Hackeři mají rádi dobré hotely

Stejně jako jiné oblasti, i hoteliérství je protkáno nulami a jedničkami. Podnikání současnosti je na informačních technologiích závislé. V hotelových informačních systémech se přitom skrývají ohromná rizika, a to proto, jaká data se v nich nacházejí.

Nepočítaje globální ekonomické hrozby, evropské hotelnictví zažívá příznivé období. Tržby za disponibilní pokoj loni rostly dvojciferným číslem a podle předpovědi poradenské společnosti PwC vydrží růstový trend i v letech 2016 a 2017. Velkou část turistů tvoří návštěvníci ze vzdálenějších zemí a se zlepšující se ekonomikou USA by se počet turistů na starém kontinentu měl v budoucnu dále zvyšovat.

Praha, potažmo Česká republika, je přitom v popředí tohoto růstu. Pro letošek jí PwC z pohledu tržeb předpovídá dokonce třetí největší růst, hned za Římem a Dublinem. Střední Evropa je totiž populární. Loni do regionu přijelo o šest procent turistů více, a je tak dynamičtější než Evropa jako celek. V současnosti jí navíc nahrávají teroristické útoky a další dění v západoevropských zemích. Středoevropský region je zkrátka mnohými vnímán jako bezpečnější.

Co možná platí ve skutečném světě, ovšem neplatí v tom virtuálním. Kybernetický zločin hranice neuznává a větší počet návštěvníků pro hoteliéry znamená větší riziko toho, že padnou do oka hackerům. Proč? Protože údaje o hostech, které uchovávají ve svých systémech, mají velkou cenu. Většina českých podnikatelů si to však neuvědomuje, stejně jako si neuvědomuje důsledky, které to může mít pro jejich byznys.

Výnosnější než drogy

Kybernetický zločin v současnosti vynáší víc než obchod s drogami. Odhaduje se, že jen v roce 2015 šlo o 527 miliard dolarů, tedy v přepočtu 12,8 bilionu korun. Nejlukrativnějším artiklem jsou přitom osobní údaje a identity, těsně za nimi pak data o platebních kartách. Všechny tyto údaje hotely používají při ubytování hostů, případně při marketingových kampaních. Údaje v hotelových systémech jsou proto vynikajícím zbožím, které je vzhledem k tomu, že v tomto oboru působí lidé často bez většího technologického povědomí, snáze dostupné než v oborech, které jsou s informačními technologiemi historicky spjaty.

„V Česku se držíme zásady ‚Přátelům to neříkejme, nepřátele už to dávno vědí‘. Kolik hotelových systémů v naší zemi už bylo napadeno, proto nelze jednoduše zjistit,“ uvedl na předprázdninové COTakhle snídani na téma „Kam míří hotelový trh?“ bezpečnostní expert PwC a prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla. Do on-line světa se z toho fyzického vloudila zažitá představa, že Česká republika je příliš malá či bezvýznamná, než aby o ni mohl mít kdokoliv s nekalými úmysly zájem. Podle Špidly jde však o představu zcela mylnou.


Nejlukrativnějším artiklem jsou osobní údaje a identity, těsně za nimi pak data o platebních kartách. Všechny tyto údaje hotely používají při ubytování hostů, případně při marketingových kampaních.

Případů, kdy si hackeři políčili na hotely, existuje celá řada a jsou prakticky na denním pořádku. Své o tom ví i kandidát na prezidenta Spojených států amerických Donald Trump. Jeho síť hotelů byla letos napadena už dvakrát a podle neoficiálních informací se útočníci zmocnili čísel platebních karet všech návštěvníků za poslední rok. Společnosti Hilton kdosi odcizil databázi stovek tisíc údajů o platebních kartách, obsahující čísla karet, data exspirace, bezpečnostní kódy karet a jména klientů. To znamená úplně vše, co je potřeba k výběru peněz, k nakupování přes internet či k praní špinavých peněz.

Zajímavý je i dřívější případ Wyndham Hotels. Řetězec se totiž bránil zodpovědnosti za úniky dat, ale soud nakonec rozhodl, že majitelé společnosti jsou odpovědni za všechny úniky i vzniklé škody. A ty se pohybovaly v milionech dolarů. V České republice přitom existuje zákon o trestní odpovědnosti právnických osob. V okamžiku, kdy bude hotelovým hostům hackery způsobena škoda, může dojít na soudní spory.

