酒店行业信息安全现状很糟糕

hotel-infosec-conference
前些日子国内知名的漏洞库乌云平台披露了大批快捷酒店开房记录可轻易被下载,提供酒店WIFI服务的浙江一家公司被批安全意识不足,未对验证过程中传输的数据进行加密。

其实这只是冰山一角,我们举例来讲,酒店业信息量最大的无疑是公安上传平台,出于监管和打击可疑犯罪人员的目的,公安系统要求所有酒店必须在15分钟之内将住客身份信息上传至公安系统,这个黑客都不敢动的监管平台是否安全呢?估计除了公安,就是软件厂商心知肚明了。

如果说开房住店使用WIFI等可能泄露个人信息,那酒店里的安全问题可多了。先谈一谈酒店与信息数据的关系,现在智能酒店很依赖信息化,特别是大型的高档酒店,信息系统出现严重故障会让酒店罢工。根据酒店管理系统模块使用量的不同,可能会让住客办不了入住手续、上不了楼、进不了房间、出不了门、结不了帐、退不了房……

您可能觉得酒店管理系统没那么脆弱,实际上比您想像中的更脆弱,像摇摇欲坠的墙,只差人去推一把。酒店IT人员一般不会去推的,他们往往比较辛苦,但是实话说酒店行业IT待遇太差,所以高手一般都不愿呆在那儿,入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护,而厂商的人员会在自家的管理系统中埋个逻辑炸弹么?当然有可能,特别是想让酒店续费或升级之时。不过也不要以为酒店管理系统的工程师水平有多高超,就是系统支持,弄台服务器,安装个服务器端软件,搞个培训嘛!没事儿折腾那东西干什么?产品中设置一个授权时间,到时报警或停用不就得了,用得了下逻辑炸弹?

除了酒店管理系统的前台和客房模块,会员、预订、收银、门禁等模块也往往在前台操作,安全监控系统往往和消防等等是独立给安全部门的,较少有整合。国内多数酒店的业务工作流和信息数据流还不够完全无纸化,所以在信息架构上也还不科学,比如工作用的酒店管理系统多数还没有连接到互联网,老板经理们可能担心酒店员工上网而不好好工作,特别是在夜班人少的时候。那问问看:如何将线上预订数据传入酒店管理系统呢?要么手工,要么打通一个网络层面和API应用层面的通道。手工效率低下且容易出错,使用信息流则可能会引来安全隐患。

一般来说,客人能够使用的信息服务和在网吧没有本质的区别,所以酒店至少要有两套隔离的网络,一套自家用,一套给客人连接到互联网。一般来讲,客人不会接触到酒店自家使用的网络信息系统,但是实际上勇敢地去尝试一下并不难找到突破点,除非您是黑客,您的兴趣只在搞一搞其他的住客,在一个“网吧”里当然要比搞互联网上的人们要容易点。

不过,如果您找到了酒店自用网络的接入点,金矿就来了,除了业务部门如销售和服务部门如客房之外,最有价值的地方可能就是财务部门和IT部门了。由于我不是来教唆黑客们到酒店时使坏的,尽管您可以披着“渗透测试”的外衣,去轻轻松松地拖几个数据库和复制一批住客的信息。

酒店行业并不仅仅只是提供个客房服务,餐饮、会议是基本的,休闲SPA、宴会、温泉、健身等等各家酒店能提供的服务也各有差异,这些也都多使用着信息化,至少收银台有电脑打打单据……这里面的信息安全问题也很糟糕,问题不仅仅是终端安全或酒店的信息系统,相关的管理软件安全问题不容忽视。

究其原因,软件公司和程序员不遵守软件开发的基本准则,在功能上急于争先,在安全上刻意忽视,造成后期问题爆多、维护工作量巨大、安全隐患日益突显。想要快刀斩乱麻,规范化的IT管理很重要,酒店IT管理人员应该注意短痛不如长痛,评估和选用经过科学认证的管理系统,替代高危的软件,并且加强员工们的信息安全意识教育,保障终端安全,防范黑客入侵和窃密。

Similar Posts: