Хакерська атака на німецьких політиків і митців залишила в цьому середовищі нове відчуття непевності. Наразі не відомо, звідки саме з’явилася велика кількість особистих даних, яку злочинець злив у мережу.
Але є й певність: у даркнеті, темній частині інтернету, у вільному доступі є цілі особисті профілі аж до номерів кредитних карток. Готельна індустрія — особливо багате джерело даних для чорного ринку. Свіжа хакерська атака на американський готельний концерн Marriott — лише тимчасова кульмінація цілої низки таких інцидентів, які викликають підозру: ніде так багато персональних даних не захищено так погано, як у готельній і ресторанній індустрії.
Те, що концерн Marriott оприлюднив 30 листопада торік, імовірно, увійде в історію як наймасштабніша крадіжка даних. Найбільша у світі група готелів визнала, що з комп’ютерної системи її доньки Starwood за кілька років поцупили особисту та фінансову інформацію близько 383 млн клієнтів.
Кожен, хто останні кілька років жив у готелях Starwood, — St. Regis, Sheraton, Westin або Le Meridien, — мусить звикнути до думки, що злодії тепер мають достатньо даних для конструювання повних цифрових id і можуть зловживати ними з даркнету. Номер кредитної картки, дата закінчення терміну її дії, дата народження, номери телефонів і паспортів, дані резервації — тепер невідомі знають усе.
Читайте також: Хакери опублікували персональні дані німецьких політиків
Згідно з уточненими даними Marriott зловмисники отримали 5,25 млн незашифрованих номерів паспортів гостей готелів, а також ще 20,3 млн зашифрованих номерів паспортів. Викрали також зашифровані дані 8,6 млн платіжних карток. Доказів того, що злочинці отримали дані, потрібні для розшифрування інформації, Marriott не має.
«Незадовільно, як континентальний сніданок»
Помилково вважати цю справу винятком: Hilton і Hyatt, Interconti і Radisson — повідомлення про масовані хакерські атаки й великі витоки інформації за останні 24 місяці надходили від багатьох великих мереж готелів. І для цього є причина.
«Те, що сталося в Marriott, не випадковість, — каже підприємець і готельний експерт із Берліна Макс Вальдманн. — Немає жодної іншої сфери, де курсувало б стільки незахищених даних клієнтів, як у готелі». Слабким місцем він вважає Property Management System (PMS) — центральне програмне забезпечення управління готелем. Проблема: непроглядна кількість різних PMS в окремих готелях, які з фінансових міркувань часто не оновлюються та професійно не обслуговуються.
«Ми бачили десятки готелів, де ім’я для входу досі було «адмін» і пароль також «адмін», — каже Вальдманн. — Ми їх називаємо «готелі адмін-адмін». Так недбало до захисту даних не ставляться в жодній іншій сфері, вважає він: брак найпростішої надійності паролів симптоматичний для всієї готельної галузі.
Читайте також: Андреас Геґґман: «Людину можна розглядати як першу лінію оборони»
І це не перебільшення. За даними найсвіжішого звіту Data Breach Investigations Report концерну інформаційних технологій Verizon, крадіжка даних на рівні 87% у точці перетину з клієнтом ніде не є такою високою, як у готельному бізнесі. Дослівно: «Крадіжка даних у точці продажу тут така повсюдна й незадовільна, як континентальний сніданок».
За атакою може стояти китайська спецслужба
Багатомісячна дискусія щодо введення Загального регламенту про захист даних у Німеччині привела багатьох споживачів до припущення, що тепер їхні дані мають бути цілком захищені. Але що стосується готельної індустрії, ця віра, можливо, далека від реальності. Адже щільність даних на особу там вища, ніж у будь-якій іншій онлайн-сфері. За оцінкою експерта Вальдманна, готель на 100 кімнат щороку зберігає 25 тис. записів про гостей.
Так, готелі також знають про особисті вподобання своїх відвідувачів. «Відомо, наприклад, чи є в клієнта діти, із ким він реєструвався: зі своєю дружиною або сторонньою особою, що він споживає, — підтвердив для Die Welt незалежний експерт із туризму. — Якщо якийсь мусульманський шейх вип’є горілку з міні-бару, це зберігається на сервері готелю». А тому можливості крадіжки й зловживання даними величезні. «Ймовірно, готельна індустрія знає про своїх клієнтів навіть більше за Amazon чи будь-якого іншого великого інтернет-торговця», — вважає Вальдманн. Досі галузь у багатьох випадках виходила сухою з води, каже засновник стартапу Conichi, що спеціалізується на готельному менеджменті: «Скандал із Mariott — сигнал тривоги для всієї галузі».
