Туризм в Беларуси заговорил о хакерах. Не о сезонности, не о загрузке, а о цифровой обороне.
На недавнем семинаре по кибербезопасности, организованном РСТИ, отельеры и туроператоры впервые говорили не о ценах на туры и загрузке отелей, а об антивирусах, фаерволах, криптографии и хакерских атаках. Регулятор ставит жесткие условия: защитить персональные данные гостей, пройти аттестацию своей информационной системы или… платить штрафы. Поиск решений стал главной темой года для всей индустрии.
Главный вывод: цифровая защита в туризме перестает быть «технической опцией» — она становится таким же стандартом сервиса, как чистое белье или улыбка администратора. Эксперты по информационной безопасности АБН-групп рассказали, что такое защита системы информации, зачем это надо и как это сделать.
Официальный партнер семинара - Белинвестбанк.
«Безопасен один сегмент — а вся цепочка уязвима»
Основной парадокс, который обозначили спикеры, — фрагментарность защиты. Каждый участник туристической цепочки (агрегатор, туроператор, отель) может быть защищен, но вместе они образуют «дырявое ведро».
«Если наши партнеры— например, Sonata от HRS, Travelline и другие — защитили свой сегмент, то это не значит, что вся производственная цепочка безопасна. Если уязвим компьютер бухгалтера или ресепшн, уязвима вся система. Вся цепочка — это наша с вами зона ответственности. И задача Союза — вместе с экспертами выработать универсальное программное решение для отрасли и предложить бизнесу понятный алгоритм действий»,— отметил председатель правления РСТИ Филипп Гулый, открывая первый отраслевой семинар по кибербезопасности.
Где это слабое звено?
Кибербезопасность - это не про защиту от вирусов. Генеральный директор компании Belsiem Игорь Цыганков привел конкретный пример: данные гостя, переданные от агрегатора в отель, часто путешествуют по незащищенным каналам. Агрегаторы отвечают только за те данные, которые собирают у себя на сервере, за свой сайт. Но как только эти данные — в том числе паспортные — уходят в адрес гостиницы, ответственность полностью переходит на сам отель.
«И тут большие вопросы — по каким каналам они передают эти данные? И есть ли там хоть капля белорусской криптографии», — отметила в дискуссии менеджер компании Axoft Дарья Жерносек. В итоге паспортные данные иностранного гостя могут оказаться где угодно, а ответственность за утечку понесет отель.
«А это уже не просто инцидент, это удар по престижу страны. Мы должны гарантировать, что данные ни белорусов, ни гостей не попадут в чужие руки, — подчеркнул важности защиты информации с точки зрения национальной репутации Игорь Цыганков. - Количество кибератак со стороны сопредельных государств на Беларусь, как и на Россию в прошлом году выросло на 37% и растет дальше, и туристическая инфраструктура - одна из мишеней злоумышленников. И система (а ее наличие сейчас обязательно!) позволяет их выявить на ранней стадии».
Отдельный вопрос - к туроператорам, чьи головные офисы находятся в России. Здесь они только принимают заявки, а вся информация транзитом уходит в Россию.
“Да, закон допускает трансграничную передачу данных, - поясняет Игорь Цыганков, - но при условии, что они сначала надлежащим образом обрабатываются, хранятся и защищаются здесь, в Беларуси. Только потом — при соблюдении всех мер защиты — передаются за границу. Причем на это требуется согласие физлиц, чьи данные передаются. А просто “перекинуть транзитом” — это уже нарушение».
Аттестат вместо штрафа: «сделать давно всем надо»
Главный практический вывод конференции: аттестация информационных систем туриндустрии — это неизбежно. Требования закона обязательны для всех, а проверки — вопрос времени.
«Многие думают, что это только для больших компаний - тех, кто входит в реестр операторов, но это не так, - говорит руководитель «АБН-Групп» Андрей Жук . - Закон “О защите персональных данных” действует уже пятый год, и он обязывает любую организацию, работающую с персональными данными, создать систему защиты и подтвердить ее соответствие нормам».
По словам Андрея Жука, большинство предприятий в Беларуси не имеют даже базового аттестата безопасности. «Приказ № 66 Оперативно-аналитического центра (ОАЦ) действует с 2020 года, но до сих пор о нём “не слышали” сотни компаний, включая отели и турфирмы. Это как ездить без страховки — пока не случится авария».
Эксперт по нормативному регулированию Дарья Жерносек подробно объяснила, как устроена система законодательства в сфере кибербезопасности.
«Сегодня действуют четыре ключевых документа: Указ Президента №40 о кибербезопасности, Постановление Совмина №120, Закон о защите персональных данных и Приказ ОАЦ №259 (об изменениях в №66) . Они распространяются на всех операторов данных — от банка до мини-отеля. Нет исключений: если вы собираете или обрабатываете персональные данные, даже телефон гостя через форму на сайте — вы оператор персональных данных. А значит, обязаны защищать их технически и юридически», — подчеркнула она.
