Articles Posted in Privacy & Security

Published on:

Hotel Cybersecurity: What can happen when hackers strike?

编辑:金百德律师及其环球酒店专业律师团队
翻译:邓威律师
2017年2月1日

黑客入侵、盗窃机密信息,对全世界各行各业均构成重大威胁,酒店行业也概莫能外。实际上,酒店行业更容易因此遭受损害,例如黑客盗取客户信用卡的信息、雇员的个人信息等。另外,酒店在很多其他方面也很脆弱。在最近发生的一次入侵中,黑客并没有盗取信息,而是控制了酒店的技术系统,用来勒索巨额赎金。我的合伙人Bob Braun律师,是杰美百明律师所的环球酒店专业律师团队高级成员和网络安全和隐私专业律师团队副主席,特此为大家讲述黑客入侵的后果是什么,并与我们分享酒店应如何应对这些威胁。

酒店和赎金 —— 特别严重的威胁

作者:Bob Braun

在去年的环球酒店专业律师团队主办的Meet the Money大会上,我主持了一个关于网络安全的小组讨论,题目是网络安全事务对酒店行业的影响。会上的议论之一就是,酒店比大多数私人行业,更应该关注黑客入侵可能带来的实质损害。我们特别注意到,不仅是客户信息系统,还有生活和安全系统(缩写为HVAC),如电梯、电力等等,都可能成为入侵的目标。我们得出结论:财物信息盗窃固然可能影响酒店本身及其声誉;但如果酒店业务的实体安全结构遭到入侵,则可能让酒店倒闭关门。

锁在外面

就在本周,奥地利阿尔卑斯的Romantik Seehotel Jaegerwirt酒店的系统遭黑客冻结,从而导致其计算机系统彻底崩溃,让管理人员束手无策。

这个111年的老店已经遭到黑客的两次攻击。可是这次黑客突破了钥匙卡系统,使得客户无法进入他们的房间,还让酒店前台不能给钥匙卡重新编程。

黑客以交还钥匙卡系统和房间门锁的控制权为筹码,勒索相当于1500欧元的比特币赎金。因冬季刚开始酒店就住满了客人,为了不让酒店的180位客人等待太长时间,酒店的管理者被迫选择了支付赎金,而没有试图寻求其它解决方法。
每当黑客突破一个系统,在薄弱环节被整修完善之前,该系统仍然可能遭到再次侵袭。在此情况下,上述酒店做得很好:他们尽全力搜寻并修复了黑客留下的后门从而尽管让系统恢复了安全。
继续阅读 / Continue reading →

Published on:

Hotel Cybersecurity: Closing the doors before the horses leave the barn

2016年5月10日

在我们最近的洛杉矶酒店融资大会上最为抢眼的活动之一,是由我的合伙人Bob Braun律师组织的、酒店即时新闻(HotelNewsNow)的Jeff Higley先生主持的“网络安全座谈会”。给我印象特别深刻的是网络安全违规的代价有多么惨重、为防止或限制信息外泄可以采取哪些措施,以及预防措施的合理成本等内容。 下面是Bob Braun律师在上周座谈会上的发言摘要,他倡议必须采取以下防范措施……

继续阅读 / Continue reading →

Published on:

Not Just Heads In Beds – Cybersecurity for Hotel Owners

Jim Butler (金百德) 律师 及环球酒店专业律师团队

酒店业主在防范网络攻击方面应当扮演什么角色

一家酒店的成功取决于房客对它的信赖。如果房客得知自己的个人信息在住宿期间被泄露,则这种信赖必将荡然无存。为了防范网络攻击,酒店业主自己能做些什么?他们应该与品牌一起做什么?