Kyberbezpečnost z pohledu zákona

Hotelových systémů se v tuzemsku týká i další legislativa. Především je to zákon o ochraně osobních údajů, kde třináctý paragraf pamatuje i na automatizované zpracování osobních údajů v informačních systémech. Samotný Úřad na ochranu osobních údajů, který na dodržování těchto regulí dohlíží, přitom má poměrně široké možnosti sankcí. Za neuhlídání shromážděných údajů hostů to může být až 10 milionů korun.

Naopak stranou zatím hotely nechává zákon o kybernetické bezpečnosti, který platí od začátku roku 2015. V Bruselu ale v těchto měsících finišuje schvalování Směrnice o informační a síťové bezpečnosti nazývaná též NIS, která působnost legislativy týkající se kybernetické bezpečnosti rozšiřuje, a nemusí tedy trvat dlouho, než provozovatelům ubytovacích zařízení přibude další regulace.

„Osobně se domnívám, že co se týká karet, nese hlavní riziko banka. Velké společnosti mají bezpečnost podchycenou a to poslední, co bychom potřebovali, je další směrnice a další nařízení, například mít na kyberbezpečnost speciálního manažera. Je to určitě důležité téma, ale není to to nejzásadnější, co v současné době řešíme,“ uvedl prezident Asociace hotelů a restaurací ČR Václav Stárek.

Útok ale nemusí směřovat na hotel. Škodlivý program Dark Hotel řádil v hotelích sedm let a útočil prostřednictvím Wi-Fi připojení přímo na klienty. Vybíral si ty movitější. Například manažery, kteří se chtěli z hotelového pokoje propojit se svou bankou nebo firemním informačním systémem. Malware kradl přihlašovací údaje, a ty pak využíval dál jinde. K vybírání účtů, vykrádání know-how a podobně.

Případ Dark Hotel přitom skvěle ukazuje, že finanční postihy či náklady na urovnání škod nejsou to nejhorší, co hotelům v případě zanedbání kybernetické bezpečnosti hrozí. Tím je poškození dobré reputace a následná ztráta konkurenceschopnosti.

„Jeden klient, který tedy nebyl z hotelnictví, se mě ptal, proč by měl investovat do kybernetické bezpečnosti, když to nenese žádný byznys? Jistě, ani hasicí přístroje na chodbách nenesou žádný byznys. V podstatě ani zámky na dveřích nenesou byznys. Když jsem se ho ale zeptal, jestli mu podnikání roste podle představ, odvětil mi, že by mohlo růst i víc. Neviděl přitom souvislost s tím, že se databáze jeho zákazníků dvakrát do roka objevuje na černém trhu,“ vysvětluje Špidla s tím, že podnikateli v takovém případě neutíkají jen zákazníci, ale i know-how.

Hoteliéři bezpečnost dat podceňují

Přesto povědomí o bezpečnostní problematice mezi českými hoteliéry není na takové úrovni, jak by bylo třeba. Podle dodavatelů systémů však nejde o specifikum, podobně jsou na tom i podnikatelé z jiných oborů.

„Klientů, kteří se na bezpečnost explicitně zeptají je určitě menšina, ale naši konzultanti obvykle preventivně vysvětlují například rozdíl mezi zabezpečením dat na počítači v hotelu a v cloudovém systému,“ říká Pavel Kotas ze společnosti Previo, jejíž systémy využívá zhruba tisícovka hotelů. Filip Kühnel ze společnosti HotelTime varuje: „Bohužel většina hoteliérů zaned­bává IT část hotelu a to se samozřejmě týká i hotelových systémů. Není výjimkou, že hotely používají stejný systém přes deset bez aktualizací a mnohdy i na zastaralých serverech a počítačích, takže na dnešní kyberhrozby nejsou připraveny.“ Zároveň ale dodává, že zejména u nastupující generace manažerů je znát posun ve vnímání tohoto problému a ústup od původního dogmatu, že nejlépe jsou chráněna data, která má hoteliér u sebe. Stále více hotelových manažerů podle Kühnela akceptuje kvalitní cloudové služby jako nedílnou součást provozu stejně jako poskytovatele internetu nebo telekomunikačních služeb.

