Cũng như nhiều lĩnh vực kinh doanh khác, lĩnh vực khách sạn hotel và cả các hãng du lịch lữ hành travel agency cũng là lĩnh vực có liên kết với nhiều ứng dụng thanh toán và hệ thống dữ liệu nhạy cảm được lưu trữ của khách hàng. Điều này đồng nghĩa với việc nhóm ngành này này trở thành một mục tiêu mới hấp dẫn cho các tin tặc tấn công đánh cắp dữ liệu.
Quy trình sử dụng dịch vụ tại các khách sạn ngày nay đã khác biệt rất nhiều so với trước đây, thay vì việc bạn phải tự đi bộ mòn mỏi hết nơi này đến nơi khác để hỏi giá phòng, tiện ích và cả kiểm tra thông tin chất lượng phòng ở hoặc phải đặt cọc bằng tiền mặt thì nay mọi thứ đều được đưa lên môi trường internet với tốc độ xử lý trong vài phút. Bạn chỉ cần ngồi nhà, click chuột, tìm kiếm, xem thông tin, tích chọn và tiến hành thanh toán là xong. Mô hình hoạt động của các khách sạn ngày nay có kết nối đa dạng. Thay vì khách hàng chỉ có thể truy cập vào website của khách sạn thì nay họ có thể xem thông tin và đặt phòng ở bất cứ đại lý bán phòng trực tuyến OTA (Online Travel Agent) nào không phải chỉ ở Việt Nam mà trên toàn thế giới. Nguy cơ bị làm lộ lọt/mất dữ liệu của khách hàng không chỉ nằm ở các cuộc tấn công trực tiếp vào các chủ kinh doanh mà phần lớn bị tấn công ngay từ trong hệ thống liên kết từ các bên thứ ba như các trung gian thanh toán, booking online, …
Hotel booking website (ảnh minh họa)
Thông tin của khách hàng mà các khách sạn thu thập được là tập dữ liệu quý giá và nhạy cảm. Các dữ liệu này nằm trong hệ thống quản lý của khách sạn, trên website, hồ sơ các chương trình dành cho khách hàng trung thành, … Thậm chí ngay cả trên hệ thống wifi cũng có thể cho thấy cách khách hàng di chuyển trong khách sạn, nơi họ dành thời gian nhiều nhất hay các tiện nghi họ sử dụng. Vì vậy, nếu tội phạm lấy được dữ liệu khách hàng từ khách sạn, khả năng chúng bán dữ liệu hoặc sử dụng các dữ liệu này để tống tiền hoặc giả mạo danh tính rất lớn.
Các dữ liệu của khách hàng được lưu trữ thường bao gồm:
- Thông tin liên hệ: số điện thoại, địa chỉ email và địa chỉ nhà
- Đặc điểm dân số: tuổi, tình trạng hôn nhân, số lượng con cái
- Dữ liệu đặt phòng: Sở thích đặt phòng, loại phòng ở, lịch sử đặt phòng trước đó
- Lý do lưu trú: du lịch, hội thảo, …
- Dịch vụ phụ trợ đã sử dụng
- Sở thích về ăn uống (F&B)
- Ghi chú về việc vệ sinh và dọn phòng
- Doanh thu chi tiết
- Phương thức thanh toán
- Mức độ trung thành của khách hàng: các phản hồi, quay trở lại, …
Các cách thức tin tặc thường sử dụng
Như bất kỳ lĩnh vực nào hoạt động phụ thuộc phần lớn vào môi trường internet, lĩnh vực khách sạn và du lịch đứng trước thách thức phải bảo vệ dữ liệu của chính họ và khách hàng. Tin tặc thì ngày càng lắm chiêu bài, một khi đã nhắm đến mục tiêu, có rất nhiều cách thức lừa đảo từ social engineering tâm lý của chính nội bộ nhân sự trong hệ thống cho đến việc tấn công trực diện vào các thiết bị thậm chí quầy lễ tân cũng có thể bị nhòm ngó đến.
Các loại tấn công thường thấy vào lĩnh vực này như là các phần mềm độc hại (virus, spyware, ransomware, worms, ..) thông qua các hình thức gửi email phising, gửi link spam, … khiến cho người dùng có thể bị nhầm lẫn hoặc vô tình click vào để xâm nhập vào hệ thống. Hay tấn công Ddos trực tiếp vào hệ thống website đăng nhập để đăng ký dịch vụ của khách sạn hoặc tấn công vào các lỗ hổng từ các vendor – các nhà cung cấp trong hệ thống liên kết với khách sạn như kênh thanh toán online, các trung gian bán dịch vụ phòng, …. Một vài vấn đề khác mà các khách sạn gặp phải còn liên quan đến các phần mềm quản lý của khách sạn hoặc hệ thống đặt phòng trực tuyến có thể đang tổn tại các lỗ hổng khiến tin tặc có thể dễ dàng truy cập và khai thác thông tin khách hàng trái phép. Ngay cả với các thiết bị IoT nằm trong không gian của khách sạn như các thiết bị thông minh, hệ thống quản lý đèn, điều hoà nếu không được bảo mật tốt hoặc có cơ chế quản lý cũng có thể bị tin tặc tấn công.