在下文中,我的合伙人 Bob Braun 律师提醒酒店业主:由于业主通常要补偿酒店品牌(或酒店管理公司)因客户信息泄露而蒙受的损失,因此业主应未雨绸缪,事先设计周密的预案。该文首次发表在2015年12月出版的《酒店业务观察》上,因各界反响强烈,故转载如下:

今日的酒店行业与往昔大不相同了。传统酒店的成功要素相对简单:好的地点、公平的价格、舒适的环境、优良的服务,便可确保成功。现如今,上述因素仍然重要,但酒店已经不再仅仅是 “躺床上睡觉” 的买卖了。今天的酒店日趋品牌化。品牌商不仅着眼于他们出售的服务和产品,而且也格外重视房客对品牌的认知与体验。这就意味着几乎所有的品牌都需要越来越多地了解如何客户心理,并通过广告、社交媒体等手段来打动客户。从这点出发,酒店近年来收集了大量的客户信息,从信用卡信息到住址、电话号码、旅行计划和偏好、生日等等。这些信息对网络窃贼极具诱惑力。因此,如何避免客户信息泄露,就成了酒店经营的一大挑战。

网络犯罪是一个大买卖。仅在2014年,被发觉的网络安全事故就多达4280万起(除此之外,可能还有更多的未被发觉的安全问题)。据估算,网络犯罪在世界范围内造成的年度经济损失高达3750亿美元到5750亿美元之间。随着网络技术的发展,企业易受攻击的薄弱环节越来越多,而犯罪的花样也不断翻新,如近年的密码勒索赎金等等。

网络罪犯在数年前就将酒店列为攻击目标。2010年福布斯杂志引述 Nicholas Percoco 的话说,“对网络犯罪来说,酒店业是年度的‘特色菜’。酒店拥有大量的信息和宽松的切入口,而且酒店往往要花费很长的时间才能发现入侵。” 这番话给酒店业主的提示是:贼人环伺,酒店必须有所作为。酒店业主不但要提升自身管理水平,从严要求酒店管理公司,更要与保险公司进行沟通,取得 “信息泄露保险”。

温德姆酒店集团案

本案是联邦贸易委员会(FTC)对跨国酒店公司温德姆酒店集团提起的诉讼。FTC 起诉温德姆未能对计算机网络采取适当的安全措施,致使黑客窃取了客户信息,导致超过60万张信用卡记录外流,造成超过1000万美元的经济损失。

温德姆酒店集团辩称,国会并没有授权 FTC 来管理商界的数据安全标准。一审法院判决联邦贸易委员会(FTC)胜诉,温德姆酒店集团上诉至第三巡回法庭。2015年8月24日上诉法院第三巡回法庭做出判决:维持地方法院一审判决,认定联邦贸易委员会(FTC)具有数据保护的权限。这个判决在历史上第一次确认联邦贸易委员会(FTC)是美国的数据安全管理者。

温德姆酒店集团做错了什么?

继续阅读 / Continue reading →

Published on:

FCC says blocking FCC-approved Wi-Fi hotspots is “patently illegal” and imposes $750,000 fine on Smart City.

联邦通讯委员会对两件阻碍Wi-Fi的案件采取强制措施

Jim Butler (金百德) 律师 及 环球酒店房地产专业律师团队

2015年11月2日,联邦通讯委员会就两件阻碍Wi-Fi的案件举行新闻发布会。在一个案件中,联邦通讯委员会宣布对国内最大的电子承包公司——M.C. Dean公司处以71.8万美元的罚款。因为该公司在Baltimore会议中心,阻碍参观者和参展商使用私人手机数据套餐的Wi-Fi“热点功能”,从而迫使他们必须购买该公司的Wi-Fi服务,并支付高昂的费用。

联邦通讯委员会对WI-FI热点提供商M.C. Dean公司处以罚款

据联邦通讯委员会称,作为Baltimore 会议中心Wi-Fi的独家供应商,M.C. Dean公司去年就每个会议活动向参展商和参观者收取多达1095美元的Wi-Fi费用。委员会收到了来自某公司的投诉。该公司提供的设备使用户能够在Baltimore会议中心建立热点并进行了商业演示。投诉称,M.C. Dean公司阻碍了其顾客在会议中心建立热点。收到投诉后,联邦通讯委员会执行局的人员以多种方式探查了事发场所,并且确认阻碍Wi-Fi的行为属实。