Hrozba číhá uvnitř

Wyndham a další zmiňované hotely udělaly několik zásadních chyb. Nezavedly odpovídající technická a organizační opatření ani neřídily své dodavatele. Odborníci na bezpečnost evidují i případy, kdy se hackeři dostali do instituce ovládnutím malého počítače, který měl na starosti klimatizaci. Nezaútočili přímo na velkou organizaci, u které se dá spíš předpokládat, že bude mít bezpečnost vyřešenou, ale dovnitř se dostali přes firmičku dodávající systémy klimatizace.

Nedávný je i případ bangladéšské národní banky, ze které útočníci chtěli ukrást 900 mi­lionů dolarů. Sice se jim nakonec povedlo vzít jen 81 milionů, ani to se ale nemuselo stát, kdyby pracovníci banky nenakupovali bezpečnostní opatření za pár dolarů v bazarech. Moderní technologie přesto nejsou všespásné. Bezpečnostní experti upozorňují, že ruku v ruce s investicemi do technologií musí jít i investice do povědomí zaměstnanců a do jejich kvality.

„Největší hrozbu překvapivě nepředstavují útočníci zvenčí, ale interní zaměstnanci, kteří svojí neznalostí, leností nebo dokonce úmyslně dokážou diskreditovat milionové investice do technologií. Jedinou ochranou před chtěnými i nechtěnými útoky ze strany zaměstnanců je aplikace striktních zásad kybernetické bezpečnosti v celé firmě, které zahrnují technologické, procesní i personální opatření,“ říká Michal Čábela, odborník na řízení IT rizik v PwC.

Na vlastní kůži to pocítili zákazníci českého mobilního operátora T-Mobile, jehož dnes už bývalý zaměstnanec letos na jaře ukradl osobní údaje 1,5 milionu z nich a snažil se je prodat. Bylo štěstí, že databázi nabídl společnosti, která je obchodním partnerem T-Mobilu a operátora obratem informovala. Pachatel byl i s daty zadržen, ale ani přes policejní vyšetřování dnes nikdo nedokáže s jistotou říci, jestli klientské údaje neobíhají v nějaké další kopii po internetu.

I experti na kybernetickou bezpečnost uznávají rčení, že útočníci jsou vždy o krok napřed. Přesto to neznamená, že by obránci museli nutně prohrát. Zásadním krokem k úspěchu však je, aby si správci systémů uvědomili důležitost a cenu údajů a podle toho se chovali. Není totiž třeba ochránit všechno, vlastně to ani není možné. Důležité je stanovit priority a třeba i rozdělit oprávnění přístupu mezi zaměstnance podle toho, jaká data skutečně ke své práci potřebují.


Foto: Thinkstockphotos.com


Nejnovější články z rubriky Legislativa

Foto: Shutterstock.com

Soud potvrdil pokutu 8,3 milionu pro Booking.com

Krajský soud v Brně potvrdil pokutu 8,3 milionu korun, kterou rezervačnímu portálu Booking.com uložil v roce 2019 Úřad pro ochranu hospodářské soutěže (ÚOHS). Vyplývá to z rozsudku zveřejněného na elektronické úřední desce soudu.

Číst více
Foto: Shutterstock.com

Novelu, která umožní regulovat sdílené ubytování, letos předloží MMR

Ministerstvo pro místní rozvoj pracuje na novele, která umožní obcím regulovat sdílené ubytování typu Airbnb na jejich území, ale také jasně odliší příležitostný pronájem od hotelových apartmánů. V tiskové zprávě o tom informoval mluvčí ministerstva pro místní...

Číst více
Foto: Shutterstock.com

Profesní svazy volají po kompenzacích, vláda se jimi bude zabývat příští týden

(aktualizováno 20. 1.) Seznam profesních svazů kritizujících postoj vlády k podpoře cestovního ruchu se neustále rozrůstá. Nově se ozvala Asociace cestovních kanceláří ČR (ACK) - kabinetu vyčítá, že bez náhrady zrušil program Antivirus jako jedinou fungující podporu...

Číst více