«Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных клиентов
Кому грозит проблема сохранности персональных данных в российских отелях?
Сколько бы эксперты сферы ИБ ни рассказывали страшилок, связанных с кражей персональных данных или халатным с ними обращением, подавляющее большинство граждан не задумывается даже об элементарных правилах информационной безопасности. Мы без тени сомнения предоставляем личные данные турагентству (зачем интересоваться тем, как и где будут храниться копии паспорта, анкеты и справки о доходах? Кому будут пересылаться эти документы?), спокойно относимся к копированию собственного паспорта при заселении в гостиницу и даже требование фитнес-центра о скан-копии документа, удостоверяющего личность, не настораживает нас.
Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему миру.
При этом если, отдавая для копирования паспорт в банке, я могу быть относительно спокоен – в кредитной организации наверняка есть защитные решения и целая служба безопасности, то в гостинице я предполагаю в лучшем случае наличие системного администратора. В большинстве компаний сферы услуг нет даже регламентов, предписывающих сотрудникам обеспечивать конфиденциальность клиентских данных. А когда ответственности нет, то и соблазн воспользоваться данными в собственных интересах увеличивается многократно.
Немного статистики
Чтобы оценить масштаб проблемы: только в Москве 795 гостиниц (включая мини-отели и хостелы) с номерным фондом на 50 500 мест. По статистике, в среднем гостиницы загружены на 60-70%. Даже если брать по минимуму, то ежедневно в организациях сферы гостеприимства «оседает» около 20 200 скан-копий паспортов, которые никто не охраняет. И это только в столице РФ.
Или данные Ростуризма: в 2015 году по РФ путешествовало 50 млн россиян. Даже если поделить эту цифру пополам, количество незащищенных персональных данных остается слишком велико, чтобы не обращать на проблему внимания.
Кроме гостиниц, паспорта сканируют в фитнес- и бизнес-центрах, на проходных режимных объектов и даже в развлекательных учреждениях (вот пример с Ледовой ареной).
Среди всех клиентов SearchInform доля компаний из сферы гостеприимства составляет лишь 0,5%, т. е. более чем из 1600 клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. И это не наше упущение как бизнеса. Для сравнения: у других вендоров доля клиентов из сферы гостеприимства также невелика: от 1 до 3%.
Угроза на практике
Наши клиенты поделились реальными историями мошенничества и халатности со сканами паспортов в гостиницах.
Перед одним из клиентов SearchInform стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с политиками, позволяющими выявить мошенников, в DLP-системе (Data Leak Prevention, система предотвращения утечек информации. — Forbes), были настроены политики по отслеживанию движения сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен продавала их на специализированных сайтах. С сотрудницей расстались, но разбирательство по этому инциденту еще продолжается.
Наиболее распространенный вид мошенничества со скан-копиями паспортов – это передача их заинтересованным лицам. Сканы используются для мошенничества с кредитами, подтверждения личности на различных сайтах, для целенаправленного шантажа конкретного человека. У одного из наших клиентов сложилась такая ситуация: сканы паспортов хранились в общей сетевой папке, один из менеджеров по продажам воспользовался случаем и скинул данные на флешку. Слив информации на внешний носитель зафиксировала DLP-система, и сотрудник признался, что договорился передать скан-копии сообщнику за вознаграждение. Мошенник скупал копии паспортов для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.
И еще одна типичная история. Наш аналитический центр обнаружил пару лет назад, что в гостинице сканы паспортов постояльцев находились в открытом доступе (не будем раскрывать название отеля — он оперативно исправил ситуацию). При подключении к бесплатному вайфаю в сети появлялись несколько компьютеров, в том числе и ПК ресепшена. Аналитик SearchInform свободно скачал скан-копии постояльцев и обратился с этими данными к руководству гостиницы. Оказалось, что в организации нет даже постоянного системного администратора, который бы смог оперативно устранить проблему.
Подобный случай был зафиксирован и в тбилисской гостинице «Вере Палас».
Как защитить свои данные?
Я работаю в сфере информационной безопасности и прекрасно понимаю, чем грозят многочисленные копии моего паспорта в руках злоумышленника: от проблем с кредитами и фирмами-однодневками, до целенаправленных атак социальных инженеров.
Проблема сохранности персональных данных, увы, даже не приближается к решению. Гостиницы лишь «на бумаге» выполняют ФЗ-152, в то время как защитных решений у большинства организаций нет.
В частных случаях защититься можно довольно просто: имейте с собой заранее подготовленную копию паспорта с надписью (не в ущерб читаемости документа), для какого учреждения сделана эта копия. Или настаивайте на том, чтобы служащие не копировали паспорт, а вбивали данные в систему вручную.
Глобально исправить ситуацию с сохранностью персональных данных могут инициативы регуляторов: если от учреждений сферы гостеприимства на государственном уровне будут требовать защиты персональных данных, будут проводиться проверки и налагаться существенные штрафные санкции, то большая часть проблем будет решена.
Качественная DLP-система на компьютерах, хранящих и обрабатывающих персональные данные, позволит как заблокировать отправку критически важной информации, так и оповестить о попытке слива руководство или сотрудника отдела информационной безопасности.
Источник: forbes.ru