Информационная безопасность в гостиничном бизнесе: что важно знать отельеру

Информационная безопасность в индустрии гостеприимства, где обрабатывается большое количество личных данных клиентов и сотрудников, становится критически важным элементом. Утечка информации может привести к серьезным финансовым и репутационным потерям. Основные причины утечек — это слабые пароли и халатное обращение с информацией.

В 2024 году в России были ужесточены штрафы за нарушения в области защиты персональных данных, что подчеркивает необходимость внедрения современных технологий и обучения персонала.

Как владельцам отелей разработать комплексную политику ИБ и минимизировать риски кибератак — в сегодняшней статье от партнера Bnovo компании TeamDo, платформы по управлению цифровыми активами для малого и среднего бизнеса. Развеем мифы о сложности процесса, дадим практические рекомендации и чек-лист для самопроверки уровня информационной безопасности в вашем объекте.

Немного статистики

Информационная безопасность (ИБ) играет ключевую роль в мире цифровых технологий, которые проникают во все сферы жизни. Утечка конфиденциальных данных всегда грозит серьезными издержками любому бизнесу. По оценкам компании Cybersecurity Ventures, в 2024 г. потери от действий киберпреступников по всему миру достигнут $9,5 трлн, что в 3 раза больше, чем в 2015 году. Доля потерь российских компаний составит 38% от общей суммы ущерба.

В отчете Verizon DBIR за 2024 год зафиксировано более 220 инцидентов в сфере гостеприимства, 106 из которых — официально подтвержденные утечки данных. Социальная инженерия и уязвимости веб-приложений стали причиной 92% всех нарушений. В одном из случаев хакеры атаковали сервер японского агрегатора отелей, позволяющего забронировать номера в более чем 4000 объектах в 100 странах мира. Были украдены 320 000 строк персональной информации (имена, возраст, контакты) и 66 960 данных кредитных карт.

ИБ в гостиничном бизнесе

Информационная безопасность должна обеспечивать отелю надежную защиту данных от несанкционированного доступа, кражи и повреждения. Объекты размещения ежедневно обрабатывают огромное количество личных данных гостей и сотрудников: ФИО, паспортные данные, адреса, контакты, сведения о банковских картах и т.д. Поэтому отели и туристические фирмы часто становятся целью киберпреступников — более 15 % всех случаев утечки данных. В целом, индустрия гостеприимства занимает второе место по числу инцидентов, уступая только сфере розничной торговли. При этом, 74% гостиничных предприятий в принципе не имеют достаточной защиты от киберугроз.

Как происходят утечки?

Причины утечек могут быть внутренними и внешними. Внешние утечки — намеренные атаки хакеров, которые находят слабые места в системе защиты. Внутренние утечки происходят по вине сотрудников. Как показывает практика, частая причина — это отсутствие правил в обращении с цифровой информацией. Халатное отношение к хранению паролей («на бумажке» и «под клавиатурой»), слабый пароль от системы бронирования, пересылка паролей через мессенджеры подрядчикам — все это является серьезным риском и должно нормироваться.

Отели работают на разном программном обеспечении: PMS системы управления, модули бронирования, менеджеры каналов продаж, платформы OTA, соцсети, сайты. И если объекты размещения используют слабо защищенные решения автоматизации, где зачастую для доступа в систему сотрудники используют свои, легко угадываемые пароли — это делает их уязвимыми для внешних атак. Кроме этого, люди часто теряют свои мобильные устройства, и персонал отелей не исключение. 31% утечек данных происходит из-за потери или кражи мобильных устройств, а еще 27% — из-за некорректного использования прав доступа. Таким образом, в 58% случаев данные утекают непреднамеренно. Снизить риск таких инцидентов можно за счет Менеджера паролей TeamDo. Он помогает создавать сильные и безопасные пароли и избежать пересылок в мессенджерах.

Последствия кибератак и утечек

По расчетам аналитиков TeamDo, на небольшой семейный отель (до 15 номеров) приходится более 30 ценных учетных записей: доступы к системам управления и бронирования, электронной почте, мессенджерам, финансовым инструментам, агрегаторам, соцсетям, к системам видеонаблюдения и СКУД. Потеря доступа или несанкционированный взлом этих систем часто приводит к сложно исправимым последствиям. Из моментально ощутимых издержек — это штрафы.

Основные законы РФ, регулирующие безопасность информации и правила обработки персональных данных (ПД) — это 149-ФЗ и 152-ФЗ. Согласно законам, организации обязаны соблюдать стандарты защиты данных, а также внедрять современные технологии и методы, например, шифрование, многофакторная аутентификация, регулярное обновление ПО и обучение персонала.

В 2024 году рассматривают поправки о размере штрафов за потерю ПД:

• для юридических лиц — от 30 тысяч до 6 млн рублей, а в случае повторного нарушения — до 18 млн рублей;
• максимальная сумма штрафа для должностного лица — 336 тысяч рублей, а при повторном нарушении может превысить 1 млн рублей.

