Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

7 דקות קריאה

כיצד למנוע התקפות תוכנות זדוניות ולקדם אבטחת סייבר במלון שלך

גִלגוּל

Jordan Hollander ב פעולות

עודכן לאחרונה יָנוּאָר 26, 2022

תיאור תמונה

יש לך 1.6 מיליון דולר פנויים? זה הסכום הממוצע שמומחי אבטחה מעריכים כעת שעסק צריך להתאושש ממתקפת סייבר המכילה תוכנות זדוניות.

בתי מלון הם מטרות קלות להאקרים. אבטחת סייבר היא לא משהו שמלונות רבים מרגישים בו בטוחים. "בשנה שעברה, שני הדו"חות הגלובליים הגדולים ביותר על פרצות מידע, דו"ח האבטחה הגלובלי של Trustwave ודוח חקירת הפרת הנתונים של Verizon, מראים שניהם שהאירוח ממשיך להיאבק בתחום זה. Verizon, בינתיים, מדווחת כי לינה, מזון ולינה היוו כמעט 54% מהעומס שלהם", אומר בוב רוסו , GM של המועצה לתקני אבטחה של PCI."

בכל פעם שרשומות אורחים של מלון נפרצו, הנכס עמוס בלחץ כלכלי ומתמודד עם אמון שבור עם האורחים. בתור מלונאי, אתה לא צריך להיות מומחה באבטחת סייבר, אבל אתה בהחלט צריך להבין את היסודות כדי להגן על העסק שלך ועל האורחים שלך. הנה כמה דרכים להתמודד עם אבטחת הסייבר במלון שלך ולמזער את הסיכון שלך ככל האפשר.

מדוע מלונות הם יעדים אטרקטיביים עבור האקרים

מלונות הם יעדים קלים - ורווחיים - עבור האקרים. בתי מלון יוצרים יעדים אטרקטיביים משתי סיבות: ראשית, אבטחת הסייבר בנכסים רבים רופפת. "רק כ-25% מכל העסקים בארה"ב, כולל מפעילי בתי מלון, תואמים באופן מלא לשיטות העבודה המומלצות הנוכחיות לאבטחת מידע. זה אומר ששלושה מתוך ארבעה אינם והם אסונות פוטנציאליים שמחכים לקרות", אומר רוסו.

שנית, בתי מלון מעבדים הרבה עסקאות ומאחסנים טונות של נתוני אורחים. האקר יכול למקד בו-זמנית את מערכת נקודות המכירה וניהול הנכס של הנכס כדי ללכוד מידע על כרטיסי תשלום וכן נתונים אישיים, כמו מספרי דרכונים וכתובות דוא"ל. תוכנה זדונית יכולה לעבור בין מערכות POS ו-PMS בנכסים שונים תחת אותו מותג, ולהשפיע על אורחים במיקומים ברחבי העולם ללא איש חכם יותר. כמו כן, ישנן נקודות גישה רבות שהאקר יכול למקד בנכס בודד. "בפברואר, דווח שמתוך 21 הפרצות הנתונים של חברות המלונות הפופולריות ביותר שהתרחשו מאז 2010, 20 מהן היו תוצאה של תוכנות זדוניות שהשפיעו על מערכות קופה במסעדה, בר וחנות קמעונאית של מלון", אומרמארק ורטמן , Ph.D., ראש התוכנית לטכנולוגיית מידע בבית הספר לעסקים של רולנד בפיטסבורג.

מלון קטן בן 100 חדרים עם מסעדה של 50 מושבים עדיין מעבד מאות תשלומים ייחודיים בכל יום. תשלומים ייחודיים אלה הם כמעט חסרי הגנה; למעט מלונות יש את פרוטוקולי האבטחה, התשתית וההכשרה הדרושים כדי לוודא שכל צד מעוניין מונע מגניבת מידע אורחים.

מהי תוכנה זדונית? מושגי אבטחת סייבר הוגדרו

הבנת מושגי המפתח של אבטחת סייבר היא חצי מהקרב. הנה כמה מונחים נפוצים שתתקלו בהם בעת שיפור האבטחה במלון שלכם:

  • פישינג: דיוג מתרחש כאשר רמאים שולחים לך אימייל, הודעת טקסט או אפילו מתקשרים אליך כדי לנסות להערים עליך לחשוף מידע אישי שהם יכולים להשתמש בהם כדי לגשת לפרטי הבנק או לכרטיסי האשראי שלך. הודעת דיוג עשויה להיראות כמו הודעה מהבנק שלך המזהירה אותך שהוא יסגור את חשבונך אלא אם תאמת את המידע האישי שלך.