Чи слугуватиме крадіжка даних із Marriott Starwood кримінальним діям і чи потягне за собою реальні збитки, ще не відомо. Згідно з непідтвердженими даними з американської преси за хакерськими атаками може стояти китайська спецслужба. Якщо це правда, особисті ризики, ймовірно, будуть низькими, натомість зросте небезпека політично вмотивованого шантажу.
Читайте також: Європейські дипломати поповнили список жертв кібератак
Невеликі готелі — ще більший фактор ризику
У будь-якому разі втрати готельної групи Mariott, за першими оцінками, можуть бути мільярдними. Уже через кілька годин після оприлюднення інформації про витік даних почали надходити позови про відшкодування збитків від великих американських адвокатських бюро, які закидали підприємству грубу недбалість і «зловживання довірою» у небачених досі масштабах.
Врешті, клієнтам, яких це торкнулося, тепер доведеться жити в страху й непевності, блокувати кредитні картки й таке інше. Якщо справи дійдуть до судів, Mariott загрожуватиме величезна лавина вимог. Якщо таке станеться в Німеччині, гості готелів, покликаючись на новий Загальний регламент про захист особистих даних, зможуть висунути претензії щодо «нематеріальних збитків».
Деталі скандалу з Mariott залишають мало довіри до архітектури безпеки, адже хакери влізли в готельну мережу ще 2014-го й чотири роки могли безперешкодно порпатися в серверах. Витік інформації виявили аж у вересні 2018-го, а клієнтів повідомили 30 листопада. «Якщо таке може статися в найбільшій готельній мережі світу, — каже Вальдманн, — то в багатьох менших готелях справи ще гірші».
Спілка готелів Німеччини (IHA) наголошує, що повідомлення про великі хакерські атаки надходять і з інших галузей. Ще до ухвалення Загального регламенту про захист особистих даних готельна індустрія спільно з Федеральним міністерством економіки по всій країні проводила навчання щодо захисту інформації.
Хибні рахунки за ділові поїздки
«Інше питання, чи завжди всі все виконують», — каже виконавчий директор IHA Маркус Люте. «Як галузь, ми, звичайно, очевидна ласа мішень для хакерів і намагаємося якомога краще протидіяти цьому». Але іноді можливості обмежені, каже він: «Якщо це правда, що за атакою на Marriott стоїть китайська спецслужба, я не знаю, які заходи безпеки взагалі могли б гарантувати захист».
Читайте також: Ян Ліпавський: «Кібербезпека стане першочерговою темою майбутньої співпраці між Україною та ЄС»
Однак стан комп’ютеризації в готельній індустрії критично оцінюють не лише через часто успішні хакерські атаки. Організатори та платформи бронювання у сфері ділових поїздок давно критикують часто невідповідні рахунки готелів. Так, у багатьох випадках у рахунках виставляють не раніше узгоджені між компанією та готельною мережею тарифи, а вищі ціни.
Торішнє дослідження порталу бронювання HRS показало, що в середньому 20% узгоджених бізнес-тарифів нараховуються неправильно, переважно не на користь клієнтів. Дослідження, проведене Global Business Travel Association (GBTA) від 2017 року, підтверджує, що за ночівлі в готелях компанії сплачують в середньому на 14% більше, ніж у попередніх домовленостях. «На спроби прояснити ситуацію в готелях відповідають, що, на жаль, виникла технічна проблема або що це сталося випадково», — цитує журнал Check-in Інґе Пірнер, менеджерка подорожей у постачальника IT-послуг Datev. Вона зазначає: «Галузь мріє про комп’ютеризацію та штучний інтелект, у реальності ж не вдається навіть безпомилково передати інформацію про домовлені ціни з готелю до компанії».
