最近,很多新闻报道显示,旅游和酒店行业的相关公司已经成为网络犯罪的首要目标。本文列举了六个隐私和安全的相关建议,可以帮助这些公司保护用户隐私和保障网络安全。
对旅游和酒店行业的公司来说,最近坏消息可谓是层出不穷。
在过去一年里,众多的数据泄露事件被媒体广泛报道。在酒店方面,万豪/喜达屋(Marriott/Starwood)、丽笙(Radisson)以及最近的Choice Hotels(Choice Hotels breach)都“榜上有名”。而在航空公司方面,英国航空公司(British Airways)、加拿大航空公司(Air Canada)和国泰航空(Cathay Pacific)等公司遭受的网络攻击都备受世人瞩目。
Webroot 负责工程的副总裁 David Dufour 说,航空公司和酒店现在已经成为网络攻击的首要目标,主要是因为这些行业的一个典型特征:员工遍布各地,并不限制在一个单一的公司办公地点。
David Dufour 表示:“航空公司和酒店的员工常常会经手大量客户私人信息,然而,这些行业的雇员流动率却居高不下。比如,人们通常不会在酒店的前台工作很长时间。”
David Dufour 还补充,航空公司和酒店往往在全球数百个城市都设有分支机构,如此庞大的业务量同时也带来了很高的曝光率。
他说:“作为一个经常旅行的人,当我走进机场的休息室时,为了自己的方便,我当然希望他们手头有我所有的信息。但从安全的角度来看,全面掌握我的个人信息,实在是让别人太有机可乘。作为一名客户,虽然我期待服务的便利,但现实是,如今每一个信息开放的领域都可能存在漏洞。”
对旅游和酒店行业的相关公司来说,在客户方便和安全之间取得平衡的努力仍在继续。以下是这些企业可以遵循的六个建议,以帮助保护隐私和保障网络安全。
一、更仔细地对第三方进行审查
Webroot 公司的 David Dufour 建议,旅游和酒店行业相关的公司需要认真地询问他们的第三方供应商打算如何保护他们的敏感数据。
如果这些第三方公司根本都拿不出一个计划来证明他们如何做这件事情,那就需要其他方式来证明他们确实能提出这样的计划。
McAfee 公司的首席技术策略师 Sumit Sehgal 补充说,
不仅需要关注第三方公司,公司还需要审视整个组织协作过程产生的数据流。然后,结合由认证机构提供的对第三方供应商的风险分析,公司主体可以得到自身关于网络安全的更准确的全貌。
二、航空公司和酒店要对自己的数据负责
安全研究员 Bob Diachenko 表示,企业需要对自己的数据负责。Bob Diachenko 负责 Security Discovery 网站的网络威胁情报工作,正是他发现了最近针对 Choice Hotels 连锁酒店的黑客攻击。
他表示:“即使一家公司使用第三方供应商,同样需要对自己的数据负起责任。” 他还补充说,公司应该使用分析工具来验证他们的网络上具体发生了什么,这样他们才能做出重要的相关决定。
Webroot 公司的 David Dufour 还补充说,公司还需要清晰地知道自己正在与第三方、用户或社交媒体共享哪些数据。他们需要明确地知道他们数据共享会持续多久,数据将要存储的位置,以及储存多久。
除此之外,公司应该只对外共享那些必须共享的数据。例如,如果共享用户的邮政编码就可以完成一个功能,那么就完全没有必要再共享用户的姓名数据。
三、更好地管理数据库
Security Discovery 的 Bob Diachenko 说,航空公司和酒店的安全专家需要深入理解他们的数据库是如何工作的。这包括:总是使用最新版本的数据库软件,启用所有安全选项,并确保没有发生任何错误的配置。
Webroot 公司的 David Dufour 指出,应该规定只有经过授权的管理人员才能访问公司的数据库。
此外,个人电脑和手机上的所有软件都必须及时打补丁,以减少被攻击的风险。他解释道:“利用软件漏洞只是入侵软件的一种方式,黑客可以利用单一漏洞进行恶意的大肆破坏。”
David Dufour 还补充说,尽管及时打软件补丁是网络安全方面最基本的预防和处理措施,但却常常被很多企业所忽视。
四、利用公开的威胁情报网站
Choice Hotels 连锁酒店的入侵事件,是 Security Discovery 的 Bob Diachenko 在用搜索引擎 BinaryEdge 进行扫描时发现的,他喜欢把这个搜索引擎称为“新谷歌”。
BinaryEdge 扫描互联网,收集可以转化为威胁情报或安全报告的数据。还有一些其他网站,比如 Shodan,它为互联网上的物联网(IoT)设备提供所有 IP 地址的索引;另外还有 Censys,为了科研社区能更准确地研究互联网而对互联网进行扫描;以及 IVRE,一个用于网络侦察的开源框架。
这些站点是有其价值的,Webroot 公司的 David Dufour 对这点表示赞同,并指出这些工具可以识别公司是否正在与恶意 IP 地址进行通信。
五、无线网络隔离
Webroot 公司的 David Dufour 还建议航空公司和酒店在公共 Wi-Fi 和企业内部网络之间设置一个隔离屏障。因为公共 Wi-Fi 太脆弱了,所以让公司员工通过单独隔离的互联网连接上网是非常有必要的。
而且,航空公司和酒店也应当向消费者用户传达一些基本的安全建议。例如,他们可以劝阻消费者在公共 Wi-Fi 上进行任何金融交易,这样的公共 Wi-Fi 更适合只用于查询电影时刻表或餐馆位置。如果消费者在这样的环境下需要进行任何带商业目的的操作,此时应该建议消费者在智能手机上使用移动热点而不是公共 Wi-Fi。
六、制定有效的培训计划
来自 McAfee 公司的 Sumit Sehgal 说,现在几乎每家公司都有一个由遵从性所驱动的培训计划。有效的培训计划会充分利用全员遵从这个基础,在此之上打造基于真实环境中与用户操作相关的针对实际情况的培训。
Webroot 公司的 David Dufour 补充说,航空公司和酒店雇员的高流动率也意味着,这些公司真的需要花费大量时间来培训员工如何处理敏感信息。他认为这是第一要务。
David Dufour 还说,对公司而言,制定清晰的流程并确保员工在工作中遵循流程也很重要。他举了一个他自己的例子,他最近弄丢了酒店的收据,就让他的助理联系酒店,请求酒店给他发送一份收据副本。但酒店拒绝了这个要求,并称他们必须与 David Dufour 本人直接对话。他说,很明显,这家酒店制定了一项政策,除非他们确保自己正在与真正付款的人对话,否则不得与他人分享信用卡或其他个人信息。
David Dufour 对此的感慨是:“虽然这些政策不是那么方便,但从消费者的角度来看,酒店拥有这些政策、流程和章程对我而言是有益的。”
作者介绍:
Steve Zurier,在马里兰州哥伦比亚市工作,有超过 30 年的新闻和出版经验,过去 24 年中的大部分时间从事网络和安全相关技术。
英文原文:
6 Ways Airlines and Hotels Can Keep Their Networks Secure
评论