Дарья напомнила: любая компания должна пройти три этапа — проектирование, создание и аттестацию системы защиты. Причем видеонаблюдение и сайты бронирования входят в контур обработки данных и требуют включения в политику конфиденциальности.
Ответственность за отсутствие аттестата — персональная и лежит на руководителе. При утечке данных или кибератаке именно его, а не айтишника, будут спрашивать в первую очередь: штрафы могут достигать 200 базовых величин и даже включать уголовную ответственность.
Диалог с индустрией: «Это очень дорого» vs «А сколько стоит ваш бизнес?»
Замдиректора по развитию проектного бизнеса «АБН-Групп» Андрей Шеверенько рассказал, как похожие процессы проходили в медицине:
«Когда Минздрав обязал подключиться к республиканской платформе, выяснилось, что 80% учреждений не имели аттестованных систем защиты. Всё пришлось строить с нуля, в авральном режиме. Поэтому туристической отрасли стоит начать сейчас, а не ждать, пока сверху придет указ».
«Есть три главные проблемы: нехватка компетенций, бюджета и времени. Но их можно решить. Главное — начать, — добавил эксперт и дал ключевой совет для сомневающихся в затратах - При инциденте первый вопрос, который вам задаст регулятор: "Скажите, аттестат есть?". Если его нет — все, виновность доказана. Если аттестат есть — вас взломали целевой атакой. Не так уж вы и виноваты».
Как это сделать без лишних расходов? Он отметил, что для отелей и турфирм можно создавать “коробочные решения” — готовые пакеты с минимальными затратами и сроками от двух до пяти месяцев. Их можно масштабировать под размер бизнеса. И лучше все делать у одного исполнителя, который доведет систему до аттестата. А когда одна компания делает аудит, другая проектирование, третья поставку, четвёртая аттестацию — и все потом перекладывают ответственность, начинаются проблемы.
Пытаясь минимизировать затраты, некоторые руководители допускают другую критическую ошибку — приобретают условно бесплатные системы исключительно для «галочки», чтобы пройти аттестацию. На практике они оказываются «дырявыми как сито»: не обеспечивают реальной защиты, не обновляются, не выявляют угрозы и, что важно, не имеют круглосуточного технического сопровождения и мониторинга. Установка такой «фальшпанели» дает ложное ощущение защищенности, в то время как бизнес остаётся абсолютно уязвимым для атак. Как отмечали спикеры, аттестат — это подтверждение работоспособной системы, а не ее наличие.
«Главное — не откладывать»
Многие участники конференции признались: тема новая, и отрасль только начинает осознавать масштаб задач.
«Информация подана доходчиво. Мы понимали, что надо усиливать защиту, но теперь ясно, что это не просто рекомендация — это требование. Вопрос только в финансах», — поделился впечатлениями от семинара Игорь Науменко, замгендиректора по технике безопасности предприятия «Минсктурист».
Владельцы небольших отелей и хостелов обсуждали, как совмещать нормативные требования с реальностью — у кого-то в штате один администратор и IT-аутсорсинг, у кого-то сайты и бронирование работают через внешние платформы.
По оценке экспертов, стоимость может варьироваться от 10 тысяч рублей до 300 тысяч - все зависит от текущего состояния инфраструктуры, объема информационных активов, каналов передачи данных и других нюансов.
«Киберброня» для туристического бизнеса
Туризм становится частью цифровой экономики, а значит, и частью системы национальной кибербезопасности. В ближайшие годы наличие аттестованной системы защиты данных станет для гостиниц и туроператоров таким же обязательным, как пожарная сигнализация или санитарные нормы. По словам Андрея Жука, в современном туризме защита данных становится частью сервиса:
«Гость приезжает за комфортом — и оставляет в отеле не только чемодан, но и личную информацию о себе. Доверие — это капитал гостиничного бизнеса. Сегодня безопасность данных — такой же стандарт, как чистые полотенца и улыбка администратора».
РСТИ анонсировал дальнейшую работу над созданием отраслевых рекомендаций и готовых решений по киберзащите для отелей, санаториев и туроператоров.
«Это неизбежно. Но мы можем пройти этот путь вместе — системно, доступно и с пользой для отрасли», — подвел итог Филипп Гулый.
Организаторы конференции подвели итог: отрасль только начинает путь к цифровой зрелости, но старт дан вовремя.
Мифы и реальность о кибербезопасности в туризме
| Миф | Реальность (со слов спикеров конференции) |
| «У нас нет данных, которые интересны хакерам» | Персональные данные постояльцев — ценный товар на черном рынке. Их используют для мошенничества, подделки документов, кредитов. |
| «Защита данных — проблема нашего IT-отдела или хостера» | Персональную ответственность за утечку несет руководитель организации, а не техспециалист. |
| «Мы маленькие, нас это не касается» | Закон одинаков для всех — от крупной гостиницы до мини-отеля. Требования зависят только от объема данных, а не от оборота компании. |
| «Аттестат — это разовая дорогая бумажка» | Аттестат — подтверждение работоспособной системы защиты. Это страховка от многомиллионных штрафов и потери репутации. |
Пресс-служба РСТИ
