5

Cyberwłamanie dla hotelu gorsze niż to przez drzwi

bezpieczeństwo
Należąca do Marriotta sieć hoteli Starwood została zaatakowana przez cyberprzestępców. Atak okazał się skuteczny, a hakerzy uzyskali dostęp do wrażliwych danych gigantycznej liczby klientów – nawet 500 mln osób. To okazało się jednak dopiero początkiem kłopotów.

Pokrzywdzeni klienci wnieśli przeciwko sieci hotelowej pozew zbiorowy opiewający na ogromną sumę 12,5 mld dolarów, czyli 25 USD za każdego klienta, którego prywatność mogła zostać naruszona. Poza kosztami, jakie mogą zostać zasądzone (w podobnych przypadkach wielomilionowe ugody podpisały niedawno firmy Uber i Yahoo), sieć hoteli ucierpiała także wskutek spadku wartości akcji, a przede wszystkim wizerunkowo.

Atak miał miejsce w 2014 r., ale przez długi czas pozostawał niewykryty – przestępcy prawdopodobnie aż przez 4 lata kopiowali z systemu rezerwacyjnego nazwiska, dane mailowe, numery telefonów, paszportów, daty urodzenia. Są podejrzenia, że mogły to być także numery kart płatniczych i daty ich wygaśnięcia. Incydent ujawniono dopiero w pierwszych dniach grudnia tego roku.

The company has not finished identifying duplicate information in the database, but believes it contains information on up to approximately 500 million guests who made a reservation at a Starwood property. For approximately 327 million of these guests, the information includes some combination of name, mailing address, phone number, email address, passport number, Starwood Preferred Guest (“SPG”) account information, date of birth, gender, arrival and departure information, reservation date, and communication preferences. For some, the information also includes payment card numbers and payment card expiration dates, but the payment card numbers were encrypted using Advanced Encryption Standard encryption (AES-128). There are two components needed to decrypt the payment card numbers, and at this point, Marriott has not been able to rule out the possibility that both were taken. For the remaining guests, the information was limited to name and sometimes other data such as mailing address, email address, or other information.

Źródło: News.Marriott.com

Zobacz więcej: Sieć hoteli Starwood zaatakowana… już w 2014 roku! O wycieku wiemy dopiero teraz

W pozwie przeciwko Marriottowi jego klienci zarzucają niezapewnienie integralności serwerów i należytej ochrony bardzo wrażliwych i poufnych danych osobowych. Hotele tej sieci znajdują się też w Polsce.

To prawdopodobnie największy taki atak na branżę hotelarską w historii. Tego typu obiekty coraz częściej padają ofiarą cyberprzestępców. Podam inny przykład, małego hotelu, który zdecydował się na zamki do drzwi z systemem RFID, zamykane i otwierane za pośrednictwem smartfonów klientów. Niestety serwer, który obsługiwał te zamki został zaszyfrowany przez hakera, wskutek czego żaden z gości nie mógł ani wejść, ani wyjść z pokoju. Haker zaproponował okup w wysokości 30 tys. EUR za odszyfrowanie serwera. Właściciele hotelu po trzech dniach zdecydowali się na zapłacenie przestępcy. To właśnie efekt, który chce osiągnąć haker – proponuje relatywnie niską cenę za zdjęcie blokady, dzięki czemu otrzymuje szybką odpowiedź od przedsiębiorcy

mówi Wojciech Gołębiowski, dyrektor zarządzający Veronym.

Według tego eksperta hotele są dosyć łatwym celem dla hakerów. Chodzi tu zarówno o niewystarczające zabezpieczenia oraz konsekwencje utraty wizerunku. Pokoju w hotelu, w którym gości uwięziono, nikt raczej nie wynajmie po raz kolejny.

Narzędzia ochrony są dostępne, kłopotem są niefrasobliwość i brak zarządzania ryzykiem

Coraz więcej hoteli stosuje zaawansowane rozwiązania elektroniczne. Chodzi już nie tylko o elektroniczne karty otwierające drzwi do pokojów czy windę. Coraz częściej drzwi mogą być otwierane smartfonem, przez którego zamawianych jest również wiele usług dodatkowych. Goście hotelowi zazwyczaj łączą się z Internetem poprzez hotelowe wi-fi. Jeśli nie jest ono odpowiednio zabezpieczone, haker będzie miał możliwość wyrządzenia dotkliwych szkód.

Hakerzy włamują się do najmniej zabezpieczonych firm, które chronią się tylko antywirusem, w dodatku jak to czasem bywa nieregularnie aktualizowanym. Takie firmy są łatwym łupem. Skoro przed atakiem nie obroniła się tak duża marka, która z pewnością jakąś ochronę posiadała, to tym bardziej na szkody narażone są mniejsze hotele, także w Polsce. Największym problemem jest ciągle niska świadomość zagrożenia i potencjalnych szkód, jakie hakerzy mogą wyrządzić. Z pewnością jednak wpadka globalnej sieci hoteli, a szczególnie kwota pozwu, da do myślenia wielu osobom zarządzającym takimi obiektami także w Polsce. Do niedawna brakowało skutecznych narzędzi do ochrony, osiągalnych kosztowo dla mniejszych firm, ale to się zmienia. Nowoczesne narzędzia cyberochrony mogą być oferowane na zasadzie abonamentu w modelu CAPEX, tańszym oraz skuteczniejszym niż zatrudnianie specjalistów IT, niewymagającym specjalistycznej wiedzy od załogi hotelu. Ważne, żeby cyberochrona zapewniała nie tylko detekcję ataków, ale przede wszystkim prewencję, musi gwarantować bezpieczeństwo zarówno w warstwie sieci, jak i bezpośrednio na urządzeniu dostępowym użytkownika, dzięki czemu działają dwie wzajemnie uzupełniające się warstwy ochrony. To przekłada się na efekt prewencji zagrożeń w czasie rzeczywistym zanim wystąpią realne szkody w atakowanym systemie.

mówi Wojciech Gołębiowski z Veronym.

W najnowszym raporcie AON Global Risk 2017/2018, w którym zebrano opinie przedsiębiorców na temat największych zagrożeń dla ich biznesów, ci z branży hotelarskiej cyberprzestępczość i wirusy umieścili na trzecim miejscu w rankingu najpoważniejszych zagrożeń. Ryzyko szkód wizerunkowych, które prawie zawsze wiążą się i są pochodną cyberataków, przedsiębiorcy umieścili na szczycie listy. Przestępstwa cybernetyczne mogą̨ m.in. powodować́ wyłączanie zasilania czy blokowanie możliwości składania zamówień́ przez klientów; wyciek wrażliwych danych to najbardziej drastyczny scenariusz.

Przedsiębiorcy na świecie w coraz większym stopniu dostrzegają̨ takie prawdopodobieństwo. W Polsce Cyberzagrożenia w krajowej edycji raportu AON znalazły się na dalszym miejscu (19). Z pewnością w miarę ujawniania kolejnych ataków, także na hotele, zagrożenie cyberprzestępczością będzie coraz bardziej realne i niepokojące dla zarządzających firmami i hotelami.

Tekst ekspercki przekazany Antyweb przez Brandscope