Chinese Hotel Law Blog
Hotel Cybersecurity: What can happen when hackers strike?
编辑:金百德律师及其环球酒店专业律师团队
翻译:邓威律师
2017年2月1日
黑客入侵、盗窃机密信息,对全世界各行各业均构成重大威胁,酒店行业也概莫能外。实际上,酒店行业更容易因此遭受损害,例如黑客盗取客户信用卡的信息、雇员的个人信息等。另外,酒店在很多其他方面也很脆弱。在最近发生的一次入侵中,黑客并没有盗取信息,而是控制了酒店的技术系统,用来勒索巨额赎金。我的合伙人Bob Braun律师,是杰美百明律师所的环球酒店专业律师团队高级成员和网络安全和隐私专业律师团队副主席,特此为大家讲述黑客入侵的后果是什么,并与我们分享酒店应如何应对这些威胁。
酒店和赎金 —— 特别严重的威胁
作者:Bob Braun
在去年的环球酒店专业律师团队主办的Meet the Money大会上,我主持了一个关于网络安全的小组讨论,题目是网络安全事务对酒店行业的影响。会上的议论之一就是,酒店比大多数私人行业,更应该关注黑客入侵可能带来的实质损害。我们特别注意到,不仅是客户信息系统,还有生活和安全系统(缩写为HVAC),如电梯、电力等等,都可能成为入侵的目标。我们得出结论:财物信息盗窃固然可能影响酒店本身及其声誉;但如果酒店业务的实体安全结构遭到入侵,则可能让酒店倒闭关门。
锁在外面
就在本周,奥地利阿尔卑斯的Romantik Seehotel Jaegerwirt酒店的系统遭黑客冻结,从而导致其计算机系统彻底崩溃,让管理人员束手无策。
这个111年的老店已经遭到黑客的两次攻击。可是这次黑客突破了钥匙卡系统,使得客户无法进入他们的房间,还让酒店前台不能给钥匙卡重新编程。
黑客以交还钥匙卡系统和房间门锁的控制权为筹码,勒索相当于1500欧元的比特币赎金。因冬季刚开始酒店就住满了客人,为了不让酒店的180位客人等待太长时间,酒店的管理者被迫选择了支付赎金,而没有试图寻求其它解决方法。
每当黑客突破一个系统,在薄弱环节被整修完善之前,该系统仍然可能遭到再次侵袭。在此情况下,上述酒店做得很好:他们尽全力搜寻并修复了黑客留下的后门从而尽管让系统恢复了安全。
对酒店的威胁
我们先前就指出,酒店已经成为黑客的重要目标了。在2015年和2016年,几乎每个著名酒店公司都遭到过入侵。可是每次入侵,黑客都是直奔酒店的销售系统窃取客户个人资料。而这次却是第一个例外:黑客通过控制房门密码,已经威胁到了客户的人生安全,后果更为严重。总之,客户安全永远是第一的。
况且,酒店具有错综复杂、互相关联的业务系统。所以,一旦坏人找到了一个系统的入口,就可能侵入酒店的其他系统,从而有机会索取保护费。酒店业主和管理公司需要意识到,这一类情形将会越来越普遍,因为它可以让黑客立即获得“投资”回报。相比于黑客可以立即获利赎金,出售客户个人信息的老作案手法已经黯然失色。此外,通过Romantik Seehotel Jaegerwirt酒店案件我们可以看到,黑客在作案之后,很可能者留下一个后门,为下次作案留有方便条件,从而让他们多次攻击同样的机构。
酒店能够做什么
酒店必须像其他行业那样采取相同的手段以获得数据安全:
- 风险分析。每个行业都不同,因此每个行业都需要分析自己能够承担的风险,以及如何防范其他风险。对于酒店来说,应该考虑系统的拆分(例如不允许从酒店网站进入钥匙卡系统)或者设立应急预案。在Romantik Seehotel Jaegerwirt酒店案例中,该酒店吸取教训,已经决定配置有形钥匙,用于特殊情况。
- 员工培训。不论是疏忽或恶意,实际上每次入侵都是个人行为酿成的结果,。培训员工识别风险并进行防范,是减少网络风险最有效的手段之一。
- 入侵应急预案。无论采取什么技术或者人工防范措施,每个系统处理合法进入的能力都不足以对付非法路径。出事后,再去设计应对方案就太晚了。酒店应像其他行业,必须设计、执行并检验应急方案,并且对其定期更新。
杰美百明律师所的环球酒店专业律师团队与网络安全和隐私专业律师团队共同合作,帮助客户分析并开发应急方案和其他措施,以减少数据入侵的薄弱环节。如需要更多信息,请通过rbraun@jmbm.com邮箱,联系Bob Braun律师。