04 Марта 2022

Как отелю защититься от хакеров

Как отелю защититься от хакеров
Кибербезопасность — это защита компьютеров, мобильных устройств, систем, программ и данных от атак злоумышленников. Знания в этой сфере важны не только для IT-специалистов — с хакерскими атаками может столкнуться практически любой бизнес.

Читайте в статье, как защититься от хакерских атак и сохранить данные гостей. Статью подготовили вместе с Анастасией Шкуро, популяризатором идей кибербезопасности в СМИ.

Алексей Герасимов
Технический директор TravelLine

Распространенные виды кибератак

Отели работают с персональными данными гостей: Ф. И. О., данные паспорта, сведения о предпочтениях в отношении брони гостиничных номеров, заказа еды и так далее. Эти сведения хранятся и распространяются в цифровом виде: через компьютеры, программное обеспечение, терминалы, принтеры, маршрутизаторы, свитчи, сетевые кабели и прочие устройства. Все эти системы могут оказаться уязвимы, подвергнуться атаке хакеров.
Рассмотрим распространенные виды кибератак.
Атака DarkHotel.
Хакеры атакуют сети Wi-Fi, часто через троянский вирус Tapaoux. Вирус маскируется под ПО типа Google Toolbar, Adobe Flash, Windows Messenger, заражает сервер отеля и может украсть конфиденциальную информацию. В рамках DarkHotel используется наплыв ботов для блокирования трафика на сайте, DDoS-атаки, установка программ-вымогателей на компьютерах.
DDoS-атака.
Это вирусная попытка помешать поступлению органического трафика на сайт, сервис или сеть. Конкретно для отелей эта атака может привести к падению сайта.

Чтобы предотвратить DDoS-атаку, нужно понимать, что представляет из себя типичный входящий трафик. Чем больше информации у вас есть об этом, тем легче заметить, когда профиль поменяется. Большинство DDoS-атак начинаются как резкие всплески трафика, и если вы не проводите распродажу в связи с Черной Пятницей, то нужно сразу обратиться к техническому специалисту.

Защитите периметр сети. Установите лимит скорости на роутере, чтобы предотвратить чрезмерный наплыв трафика на веб-сервер. Добавьте фильтры, чтобы настроить роутер на сброс пакетов от очевидных источников DDoS. Делайте перерыв в полуоткрытых соединениях. Установите более низкие пороги снижения SYN, ICMP, UDP-флуда.

Если сайт все-таки взломали, постарайтесь восстановить его из резервной копии и сменить доступы. Чтобы убедиться, что падение сайта вызвано не неверной настройкой плагинов или тем, а хакерской атакой, лучше обратиться к специалисту. Лучше всего заранее подумать о безопасности сайта. Выбирайте надежных хостинг-провайдеров, делайте резервные копии (бэкапы).
Атака POS-терминалов.
Атака нацелена на платежные карты. Хакер в удаленном режиме может перепрограммировать терминал и настроить таким образом, чтобы перечисленные деньги шли на счет мошенника. Терминалы остаются уязвимыми из-за недостаточно хороших паролей, непродуманной системы удаленного доступа, устаревшего программного обеспечения, возможности заразить систему вирусом и неверных настроек.

Чтобы не допустить атаку на POS-терминалы важно:

 — соблюдать стандарт безопасности данных индустрии платежных карт PCI DSS для всех кард-ридеров, сетей, роутеров и серверов;

 — обучать персонал основам информационной безопасности;

 — заказывать услуги у безопасных интернет-провайдеров;

 — использовать сквозное шифрование для всех POS-систем;

 — установить антивирусы на POS.

Меры предосторожности: что нужно знать сотрудникам отелей

1
Используйте VPN-подключение.
Чтобы обезопасить Wi-Fi-сеть можно использовать VPN-соединение. VPN — это безопасное зашифрованное подключение к сети. Зашифрованный туннель между гаджетом и Интернетом защищает сетевой трафик и позволяет скрыть персональные данные при выходе онлайн. Поэтому даже если хакер подключится к сети, то не сможет определить личность пользователя и украсть его данные.

Во время путешествий старайтесь минимизировать количество обновлений программного обеспечения, которые устанавливаете на корпоративную технику. Так вы избежите рисков заражения Wi-Fi-сетей.
2
Устанавливайте антивирусы.
Установите на компьютеры и смартфоны антивирусные программы и блокировщики рекламы, проверяйте USB-флеш-накопители, чтобы убедиться, что они не инфицированы. Современные антивирусные программы помогают не только удалять вирусы, но и обеспечить защиту файерволла или сети, зашифровать веб-активность и облачное хранилище, а также предотвратить кражу аккаунта.
3
Настраивайте безопасный доступ.
Применяйте разные настройки доступа для сотрудников: настраивайте, кто может просматривать, редактировать и пересылать информацию.

Настройте многофакторную аутентификацию для пользователей, которые имеют доступ к персональным данным. Это касается не только доступа к ПО, но и к аккаунтам к соцсетям.
4
Подумайте о защите сайта.
При выборе хостинг-провайдеров отдавайте предпочтение тем, которые имеют SSL-сертификаты. Это добавит дополнительный слой защиты на ваш сайт. Регулярно обновляйте CMS вашего сайта. Устанавливайте защитное ПО только от проверенных провайдеров. Также необходимо хранить доступы к сайтам в безопасном месте, передавать через зашифрованные записки типа Privnote, сообщать реквизиты лишь тем, кому действительно нужно работать с клиентскими базами данных. Не пересылайте доступы в письмах или мессенджерах.

Важно регистрировать домен не на сотрудника отеля, а на юридическое лицо. Работник может уволиться, и когда понадобится продлить регистрацию домена, есть риск остаться без доступа. Поэтому при регистрации необходимо указывать тот контактный номер и электронную почту, которые принадлежат компании, а значит, доступ к ним будет всегда.
5
Устанавливайте лицензионное ПО
Регулярно мониторьте деятельность разработчика. В большинстве случаев обновления загружаются автоматически. Если у разработчика такой возможности нет, скачивайте патчи самостоятельно.

Патчи — это автоматизированное программное обеспечение, которое вносит изменения в файлы на компьютере. Разработчики создают патчи, чтобы исправить проблемные зоны в программах и приложениях.
6
Защищайте данные на компьютере.
Создавайте резервные копии всех документов, файлов и папок, находящихся на рабочем компьютере.

Стремитесь верифицировать исполняемые файлы. Так называют компьютерный файл, содержащий зашифрованные инструкции, которые система приводит в исполнение, когда пользователь кликает на иконку.
7
Обучайте сотрудников.
Проводите тренинги среди сотрудников, объясняйте, что сотрудники должны проявлять повышенное внимание, кликая на ссылки и рекламу, мотивируйте сотрудников использовать приватные мессенджеры.
8
Выбирайте защищенные каналы связи.
Для переписки с коллегами по работе используйте приватные мессенджеры. Например, Messages (для iOS, watchOS, iPad), Wickr и Signal (для Android, iOS, Linux, MacOS, Windows).

Когда вам приходят сообщения от партнеров с предложением перейти по ссылке, перепроверьте, с официального ли электронного ящика пришло письмо. Если есть сомнения, свяжитесь с человеком и уточните, что это за ссылка.

Со своей стороны мы в TravelLine используем современные средства защиты информации, защищенные протоколы, шифрование баз данных, дублирование всех систем от электропитания до серверов приложений, тройное хранение любых данных, применяем политики ограниченного доступа к обслуживанию приложений, используем средства защиты от DDOS и антивирусное программное обеспечение, проводим регулярные бэкапы, используем принципы безопасного программирования при разработке.
Всю важную и полезную информацию мы выкладываем в своем Телеграм-канале. Подписывайтесь, чтобы быть на связи.

Как отелю защититься от хакеров

Как отелю защититься от хакеров
Кибербезопасность — это защита компьютеров, мобильных устройств, систем, программ и данных от атак злоумышленников. Знания в этой сфере важны не только для IT-специалистов — с хакерскими атаками может столкнуться практически любой бизнес.

Читайте в статье, как защититься от хакерских атак и сохранить данные гостей. Статью подготовили вместе с Анастасией Шкуро, популяризатором идей кибербезопасности в СМИ.

