Цифровой след гостя: как отели защищают данные клиентов

В современном мире за каждым человеком тянется цифровой след. Гость отеля оставляет его, когда просматривает сайт, бронирует номер, регистрируется при заезде, покупает услуги. И ответственность отеля — позаботиться о том, чтобы весь этот огромный массив конфиденциальной клиентской информации не стал добычей кибермошенников.

Три истории утечек данных в отелях

Сеть Hyatt в 2015 году столкнулась с деятельностью вредоносной программы, разработанной для кражи платежной информации. Точное число гостей, чьи данные были скомпрометированы, не называлось. Но известно, что вирусом оказались заражены 250 отелей сети.

В конце 2024 года данные более 24 млн гостей отелей оказались в открытом доступе из‑за отсутствия пароля на сервере Elasticsearch, где хранилась конфиденциальная информация. Эксперты пришли к выводу, что скомпрометированные данные могли принадлежать клиентам французской Honotel Group.

Зачем отели собирают данные гостей

Отели собирают личную информацию по множеству причин — начиная с того, что, по закону, при предоставлении услуг гостиница должна заключить с гостем договор, в котором указываются данные паспорта. Чтобы поддерживать общение с постояльцами отель запрашивает номера их телефонов и адреса электронной почты. Ну а при оплате услуг клиенты вводят информацию своих банковских карт.

Курс на персонализацию сервиса — еще одна серьезная причина собирать данные гостей. Анализируя полученную личную информацию, отельеры могут проявлять заботу, разрабатывать индивидуальные предложения и создавать для путешественников уникальный опыт пребывания.

И вот уже гостя, который несколько раз останавливался в одном отеле сети, в другом тоже будут ждать его любимые подушки и рекомендации блюд в соответствии с пищевыми ограничениями. Семье с детьми менеджер предложит участие в творческом мастер‑классе и билеты в аквапарк по спеццене. А паре, которая два года подряд отмечала годовщину свадьбы в люксе, отель к очередной дате пришлет персональную скидку на этот номер и подарит бесплатный напиток.

Риски избыточного сбора данных

Отелю необходимо собирать данные, но важно не перейти ту грань, за которой начинается избыточное и бессистемное накопление информации. Это может случиться, если у компании нет четкой политики по работе с данными и понятной стратегии управления ими. Данные накапливаются по принципу «чем больше, тем лучше», при этом одновременно используются несколько несинхронизированных каналов сбора и разрозненных хранилищ.

Если собирать данные бесконтрольно, среди них может оказаться много бесполезных и нерелевантных. В информационном хаосе затеряются действительно ценные сведения, а общее невысокое качество данных затруднит принятие решений и может негативно повлиять на прибыль. Кроме того, увлечение сбором данных приводит к бессмысленным потерям рабочего времени, создает избыточную нагрузку на системы хранения и увеличивает риски, связанные с утечками информации.

Главные киберугрозы для гостиничного бизнеса

Отели сегодня сталкиваются с самыми разными угрозами цифровой безопасности: фишингом, целенаправленными атаками программ‑вымогателей, DDoS‑атаками, вредоносным ПО, которое перехватывает данные банковских карт, взломом систем бронирования и управления отелем, а также инсайдерскими угрозами.

Отдельную категорию риска представляют сторонние поставщики услуг, которые не уделяют достаточного внимания защите от киберугроз и не соблюдают стандарты безопасности. Утечка данных у такого партнера может, через точки интеграции, затронуть и отель. Такое уже случалось при компрометации компаний, обрабатывающих платежные операции.

Роль человеческого фактора и процессов

Технические средства бесполезны без грамотных процессов и правильно подготовленных сотрудников.

Статистика выше показывает, что обучение персонала является важнейшим фактором кибербезопасности. Инсайдеры с легитимным доступом к информации часто становятся «слабым звеном». Переход по фишинговой ссылке, использование флешки с вирусом, отправка электронного письма с личной информацией по ошибочном адресу, неправильное хранение паролей — эти и другие неосторожные действия облегчают преступникам доступ к конфиденциальным данным отеля и его гостей.

Отелям критически важно проводить регулярные тренинги по цифровой гигиене для всех сотрудников, от руководителей до горничных. Нужно обучать персонал тому, как безопасно работать с данными, как распознавать фишинг, как создавать надежные пароли и т. д.

В отеле должен быть разработан четкий план реагирования на инциденты, чтобы любой человек знал — как ему действовать, если он видит признаки вторжения во внутренние системы или обнаружил подозрительные действия в корпоративной сети. Также необходимо систематизировать и наладить процессы сбора, хранения информации и доступа к ней.

Ключевые меры защиты данных

Привести работу с информацией в соответствие с нормативными стандартами. Для российских отелей основой является строгое соблюдение Федерального закона 152‑ФЗ «О персональных данных». Для работы с иностранными гостями и платежами необходимо также учитывать требования международных регламентов в сфере защиты личных данных — PCI DSS и GDPR.

Данные документы регулируют порядок обеспечения конфиденциальности и защиты данных и устанавливают единые стандарты безопасной работы с информацией. Соблюдение их требований обеспечивает прозрачность сбора и обработки данных, снижает риск утечек и мошенничества.

Позаботиться о технической стороне. Обязательный минимум кибербезопасности для отеля включает в себя:

1. Сквозное шифрование данных, которое защитит их даже при краже. Хакеры просто не смогут прочитать и использовать полученную информацию. Кодирование необходимо применять для всех каналов передачи данных и, в первую очередь, при онлайн‑бронировании и платежных транзакциях. Также очень важно использовать шифрование для всей персональной информации, которая хранится в электронных системах отеля.
2. Строгий контроль доступа — для минимизации внутренних нарушений и инсайдерских угроз каждому сотруднику должны быть доступны только те данные, которые действительно нужны ему для работы. Таким образом отель существенно ограничивает круг пользователей, которые теоретически могут просмотреть, отредактировать или передать кому‑то конфиденциальную информацию о гостях.
3. Многофакторную аутентификацию (MFA) для доступа к критически важным данным. При ее использовании сотруднику нужно подтвердить свое право войти в конфиденциальный раздел системы двумя или более способами (пароль, смс‑код, отпечаток пальца и др.). Даже если киберпреступники получат учетные данные первого уровня, MFA серьезно затруднит их дальнейшую «работу» по добыче информации.

Помимо систематических проверок также нужно вести непрерывный мониторинг и анализ сетевой активности и подозрительных действий. Для этого применяются инструменты управления информацией и событиями безопасности (SIEM) и системы обнаружения вторжений (IDS).

Важность надежных технологических партнеров

При выборе программного обеспечения отелям важно обращать внимание не только на его функционал, но и на наличие встроенных инструментов обеспечения информационной безопасности и, в целом, на легальность обработки данных.

Надежный вендор должен быть включен в реестр Минцифры и зарегистрирован в Роскомнадзоре как оператор персональных данных. Это говорит о его ответственном подходе к обработке персональных данных, наличии внутренней политики безопасности и встроенных технических средств защиты.

Все эти критерии можно проверить. Достаточно ввести названии компании партнера на вышеперечисленных сайтах, например, на сайте Роскомнадзора. Если у компании все хорошо, то карточка компании со всеми данными о ней будет в открытом доступе. То же самое можно сделать и на сайте рекомендованного ПО Минцифры.