуризма и СПбГЭУ для руководителей индустрии гостеприимства.

"Управление сов…

Уважаемые коллеги! Факультет туризма и гостеприимс...

ibis подводит итоги зимних каникул по России. Динамика загрузки от +25% до -13%. Иностранных гостей стало больше.

ibis подводит итоги …

Фраза "Новый год нужно отмечать дома" с каждым год...

Hilton Worldwide расширяется с рекордной скоростью - один отель в день. Охвачено уже 100 стран мира

Hilton Worldwide рас…

Компания Hilton Worldwide объявила о расширении се...

Влияние AccorHotels: 880.000 рабочих мест по всему миру. Вклад в мировой ВВП €22 млрд. 3700 отелей в 92 странах мира.

Влияние AccorHotels:…

Группа AccorHotels провела первое масштабное иссле...

Best Western пришел в Санкт-Петербург. Исторический отель в центре Северной столицы – от купеческого дома до комфорта бизнес-класса.

Best Western пришел …

Динамически развивающаяся в России сеть Best Weste...

ТОП-5 мотиваторов для работников российских отелей и ресторанов. Исследование Sec Hospitality Training and Consulting и Aethos Consulting Group. Не все решают деньги.

ТОП-5 мотиваторов дл…

Анета Коробкина, управляющий директор Sec Hospital...

Андрей Бушуев: Как создать команду. Обучение с нуля. Штат или аутсорс. Экономия или мотивация.

Андрей Бушуев: Как с…

В кризис тематика кадрового потенциала стала особе...

Яков Адамов, Marriott International: Сетевой международный бренд это система, она справедлива, и она справедлива для всех.

Яков Адамов, Marriot…

О преимуществах работы в международных сетевых бре...

Пять составляющих образа успешного генерального менеджера независимого отеля

Пять составляющих об…

Выбор генерального управляющего отелем – одно из с...

Хостельеры против депутатов. Реакция гостиничного сообщества на инициативу по ограничению использования жилых помещений малыми средствами размещения.

Хостельеры против де…

На минувшей неделе группа депутатов из четырех фра...

Елена Валеева / Эв'Рошель / Сочи: Как выжить, конкурируя с большими отелями. Демпинг, лоббизм и кадровые проблемы.

Елена Валеева / Эв'Р…

С закрытием популярных зарубежных направлений куро...

Питерские хостельеры получат помещения без торгов. Власти Северной столицы намерены спасти хостелы от "закона Хованской". Польза для рынка или коррупционные риски.

Питерские хостельеры…

Комитет имущественных отношений (КИО) Санкт-Петерб...

Мини-отели Крыма не подпадают под классификацию. Власти полуострова думают, как вывести их из тени.

Мини-отели Крыма не …

Мини-отели выпадают из видов экономической деятель...