Киберустойчивость — это часть сервиса гостиничного бизнеса

Киберустойчивость — это часть сервиса гостиничного бизнеса

Изображение: recraft

Гостиничный бизнес в Узбекистане растет и цифровизуется: система управления отелем, кассы, онлайн-каналы продаж, мобильные ключи, «умные» устройства в номерах, активные соцсети. Вместе с этим растут и риски.

О том, как выстроить защиту без потери скорости и удобства для гостей, мы поговорили с Илхомом Бегматовым, региональным представителем группы компаний Softline в Узбекистане.

— Туристический поток растет, вместе с ним — цифровая инфраструктура отелей. Как это меняет повестку безопасности?

— Раньше безопасность считалась «тормозом». Сегодня это часть сервиса. У отеля десятки цифровых точек: система управления, кассы, интеграции с площадками бронирований, гостевой Wi-Fi, мобильные ключи, камеры, датчики, медиа-панели, соцсети как канал продаж. Любой сбой — это уже не просто техническая проблема, а простой заселения, отмены броней и удар по репутации. Запрос владельцев меняется: «Сделайте так, чтобы всё предсказуемо работало при росте нагрузки и запуске новых сервисов».

— Какие атаки чаще всего бьют по отелям в регионе?

— Первое — обман сотрудников: правдоподобные письма и звонки «от банка или площадки бронирования», из-за которых сотрудник невольно раскрывает доступ. Второе — вымогатели: хватает пары «дыр» в удалённых доступах или забытых серверах, и через час у вас зашифрована критичная система. Третье — слабые места интеграций и «умных» устройств: канал-менеджеры, платёжные шлюзы, цифровые замки, ТВ-приставки со стандартными паролями. Четвёртое — взлом корпоративных соцсетей с фейковыми «акциями» и выманиванием денег у подписчиков.

— Звучит как «всё и сразу». С чего начать, чтобы не утонуть в проектах?

— С архитектуры. Сначала — инвентаризация систем и «карта» интеграций. Затем — единая «система чувств»: наблюдаем за компьютерами, серверами и сетью в одном окне, связываем события между собой и запускаем автоматическую реакцию. Параллельно переводим удаленный доступ на принцип «доступ не во всю сеть, а к конкретным приложениям», с подтверждением входа вторым фактором и проверкой состояния устройства. И третий шаг — развести трафик по «аквариумам»: гости, персонал, платежи и «умные» устройства — отдельно, с жесткими правилами обмена. Эти три шага дают до 80% эффекта уже в первый квартал.

— Что именно даёт единая «система чувств»?

— Она резко сокращает «время до понимания». Видно не отдельные логи, а цепочки: фишинговое письмо → вход не из той страны → ночная выгрузка данных. Важно, что реакция автоматизирована: если рабочая станция ресепшн начала вести себя подозрительно, её изолирует система, сбрасываются ключи доступа, ответственные получают уведомление. Речь идёт о минутах и часах, а не о сутках простоя.

— Принцип «нулевого доверия» звучит «по-корпоративному». Как он работает в реальном отеле?

— Очень приземленно. Агентству, которое ведёт ваши соцсети, не нужен доступ к вашей базе гостей; подрядчику по замкам не нужна бухгалтерия. Мы не «впускаем в сеть», мы «открываем дверь» ровно в нужное приложение и ровно на срок задачи. Вход — только с дополнительным подтверждением, и только с исправных устройств (с актуальными обновлениями и базовой защитой). Любая попытка расширить права или «перепрыгнуть» в другой сегмент блокируется. Дисциплина окупается тем, что локальная проблема не превращается в кризис всей сети.

— Сегментация звучит как большой строй. Малому отелю это по силам?

— Да, если делать поэтапно. Минимум: выделить платежи в отдельный «аквариум» с жесткими правилами, включить изоляцию «гость-гость» в Wi-Fi, перевести сеть персонала на корпоративный вход, собрать «умные» устройства в отдельный сегмент с «белыми списками» направлений. Эти шаги сильно поднимают стоимость атаки для злоумышленника и уменьшают возможный ущерб.

— Самая «больная» часть — «умные» устройства и цифровые ключи. Как сделать удобно и безопасно?

— Централизовать управление. Нужна единая платформа как «хозяйка» всего парка: инвентаризация, плановые обновления, запрет заводских паролей, проверка целостности, журналы событий. Замкам не нужен открытый интернет — только защищённый канал к платформе. Секреты не лежат «в открытую» в приложениях. Каждое открытие двери — событие с временем и номером, пригодное для расследований. При этом удобства — мобильный ключ, биометрия для фитнес-зала — остаются, но с согласием гостя и корректным хранением данных.

— Соцсети для отелей — ещё и канал продаж. Как их защитить организационно?

