20.10.2016 - «Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных клиентов

Проблема сохранности персональных данных в российских отелях даже не приближается к решению. Для клиентов это чревато как проблемами с кредитами и фирмами-однодневками, так и целенаправленными атаками социальных инженеров

Сколько бы эксперты сферы ИБ не рассказывали страшилок, связанных с кражей персональных данных или халатным с ними обращением, подавляющее большинство граждан не задумывается даже об элементарных правилах информационной безопасности. Мы без тени сомнения предоставляем личные данные турагентству (зачем интересоваться тем, как и где будут храниться копии паспорта, анкеты и справки о доходах? Кому будут пересылаться эти документы?), спокойно относимся к копированию собственного паспорта при заселении в гостиницу и даже требование фитнес-центра о скан-копии документа, удостоверяющего личность, не настораживает нас.

Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему миру.

При этом, если, отдавая для копирования паспорт в банке, я могу быть относительно спокоен – в кредитной организации наверняка есть защитные решения и целая служба безопасности – то в гостинице я предполагаю, в лучшем случае, наличие системного администратора. В большинстве компаний сферы услуг нет даже регламентов, предписывающих сотрудникам обеспечивать конфиденциальность клиентских данных. А когда ответственности нет, то и соблазн, воспользоваться данными в собственных интересах, увеличивается многократно.

Немного статистики

Чтобы оценить масштаб проблемы: только в Москве 795 гостиниц (включая мини-отели и хостелы) с номерным фондом на 50 500 мест. По статистике, в среднем гостиницы загружены на 60-70%. Даже если брать по минимуму, то ежедневно в организациях сферы гостеприимства «оседают» около 20 200 скан-копий паспортов, которые никто не охраняет. И это только в столице РФ. Или данные Ростуризма: в 2015 году по РФ путешествовало 50 млн россиян. Даже есть поделить эту цифру пополам, количество незащищенных персональных данных остается слишком велико, чтобы не обращать на проблему внимания.

Кроме гостиниц, паспорта сканируют в фитнес- и бизнес-центрах, на «проходных» режимных объектов и даже в развлекательных учреждениях (вот пример с Ледовой ареной).

Среди всех клиентов SearchInform доля компаний из сферы гостеприимства составляет лишь 0,5%, т.е. из более 1600 клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. И это не наше упущение как бизнеса. Для сравнения, у других вендоров доля клиентов из сферы гостеприимства также невелика: от 1 до 3%.

Угроза на практике

Наши клиенты поделились реальными историями мошенничества и халатности со сканами паспортов в гостиницах.

Перед одним из клиентов SearchInform стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с политиками, позволяющими выявить мошенников, в DLP-системе (Data Leak Prevention, система предотвращения утечек информации — Forbes) были настроены политики по отслеживанию движения сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен продавала их на специализированных сайтах. С сотрудницей расстались, но разбирательство по этому инциденту еще продолжается.

Постоянный адрес материала - «Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных клиентов