Как принимать гостей без вреда для персданных
23.10.2019

Сфера гостеприимства – лакомый кусок для охотников за персональной информацией, поскольку в ней оседают паспортные, платежные данные, адреса места жительства и электронной почты, номера телефонов.

Постояльцы отдают свои данные отелям на этапе бронирования, оплаты номера онлайн, при заселении, когда оставляют обратную связь на сайте и при использовании дополнительных услуг. В результате отели наращивают внушительную клиентскую базу с огромным количеством информации.

Как защищают

По данным издания Hospitality Technology, у 74% отелей нет инструментов для защиты информации на местах. И это за границей, где действует страшный GDPR, что можно сказать о России, где ответственность за утечку данных (по ФЗ-152) – сущие копейки. При этом среди клиентов «СёрчИнформ» доля компаний из сферы гостеприимства не превышает 1%, у других разработчиков средств защиты информации ситуация похожая – варьируется между 1-3%.

В результате вот что мы видим на практике. Несколько лет назад, подключившись к публичному Wi-Fi в отеле, аналитик «СёрчИнформ» легко попал во внутреннюю сеть, где на одном из компьютеров в незащищенном виде хранились сканы паспортов постояльцев.

Как правило всеми IТ- и ИБ-процессами в гостиничной сфере управляет системный администратор, зачастую, на аутсорсинге. Защита данных для него не приоритет. Проблема усугубляется отсутствием сегрегации данных. Единая экосистема для отеля, ресторанов на его базе, фитнес-центров удобна для гостя. Но утечка данных в одном из звеньев автоматически оборачивается инцидентом для других.

В сфере гостеприимства остались такие объекты, до которых не только ИБ-грамотность, но и компьютерная грамотность еще не дошла. Санатории и пансионаты в маленьких городах еще не изменили былые порядки. Информацию о клиентах они собирают в бумажном виде, по старинке, причем не стесняются использовать копию паспорта в качестве черновика.

В результате отсутствия систем защиты информации и специалистов, которые отвечают за безопасность, складывается ситуация вседозволенности. И не воспользоваться ей могут только ленивые.

Кому оно надо

По данным экспертов из Trustwave, 70% утечек данных в сфере гостеприимства – внутренние инциденты. На самом деле, как раз тут ничего удивительного нет – инсайдеры главная головная боль для всех отраслей. Но индустрия гостеприимства из-за специфики найма персонала (большого числа сезонных и аутстаффинговых работников) страдает сильнее.

В гостиничной отрасли, в отличие от банковской, например, где тоже скапливаются критические объемы данных, еще не сложилась культура обращения с информацией.

В подтверждение пару примеров из практики «СёрчИнформ»:

1. Один из клиентов раскрыл мошенническую схему с заселением в гостиницу. DLP-система обнаружила систематическую отправку сканов паспортов на внешнюю почту. После расследования выяснилось, что сотрудница ресепшн продавала их на специализированных сайтах.

2. Другой клиент вычислил менеджера по продажам, который хотел передать паспортные данные сообщнику за вознаграждение. Сотрудник скинул сканы паспортов, которые хранились в общей сетевой папке, на флешку. Слив информации на внешний носитель зафиксировала DLP-система. В итоге менеджер признался, что паспортные данные должны были использовать для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.

Сегодня отельеры не мотивированы исправлять ситуацию: штрафы небольшие, администрируются неважно. Однако имиджевый риск в этой ситуации куда важнее штрафов. Да и руководствуясь простой логикой, если утекают данные клиентов, то и секреты компании под угрозой слива: бухгалтерия, списки сотрудников и их личные данные, маркетинговые разработки и многое другое. Они представляют потенциальный интерес для конкурентов, регуляторов, средств массовой информации.

Небольшой список действенных мер, которые подходят для всех объектов гостиничного бизнеса:

1. Сократите объем данных.

Собирайте и храните только необходимую для работы информацию о клиентах. Уничтожайте данные, которые вам больше не нужны.

2. Обучайте сотрудников.

Повышая осведомленность персонала об обработке, хранении, передаче и защите данных, вы снижаете количество инцидентов и повышаете уровень качества обслуживания клиентов.

3. Выявляйте чувствительные данные клиентов и классифицируйте их.

Пусть сотрудники каждого подразделения гостиницы используют и хранят только необходимую для себя часть информации. Разделяя данные, вы потенциально обесцениваете их для перепродажи в даркнете.

4. Ограничьте доступ к клиентской базе данных.

Доступ к информации о клиентах должны иметь только избранные сотрудники. Чем меньше сотрудников владеют информацией, тем проще вычислить нарушителя в случае утечки.

5. Определите требования к безопасности данных и пропишите их в контрактах с подрядчиками и сотрудниками.

Подписание документов, в которых четко указана ответственность за разглашение информации обезопасит вас от целенаправленного слива данных.

6. Изучите требования законодательства.

Для отелей и гостиниц особенно важно знать не только локальные законы, описывающие требования по защите персданных, но и международные. В частности, GDPR с оборотными штрафами за утечки данных, имеет экстерриториальное действие.

7. Используйте специализированные IТ-средства.

Решения для предотвращения утечек есть. Наиболее эффективный класс систем для этой задачи – DLP (Data loss prevention), также полезны будут DCAP-решения и eDiscovery продукты.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.