迈点网

根治酒店信息泄漏 期冀怎样“尚方宝剑”?

迈点网 · 张兴国专栏 · 2018-12-06 13:44:29

黑客对酒店业信息系统的攻击绝不是游戏,盈利是黑客的终结目标。

  11月30日,酒店业因信息安全丑闻又一次被狠狠地摔在了光天化日之下,世界酒店业巨头万豪自曝旗下的喜达屋客房预订数据库被黑客入侵,5亿条客人信息或被泄漏。

  联想到这几年连续不断的国内酒店信息安全事件,人们的信心被彻底摧毁。如果说国内酒店业泄密事件发生可以用因安全投入不足、管理不严、法制观念不强等原因解释,那么世界酒店业第一老大的表现又做如何解释?是整个酒店业都病入膏肓了吗?

  同样在数字化应用很广的银行、通讯、电商业,这类丑闻为什么相对较少,是这些行业的信息安全技术和投入比酒店业更高更多吗?用什么样的方法可以治疗酒店业信息安全的沉疴,使其达到到一个相对安全的状态?

  面对酒店泄密事件,简单地抱怨、肤浅的分析、愤怒的诅咒、就事论事的技术补偿无济于事,因为万豪不会是最后一个,我们可以拭目以待。

  众所周知,黑客对酒店业信息系统的攻击绝不是游戏,盈利是黑客的终结目标。

  酒店业之所以成为黑客的众矢之的,原因就在于酒店信息含金量特别高,而攻击的成本和风险特别的低。以酒店业多次泄漏的信息为例包括姓名、住址、邮箱、电话、护照号码、银行卡号、密码、会员积分,客史等等。有人说这些信息非常隐私,但获取隐私不是黑客的动机,信息含金量才是黑客的利益所在。这些信息的价值远远高于或等值于电信、电商等行业。特别是当获取客人会员机密后,通过偷窃会员积分,所获利益和偷盗银行账号里面的钱财完全等价。然而攻击银行系统和攻击酒店系统,所承担的法律风险哪一个更大?可谓有天壤之别。只要这种系统风险差别存在着,黑客对酒店业信息资源的特别眷顾将永远持续着。同样,可以预计,随着电商业线上营销等发展,其会员系统逐渐发达,受到黑客攻击的机率业在升高之中,只是时机的问题,今年五月美团、顺丰的信息外泄就是“风起于青萍之末"的显示。

  每当酒店信息泄漏时,有舆论指责酒店业自居于“传统服务业’,对信息安全意识淡漠、投入吝啬、对客人的隐私关切马虎。更有奇怪的现象是:万豪事件曝光后,国内评论中很少有人尖锐批评,但对华住却多的是口诛笔伐。其实比较下两个公司对事件的态度,就可看出它们对泄漏事件的态度有很大的不同:万豪(喜达屋)主动披露的泄密是早在4年前就已发生的;华住在事件发生后的第一事件披露并立刻报案的。且两件事件泄漏的信息量都是5亿条,是巧合还是另有玄机?万豪的5亿条是自己确认的,而华住的所谓5万条信息只是黑客的号称,网警查证的只有1万条,且开房数据中大多数是无法匹配的,因此更像是黑客为扩大讹诈效果而有意夸张的一个数。所以,国内舆论中那些带有偏见的,甚至怀有商业目的评论,对华住是不公正、对酒店业真正提高防范能力也无益处。这样说并不否认当事酒店集团对信息泄漏对责任。

  同时,看看爆出问题的酒店集团都是些国内外酒店业的巨头公司,他们在信息系统包括安全上的投入远远大于一般的普通的酒店集团。以8月份处在安全风口中的华住集团为例,成立12年,信息技术投入达到13亿,每年在信息安全上的投入都在千万级以上。同样万豪集团,直引领世界酒店信息业的发展风向标,在信息化的投入上从来为同行羡慕。

  一个现象不能不引起我们的思索,越有知名度、越有规模化的企业越容易树大招风,引来黑客的光顾。相反,一批中小酒店集团,它们确实存在投入少、防范技术差等问题,却悠悠自在。为什么呢?

  还有,技术等防范对黑客有强大的阻碍作用,但却无法根绝。原因很简单,黑客在技术提升上的利益驱动远大于各行业防范方,他们的攻击特别专业,而信息系统的应用方相比显得非专业的多,甚至处在业余级别,因为她们的主业并非信息技术,信息系统只是它们的一个业务平台而已。更何况,反黑客技术都是基于黑客的行为特点而产生的,发出第一枪的将永远是黑客。如此的态势决定了在这场信息保卫战中,酒店(包括其他行业)注定处在一个不利的位置。

  然而,酒店业绝不可以以处在弱势地位为又而对信息安全无所作为。从万豪、华住事件中,我们可以看出信息安全对客人的自关重要。对酒店业自身利益的重要性。每一次事件发生,酒店集团的市值损失巨大,这次万豪掉了5%以上,上次的华住,掉了10%以上;客人对酒店业的信任丢失造成的市场缺失、牌舆降低更是无法估量。这还不足以引起酒店业的高度警惕和自律吗?

  现在中国酒店业早已不再是“传统服务业”了,一大批连锁酒店集团事实上已成为现代服务业"的重要组成。现代服务业的特征之一就是以信息技术作为业务支撑和平台。要明白,失去了可信任的信息平台无疑失去了酒店业发展的土壤和空间。

  面对,如此诡异的黑客攻击,虽不能完全杜绝,但在现有水平上提高防范的能力还是有许多课题可以进行。必须指出,各酒店集团的自身努力很重要,但远远不够,中国酒店业行业必须联手,矗成合力,方能众志成城。当前,起码有三项工作可以立刻动手:

  1.酒店行业整体在技术上补“短板”。联合出台酒店信息安全基本标准,把酒店业信息安全的基本水准提高到一个可以接受的水平,提高黑客攻击的难度和成本,防止黑客攻击目标的转移。安全标准可以包括基本系统和防范指标;建立“白帽子”工作制度;酒店系统安全检测平台、优秀防范工具或系统推荐平台等等。

  2.酒店行业整体在管理上补“漏洞”"。联合制定酒店行业信息化安全操作流程,包括各项操作规程,规范酒店集团信息系统建设和维护过程中的管理规范,防止非技术性的安全事故;同时开展酒店系统安全的培训和不定期的“飞行检查”;要建立行业的激励与惩罚机制。

  3.联合建立酒店信息安全事故处理流程。当事故发生时,酒店集团对事故的报告、披露、处理上有最有利于客人、社会和政府的导向,提高处理流程的及时性、透明性、公平性,把信息事故的损失降低到最小。

  当然,期待中国酒店业乃至中国各行业个人隐私信息得到较好的保护,需要强大而正确的舆论监督,更希冀于国家尽早祭起法律的“尚方宝剑",出台相关法律。法律先行,黑客的攻击就会在发起前颤抖、踌躇、成本就会高出收益;同样酒店业就会更加规范、防范的动机就会更强。君不见,此次万豪自爆喜达屋信息泄漏事件,其实发端在2014年。万豪在11月底自爆,实在与即将实施欧洲联盟《通用数据保护条例》(简称GDPR)有太大的关联。因为根据GDPR,对违法行为的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。

  试问,法律利剑如此高悬,有谁还敢造次?


评论