Распространенные заблуждения отельеров

Миф 1. Информационная безопасность — это не про меня

Согласно открытой статистике, в 2023 году было зафиксировано 1,12 млрд утечек персональных данных, при этом в малых организациях показатель увеличился вдвое — с 15,5% до 36,6%. Зачастую, малый и средний бизнес считает, что он не привлекает особого внимания, но в мировой практике 60% утечек приходится именно на предприятия малого и среднего бизнеса, к которым относится и сектор гостеприимства.

Миф 2. Мои данные под защитой платформы

Только ведущие лицензированные системы автоматизации, такие как Bnovo (аккредитованный партнер Минцифры, входит в состав «РУССОФТ» и реестр отечественного ПО), предоставляют гостиничным объектам безопасное хранение данных в data центрах в соответствии с федеральными законами № 149 и № 152. Bnovo обеспечивает надежную защиту паролей пользователей с помощью многоступенчатой системы шифрования и позволяет разграничить права доступа для владельца, администратора и горничной отеля.

Если вы работаете на других решениях, убедитесь, что точно доверяете своей платформе. Уверены ли вы в надежности? Есть ли у вас резервные копии данных?

Миф 3. Сотрудников не нужно обучать ИБ

По данным исследования ГК InfoWatch, около 80% всех киберинцидентов в компаниях происходят по вине сотрудников. Узнайте, где ваш персонал хранит логины и пароли: на листочке или в ежедневнике? Пересылают ли они их друг другу через мессенджеры или емаил? Существует ли система хранения приватных и конфиденциальных данных, например, менеджер паролей? Есть ли нормы и регламенты, описывающие, как безопасно хранить чувствительные данные?

Миф 4. За ИБ отвечает наш сисадмин

Один человек не способен полностью отвечать за информационную безопасность отеля и контролировать все возможные риски. В большинстве случаев, системный администратор вообще не занимается этими вопросами. Для крупных сетевых объектов оптимальным решением будет создание отдела ИТ-специалистов, которые смогут выстроить систему технической защиты. Это включает резервное копирование, мониторинг, контроль Wi-Fi сетей, обновление программного обеспечения, предоставление прав доступа к различным системам и данным, а также настройку и контроль удаленного доступа для топ-менеджеров.

Для малого и среднего гостиничного бизнеса руководство должно разработать правила и регламенты по ИБ, обучение персонала и внедрять только лицензированное ПО при работе с собственными и клиентскими данными.

Миф 5. Информационная безопасность — это антивирус на ПК

Для обеспечения корпоративной безопасности необходим комплексный подход, включающий технические и процедурные меры. Бесспорно, одного антивируса на компьютере недостаточно. Сотрудники должны быть осведомлены о базовых принципах ИБ. Например, не открывать неизвестные ссылки, изображения и файлы. Вирусы могут быть получены через флешки, накопители и мессенджеры.

Поэтому важно, чтобы у сотрудников были четкие правила и инструкции о том, что можно и что нельзя делать на рабочих компьютерах.

Как обезопасить отель?

Потеря паролей и доступа к учетным записям может стать серьезной проблемой для любой организации, но при правильном подходе и соблюдении мер безопасности, риски можно свести к минимуму. Вот несколько советов:

• замените устаревшие цифровые технологии: системы с уязвимостями, старые приложения и необновленные программные продукты;
• обучите сотрудников базовым методам защиты корпоративной информации. Если вам сложно сформировать политику ИБ, воспользуйтесь бесплатной консультацией с экспертами TeamDo;
• избегайте поспешной цифровизации. Выбор дешевых программных продуктов или разработка собственного решения могут привести к потерям и рискам.
• проверяйте компетентность IT-сотрудников и своевременно закрывайте доступы для тех, с кем вы уже не работаете;
• минимизируйте ручной труд и человеческий фактор: случайная отправка данных через почту, доступ друзьям к корпоративному устройству во время работы из дома, слабые пароли — все это ставит под угрозу ваш бизнес.

Как правило, защита информации не требует значительных затрат. Большая часть работы заключается в ежедневных рутинных действиях персонала и соблюдении простых правил, которые не требуют больших вложений от отеля. Например, маркетолог не должен давать доступ фрилансеру через мессенджер.

С чего начать отельеру?

1. Разработать и внедрить комплексную политику информационной безопасности, включающую стандарты, правила и регламенты.
2. Внедрить многофакторную аутентификацию и использовать сложные уникальные пароли для всех систем.
3. Регулярно обновлять пароли.
4. Организовать регулярное обучение сотрудников по вопросам ИБ.
5. Внедрить систему управления паролями и конфиденциальными данными, которая ограничивает доступ персонала к цифровым активам.
6. Регулярно проводить аудиты безопасности и тестировать сотрудников.

Проверьте уровень ИБ в своем объекте, используя чек-лист кибербезопасности для гостиничного бизнеса от специалистов TeamDo и Bnovo.