Chinese Hotel Law Blog
Hotel Cybersecurity: Closing the doors before the horses leave the barn
2016年5月10日
在我们最近的洛杉矶酒店融资大会上最为抢眼的活动之一,是由我的合伙人Bob Braun律师组织的、酒店即时新闻(HotelNewsNow)的Jeff Higley先生主持的“网络安全座谈会”。给我印象特别深刻的是网络安全违规的代价有多么惨重、为防止或限制信息外泄可以采取哪些措施,以及预防措施的合理成本等内容。 下面是Bob Braun律师在上周座谈会上的发言摘要,他倡议必须采取以下防范措施……
有关网络安全的五项结论
来自酒店融资大会,Bob Braun酒店律师、数据安全顾问
酒店融资大会随时代而变化。在2016年的会议上,第一个展示的是酒店行业网络安全的座谈会“谁在叩开你的数据大门”。座谈会的组织人是Bob Braun先生,杰美百明律师所的环球酒店专业律师团队律师、网络安全和个人隐私顾问团队副主席。参加会议的有来自Optiv Security的Bob Justus先生、来自Maryman & AssociatesBrad 的Maryman先生、来自 MARSH的Christian Ryan先生和来自Zeamster的 Kevin Shamoun先生。酒店即时新闻网(STR/HotelNewsNow.com)的Jeff Higley先生主持了座谈会。
代表了技术、法律、执法、保险和支付系统的参会人员,一致认为酒店行业的网络安全面临严峻的挑战。因此给出五项关键结论如下:
- 循规蹈矩并不等于安全。每个参会者都同意,酒店达到法律和商业的规范要求只是最基本的工作,满足规范不一定能够获得真正的网络安全 — 完成工作清单上的检查事项仅仅是第一步。参会者注意到,去年发生的涉及多个主要酒店连锁公司的重大酒店泄密事件,牵连了已经达到行业标准的信用卡服务系统。酒店和酒店公司在满足行业标准的要求以后,还需要对自身风险进行评估和描述,并作出切实有效的安全规划。
- 有根有据的反应好于即时的反应。太多机构所犯的错误是没有考虑周全就匆忙做出反应,特别是当报告发生了数据外泄的时候。数据外泄是非常复杂的事情,起码要了解泄密所涉及的数据和个人的范围,以及在曝光之前,公司如何对问题的源头行补救。毫无疑问,速度是非常重要的。但是有些数据外泄事故在未查明事实之前,并不需要通知外界。否则将来不得不进行多次重复的通知,并将因传递了错误的信息而损害公司的声誉。
- 信用卡不是唯一的风险。除了将大量的注意力放在信用卡号码被窃方面,酒店还必须考虑其他风险。酒店和酒店管理公司保管着海量的敏感个人信息,黑客可以从中窃取客户的身份。此外,酒店需要考虑的不光是数据。系统的相互连接意味着只要突破了财务组织结构,黑客就可以进入门禁、采暖和空调系统、电力、自来水和酒店其他关键的组织结构和实体。假设黑客闯入酒店或门户洞开,将会发生什么?它将造成远远超过信用卡的损失,并将给酒店及其品牌和业主造成无法用语言形容的伤害。
- 不处理好人的因素就不能获得网络安全。95%的数据外泄都是由人的因素造成的。个人都可能犯错误,例如没有考虑网络安全、失窃,甚至故意破坏数据系统。当技术决定一切的时候,任何人只要没有完全按照技术规范操作,只消点击了错误的网站或者回应了错误的电子邮件,那么千里安全大坝就溃于蚁穴了。对于酒店和酒店管理公司来说,正确的解决方案是对其各个级别的员工进行培训,以减少意外事故和创建安全的环境。
- 酒店需要营造网络安全的企业文化。酒店对客人实体的人身安全承担责任。如果客人在房间里没有安全感,他们将不会再次光顾这家酒店或这个品牌。客人对数据安全的需要与对实体的人身安全的需要是一样的。酒店必须让客人感觉到,其入住的酒店对自己的个人隐私和财务数据给予了与人身安全同等的关注。除此以外,酒店必须有效地保护其保管的大量数据,因为这是酒店在竞争中求生存的关键。酒店公司能够通过保护客户安全和保护公司拥有数据的完整,来营造各个层次的网络安全文化。
最后这一点可能是最重要的 —- 酒店应该将自己视为网络安全战役的领军者。酒店每天都对他们的客人承担着保护和安全的责任。客人们,只有当他们相信其所有财产,包括数据、财物等都受到妥善的保护后,才觉得安全。酒店可以将自己从最受窃贼喜欢的数据来源地,转变为数据安全的模范。