Гостиничная ИТ-безопасность: камо грядеши?

Недавно обнаруженная APT-кампания Darkhotel, безусловно, привлекла пристальное внимание к системам безопасности гостиничных сетей во всем мире. Даже с первого взгляда в них легко различить массу уже известных проблем. Например, еще

Недавно обнаруженная APT-кампания Darkhotel, безусловно, привлекла пристальное внимание к системам безопасности гостиничных сетей во всем мире. Даже с первого взгляда в них легко различить массу уже известных проблем. Например, еще в 2009 году Visa выпустила предупреждение по безопасности под названием «Эксплуатируемые уязвимости гостиничного сектора» о вредоносных атаках на индустрию отелей, особенно на системы платежей и гостиничные компьютерные сети. В двух словах, атаки вредоносного ПО приводят к краже данных клиентов, в том числе их платежных учетных данных.

Это было проблемой в 2009 году и выросло до еще больших размеров в 2013-2014 годах, когда крупнейшие ритейлеры стали жертвами массовых взломов при помощи вредоносных программ, подсаженных через платежные терминалы. Для отелей это может вообще стать сложным поворотом. Ритейлеры, как правило, имеют доступ к информации с платежных карт, именно она и утекает. А вот гости отелей делятся информацией, куда лучше лично идентифицируемой, и компрометация таких данных несет более тяжелые последствия.

Самый ранний пример вредоносных программ для платежных терминалов Trackr, он же Alina, был RAM-скрепером, который скомпрометировал платежные системы в университете и ряде отелей еще в 2011 году.

В 2012 году ФБР выпустило предупреждение о вредоносном ПО, устанавливавшемся на ноутбуки путешественников посредством обновления программного обеспечения через интернет-подключение отеля (нечто очень похожее на Darkhotel).

В последнее время вендоры программного обеспечения для управления собственностью/бронирования/гостиничного менеджмента стали уделять большое внимание вопросам безопасности.

 

В последние два года формируется новая тенденция: программное обеспечение гостиничных сетей мигрирует в облако. Почему? Безопасность и экономика. Гораздо выгоднее арендовать готовую к использованию инфраструктуру, более или менее защищенную от технических бед и внезапных простоев (облачные провайдеры сулят свыше 95% времени безотказной работы), чем наращивать серверную группировку у себя.

Миграция в облако при некоторых преимуществах несет с собой и новые проблемы. Мы рассматривали их в этом блоге год назад. Теперь просто перечислим наиболее важные и самые распространенные проблемы для всех отраслей, хранящих чувствительные данные в облаках:

  • Степень контроля данных, хранимых клиентской компанией у провайдера облачных услуг. Другими словами, это вопрос о том, кто на самом деле владеет и управляет данными в облаке.
  • Сторонний доступ к данным на аутсорсинге. В условиях работы отельеров с персонально идентифицируемыми и платежными данными защита конфиденциальности клиента имеет первостепенное значение.
  • Безопасный трафик данных из локальных в облачные ресурсы. К сожалению, мы наблюдали примеры, когда вредоносные программы просачивались из с арендованных мощностей в клиентские сети, в то время как в облаке вообще не должно быть никаких вредоносов.

Облака сами по себе способны принести бизнесу пользу, снижая затраты и нагрузку по обслуживанию ИТ, но являются ли они панацеей? Едва ли. Как и любая технология, они надежны в той же степени, в какой проверяемы, и клиенты должны иметь подходящие решения для защиты своих данных как до входа в облако, так и после выхода из него.

Еще одним проблемным аспектом ИТ-безопасности в гостиничной индустрии является использование беспроводных сетей. В этой высококонкурентной среде, где мнение клиента значит всё, бесплатный Wi-Fi сегодня обязателен, но он также создает некоторые проблемы. О них мы поговорим в одной из наших следующих публикаций.

Советы