  • הצפנה: הצפנה היא הליך אבטחה הכולל ערבול נתונים כך שרק גורמים המורשים לקרוא אותם יכולים להבין את המידע. התהליך לוקח נתונים קריאים ומשנה אותם כך שייראו אקראי. הצד שמקבל מידע מוצפן צריך מפתח כדי לבטל את ערבול הנתונים ולהפוך אותם לטקסט רגיל קריא.

  • VPN: VPN מייצג " רשת פרטית וירטואלית ". VPN יסווה את כתובת ה-IP שלך וישאיר את פעילות האינטרנט שלך בלתי ניתנת למעקב. זהו כלי נהדר לוודא שחיבור האינטרנט שלך מאובטח ופרטי.

  • תוכנה זדונית: תוכנה זדונית היא קיצור של "תוכנה זדונית". תוכנה זדונית נועדה לקבל גישה למחשב שלך; תוכנות ריגול, תוכנות כופר, וירוסים וסוסים טרויאניים הם כולם סוגים שונים של תוכנות זדוניות.

  • בדיקת חדירה: בדיקת חדירה היא הליך שבו מומחה אבטחת סייבר מנסה לזהות נקודות תורפה במערכת ממוחשבת. המומחה מדמה תוכנה זדונית או התקפת פריצה כדי למצוא כל פגיעות ששחקנים רעים יכולים לנצל.

  • APT (Advanced Persistent Threat) : APT הוא הסוג הגרוע ביותר של התקפה, שבה שחקן רע משתמש ב"טכניקות פריצה מתמשכות, חשאיות ומתוחכמות כדי לקבל גישה למערכת ולהישאר בפנים לתקופה ממושכת, עם פוטנציאל הרסני השלכות."

  • אנטי וירוס: תוכנה שנועדה לזהות ולהשמיד וירוסי מחשב במערכת הפעלה

  • נגד תוכנות זדוניות:בדומה לתוכנת אנטי-וירוס, אך כאשר האנטי-וירוס מתמקד באיומים ישנים/ידועים, אנטי-תוכנה זדונית מתמקדת בדרך כלל באיומים לא ידועים חדשים יותר. הגנת תוכנות זדוניות מתמקדת בזיהוי איומים לא ידועים לפני שהם הופכים למלאים בווירוסים בוגרים. הסרת תוכנות זדוניות היא בדרך כלל קשה יותר מאנטי וירוס מכיוון שיש יותר לא ידועים.

  • Rootkit: Rootkit היא תוכנת מחשב חשאית שתוכננה על ידי פושעי סייבר כדי לספק המשך גישה מיוחסת למחשב תוך הסתרת נוכחות אקטיבית שלו.

  • Keylogger: לוגר מקשים, הנקרא לפעמים לוגר הקשות או צג מערכת, הוא סוג של טכנולוגיית מעקב המשמשת לניטור ולתעד כל הקשה המוקלדת במקלדת ספציפית של מחשב. תוכנת Keylogger זמינה לשימוש גם במכשירים ניידים, כמו מכשירי אייפון ואנדרואיד של אפל. Keyloggers הם תוכנה לגיטימית שניתן להשתמש בה לתמיד, אך משמשים לעתים קרובות כהונאה כדי לגנוב מידע רגיש כמו מספרי כרטיסי אשראי וסיסמאות.

  • Botnet: רשת של מחשבים פרטיים נגועים המכילים קוד זדוני ונשלטים כקבוצה ללא ידיעת הבעלים, למשל, לשלוח הודעות דואר זבל.

שימוש ב-VPN והצפנה, כמו גם ביצוע בדיקות חדירה רגילות יכול לשמור על אבטחת הרשת שלך מפני תוכנות זדוניות ו-APTs. כמו כן, עליך לוודא שצוות ה-IT של המלון שלך בודק בקביעות במחשבי הנכס לאיתור יומני הקשות ושהצוות שלך לא פותח קבצים מצורפים לאימייל מוזרים. אלו הם פרוטוקולי האבטחה המינימליים שאתה חייב לתרגל באופן קבוע כדי למנוע אסונות כמו הפריצות המתוקשרות הללו בתעשיית המלונאות.

התקפות תוכנה זדונית בפרופיל גבוה בתעשיית המלונות

מחקר של Symantec , חברת אבטחת סייבר, מצא שיותר מ-65% מהמלונות מדליפים באופן שגרתי קודי עזר להזמנות דרך אתרי צד שלישי. למה זה חשוב? מכיוון שהמידע המשותף באמצעות הקודים הללו יאפשר לשחקן גרוע להיכנס להזמנה, לראות פרטים אישיים ואפילו לבטל הזמנה כליל. כאשר זה קורה, פרטי האורח שלך פגיעים ואתה מסתכן בהרס של קשר האורח.