联邦通讯委员会执行局的调查证实,去年M.C. Dean公司在Baltimore会议中心实施了数十次之多的阻碍Wi-Fi的行动。在调查期间,M.C. Dean公司承认,其在自己的Wi-Fi系统中启动了“自动阻碍模式”,以阻碍顾客在场所内设立的热点。M.C. Dean公司的Wi-Fi系统使用手册将这种模式描述为“一概屏蔽”。M.C. Dean公司阻碍Wi-Fi的行为对位于场所之外的Wi-Fi的热点也不放过,甚至包括路过的机动车。委员会控告M.C. Dean公司对合法存在的Wi-Fi热点进行恶意干扰,违反了通讯法案第333节。

联邦通讯委员会对希尔顿罚款并给予警告

在另一个通告中,联邦通讯委员会对希尔顿全球控股公司提出25,000美元的罚款。因其“明目张胆地阻挠对其Wi-Fi设备所进行的调查。”有顾客投诉称,希尔顿在阿纳海姆(美国加利福尼亚州西南部城市)对客人的Wi-Fi进行干扰。其他投诉称,在希尔顿品牌下的其他酒店均有类似阻碍Wi-Fi使用的问题。
在2014年11月,联邦通讯委员会向希尔顿发出质询函,要求其提供全国范围内希尔顿品牌酒店基层公司的信息,涉及公司的规章,尤其是Wi-Fi管理实践的惯例。将近一年过去了,希尔顿绝大多数酒店并没有提供该信息。对希尔顿课以罚款的通告,还包括要求希尔顿立即提交有关Wi-Fi管理实践的基础信息和文件的命令,如果希尔顿继续阻挠或拖延,将面临更高额的罚款。 继续阅读 / Continue reading →

Published on:

What every hotel owner (and operator) needs to know about “data security” after the Wyndham Worldwide case

Jim Butler (金百德)律师及 环球酒店房地产专业律师团队

房客私人信息流失,酒店应承担什么法律责任?

随着保密数据被窃事件爆增,且危害程度加剧,最低安保标准也要水涨船高。酒店经营者必须闻风而动。有意思的是,2015年8月24日上诉法院就温德姆酒店案件做出的判决,成为最新的处理此类事件的指导原则,给酒店业敲响了警钟。这个案子如何发生的?每个拥有保密数据的业者需要采取什么基本措施?如果不这样做会有什么法律后果?

杰美百明律师所的合伙人Bob Braun律师撰写的下面这篇文章将告诉读者,现在的形势如何,以及该案件对我们酒店业意味着什么。

联邦贸易委员会(Federal Trade Commission)诉温德姆酒店集团案——对酒店业主意味着什么

作者:酒店律师和数据安全顾问Bob Braun

案件背景

2015年8月24日,上诉法院第三巡回法庭就联邦贸易委员会(FTC)诉温德姆酒店集团一案做出判决。这个案子被数据安全界高度关注,各界期待着法院对联邦贸易委员会(FTC)规范数据安全标准的权限做出指导性判决。然而对本案最关注的群体,莫过于酒店业主。毕竟这个判决与零售商、银行或网站没有什么关系;本案所针对的是一个酒店业的巨鳄——温德姆酒店集团。本案对于酒店行业影响之深远,可想而知。 继续阅读 / Continue reading →

Published on:

酒店律师 | www.HotelLawBlog.com网站作者
2014年1月14日

酒店律师:涉及客户敏感性信息的安全漏洞问题日益严重。

最近关于Target公司和Neiman Marcus公司客户信用卡安全漏洞的头条新闻,使得酒店业主和经营者以及零售商所担忧的危机日益加剧。在本文中, Bob Braun就如何处理这一问题提出了自己的见解,Bob Braun是Global Hospitality Group®的高级合伙人之一,除了酒店管理或特许协议相关工作以外,他还专注于数据安全。

继续阅读 / Continue reading →

Published on:

酒店律师 | www.HotelLawBlog.com网站作者
2013年4月11日

酒店律师将帮您应对您的专有信息和敏感性企业信息所面临的技术挑战。

持续发展的技术继续表现为一把双刃剑。其中一面是为信息管理带来极大的成本节约、效率和能力,另一面是让人畏惧的信息安全和隐私问题。在下文中,Global Hospitality Group®的两名律师谈到了位于纽约的联邦第二巡回上诉法院最近做出的法院判决,该判决对餐饮酒店业中的每一位雇主而言都具有重要意义。该判决提醒我们,有效的员工手册和公司政策对于您保护有价值的业务信息和电子数据而言很重要。

继续阅读 / Continue reading →

Published on:

酒店律师 | www.HotelLawBlog.com网站作者
2013年1月5日

酒店律师关于最新隐私法律会对您在营销中使用的移动应用程序产生哪些影响的警告。

酒店律师Robert Braun的警告可能会使您免于遭受不必要的集体诉讼或棘手的诉讼(或强制执行)。尽管加利福尼亚州首席检察官是先行者,但这种方法将会影响到那些即使在加州只有一名客户的公司,因此,有可能会影响到美国境内餐饮酒店业的大多数公司以及美国境外的许多公司。

《加州网络隐私保护法》没有定义“在线服务”,也没有提及“移动”或“智能电话”应用程序,这可能是因为,智能电话和移动应用程序在2004年刚刚开发出来。但是,加州首席检察官认为,通过因特网提供的或与因特网相连的任何服务(包括移动应用程序)都是“在线服务”。

继续阅读 / Continue reading →

Published on:

酒店律师 | www.HotelLawBlog.com网站作者
2012年10月7日

酒店律师关于酒店在未能保护顾客个人信息时所负责任的建议

我的合伙人Robert Braun向酒店业主提供各种运营问题(包括信息管理)咨询服务。由于顾客在酒店停留期间会经常使用信用卡,以及对WiFi的需求日益增加,越来越多的酒店成为身份窃贼的目标。在下文中,Bob解释了为什么酒店对这一新的顾客安全问题负有责任,以及酒店如何才能够保护其顾客的身份信息。

酒店保护顾客信息和身份的责任
您需要知道什么
作者
Robert E. Braun | 酒店律师

本文最初发表在2012年9月21日发行的《酒店经营》(Hotel Business)杂志中,经许可后,转载于此。

不久以前,保护顾客信息的安全是一件非常容易的事,这也许是大多新建的酒店都为保管贵重物品提供了一个室内保险箱。在当时,这种方法是可行的,因为顾客安全只是保护顾客人身及其财务安全的问题。

酒店业现在意识到,酒店顾客需要保护的贵重物品远不止手表和钱包、或手提电脑和平板电脑,也许酒店顾客最为贵重的信息是他(她)的身份,除非酒店积极地予以保护,否则,这些贵重物品都处于危险当中。无处不在的信用卡、无线网络和其他设施对酒店经营而言必不可少,但这也是不安全的根源所在。

酒店成为目标

酒店很容易成为身份盗窃和财物盗窃的目标,原因有很多。酒店通过信用卡处理业务,这些信用卡被存案备查,客人在其停留期间可能会多次使用。在收取夜间房费用、房间服务费、酒吧或餐厅费用、SPA费等费用时,信用卡付费情况有可能会被记录。每一次收费都会成为身份盗窃犯通过复杂的电脑黑客程序和其他恶意软件来窃取信息的机会,且通常情况下,酒店都毫无察觉。

必须满足顾客的需求是另一个不安全的根源。身份盗窃资源中心指出,“上网是许多人日常生活的组成部分。这导致了对公共WiFi的需求增加。”因此,酒店不得不提供无线因特网服务,且该服务通常是不安全的。但是,不安全的无线网络“就像您将最重要的私人文档放在街道上让所有人查看一样危险。黑客可以轻易地进入不安全的无线网络获取财务信息、业务记录或敏感电邮。”(《个人电脑世界(PC World), )“让无线网络安全”。此外,酒店对这一问题几乎没有发言权。因为顾客要求获得无线因特网服务

