根據Trustwave的三份全球安全報告得出,酒店行業是最具安全漏洞的三大行業之一。而且,Privacyrights.org也有相關報道,即2014年酒店行業內違法信息披露增加了50%。
Trustwave與全球一些酒店企業攜手共同研究了酒店行業的許多安全黑洞。有些時候,酒店會采取一些標準的安全管理措施,但是也只是停留在表面,并沒有深入。而有些時候,是因為員工們過多地接觸到那些他們沒有權限的數據信息。以下是Trustwave為酒店行業評定的六大最嚴重的安全隱患。
對惡意軟件的防范不足:在酒店行業經常會出現一些惡意軟件通過網站或電子郵件侵入網絡的證據,而實際上酒店是有一些基本的抗病毒軟件的。這主要就是因為當下黑客專門設計了一些能夠躲避病毒檢測的高級惡意軟件。
員工過多接觸無權限數據:員工們在不斷探究他們究竟能夠接觸到多少數據。酒店行業內90%以上的安全問題都涉及到了員工沒有權限的數據訪問記錄。這很可能會導致有價值的數據遺失,以及相關網站數據無故被黑。許多企業沒有有效控制共享賬號和密碼存儲系統的使用,也沒有限制管理員的權限。他們也缺乏全面的審計能力,也就是說,他們不能追蹤到究竟是誰在什么時候對他們的網絡做了手腳,是誰在什么時候動用了什么數據。
缺少BYOD安全程序:許多酒店企業沒有一個確切的程序來辨別無線流氓設備。這就意味著,物理訪問攻擊者可以輕而易舉地進入酒店數據系統。酒店企業也很少用他們的BYOD程序測試無線安全性問題,確保任何安全漏洞。尤其是在酒店,提供給客人的無線網絡根本沒有什么安全性可言,因此潛在黑客就可以通過截獲瀏覽信息進行攻擊(例如MITM攻擊)。
安全管理程序落后:許多酒店企業都有一點安全管理程序,例如防火墻。然而,他們并沒有及時更新,沒有安裝補丁、修復漏洞。一般來說,實現安全漏洞修復至少需要七天——這個時間太長了。一些酒店總是在更新落后設備方面太過滯后,所以他們的安全管理程序也就徒有擺設,毫無實際用處。
應用程序和數據庫不安全:從積極的一面看,許多酒店在關鍵公開的應用程序上采取了滲透式的測驗掃描。因為這些測驗能夠幫助企業辨別并修復應用程序內的安全漏洞,以免被黑。然而,數據庫的安全問題則往往被擱置一邊,這就等于把自家后門開著歡迎攻擊者隨時光臨。許多酒店業推出了一些新的內部面向客戶的應用程序,但這些都缺乏一定的安全性,因為這些往往都被視為馬后炮。
“客人至上”取代了安全問題:酒店行業內,消費者至上。但是,為了真正滿足消費者的需求,員工往往會忽略一些安全問題,因此給社交工程攻擊鉆了個空。例如,一個酒店客人(真實身份可能是名黑客)走近一名前臺員工,讓他幫忙打印一份拷在U盤里的文件。而這位前臺為了滿足客戶的需求,沒有考慮是否這個U盤帶有惡意軟件,便直接將U盤插入酒店前臺電腦。
其實,只要酒店能將安全意識作為所有員工的中心思想,這些安全漏洞都是可以解決的。酒店應該好好部署安全管理,檢測并阻止惡意軟件的攻擊,好好規劃網絡存取管理,限制敏感數據的權限名額,防止有價值的數據遺失。
酒店還應確保自己有足夠的人力和專業知識,監控、更新并管理他們的安全機制。這樣他們才能預先阻止信息的違法披露,實時防范任何不法侵入。酒店越快地檢測出違法侵入,就能盡快將損失最小化。