המחקר של סימנטק הראה שמלונות בכל הגדלים נמצאים בסיכון. פריצות גדולות התרחשו ב-HEI Hotels & Resort, Starwood/Marriott ועוד. הנה רק כמה אירועים בעלי פרופיל גבוה:

HEI Hotels & Resorts

בשנת 2016, פרצת נתונים השפיעה על 20 מלונות בארה"ב המופעלים על ידי HEI Hotels & Resorts . המתקפה חשפה את נתוני כרטיסי התשלום מעשרות אלפי עסקאות מזון ומשקאות. תוכנה זדונית התגלתה במערכות התשלום של בתי המלון המשמשות לעיבוד פרטי כרטיסים במסעדות, ברים, ספא, חנויות לובי ומתקנים אחרים באתר. מומחים קבעו כי האקרים עשויים לעצור את שמות הלקוחות, מספרי החשבונות, תאריכי התפוגה של הכרטיסים וקודי האימות.

סטארווד/מריוט

בינואר 2019,סטארווד/מריוט גילו שהפרת נתונים חשפה את המידע האישי של אורחים ששהו בנכסים שלהם מאז 2014. נתוני אורחים נגנבו עבור כ-500 מיליון איש - כולל מספרי דרכונים מוצפנים ומספרי כרטיסי אשראי או חיוב. ה"ניו יורק טיימס" דיווח שייתכן שהאקרים עבדו עם משרד האוצר של סין, שכן מתקפה בקנה מידה זה מדהים.

Omni Hotels & Resorts

Omni הותקף גם בשנת 2016 בהפרת תוכנה זדונית שהשפיעה על 50,000 לקוחות. נגנבו פרטי כרטיס חיוב וכרטיס אשראי מ-49 מתוך 60 אתרים של הרשת: כולל מספרי כרטיסי אשראי וכרטיסי חיוב, שמות בעלי הכרטיס, קודי אבטחה ותאריכי תפוגה.

הייאט

ב-41 מהמלונות של Hyatt, האקרים קיבלו גישה בלתי מורשית למידע על כרטיסי תשלום במתקפה השנייה מאז 2015. מהמתקפה השנייה, מומחה אבטחה אחד ציין, "ייתכן שהצעדים שננקטו על ידי קבוצת הייאט בדצמבר 2015 עדיין נפרסים לאורך כל הדרך. הארגון, במיוחד אם מערכות אלו מפוזרות ברחבי העולם ואינן מחוברות לרשת משותפת. בעת בחירת ערכת כלי ניהול המערכות שלך, עליך ליישם את הפתרון המאובטח באמצעות אישורים של 2048 סיביות ואימות דו-גורמי, אך פועל גם ללא קשר למקום שבו ממוקמות נקודות הקצה."

סַיִף

סאבר מעבדת הזמנות לכ-100,000 בתי מלון ולמעלה מ-70 חברות תעופה ברחבי העולם. החברה הייתהממוקד ב-2017 על ידי שחקנים גרועים שגנבו אישורים עבור מערכת ההזמנות המרכזית של SynXis של Sabre Hospitality Solutions. אישורים אלה סיפקו גישה לנתוני לקוחות, לרבות פרטי כרטיס תשלום ופרטי הזמנה - שמות לקוחות, כתובות דוא"ל, מספרי טלפון וכתובות.

ההתקפות המתוקשרות הללו תופסות כותרות, אבל יש מאות התקפות קטנות יותר שמתרחשות בבתי מלון בכל חודש. אפילו לאחרונה, פריצה מסיבית, כמו זו בפונטנבלו במיאמי, נעלמה מעיני התקשורת המיינסטרים. מקורות דיווחו שפונטנבלו התמודדה עם מתקפת כופר במערכת כרטיסי האשראי שלהם, ואילצה את המלון לסכן את נתוני האורחים על ידי המשך קבלת תשלומי כרטיסים או לבקש מהאורחים לשלם במזומן. האורחים המתינו עד חמש שעות לחדרים בזמן שדלפק הקבלה ניסה למתן את המצב - סצנה שאדם אחד תיאר כ"כאוס ." "התור יצא מהדלת ללובי", אמר אחד הבכירים למגזין וראייטי . עבור מלון חמישה כוכבים כמו פונטנבלו, תקרית כזו היא הרס מותג לחלוטין.

