當前位置:海南环岛赛有直播吗 > 主營業務 > 內部控制體系構建、設計服務
【原創 · 舞弊案例】酒店系統被入侵,信息安全無小事
發布時間:2019-12-31 16:24:37
案例回放

    酒店系統屢次成為黑客攻擊的對象,讓住客信息安全受到威脅。北京商報記者10月15日獲悉,最近,全球11個國家的41家凱悅酒店支付系統被黑客入侵,大量數據外泄,這也是自2016年1月后,該酒店集團發生的第二次嚴重數據泄露事件。據統計,中國共有18家凱悅酒店受到影響,是這次事件中受影響最大、數量最多的國家。泄露的信息包括住客支付卡姓名、卡號、到期日期和驗證碼。

    據公開消息稱,這些未經授權訪問的客戶支付卡數據,是從3月18日-7月2日之間在一些凱悅酒店前臺通過手工方式輸入或刷卡的。而這次數據泄露的原因,是由第三方將含有惡意軟件代碼的卡片插入一些酒店IT系統,通過酒店管理系統的漏洞獲取數據庫的訪問權限,提取與解密后,獲得用戶的私人信息。據悉,凱悅Hyatt酒店集團總部位于芝加哥,旗下酒店品牌包括柏悅、君悅、凱悅等。該公司官網顯示,目前中國共有51家酒店。對于凱悅集團的第二次數據泄露,北京商報記者聯系了該集團中國地區的相關負責人,截至發稿未得到回復。

   實際上,早在2016年1月,凱悅酒店集團已經遭遇過支付卡數據等信息泄露事件。據了解,第一次泄露波及全球約50個國家的250家酒店,約占凱悅運營酒店數量的40%??靡蒼腥洗嬖諭綈踩┒?。

     事件發生之后,凱悅曾公布了補救對策,“為了解決問題,增強我們系統的安全性,防止將來再次發生類似事件,我們已迅速與卓越的第三方網絡安全專家合作。我們還通知了執法部門以及支付卡網絡。最重要的是,我們希望您保持警惕,密切留意您的支付卡賬戶結算單。若發現任何未經授權的消費,請立即向您的發卡機構報告”。此外,凱悅酒店已為受影響的客戶安排CSID(欺詐檢測解決方案和反欺詐技術的供應商),無償提供一年?;し?。

    近年來,國內外酒店發生的客戶信息遭黑客竊取事件不在少數。2015年11月,希爾頓與喜達屋集團都披露它們的支付處理系統遭受了不明來歷的黑客攻擊。除此之外,豪華連鎖酒店Trump SoHo酒店同樣也確認了一起數據泄露事件。

     業內人士曾坦言,酒店業的銀行卡交易業務量比較大,這就為黑客進行身份信息盜取提供了便利;此外,酒店經常把內部計算機系統和別的系統連接,容易帶來安全隱患,加之酒店員工流動頻繁、安防培訓工作不到位等,讓酒店成了個人信息泄露的重災區。

     北京市華泰律師事務所律師張禹認為,如果酒店自身的系統存在漏洞,可能會承擔一部分民事責任。但如果是委托其他公司來運營,責任將無法判定,只能查明泄露的原因?;讕頻旯宋駛故紫豆?、高級經濟師趙煥焱表示,酒店與黑客和信息犯罪的較量是長期的,及時發布消息可以讓消費者避免損失。

 

 

案例分析

 

1IT安全應有效防護

 

 

     本案中,黑客將含有惡意軟件代碼的卡片插入一些酒店IT系統,通過酒店管理系統的漏洞獲取數據庫的訪問權限,提取與解密后,獲得用戶的私人信息。從案例中可以清晰地看出本次案件發生黑客們利用就是凱悅信息系統的設計缺陷。首先凱悅酒店作為連鎖酒店,知名度較高,其客流量較大,銀行卡交易業務量也相信較多,前臺的信息系統是與外界關聯最高的系統,也是最易受到黑客攻擊的系統,因此這類外部系統日常的運行與維護應當更加引起重視。其次酒店內部系統經常與別的系統連接,當有更多外部系統接觸到內部系統時,其安全隱患也成同向增加。

     凱悅酒店作為一家連鎖經營企業,本次信息泄露不是一家酒店的問題,而是多家酒店一起發生,不是一家酒店的內控存在漏洞,而是總部對信息系統管理存在疏忽和漏洞。根據《企業內部控制應用指引第18號-信息系統》要求:企業應當綜合利用防火墻、路由器等網絡設備,漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段,加強網絡安全,防范來自網絡的攻擊和非法侵入。在系統開發后,就進入了系統的日常運營和維護階段,公司應當設置專人負責系統的定期維護工作,如凱悅酒店等業務較多,涉及客戶個人關鍵信息龐雜的公司,每年維護檢查的次數也應當視情況(如節假日等客戶數量浮動明顯的特殊情況)增加。對于與外部系統接觸較多的內部計算機系統,應當定期開展信息系統風險評估工作(重要信息系統至少一年2~3次),采取自評估和檢查評估兩種形式,識別出信息系統面臨的風險,對風險進行排序,測試已有控制措施是否有效,根據風險偏好為新增風險建立控制措施。

2員工培訓應及時到位

 

 

     本案中,信息泄露的源頭是前臺信息系統被黑客利用并攻陷,經查證那些未經授權訪問的客戶支付卡數據,是一些凱悅酒店前臺通過手工方式輸入或刷卡的。因此前臺人員作為信息系統的使用者其操作不規范以及風險意識較弱也是該案件發生的直接原因之一。根據案例顯示,凱悅集團并不是第一次發生信息泄露,其事后采取的措施也大多是對現有系統的改進,而沒有關注到系統直接使用者的操作規范問題。

    《企業內部控制應用指引第3號-人力資源》要求:企業應當重視人力資源開發工作,建立員工培訓長效機制,加強后備人才隊伍建設,促進全體員工的知識、技能持續更新,不斷提升員工的服務效能。員工培訓應當覆蓋關鍵崗位、新員工等群體,培訓內容應該完整,定期開展員工培訓活動,增強其安全防范意識??鎂頻昴誆吭憊びΦ繃粢夤絲偷囊斐R?,根據集團規定制度進行規范操作,對在運行信息系統時發現的異常情況及時上報部門經理,向專業技術人員咨詢并處理。

 

3誠信文化應大力宣貫

 

 

     本案中,第三方將將含有惡意軟件代碼的卡片插入一些酒店IT系統,通過酒店管理系統的漏洞獲取數據庫的訪問權限,提取與解密后,獲得用戶的私人信息。反映出凱悅對人員的道德素質教育方面存在疏漏。在酒店的日常運營過程中,可能缺少對合法合規觀念的灌輸,沒有關注酒店員工的法律意識,在本案中就表現為IT人員合規法律意識淡薄。

     企業文化作為公司的軟實力,是企業凝聚力和競爭力的重要源泉?!鍍笠的誆靠刂樸τ彌敢?號-企業文化》要求,“企業文化建設應當融入生產經營全過程,切實做到文化建設與發展戰略的有機結合,增強員工的責任感和使命感,規范員工行為方式,使員工自身價值在企業發展中得到充分體現。企業應當加強對員工的文化教育和熏陶,全面提升員工的文化修養和內在素質?!北敬偉訃每迷諫顯獾攪搜現廝鶚?,可能會讓凱悅遭受一定的客戶流失,想要重新建立起在客戶心目中的形象,貫徹誠信的企業文化是根本。

 

4點評

 

 

     信息系統對現代企業來說是一把雙刃劍,用的好能大大提升企業的經營效率,用的不好也能在一夕之間給企業造成巨大損失。本案例中凱悅看似沒有遭受資金損失,但是其對企業信譽的影響才是關鍵。因此,在信息系統上線運行前以及日常管理過程中,企業都應該認真對待,凱悅酒店已經在同一個坑中掉過兩次,事不過三,應當吸取教訓加強對信息系統的管理控制。

 

 

Copyright @2017 All rights recerved 會計與審計信息咨詢(培訓)服務平臺 版權所有 吉ICP備17004144號
技術支持:赤峰市峰之泰商貿有限公司 0476-5881999