A vendégfogadással (hospitality) kapcsolatos digitalizációs vízió (lásd a témát feldolgozó sorozatunk előző cikkét) egyik sarkalatos kérdése a biztonság. És hogy mennyire az, jól mutatják azok a kibertámadások, melyek az iparág fontos szereplőit érték világszerte. Az ilyen támadások okozhatnak közvetlen gazdasági károkat, de ebben az iparban hasonlóan súlyosak lehetnek a közvetett károk, melyeket például az ügyfélbizalom romlása okoz.
Nem triviális a megoldás
A kiberbiztonság kimaxolása egy szállodában bonyolult folyamat (és nem állapot!). A szállodaipar ugyanis komplex, amelynek fontos szereplői (a vendégek) folyamatosan cserélődnek, és hoznak újabb és újabb ismeretlen eszközöket egy olyan hálózatba, ahol érzékeny adatok nagy tömegét kezelik (személyes adatok, fizetési információk, bankszámlaszámok, kártyaadatok, beszállítói információk, ERP-adatok stb.).
Ma már a vendégek alapvető elvárása, hogy akár munkához, akár kikapcsolódáshoz a szálloda egész területén, a szobában ugyanúgy, ahogy a wellness-részlegben gyors – és biztonságos! – nethez jussanak. Ez pedig eleve sokrétű kockázattal jár.
Először is: kockázatot hordoz az ismeretlen, nem menedzselhető eszköz. Lehet ugyanis fertőzött is, így megfertőzhet más csatlakoztatott eszközöket, vendégekét, szállodáét egyaránt. Felelősségi vitákhoz vezethet, ha egyesek ellenőrizetlen módon illegális tartalmak letöltésére használják a szállodai hálózatot. Végül, de nem utolsósorban mindez pénzkérdés is: a hálózati sávszélesség nem végtelen, egyesek "túlhasználata" (sávszélesség-igényes alkalmazások futtatása, filmletöltés stb.) ronthatja a többi vendég felhasználói élményét. A bővítésre természetesen van mód, de nagyobb sávszélesség nagyobb költséget is jelent.
Ezeket a kockázatokat érdemes minimalizálni (azért minimalizálni, mert tökéletes biztonság nincs, tehát a kockázatok bizonyos mértékig mindig fennállnak). Az okos szálloda azonban nem barkácsol, elvégre nem a kiberbiztonsághoz, hanem vendéglátáshoz ért, ezért a kiberbiztonságot (is) szakértőre bízza. Például eleve olyan wifi-rendszert vásárol, amelyhez van legalább egy alap biztonsági menedzsment, amit esetleg lehet fejleszteni, bővíteni.
Öt alapvetés a biztonsághoz
Az alábbi öt szempont figyelembevételével meg lehet teremti az alapvető biztonsági szintet, amely igény szerint tovább is fejleszthető.
1. Hálózatszegmentálás. Első és legfőbb szabály, hogy a vendégek ellenőrizhetetlen eszközei nem kerülhetnek kapcsolatba azzal a hálózattal, melyen a hotel belső működését segítő rendszerek futnak. A két területnek (vendég wifi, szállodaüzemeltetés) eleve mások a technikai követelményei, más biztonsági szabályokat kell érvényesíteni stb. Ezzel a módszerrel a két hálózati szegmens közötti adatáramlás szigorúbban felügyelhető.
A szegmentálás abban is segít, hogy az eltérő funkciójú hálózati szegmensekre sokkal pontosabb, egyértelműbb és követhetőbb használati szabályokat lehet kialakítani.
2. Wifihasználat csak azonosítás után. Ha nagyobb biztonsági szintet szeretnénk, tilos engedélyezni, hogy azonosítás nélkül lehessen használni a hálózatot. Az ingyenes wifi nem azt jelenti, hogy bárki, aki megáll a szálloda előtt, szabadon netezhet a szálloda költségén. Amellett, hogy ez súlyos biztonsági kockázatot jelent, rontja a szálloda vendégeinek a felhasználói élményét.
3. A jelszó helyett bejelentkezési platform. A bejelentkezési platformmal kiküszöbölhető a hozzáférési jelszó és annak kockázata (gondoljunk bele, mennyire biztonságos a kávéházi wifi, aminek a jelszava ott figyel az itallap hátoldalán...). Még a legegyszerűbb azonosítást, például egy mailcímet használó bejelentkezési oldal is jobb, mint egy univerzális jelszó. Egy ilyen oldal ráadásul alkalmassá tehető, hogy egy opt-in mezővel megfejelve marketingcélokra begyűjtse a vendégek emailcímét. A módszer további haszna, hogy már ezzel is beazonosíthatók a jogszerűtlen forgalmazások.