最后,酒店有员工(许多员工),其中有很多员工都有权访问顾客的信用卡和其他私人信息。不论培训和监管如何有力,人越多,风险就越大。事实上,较低级别的员工通常也有权访问关键顾客的信息,另外,从历史数据来看,酒店员工流动率很高,这加剧了问题的严重性。

一些安全研究人员已经指出了黑客对餐饮酒店业的一波攻击。2010年,网络安全顾问Trustwave发现,在调查对象中,38%的酒店和度假村遭受到网络入侵者的成功攻击,尽管这些公司仅占其顾客人数的3%。不同酒店的安全漏洞数量也各不相同。

Wyndham酒店案件

2012年6月,联邦贸易委员会对Wyndham酒店提起诉讼,声称Wyndham酒店未如实陈述其预防计算机黑客入侵的安全措施。联邦贸易委员会在其新闻稿中声称,Wyndham酒店使其顾客的资料处于一种“不公平和欺骗性的”并缺少保护措施的境地,从而导致该酒店及其三家子公司出现一系列安全漏洞。诉讼中描述了自2008年起对该酒店连锁和特许店的三次黑客攻击,其中第一次黑客攻击导致了该酒店公司保存的500,000份信用卡信息被泄露,随后发生的黑客攻击导致了位于其他地点的50,000份和69,000份客户信息被泄露。

联邦贸易委员会诉讼的关键在于,被告Wyndham酒店未能采取常用的和众所周知的安全措施。联邦贸易委员会指出,Wyndham酒店未能使用复杂的密码,其设置的网络没有将企业网络与酒店网络分开,且其使用了“不合适的软件配置”,从而导致敏感性支付卡信息在未加密的情况下被保存。联邦贸易委员会在诉讼中将这些不合法情况与Wyndham酒店的隐私政策进行了比较,并在其中称,Wyndham酒店 力求“认识到保护所收集的个人(可识别的)隐私信息的重要性,这些信息包括与顾客、主要预定中心的访客、网站访客和酒店忠诚计划的参与人相关的信息,”并承诺使用有效的加密技术和防火墙。

Wyndham酒店准备应对联邦贸易委员会提起的诉讼,像这样的高调诉讼会使酒店公司在竞争中陷入不利地位。如果大家知道某连锁酒店的锁或室内保险箱存在缺陷,则顾客在预定房间之前会再三考虑。不能保护顾客的财务和个人信息的连锁酒店,会很容易受到攻击。

除了顾客信息以外

尽管顾客信息安全是一个关键问题,其漏洞导致信息在顾客不同意的情况下被不当公开,但酒店业主和经营者应注意,还有其他有价值的信息需要保护。餐饮酒店业是一个高度竞争的行业,因此,酒店业主和经营者必须采取措施来保护其业务信息和商业秘密。这种信息可能包括定价策略和收入管理政策、营销计划、菜单和其他食物和饮料业务,其中最为敏感的信息是员工信息。因疏忽而导致信息泄露时,可能会给酒店或经营者造成无法弥补的损害,因此,必须采取措施来保证竞争性事项和机密事项的安全。

另一个通常被酒店经营者忽视的潜在问题是社交媒体的影响力。在Facebook、Twitter、Tripadvisor和其他社交媒体网站中发布的帖子,通常被视为不如“正式”通信重要的信息。但是,酒店可能会被判定对这些信息负责,其中既包括公司特意发布的信息(例如,对客户评论的答复),也包括未经授权而被发布的信息(例如,由酒店雇员发布的信息)。

我该怎么办?