— Как и другие системы. Вход — через корпоративный аккаунт с подтверждением, «общих» паролей не должно быть. Роли разделены: кто пишет, кто публикует, кто одобряет. Для чувствительных постов — правило «четырех глаз». Доступы и ключи хранятся в защищенном месте, а смена телефонов/почты привязки — оформляется как инцидент безопасности. Плюс резервные каналы связи: страница-статус на сайте, рассылка, мессенджеры — чтобы голос бренда не пропадал.

— Как объяснить собственнику окупаемость всех этих мер?

— Через риск и предсказуемость. Когда есть видимость, сегментация и точечный доступ «по приложениям», единичный инцидент перестаёт быть бизнес-кризисом. Вы сокращаете простои, избегаете «цепных» заражений, быстрее проходите проверки партнеров и платёжных систем, легче страхуете риски. Это прямо влияет на повторные бронирования и доверие к бренду: гостю важно, чтобы «всё просто работает» и отель не мелькает в скандалах с данными.

— Горизонт 90 дней: что реально успеть сети из одного–трёх отелей?

— Недели 1–2. Сделать карту систем и интеграций: что есть, кто отвечает, где «золотые пути» данных. Выявить «слепые зоны». — Недели 3–6. Включить «систему чувств» на ключевых узлах и собрать журналы событий в одно место. Запустить первые автоматические сценарии: изоляция зараженного компьютера, принудительная смена ключей доступа, блокировка подозрительных обращений. Перестроить удаленный доступ на модель «только к нужным приложениям» и включить подтверждение входа вторым фактором. — Недели 7–12. Развести по «аквариумам» гостевой интернет, персонал, платежи и «умные» устройства; навести порядок в устройствах (обновления, запрет стандартных паролей, журналы). Для соцсетей — корпоративный вход с подтверждением, правило «четырех глаз», резервные каналы связи.

— Какую роль вы отводите искусственному интеллекту — атакующим и защитникам?

— Огромную у обеих сторон. Он удешевил и ускорил обманные письма и поиск «дыр». Ответ тоже должен быть умным: поведение систем анализируем, события связываем, приоритезируем по риску, а реакцию автоматизируем. Но ключ — в дисциплине: без сегментации и ролей никакой интеллект не спасет; с правильной архитектурой он просто ускоряет работу команды.

— Где брать людей, если рынок испытывает дефицит специалистов по безопасности?

— Комбинировать. «Гигиену» учим внутри — короткие модули, частая переаттестация сезонного персонала, материалы на двух языках. Сложные функции — отдать как услугу: мониторинг событий, реагирование, тесты на фишинг, поиск уязвимостей. Это дешевле и быстрее, чем строить всё с нуля для сети до 3–5 отелей. Критерии качества простые: насколько быстро нашли и локализовали проблему и насколько понятна отчётность.

— Пример, когда архитектурный подход «вытащил» ситуацию?

— Без названий. Сеть отелей столкнулась с массовым фишингом и несколькими зашифрованными рабочими местами. Раньше это означало бы остановку ресепшн и ручное заселение. Но у них уже работали автоматические сценарии и сегментация. Станции изолировались, ключи сбрасывались, из базы выгрузки не было, гостевой Wi-Fi не дал «переехать» в кассы. На восстановление ушло меньше рабочего дня, бронирования не пострадали, публично — ноль шума. Это и есть киберустойчивость как часть сервиса.

— Что посоветуете собственнику, который хочет начать «с понедельника», но не любит «долгие проекты»?

— Три шага.

  1. Назначьте владельцев цифровых систем и интеграций и за неделю соберите карту: что есть, кто отвечает, где лежат доступы.
  2. Включите подтверждение входа вторым фактором для всех удаленных и привилегированных пользователей; перестройте удаленку на доступ «по приложениям».
  3. Разведите по сегментам платежи, персонал, гостей и «умные» устройства с минимальными «белыми» правилами между ними. Уже эти шаги заметно снижают риск.

— Если смотреть на горизонт два–три года, где будет главный рост?

— В управлении результатом, а не «покупке коробок». Отели будут покупать предсказуемость: как быстро обнаруживаем и восстанавливаемся, насколько надёжны «золотые пути» интеграций, насколько качественные журналы для аудита, как готовы к кризисным коммуникациям. Технологии уже есть — важно встроить их в ежедневную операционку и держать дисциплину.

Softline
Автор: Softline
Группа компаний Softline (ПАО «Софтлайн») — инвестиционно-технологический холдинг, лидирующий в ряде сегментов рынка технологий, c более чем 30-летним опытом и широким региональным присутствием в России, Казахстане, Узбекистане, Вьетнаме, Индонезии и ОАЭ.
Комментарии: