📅 27 января в Минске пройдет семинар по кибербезопасности в индустрии туризма и гостеприимства, организованный Республиканским союзом туриндустрии при поддержке компании «АБН-Групп».
Мероприятие состоится в Президент-Отеле (ул. Кирова, 18, зал «Олимп») с 11:00 до 13:00.

На семинаре будут рассмотрены:

• требования законодательства и ответственность операторов персональных данных;
• современные технологии защиты;
• реальные кейсы атак и пути восстановления;
• рекомендации по построению цифровой безопасности.

К участию приглашаются руководители гостиниц, санаториев и туроператоров.
Участие бесплатное, по предварительной регистрации (с указанием ФИО, компании и должности):
📩 info@rsti.by, ☎️ +375 17 209 92 88, +375 29 173 81 51.
Официальный партнер мероприятия - Белинвестбанк.

Гостиницы — в пятерке самых атакуемых отраслей мира

По данным IBM Security, Verizon DBIR и Trustwave, индустрия гостеприимства стабильно входит в топ-5 отраслей по количеству киберинцидентов.
Причина проста: в отелях хранятся огромные массивы чувствительных данных — паспортные сведения, банковские карты, маршруты поездок, корпоративные заказы и даже записи видеонаблюдения.

Наиболее распространенные атаки:

• взлом POS-терминалов для кражи данных карт;
• фишинг и целевые атаки на сотрудников с целью проникновения в PMS и CRM;
• взлом систем онлайн-бронирования, чтобы перенаправить платежи;
• атаки на гостевой Wi-Fi с перехватом трафика;
• шифровальщики (ransomware), которые парализуют работу отеля (блокируют PMS, кассы и электронные замки) и требуют выкуп.

«Если вы управляете гостиницей и думаете, что хакерам до вас нет дела — вы ошибаетесь. Для них важен не масштаб бизнеса, а наличие данных, которые можно монетизировать, и слабые точки безопасности. Хакеры действуют по принципу «низко висящих фруктов»: автоматические сканеры ищут уязвимости по всему миру. И если ваша система не обновляется, вы автоматически становитесь мишенью».

Они сканируют интернет на наличие уязвимостей. Если ваша гостиница использует устаревшее ПО, слабые пароли, не обновляет системы или сотрудники не обучены кибергигиене (например, переходят по фишинговым ссылкам), — вы автоматически становитесь мишенью независимо от размера вашего бизнеса», — предупреждает Андрей Жук, руководитель компании “АБН-Групп”.

Беларусь: угрозы растут, защита отстает

Хотя в Беларуси пока нет публичной статистики по киберинцидентам в туризме, эксперты отмечают тревожные тенденции.
Многие объекты гостеприимства используют устаревшее программное обеспечение, общую сеть Wi-Fi для гостей и сотрудников, плюс отсутствие регулярных резервных копий, слабые пароли, а обучение персонала сводится к формальной подписи инструктажа.

Многие белорусские компании всё ещё живут в парадигме “нас это не коснётся”. Но цифровые атаки уже давно не выборочные. Они автоматизированы, массовы и часто не знают границ. Злоумышленники не сидят и не выбирают вручную жертв. Они запускают сканеры, которые 24/7 обшаривают интернет на предмет тысяч известных уязвимостей. Ваш сервер в Минске или Витебске для бота так же виден, как сервер в Берлине или Токио. Атаки идут волнами по всему миру. Если у вас есть уязвимость из списка CVE (публичный каталог уязвимостей) — вас найдут и взломают. Хакерам выгодно создать один инструмент (например, шифровальщик-вымогатель) и запустить его на 10 000 компаний. Даже если «клюнувшая» компания — небольшой магазин или гостиница в областном центре, выкуп в несколько тысяч долларов — это чистая прибыль при почти нулевых издержках. Сумма выкупа может быть невелика, что увеличивает вероятность оплаты», — отмечает Андрей Жук.

В Беларуси любой отель, санаторий или туроператор по закону является оператором персональных данных.
Закон «О защите персональных данных» обязывает бизнес обеспечивать безопасность информации, уведомлять клиентов о целях обработки и иметь актуальную политику конфиденциальности.

Опыт компании «АБН-Групп» в смежных отраслях показывает, как быстро требования к кибербезопасности становятся обязательными.

«В 2025 году мы сосредоточились на сфере здравоохранения — все государственные учреждения должны были пройти аттестацию систем защиты информации до конца года. Это десятки объектов по всей стране. Аналогичный процесс неизбежно ждёт и другие отрасли, включая туризм и гостеприимство. Законодательство постепенно ужесточается, и к 2026–2027 годам выполнение требований по защите данных станет обязательным стандартом для всех коммерческих организаций, работающих с персональными данными клиентов», — отметил Андрей Жук.

Кейсы атак от отелей до туроператоров: 10 минут до катастрофы

Один из самых показательных примеров — атака на сеть отелей MGM Resorts International в сентябре 2023 года.
Злоумышленникам хватило 10-минутного звонка в службу поддержку, чтобы получить доступ к внутренней сети. В результате была парализована работа отелей: отключились системы бронирования, электронные ключи, лифты и POS-терминалы. Гостям приходилось заселяться вручную, оплачивать наличными, а убытки составили до $100 млн. Позже выяснилось, что произошла и утечка персональных данных.

Этот случай стал хрестоматийным примером для всей отрасли. Даже у корпорации с миллиардными оборотами слабое звено оказалось не в серверной, а на уровне человека — звонка в техподдержку. 

Несколько лет назад подвергались кибератакам и сайты крупных российских туроператоров Anex Tour и Mouzenidis Travel. Инцидент привёл к отключению онлайн-бронирования, телефонов и рабочих компьютеров компаний, что временно парализовало обработку заявок. Чтобы обеспечить вылет туристов, операторам пришлось организовать выдачу документов прямо в аэропорту. 

В начале 2024 года стало известно об утечке данных более 112 000 клиентов крупного австралийского турагентства — данные оказались доступными в открытом доступе вследствие нарушения безопасности базы.
В Европе за последние месяцы были зафиксированы серьезные DDoS-атаки на платежную инфраструктуру, которые затронули работу платежей и бронирований турфирм. В частности, хакеры атаковали платежную систему BLIK, что привело к проблемам транзакций, а также получили доступ к клиентским данным популярного польского туроператора «Новая Итака». 

В предновогодний период туротрасль традиционно сталкивается с наплывом не только туристов, но и хакеров. По данным экспертов в сфере информационной безопасности, в декабре объем вредоносного трафика на сайтах авиакомпаний и туристических сервисов вырос на 120% по сравнению со среднегодовыми показателями.

До 80% поисковых запросов на популярных направлениях — Таиланд, ОАЭ, Турция, Египет, Вьетнам, Сочи, Санкт-Петербург и Калининград — приходилось на нелегитимных ботов-парсеров. Они автоматически собирают данные о ценах и доступности билетов, перегружают сайты и искажают статистику бронирований.

За бот-трафиком стоят не только конкуренты и агрегаторы, стремящиеся быстрее получить данные о ценах, но и злоумышленники, целенаправленно выводящие сервисы из строя или спекулирующие на изменении стоимости билетов.

Поэтому белорусским компаниям, по словам экспертов, важно учиться на чужих ошибках и иметь четкий план реагирования на инциденты, а не действовать “по обстоятельствам”.

Кибербезопасность — новый стандарт гостеприимства

Специалисты «АБН-Групп» советуют внедрять полноценную систему защиты, а не ограничиваться дорогим или недорогим антивирусом. От внедрения продуктов информационной безопасности (это и аппаратные платформы, и программное обеспечение) до обучения сотрудников. 

«Многие думают «это дорого и сложно». На самом деле, базовые меры гигиены (резервные копии, обновления, обучение сотрудников) закрывают 80% угроз и часто дешевле, чем один день простоя», — подчеркивает Андрей Жук.

Сегодня защита данных — часть сервиса, наряду с чистыми полотенцами и улыбкой администратора.
Гости доверяют тем, кто способен защитить их личную информацию.

«Доверие клиента — это не только комфортный номер, но и уверенность, что его данные не окажутся в сети. А доверие — главный капитал гостиничного бизнеса. Поэтому важность цифровой безопасности должны понимать, в первую очередь, руководители предприятий. Кибератака — это не вопрос “если”, а вопрос “когда”. Главное — быть готовыми. Чем быстрее вы сможете восстановить работу, тем выше шанс сохранить и клиентов, и репутацию», — резюмирует Андрей Жук.

12 типичных ошибок, которые совершают отельеры

(из практики компании «АБН-Групп»)

1. Путаница между техникой и системой.
   СЗИ (средства защиты информации) — это не просто firewall или антивирус. Это процессы, люди, регламенты. Без них техника бесполезна.
2. Игнорирование законодательства.
   Отельеры не изучают требования Закона «О защите персональных данных» и Приказ №66 Оперативно-аналитического центра (ОАЦ) при Президенте РБ, полагая, что это «для госорганов».
3. Отсутствие классификации данных.
   Не определено, какие сведения конфиденциальные. В итоге одни данные защищаются чрезмерно, другие — никак.
4. Использование несертифицированных средств защиты.
   Для информационных систем нужны СЗИ, сертифицированные ОАЦ. Несертифицированные решения — грубое нарушение.
5. Отсутствие сегментации сети.
   Одна сеть — от бухгалтерии до Wi-Fi для гостей. Заражение в одном сегменте мгновенно распространяется на все сегменты сети.
6. Фокус только на периметре.
   Усилена защита границ, но нет контроля действий внутри сети и учётных записей. А большинство инцидентов — внутренние.
7. Нет резервных копий и плана восстановления.
   Копии не делаются или не проверяются. При ransomware восстановить систему бывает невозможно.
8. Формальное обучение.
   Инструктажи проводятся для отчета, сотрудники зачастую не знают, как выглядит фишинговое письмо.
9. Избыточные права доступа.
   Административные права выданы всем подряд, учётки уволенных не удаляются месяцами.
10. Нет процедуры реагирования.
    При вирусе или подозрении на взлом никто не знает, что делать. Теряется время и доказательства.
11. Ответственность перекладывается на подрядчика.
    Но по закону отвечает владелец системы, а не провайдер или интегратор.
12. Документы не обновляются.
    После изменений в сети регламенты остаются старыми, и защита на бумаге не соответствует реальности.

Пресс-служба РСТИ