Алексей Герасимов
Технический директор TravelLine

Распространенные виды кибератак

Отели работают с персональными данными гостей: Ф. И. О., данные паспорта, сведения о предпочтениях в отношении брони гостиничных номеров, заказа еды и так далее. Эти сведения хранятся и распространяются в цифровом виде: через компьютеры, программное обеспечение, терминалы, принтеры, маршрутизаторы, свитчи, сетевые кабели и прочие устройства. Все эти системы могут оказаться уязвимы, подвергнуться атаке хакеров.
Рассмотрим распространенные виды кибератак.
Атака DarkHotel.
Хакеры атакуют сети Wi-Fi, часто через троянский вирус Tapaoux. Вирус маскируется под ПО типа Google Toolbar, Adobe Flash, Windows Messenger, заражает сервер отеля и может украсть конфиденциальную информацию. В рамках DarkHotel используется наплыв ботов для блокирования трафика на сайте, DDoS-атаки, установка программ-вымогателей на компьютерах.
DDoS-атака.
Это вирусная попытка помешать поступлению органического трафика на сайт, сервис или сеть. Конкретно для отелей эта атака может привести к падению сайта.

Чтобы предотвратить DDoS-атаку, нужно понимать, что представляет из себя типичный входящий трафик. Чем больше информации у вас есть об этом, тем легче заметить, когда профиль поменяется. Большинство DDoS-атак начинаются как резкие всплески трафика, и если вы не проводите распродажу в связи с Черной Пятницей, то нужно сразу обратиться к техническому специалисту.

Защитите периметр сети. Установите лимит скорости на роутере, чтобы предотвратить чрезмерный наплыв трафика на веб-сервер. Добавьте фильтры, чтобы настроить роутер на сброс пакетов от очевидных источников DDoS. Делайте перерыв в полуоткрытых соединениях. Установите более низкие пороги снижения SYN, ICMP, UDP-флуда.

Если сайт все-таки взломали, постарайтесь восстановить его из резервной копии и сменить доступы. Чтобы убедиться, что падение сайта вызвано не неверной настройкой плагинов или тем, а хакерской атакой, лучше обратиться к специалисту. Лучше всего заранее подумать о безопасности сайта. Выбирайте надежных хостинг-провайдеров, делайте резервные копии (бэкапы).
Атака POS-терминалов.
Атака нацелена на платежные карты. Хакер в удаленном режиме может перепрограммировать терминал и настроить таким образом, чтобы перечисленные деньги шли на счет мошенника. Терминалы остаются уязвимыми из-за недостаточно хороших паролей, непродуманной системы удаленного доступа, устаревшего программного обеспечения, возможности заразить систему вирусом и неверных настроек.

Чтобы не допустить атаку на POS-терминалы важно:

 — соблюдать стандарт безопасности данных индустрии платежных карт PCI DSS для всех кард-ридеров, сетей, роутеров и серверов;

 — обучать персонал основам информационной безопасности;

 — заказывать услуги у безопасных интернет-провайдеров;

 — использовать сквозное шифрование для всех POS-систем;

 — установить антивирусы на POS.

Меры предосторожности: что нужно знать сотрудникам отелей

1
Используйте VPN-подключение.
Чтобы обезопасить Wi-Fi-сеть можно использовать VPN-соединение. VPN — это безопасное зашифрованное подключение к сети. Зашифрованный туннель между гаджетом и Интернетом защищает сетевой трафик и позволяет скрыть персональные данные при выходе онлайн. Поэтому даже если хакер подключится к сети, то не сможет определить личность пользователя и украсть его данные.

Во время путешествий старайтесь минимизировать количество обновлений программного обеспечения, которые устанавливаете на корпоративную технику. Так вы избежите рисков заражения Wi-Fi-сетей.
2
Устанавливайте антивирусы.
Установите на компьютеры и смартфоны антивирусные программы и блокировщики рекламы, проверяйте USB-флеш-накопители, чтобы убедиться, что они не инфицированы. Современные антивирусные программы помогают не только удалять вирусы, но и обеспечить защиту файерволла или сети, зашифровать веб-активность и облачное хранилище, а также предотвратить кражу аккаунта.
3
Настраивайте безопасный доступ.
Применяйте разные настройки доступа для сотрудников: настраивайте, кто может просматривать, редактировать и пересылать информацию.

Настройте многофакторную аутентификацию для пользователей, которые имеют доступ к персональным данным. Это касается не только доступа к ПО, но и к аккаунтам к соцсетям.
4
Подумайте о защите сайта.
При выборе хостинг-провайдеров отдавайте предпочтение тем, которые имеют SSL-сертификаты. Это добавит дополнительный слой защиты на ваш сайт. Регулярно обновляйте CMS вашего сайта. Устанавливайте защитное ПО только от проверенных провайдеров. Также необходимо хранить доступы к сайтам в безопасном месте, передавать через зашифрованные записки типа Privnote, сообщать реквизиты лишь тем, кому действительно нужно работать с клиентскими базами данных. Не пересылайте доступы в письмах или мессенджерах.

