Cyberwłamanie dla hotelu gorsze niż to przez drzwi

• Hotel, z którego hakerzy ukradli dane klientów, został pozwany na 12,5 mld USD.
• Znany jest inny przypadek, kiedy w wyniku ataku hakerskiego goście hotelu przez dłuższy czas nie mogli wyjść ani wejść do swoich pokojów, a przestępcy zażądali okupu za odblokowanie systemu sterującego.
• Wg raportu AON Global Risk branża hotelarska jest świadoma ryzyka cyberataków i obawia się ich, ale w Polsce niewiele się robi, aby takim incydentom zapobiec.

Należąca do Marriotta sieć hoteli Starwood została zaatakowana przez cyberprzestępców. Atak okazał się skuteczny, a hakerzy uzyskali dostęp do wrażliwych danych gigantycznej liczby klientów – nawet 500 mln osób. To okazało się jednak dopiero początkiem kłopotów. Pokrzywdzeni klienci wnieśli przeciwko sieci hotelowej pozew zbiorowy opiewający na ogromną sumę 12,5 mld dolarów, czyli 25 USD za każdego klienta, którego prywatność mogła zostać naruszona. Poza kosztami, jakie mogą zostać zasądzone (w podobnych przypadkach wielomilionowe ugody podpisały niedawno firmy Uber i Yahoo), sieć hoteli ucierpiała także wskutek spadku wartości akcji, a przede wszystkim wizerunkowo.

Atak miał miejsce w 2014 r., ale przez długi czas pozostawał niewykryty – przestępcy prawdopodobnie aż przez 4 lata kopiowali z systemu rezerwacyjnego nazwiska, dane mailowe, numery telefonów, paszportów, daty urodzenia. Są podejrzenia, że mogły to być także numery kart płatniczych i daty ich wygaśnięcia. Incydent ujawniono dopiero w pierwszych dniach grudnia tego roku. W pozwie przeciwko Marriottowi jego klienci zarzucają niezapewnienie integralności serwerów i należytej ochrony bardzo wrażliwych i poufnych danych osobowych. Hotele tej sieci znajdują się też w Polsce.

To prawdopodobnie największy taki atak na branżę hotelarską w historii. Tego typu obiekty coraz częściej padają ofiarą cyberprzestępców. Podam inny przykład, małego hotelu, który zdecydował się na zamki do drzwi z systemem RFID, zamykane i otwierane za pośrednictwem smartfonów klientów. Niestety serwer, który obsługiwał te zamki został zaszyfrowany przez hakera, wskutek czego żaden z gości nie mógł ani wejść, ani wyjść z pokoju. Haker zaproponował okup w wysokości 30 tys. EUR za odszyfrowanie serwera. Właściciele hotelu po trzech dniach zdecydowali się na zapłacenie przestępcy. To właśnie efekt, który chce osiągnąć haker – proponuje relatywnie niską cenę za zdjęcie blokady, dzięki czemu otrzymuje szybką odpowiedź od przedsiębiorcy – mówi Wojciech Gołębiowski, dyrektor zarządzający Veronym, firmy zapewniającej najnowocześniejsze i kompleksowe chmurowe cyberbezpieczeństwo w modelu subskrypcji usługi.

Według tego eksperta hotele są dosyć łatwym celem dla hakerów. Chodzi tu zarówno o niewystarczające zabezpieczenia oraz konsekwencje utraty wizerunku. Pokoju w hotelu, w którym gości uwięziono, nikt raczej nie wynajmie po raz kolejny.

Narzędzia ochrony są dostępne, kłopotem są niefrasobliwość i brak zarządzania ryzykiem

Coraz więcej hoteli stosuje zaawansowane rozwiązania elektroniczne. Chodzi już nie tylko o elektroniczne karty otwierające drzwi do pokojów czy windę. Coraz częściej drzwi mogą być otwierane smartfonem, przez którego zamawianych jest również wiele usług dodatkowych. Goście hotelowi zazwyczaj łączą się z Internetem poprzez hotelowe wi-fi. Jeśli nie jest ono odpowiednio zabezpieczone, haker będzie miał możliwość wyrządzenia dotkliwych szkód.

Hakerzy włamują się do najmniej zabezpieczonych firm, które chronią się tylko antywirusem, w dodatku jak to czasem bywa nieregularnie aktualizowanym. Takie firmy są łatwym łupem. Skoro przed atakiem nie obroniła się tak duża marka, która z pewnością jakąś ochronę posiadała, to tym bardziej na szkody narażone są mniejsze hotele, także w Polsce. Największym problemem jest ciągle niska świadomość zagrożenia i potencjalnych szkód, jakie hakerzy mogą wyrządzić. Z pewnością jednak wpadka globalnej sieci hoteli, a szczególnie kwota pozwu, da do myślenia wielu osobom zarządzającym takimi obiektami także w Polsce. Do niedawna brakowało skutecznych narzędzi do ochrony, osiągalnych kosztowo dla mniejszych firm, ale to się zmienia. Nowoczesne narzędzia cyberochrony mogą być oferowane na zasadzie abonamentu w modelu CAPEX, tańszym oraz skuteczniejszym niż zatrudnianie specjalistów IT, niewymagającym specjalistycznej wiedzy od załogi hotelu. Ważne, żeby cyberochrona zapewniała nie tylko detekcję ataków, ale przede wszystkim prewencję, musi gwarantować bezpieczeństwo zarówno w warstwie sieci, jak i bezpośrednio na urządzeniu dostępowym użytkownika, dzięki czemu działają dwie wzajemnie uzupełniające się warstwy ochrony. To przekłada się na efekt prewencji zagrożeń w czasie rzeczywistym zanim wystąpią realne szkody w atakowanym systemie – mówi Wojciech Gołębiowski z Veronym.

W najnowszym raporcie AON Global Risk 2017/2018, w którym zebrano opinie przedsiębiorców na temat największych zagrożeń dla ich biznesów, ci z branży hotelarskiej cyberprzestępczość i wirusy umieścili na trzecim miejscu w rankingu najpoważniejszych zagrożeń. Ryzyko szkód wizerunkowych, które prawie zawsze wiążą się i są pochodną cyberataków, przedsiębiorcy umieścili na szczycie listy. Przestępstwa cybernetyczne mogą̨ m.in. powodować́ wyłączanie zasilania czy blokowanie możliwości składania zamówień́ przez klientów; wyciek wrażliwych danych to najbardziej drastyczny scenariusz.

Przedsiębiorcy na świecie w coraz większym stopniu dostrzegają̨ takie prawdopodobieństwo. W Polsce Cyberzagrożenia w krajowej edycji raportu AON znalazły się na dalszym miejscu (19). Z pewnością w miarę ujawniania kolejnych ataków, także na hotele, zagrożenie cyberprzestępczością będzie coraz bardziej realne i niepokojące dla zarządzających firmami i hotelami.