Наступ Smarthotel
Якщо замість узгоджених €100 за ніч в номері бізнес-клієнту пізніше виставляють рахунок, наприклад, на €107, це майже непомітно. Але великим концернам, які часто витрачають понад €200 млн на рік на ночівлі в готелях своїх працівників, така ситуація завдає значних збитків. «Через серйозні помилки в системах бронювання галузь втрачає потенціал економії в понад півмільярда євро», — каже голова HRS Тобіас Раґґе.
У відповідь на помилкові рахунки тепер HRS пропонує своїм корпоративним клієнтам запатентований програмний інструмент HRS Rate Filter, який негайно виявляє суперечності між узгодженими цінами та кінцевим рахунком.
Засновник Conichi Вальдманн іде на крок далі. Він пропонує процедуру з назвою Smarthotel, яка вбиває двох зайців водночас: вона забирає в готелів ризик втрати даних, який може загрожувати навіть їхньому існуванню, і заразом збирає для корпоративних клієнтів мільйони, які вони досі через хибні обрахунки практично залишали на рецепції. Smarthotel повністю перебирає на себе чутливий для готелів процес оплати та забезпечує, згідно з власною рекламою, найвищий стандарт захисту даних.
Для гостей також є переваги ночівлі в готелях зі списку Smarthotel. Так, їм не доведеться вранці стояти в черзі на чек-аут, щоби, наприклад, заплатити за додаткову колу з міні-бару: всю процедуру виписки вони проходять попереднього вечора за допомогою зручного онлайн-формуляра.
Читайте також: Майкл Стріт: «НАТО шукає можливість покращити взаємодію між силами з різних країн»
Із кінця 2016-го вже 800 готелів у Німеччині працюють із сервісом Smarthotel. Видається, що готових передати в інші руки процес оплати стає щоразу більше, якщо цим вони позбудуться ризику, пов’язаного із захистом даних. Вальдманн планує, що до кінця наступного року угоду матимуть понад 2000 готелів. Світ бізнес-подорожей зацікавлений у системі Smarthotel: так, портал бронювань HRS вже має фінансову частку в Conichi. Клієнтами надавача послуг уже стали 10 концернів із біржового індексу DAX, серед них Deutsche Telekom і Siemens.
Контекст: міністерка юстиції вимагає кращого шифрування даних
Федеральна міністерка юстиції Катаріна Барлі (СДПН) вимагає, з огляду на численні крадіжки даних, кращого їх шифрування в інтернеті. Так, постачальникам доведеться зробити стандартом двофакторну ідентифікацію, заявила Барлі у понеділок в кулуарах щорічного засідання союзу державних службовців у Кельні. Тут ідеться про ідентифікацію користувача не лише паролем, а й додатковою ознакою. Міністерка додала: «Ми повинні досягти того, щоб люди самі відповідальніше ставилися до своїх даних». Важливим кроком став Регламент про захист даних. Але цього недостатньо. Як пароль, часто використовують лише «один, два, три» або «привіт».
Після онлайн-атаки на політиків і знаменитостей влада допитала перших свідків. У Гайльбронні, як підтвердив прес-секретар Генеральної прокуратури Франкфурта, було проведено обшук квартири свідка, триває таємна фаза розслідування. Цього вівторка ситуацію має прокоментувати федеральний міністр внутрішніх справ Горст Зеєгофер (ХДС). Він хоче заслухати президентів Федерального відомства з питань безпеки в галузі інформаційних технологій (BSI) та Федерального відомства кримінальної поліції (Bundeskriminalamts, BKA) — Арне Шенбома та Гольґера Мюнха.
Читайте також: Крістін Дюґуен: «Повністю відокремити пропаганду від журналістики ніколи не буде легко»
За даними ВКА, поодинокі повідомлення про компрометуючі зловживання даними надходили до поліції ще 2018 року, і це є у відповідних списках. Від онлайн-атаки постраждало близько тисячі політиків і знаменитостей. Згідно з інформацією ВКА, осіб, яких зачепило оприлюднення даних, уже почали інформувати. Федеральне міністерство внутрішніх справ анонсувало покращення захисту від таких атак.
На думку Chaos Computer Club (CCC), невідомий зловмисник залишив про себе дуже багато інформації. Речник Лінус Нойман сказав, що діяли дуже необережно: «Із потерпілими велися розмови, розкривалися деталі операції. Серед отриманого масиву даних було багато інформації, зокрема час доступу, специфічні орфографічні помилки, власні переконання нападника».