Важно регистрировать домен не на сотрудника отеля, а на юридическое лицо. Работник может уволиться, и когда понадобится продлить регистрацию домена, есть риск остаться без доступа. Поэтому при регистрации необходимо указывать тот контактный номер и электронную почту, которые принадлежат компании, а значит, доступ к ним будет всегда.
5
Устанавливайте лицензионное ПО
Регулярно мониторьте деятельность разработчика. В большинстве случаев обновления загружаются автоматически. Если у разработчика такой возможности нет, скачивайте патчи самостоятельно.

Патчи — это автоматизированное программное обеспечение, которое вносит изменения в файлы на компьютере. Разработчики создают патчи, чтобы исправить проблемные зоны в программах и приложениях.
6
Защищайте данные на компьютере.
Создавайте резервные копии всех документов, файлов и папок, находящихся на рабочем компьютере.

Стремитесь верифицировать исполняемые файлы. Так называют компьютерный файл, содержащий зашифрованные инструкции, которые система приводит в исполнение, когда пользователь кликает на иконку.
7
Обучайте сотрудников.
Проводите тренинги среди сотрудников, объясняйте, что сотрудники должны проявлять повышенное внимание, кликая на ссылки и рекламу, мотивируйте сотрудников использовать приватные мессенджеры.
8
Выбирайте защищенные каналы связи.
Для переписки с коллегами по работе используйте приватные мессенджеры. Например, Messages (для iOS, watchOS, iPad), Wickr и Signal (для Android, iOS, Linux, MacOS, Windows).

Когда вам приходят сообщения от партнеров с предложением перейти по ссылке, перепроверьте, с официального ли электронного ящика пришло письмо. Если есть сомнения, свяжитесь с человеком и уточните, что это за ссылка.

Со своей стороны мы в TravelLine используем современные средства защиты информации, защищенные протоколы, шифрование баз данных, дублирование всех систем от электропитания до серверов приложений, тройное хранение любых данных, применяем политики ограниченного доступа к обслуживанию приложений, используем средства защиты от DDOS и антивирусное программное обеспечение, проводим регулярные бэкапы, используем принципы безопасного программирования при разработке.
Всю важную и полезную информацию мы выкладываем в своем Телеграм-канале. Подписывайтесь, чтобы быть на связи.
Упоминая в этой публикации Meta, Facebook и Instagram, сообщаем, что они признаны экстремистскими организациями
и их деятельность запрещена на территории РФ.

Похожие статьи

Как сохранить бронирования при работе с инструментами TravelLine

В текущей ситуации мы стараемся думать о том, как мы можем помочь отельерам с помощью наших инструме...
| 25 Февраля 2022

Отвечаем на вопросы отельеров о работе с инструментами TL

Как быстро продлить цены и создавать скидки, редактировать брони с сайта и сформировать удобный отче...
| 11 Ноября 2021

Двухфакторная аутентификация: данные гостей хранятся еще безопаснее

Чтобы обезопасить данные, которые хранятся в вашем личном кабинете, мы обновляем процедуру получения...
| 21 Апреля 2020

Как привлекать гостей скидками на официальный сайт

Гости ищут в интернете выгодный вариант размещения и охотнее покупают проживание со скидкой. Отелю в...
, | 17 Ноября 2022

Технологии продаж в гостинице: 5 главных идей с мероприятий

Собрали подборку технологий, которые можно внедрить в работу отеля с инструментами TravelLine. В ста...
, , | 25 Октября 2022

Кейс: как привлечь гостей в отель и сделать их постоянными клиентами

В кейсе рассказали, как «Вега Измайлово» внедрил программу лояльности на сайте и каких результатов д...
, , | 16 Сентября 2022

Подпишитесь на блог TravelLine

Первым читайте статьи об онлайн-продажах, рабочих инструментах отельера и работе с инструментами TravelLine. Будем отправлять свежие статьи от экспертов прямо в день выхода, а вы легко их прочтете на любом устройстве.
Подпишитесь на блог TravelLine
Подпишитесь на рассылку сейчас и получите подборку статей по работе с соцсетями.
Подписка на блог
Подпишитесь на блог и получите подборку статей по работе с соцсетями.