Ennél jóval magasabb biztonsági szintet ad a szerepalapú beléptetés (szakzsargonban RBAC, azaz role-based access control). A bejelentkezés során a vendégekhez szerepköröket kell rendelni például a vendég (vezeték)neve és szobaszáma alapján. Ez a módszer arra is alkalmas, hogy különböző szintű hozzáférést biztosíthasson a szálloda az üzleti utazónak vagy egy nyaraló családnak, sőt a visszatérő vendégeknek (hűségjutalom) például lehet prémium wifit nyújtani. Ennek a módszernek az előnye, hogy a sávszélesség jobban allokálható az igényekhez.
Öt szabály szállodában wifizőknek
Utazás előtt
1. Minden magával vitt eszközén (telefon, tablet, notebook) állítsa be a legmagasabb biztonsági szintet, és kapcsolja ki azokat a funkciókat, melyek automatikusan csatlakoztatják a gépét bármely megtalált nyílt wifi access pointhoz. Kapcsolja ki a Bluetooth adaptert is.
2. Módosítsa azokat a jelszavait (email fiók, közösségi oldal, online bank stb.), melyekbe utazása alatt esetleg be kell lépnie. (Utazás után ismét módosítsa!)
3. Frissítse a rendszerét! Telepítsen minden javítást (operációs rendszer, alkalmazások), hogy minimalizálja a támadási felületet.
Szállodában
4. Tudja meg a wifihálózat hivatalos nevét, mielőtt belépne, és még ha jelszóval vagy más módon védett is, tekintsen rá úgy, mintha a reptéri wifin lógna. Csak alacsony kockázatú oldalakat látogasson. Ha mégis azonosítást kérő oldalakat kellene használnia, kizárólag VPN-en (Virtual Privat Network) keresztül lépjen be.
5. Minden esetben ellenőrizze, hogy helyes-e a böngésző címsorában az URL!
4. Az elérhető legmagasabb biztonsági szint alkalmazása. A wifi hálózatok jelenlegi biztonsági szabványa a WPA2 (a WPA a Wi-Fi Protected Access kifejezésből képzett betűszó), amely 256 bites titkosítást használ a hálózati forgalom megvédésére. A ma gyártott hálózati eszközöknél már ezt alkalmazzák, de a régebbi, a gyártója által még támogatott berendezések is alkalmassá tehetők rá firmware-frissítéssel vagy -cserével. A firmware-t egyébként ettől függetlenül illendő azonnal frissíteni, ha a router vagy AP (access point) gyártója kiad hozzá javítást.
5. Azonnal cserélje le az alapértelmezett jelszavakat. Soha ne használjon a hálózati eszközökhöz a gyártó vagy a szállító, integrátor cég által megadott jelszót. A hálózati eszközök telepítéséhez és beállításához a gyártók adnak jelszót a router felületére történő bejelentkezéshez (ez gyakran admin/admin), valamint a wifihez is. A birtokba vétel utáni első és legfontosabb lépés ennek a két jelszónak a módosítása. Használjon erős jelszavakat (véletlenszerű kis- és nagybetűk, számok és szimbólumok kombinációja), és ha nem tudja megjegyezni, tárolja valamilyen jelszókezelő alkalmazásban.
Az öt alapelv betartása mindazonáltal csak a vendégek aktív bevonásával érhet célt. Ezért nagy figyelmet kell fordítani a bejelentkezés során, hogy az érkezők megfelelő tájékoztatást kapjanak a wifihasználati szabályokról, kockázatokról, valamint arról, hogy mit tehetnek ők adataik védelmében (lásd a keretes szövegrészt).
A jövőálló digitális megoldások sikere az üzleti értékteremtésben mérhető
Az informatikai fejlesztések gyakran technológiai kérdésként jelennek meg, pedig egy kódsor vagy digitális megoldás önmagában soha nem lehet végcél. A 4D Soft több mint 35 éve ennek szellemében fókuszál a projektek negyedik dimenziójára: az üzleti értékteremtésre.
a melléklet támogatója a Clico
A hibakeresés nem egyenlő az alkalmazásbiztonsággal
Építsünk olyan AppSec környezetet, amely csökkenti az alkalmazásfejlesztés kockázatait, de nem válik a gyors leszállítás akadályává!
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?