确保顾客信息和企业信息的安全是一项重要任务,每家机构为实现环境安全而必须采取的措施都各不相同。但是,所有的公司均应了解一些基本的、对信息安全而言必不可少的考虑因素:

  • 酒店经营者应盘点保存在计算机、服务器和手提电脑中的潜在敏感性信息和文件。
  • 经营者和业主应将敏感性信息保存在最少数量的计算机或服务器中,并确保将其分开保存 — 数据的副本越少,就越容易保护。
  • 利用加密技术来保存数据,并确保用于接收或传送信用卡信息和其他敏感性数据的连接线路安全可靠。
  • 在联邦贸易委员会起诉Wyndham酒店的案件中,其关键诉讼理由之一是,Wyndham酒店声称其已采取了有效的隐私保护措施;因此,公司应设计、制定并执行有效的隐私政策,包括关于使用社交媒体的政策,并应小心谨慎,不要夸大措施的效果。记住 – 任何制度都不是绝对安全的。
  • 在运行无线系统时,使用较好的防火墙软件和安全可靠的无线连接方式。
  • 对于内部通讯和信息,使用加强密码保护敏感性数据,并定期更改密码。
  • 很多(如果不是大多数)计算机系统和服务都是由供应商负责操作,请检查他们的安全实践。

最重要的一点是,酒店公司必须承诺确保其公司和顾客的敏感性信息的安全,并寻求专业咨询师和顾问的帮助。信息安全是一个相对较新的、变化很快的领域,需要您具备专业知识;今天的投资可以保护您免于在以后因为错误而成为头条新闻。

您可以通过如下方式访问Hotel Law Blog网站上关于数据处理技术、隐私与安全的全部资料:进入主页,选中顶部的“酒店法律主题”标签,然后点击下拉菜单中的“数据处理技术、隐私与安全”……或点击这里。

 

如下所列是JMBM的全球餐饮酒店行业律师团队撰写的部分文章:

目标数据安全漏洞对酒店经营者而言意味着什么

网络安全警告:如何使您的专有信息不被员工看到

酒店律师隐私警告:您的酒店移动应用程序符合最新的在线隐私规则解释吗?

酒店对顾客信息的责任 – 您必需了解什么以及如何避免责任

关于JMBM的华人投资集团™

JMBM Global Hospitality Group®和华人投资集团™的律师为华人投资者在美国的投资活动提供法律和商业建议。他们帮助华人投资者识别、分析、评估、验证、收购、融资和管理酒店和不动产商机。具体包括尽职调查、购买与销售结构和文件、美国不动产(尤其是酒店、多功能酒店、多户住宅建筑和商用不动产)开发和重新定位。

Click here for the English Version

Click here for the English version

Picture of Jim Butler Jim Butler 是JMBM的创始合伙人,也是JMBM Global Hospitality Group(r)和华人投资集团TM的创始人兼主席。他是世界知名的顶级酒店律师之一,独著或与他人合著的书籍有《酒店管理协议与特许连锁协议手册》(The HMA & Franchise Agreement Handbook)、《关于如何购买酒店的手册》(How to Buy a Hotel Handbook)和《贷款人手册》(Lenders Handbook)。Jim带领Global Hospitality Group(r)为客户处理了价值超过680亿美元的酒店交易,其中涉及位于世界各地的1500多处酒店房产。在为亚洲投资者提供代理和咨询服务方面,Jim已有30多年的丰富经验,在最近五年主要为华人投资者提供服务,因为华人国民和公司在美国开展的海外投资活动急剧增多。 +1-310-201-3526 jbutler@jmbm.com

这是Jim Butler(金百德)律师的签名。我们在代理酒店业主、开发商、投资人方面,具有无与伦比的经验。我们已经为客户完成了价值超过710亿美元的酒店交易,遍及世界各地1600多处酒店房产。如果需要了解更多信息,请通过JButler@jmbm.com或+1-310-201-3526来和Jim Butler(金百德)律师取得联系。

备注:Jim Butler(金百德)是杰美百明律师事务所 (JMBM) 的创始合伙人,同时也兼任环球酒店房地产专业律师团队®的总负责人。Jim是世界知名的顶级酒店律师,在业界享有盛誉。在Google上搜索“酒店律师”,您就会一目了然。Jim及其团队不仅仅是著名的酒店律师,他们也是餐饮酒店行业的咨询师和商业顾问。他们能为您寻找到投资商机,并撮合达成交易。