تعليق حول عملية

تعليق حول عملية اختراق فنادق حياة – إريك إيفيرت نائب رئيس أول للخدمات المدارة دارك ماتر

 

نبذة عامة:

في وقت سابق من هذا الشهر، تم الإبلاغ عن عملية اختراق لأكثر من 12 فندقاً في الشرق الأوسط تحت إدارة مجموعة فنادق حياة العالمية. وقد أفادت الشركة ومقرها شيكاغو انها قد شهدت عملية اختراق سابقة تتضمن سرقة بطاقات دفع تأثر من خلالها 250 فندقاً بين 13 أغسطس و8 ديسمبر 2015. وتظهر القائمة المبينة أسماء فنادق حياة في الشرق الأوسط المتأثرة وتاريخ اختراقها:  

·      أبوظبي: حياة كابيتال جيت أبوظبي: 2015/08/13 -2015/10/14

·      أبوظبي: فنادق وفلل بارك حياة أبوظبي -2015/08/13 -2015/12/08

·      عمان: جراند حياة عمان -2015/08/13 -2015/12/08

·      الدوحة: حياة الدوحة -2015/08/13 -2015/12/08

·      دبي: جراند حياة دبي -2015/08/13 -2015/10/14

·      دبي: حياة بليس دبي / الرقة -2015/08/13 -2015/10/14

·      دبي: حياة بليس دبي / ساحة بني ياس -2015/08/13 -2015/10/14

·      دبي: حياة ريجنسي دبي -2015/08/13 -2015/12/08

·      دبي: حياة ريجنسي دبي كريك هايتس -2015/08/13 -2015/10/14

·      دبي: بارك حياة دبي -2015/08/13 -2015/10/14

·      جدة: بارك حياة جدة - مارينا، نادي وسبا 2015/08/13 -2015/12/08

·      مكة المكرمة: حياة ريجنسي مكة المكرمة -2015/08/13 -2015/10/14

·      مسقط: جراند حياة مسقط -2015/08/13 -2015/10/14

·      جنوب سيناء: منتجع حياة ريجنسي شرم الشيخ -2015/08/13 -2015/10/14

 

 

أعتقد أن هذا يعد مثالاً قوياً حول القرصنة الإلكترونية التي تستهدف صناعة لديها معلومات قيمة تستحق السرقة عموماً، وهي ليست على استعداد لحماية نفسها من هذه الأنواع من التهديدات.

 

يمتلك قطاع السياحة معلومات حساسة متعلقة بالزبائن وتحتاج للحماية. وكقطاع حيوي، عليه وضع سياسات وإجراءات تمكنه من التعامل مع مثل هذه البيانات بشكل صحيح، والتي يجب أن تكون موجهة للإجابة على أسئلة متعلقة بحماية المعلومات بما في ذلك:  

·      كيف يتمكن قطاع السياحة من تشفير المعلومات الحساسة المتواجدة والعابرة؟

·      هل تقوم المؤسسات السياحية بتدريب موظفيها على كيفية التعامل مع مثل هذه المعلومات؟

·      هل هناك أنظمة متمكنة من رصد وتقييم السلوك لتحديد ما إذا كان المعلومات الحساسة غير مشفرة؟

 

يجب على أصحاب الفنادق العلم أن الامتثال بمعايير بطاقات دفع أمن البيانات لا تحميهم من محاولات القرصنة، ولكنها تعد بمثابة دليل يمكنهم من بناء وإدارة برنامج أمن إلكتروني من شأنه أن يقلل من أخطار التدخل الناجح.

 

هناك العديد من الأمثلة لمنظمات تمتثل لمعايير بطاقات دفع أمن البيانات ولكنها تعرضت لاختراقات تسببت بسرقة معلومات حرجة كبيانات بطاقات الائتمان. ومن خلال تحقيق أجريناه مؤخراً، تعمدنا إدخال فندق تعرض لاختراق، مع العلم بأنه يمتثل لمعايير بطاقات دفع أمن البيانات، وأثبت التحقيقات أنه يتعرض للاختراقات على مدى 9 أشهر، إلى ذلك تم اكتشاف البرامج الضارة فقط عندما قام مكتب التحقيقات بالتواصل مع الفندق لإبلاغهم عن مصدر بطاقات الائتمان المسروقة.

 

تشهد التهديدات الإلكترونية تطوراً مستمراً، وبالتالي يحتاج قطاع السياحة لفهم هذه التهديدات وتأثيرها المحتمل على أعمالهم. وفي مثل هذه المواقف تتمكن دارك ماتر من مساعدة الفنادق على تأسيس برنامج أمن إلكتروني ليتضمن السياسات والإجراءات، والموظفين، ووضع استراتيجية تقدم لهم رؤية واضحة عن بيئتهم ونشر تقنيات ومنهجيات دفاعية لحماية البطاقات الائتمانية والمعلومات الشخصية.

 

يجب أيضاً على أصحاب الفنادق النظر في وضع برنامج مراقبة مستمرة لتحديد سرعة المخاطر الأمنية وعلاجها قبل أن يتم استغلالها. إلى ذلك، فقذ أصبحت مخاطر الأمن الإلكتروني نقطة نقاش هامة على المستوى التنفيذي، وقد حان الوقت للنظر في تعيين رئيس تنفيذي لأمن المعلومات أو أي شخص آخر يستطيع تقييم المخاطر على مستوى الإداري المناسب.