По данным РБК, в 2024 году количество атак программ-вымогателей выросло на 44%, в сеть утекло более 600 млн данных россиян. Кибератаки стали более продвинутыми в техническом плане, а жертвами злоумышленников чаще всего оказывались промышленные, фармацевтические, IT-компании и организации сферы услуг.
Индустрия с миллиардными доходами и инвестициями ₽0,5 трлн
Один из самых мощных сегментов сервисной отрасли это, конечно же, гостиничный бизнес. За последние годы он стал индустрией с миллиардными доходами. В 2023 году в России действовали 31,49 тыс. гостиниц, отелей и других мест отдыха (в 2022-м ─ 29,55 тыс.). При этом число строящихся гостиниц в 2024 году выросло ещё в 4 раза (!). Объем инвестиций в отрасль
превысил ₽0,5 трлн.
Теперь представьте все гостиницы, отели, санатории, хостелы ─ по скромным подсчетам 1,2 млн номеров ─ принимают гостей. Ведут непрерывный учет, хранят и ежедневно обрабатывают персональные данные: ФИО, реквизиты паспортов и банковских карт. Всё это будничная работа персонала.
Персональные данные как самый ценный ресурс
В условиях роста кибератак и утечек именно персональные данные стали особо ценным ресурсом для хакеров. При неумышленных и неосторожных действиях персонала или сбоях инфраструктуры – особо уязвимым.
→ Количество сетевых атак на страны СНГ в 2024 году увеличилось в 2,6 раза;
→ В России в III квартале 2024-го их стало на 15% больше, чем за тот же период в 2023-м;
→ В каждом 4-м случае действовали хакеры;
→ В каждой 3-ей атакованной компании нарушения произошли на уровне инфраструктуры.
Оптимистичные аналитики и эксперты логично прогнозируют рост рынка
кибербезопасности на 15–25% до 2028 года. И искренне полагают, что уже
в 2025 году даже малый и средний бизнес займет проактивную позицию в сфере кибербезопасности и защите данных.
Для этого появился обширный выбор из отечественных решений. Но первым
делом у заказчиков вырос спрос на сервисную и гибридную модель защиты
данных. Для малого и среднего бизнеса она особенно хороша тем, что ее
можно развернуть в короткие сроки и в моменте решить проблему с дефицитом экспертизы и кадров.
«Большие сетевые отели могут позволить себе профессиональную защиту и профильные IT-службы. У бутиковых, семейных отелей и глэмпингов защита хуже или никакой, а между тем, они владеют ровно такими же персональными данными, ─ подчеркнула СЕО TeamDo Анна Крампец. ─ При этом отдельных трендов инфобезопасности в гостиничной сфере мы не увидим, потому что она довольно скромна на фоне всех остальных бизнес-ниш, не говоря о гигантском корпоративном сегменте».
Украсть и придержать
Мишенью для киберпреступников становится любая сфера экономики.
В 2024 году хакеры начали «придерживать» украденные ими данные
до момента, когда их можно будет монетизировать наиболее выгодно. Так что в 2025-м компании наверняка столкнутся с «валом» скомпрометированных баз данных, что принесет дополнительные риски для бизнеса.
Почему?
В ноябре 2024 года Госдума РФ приняла новую редакцию закона о защите персональных данных от незаконного использования. Закон вступит в силу в мае 2025 года.
- Для бизнеса штрафы за утечку ПД достигнут ₽15 млн, а повторные нарушения приведут к оборотным штрафам до 3% годовой выручки.
Уголовная ответственность будет введена за утечку ПД несовершеннолетних, специальной информации (раса, национальность, состояние здоровья) и биометрических данных. - Штрафы за неуведомление Роскомнадзора для ИП и любых юрлиц, кроме НКО составят до ₽3 млн.
- В гостиницах менеджеры хранят данные и в системах бронирования, или в отдельных документах и файлах обычным способом. Данные действительно могут быть «украдены и слиты» в момент наивысшей ценности.
«Доступ к системе может сохраняться очень долгое время. И когда хакер
поймет, что данных накоплено достаточно, он их заберет для циничной
«монетизации». Поэтому сейчас актуализируются для слива доступы к
CRM-системам, отвечающим за реквизиты клиентов», ─ отмечает Анна Крампец.
В самой маленькой компании или отеле на 20 человек персонала насчитывается 40–60 различных доступов и паролей. Это очень много, а значит, высок риск утечки, взлома, в конце концов преднамеренного «слива» данных.
При этом уже существуют доверенные программы российской разработки, внесенные в реестр отечественного ПО, например, платформа для управления командами, имуществом и информацией TeamDo. Этот менеджер паролей генерирует максимально надежные пароли, консолидирует их, позволяет выстроить иерархию доступов и распределять пользователей по ролям. Уволился человек, администратор меняет доступ и всё ─ базы данных клиентов, реквизиты их карт, аккаунты в соцсетях и др. ─ остаётся абсолютно неприкосновенными.
Тренд 1. Аудит инфраструктуры и резервное копирование
Тренд 2. Надёжный поставщик ─ гарантированная защита
Тренд 3. Принцип «нулевого доверия»
Тренд 4. Незнакомые ссылки и «письма-счастья» ─ под запрет
Тренд 5. С IoT ─ аккуратно
Тренд 6. Внутреннее обучение сотрудников инфобезу
«Хакерство», увы и ах, тоже бизнес со своими правилами игры и инфраструктурой. У компаний-хакеров и хакеров-одиночек есть свои
бизнес-цели: получив доступ в систему жертвы, хакеры объявят об этом не
сразу. Они будут скачивать данные, анализировать массив информации и выжидать до тех пор, пока станет выгодно.
Тактику и техники, которыми злоумышленники пользуются в атаках, описывает Матрица действий хакеров MITRE ATT&CK.
Вольно или невольно «на руку» кибербизнесу играет рост использования устройств и всё более «стремительный» стаж сотрудников в компании или бизнесе. Поэтому уязвимыми оказываются и сетевые отели, и мини-гостиницы на 30–35 номеров: конечно же, хакерам легче взломать того, кто наименее защищен.
Что делать?
Семейным и небольшим отелям быть внимательными к информационной
структуре своего бизнеса. Оперативно (или в параллель с открытием нового отеля) провести самостоятельный аудит:
- Выясните, кто из персонала и какой доступ имеет к критически важным данным;
- Наведите порядок в генерации и распределении паролей. Ваш пароль должен быть надежным;
- Внедрите средства защиты ваших данных;
- Делайте резервное копирование всех важных данных регулярно. Установите срок, например, ежемесячно и назначьте ответственного;
- Проводите аудит инфраструктуры один раз в полугодие и актуализируйте «правила игры» для сотрудников.
Внедрение менджера паролей в организации
Внедрение менеджера паролей TeamDo в любой организации без внутренней IT-службы.
______