כיצד להגן על התקפות תוכנה זדונית ואיומי סייבר של המלון שלך

מהי הדרך הטובה ביותר לוודא שהנתונים שלך נשארים בטוחים ושאף אורחים לא נשארים תקועים? בראש ובראשונה, הקפד יתר על המידה בבחירת מערכת נקודת מכירה ומעבד כרטיסי אשראי. "יש לבדוק הסכמים עם גורמים אלה, ואם אפשר לשנות אותם כדי להוסיף תקני הגנה ומינימום טיפול בנתונים עבור הספק החיצוני. עמידה בתקן אבטחת הנתונים של תעשיית כרטיסי התשלום (PCI-DSS) לא רק עוזרת להבטיח שתוכנות אבטחת מידע, חומרה ושיטות עבודה בטוחות יותר, אלא גם עוזרת להגן מפני קנסות ועונשים כאשר מתרחשת הפרה", כותבמומחה אחד .

ספק ברמה ארגונית, כמו Oracle Hospitality, יכול להבטיח את הקישור הפגיע בין PMS ל-POS שלך. Oracle OPERA היא מערכת ניהול נכסים מבוססת ענן המשתלבת עם מערכת נקודות המכירה של Micros, כמו גם עם חבילה של יישומים נוספים. אורקל מציעה פרוטוקולי אבטחה מתוחכמים, כגון Cloud Security Monitoring Analytics לניטור הפלטפורמה הן באתר והן בענן. כלי Oracle כוללים גם:

  • בקרת תאימות בענן (OMC CC) לבדיקת התצורות מול דרישות החברה או תקנות חיצוניות;

  • Cloud Access Security Broker (Oracle CASB) לגילוי צל-IT בענן ולנטר דרישות ארגוניות לגבי השימוש והתצורה של שירותי ענן של Oracle ושל צד שלישי כגון AWS, Salesforce, Azure, Box וכו';

  • Identity Cloud Service (Oracle IDCS) לאספקת מערכת ניהול ואימות משתמשים לשירותים מקומיים או ענן.

פרוטוקולי אבטחה אלה עוקבים אחר המתרחש ברשת הפנימית שלך וכן כל התקפות חיצוניות. העבודה עם Oracle מעניקה לךאבטחה רב-שכבתית , הגנת נתונים, עסקאות מאובטחות ועמידה בתקני תשלום ופרטיות נתונים. אבל, כפי שהוכח במתקפת סבר, לפעמים אפילו האמצעים האלה אינם מספיקים. עם האישורים הנכונים, כל אחד יכול לעבור את מערכת האבטחה שלך.

הטכנולוגיה הנכונה היא רק חצי מהמשוואה; במהלך השנים, מומחי אבטחה זיהו גם עובדים כחלק מהבעיה. מלונות חייבים להכשיר את הצוות שלהם לטפל באבטחת מידע אישי, לציית למדיניות הפרטיות ולשנות את אישורי הגישה למשתמש באופן קבוע. בענף זה יש תחלופה גבוהה, וזו חלק מהסיבה לכך שהעובדים לא תמיד שומרים על תקני אבטחה. על הנכס שלך לארח באופן קבוע סמינרים של מידע-שק כדי לוודא שכל העובדים החדשים עברו הכשרה ושוותיקים יישארו מעודכנים באיומים האחרונים.

גם עם מערכת PMS/POS מצוינת והכשרה נכונה, חשוב לבצע בדיקות חדירה שגרתיות והערכות סיכונים. אין תשובה ברורה לגבי התדירות שבה אתה צריך לבדוק את הרשת שלך, אבל מומחים מזהירים שפעם בשנה כנראה לא מספיק תדירות. מעבר להכשרת הצוות שלך, שמירה על עדכניות תוכנת האבטחה שלך והשקעה בפלטפורמה כמו Oracle OPERA שמושקעת באבטחת סייבר, אתה יכול לעודד את האורחים שלך להשתמש ב-VPN ולהתנתק מה-WiFi שלהם כאשר הם לא משתמשים בו.

אולי תאהב גם
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage שיווק פרסומות מלונות של ChatGPT: הן כאן ול-OTA כבר יש יתרון של ראשונים

לפני חודש

The Best Hotel Tech Apps of 2026 חווית אורח אפליקציות הטכנולוגיה הטובות ביותר למלונות לשנת 2026

לפני 4 חודשים

The 10 Best Places to Work in Hotel Tech 2026 פעולות 10 מקומות העבודה הטובים ביותר בטכנולוגיית מלונות 2026

לפני 4 חודשים

HITEC Indianapolis 2025 Innovation Report חווית אורח דו"ח החדשנות של HITEC אינדיאנפוליס 2025

לפני 11 חודשים

קבל המלצות מוצר מותאמות אישית

יועץ להמלצות מוצרים

Ghostel icon

בואו נחפש את פרטי המלון שלכם