Các hình thức tấn công vào hệ thống khách sạn
Vào năm 2023, Perception Point đã từng chia sẻ về một chiến dịch tấn công vào các khách sạn và các hãng lữ hành của InfoStealer thông qua lừa đảo từ việc booking online. Bằng cách thực hiện đặt phòng trực tuyến, kẻ tấn công có thể gửi thêm các email để trả lời xác nhận đặt phòng hoặc đưa thêm các yêu cầu hoặc câu hỏi cụ thể tới khách sạn. Nhân viên nhận đặt phòng có thể dễ dàng bị lừa bởi các thông tin email hỏi đáp thậm chí mang tính cá nhân hoặc khơi gợi về trách nhiệm của khách sạn đối với các khách đặt phòng như có trẻ nhỏ hoặc yêu cầu đặc biệt về bệnh tình của khách lưu trú cao tuổi, … Bằng cách cung cấp link URL để mở ra các liên kết thông tin liên quan đến khách hàng trên các nền tảng chia sẻ tệp thông thường (như GG Drive, Dropbox, …), vô tình họ đã tải về, thực hiện giải nén và chính thức mở đường cho các tệp tin được thực thi chạy các mã độc gây lây nhiễm vào các thiết bị cũng như lấy cắp các dữ liệu của khách hàng mà không hề hay biết.
Quy trình 10 bước mô phỏng phương thức hoạt động của kẻ tấn công (Theo Perception Point )
Một số vụ tấn công hệ thống dữ liệu vào các khách sạn
Marriott International: Vào năm 2018, Marriott thông báo hệ thống đặt phòng của Starwood Hotels & Resorts Worldwide, công ty mà Marriott mua lại đã bị xâm nhập. Trong quá trình điều tra cho thấy cuộc tấn công này thậm chí đã kéo dài từ tận 2014 cho đến 2018, từ trước khi mà Marriott mua lại công ty này. Thiệt hại ước tính khoảng 500 triệu khách hàng bao gồm 327 triệu khách hàng có dữ liệu chứa tên, địa chỉ gửi thư, số điện thoại, email, số hộ chiếu, tài khoản Starwood Preferred Guest, ngày sinh, giới tính, thông tin ngày đến đi, ngày đặt phòng, sở thích liên lạc. Thậm chi một số dữ liệu khách hàng bị xâm phạm bao gồm cả số thẻ thanh toán và ngày hết hạn của thẻ. Danh tiếng của Marriott đã bị ảnh hưởng không nhỏ thậm chí đối diện với nhiều vụ kiện và bị phạt hàng trăm triệu USD.
Không dừng lại đó, năm 2020, Marriott tiếp tục bị tấn công và lần này là thông tin cá nhân của 5,2 triệu khách hàng bị đánh cắp (tên, số điện thoại, địa chỉ, ngày sinh) được khai thác từ thông tin đánh cắp của hai nhân viên trong hệ thống. Năm 2022, một nhóm tin tặc hack hệ thống của Marriott thông qua hình thức social engineering để đánh cắp mật khẩu và truy cập vào hệ thống nội bộ, nhóm này đã lấy cắp 20 gigabyte dữ liệu nhạy cảm của khách hàng bao gồm thông tin cá nhân và số thẻ tin dụng.
Hyatt Hotels: Hyatt thậm chí đã bị tấn công tới 2 lần. Lần đầu tiên là cuối năm 2015, bị tấn công vào hệ thống thanh toán dẫn đến lộ thông tin thẻ tín dụng của khách hàng tại 250 khách sạn trên 50 quốc gia. Lần thứ hai là năm 2017, cuộc tấn công đã ảnh hướng đến 41 khách sạn trong hệ thống với các thông tin bị lộ là thông tin thẻ thanh toán như tên chủ thẻ, số thẻ, ngày hết hạn và mã xác minh nội bộ từ các thẻ được nhập thủ công hoặc quẹt tại quầy lễ tân.
Hilton Worldwide: Năm 2015, Hilton đã phát hiện 2 lần bị tấn công vào tháng 2.2015 và tháng 7 cùng năm. Qua điều tra sự cố phát hiện hệ thống đã phát hiện phần mềm độc hại nhắm mục tiêu vào thẻ tín dụng và có khả năng đã lộ dữ liệu của chủ thẻ từ tháng 11/2014. Vào tháng 7/2015 tiếp tục sự cố vi phạm thứ hai và đã có bằng chứng cho thấy có tới 365.952 số thẻ tín dụng đã bị tập hợp lại để loại bỏ bởi kẻ tấn công. Mặc dù vậy, Hilton chỉ phải chịu phạt 700.000 USD cho việc thực hành bảo mật lỏng lẻo cũng như không thông báo cho khách hàng và những người bị ảnh hưởng về phát hiện bị vi phạm dữ liệu.
InterContinental Hotel Group (IHG): Tập đoàn này cho biết đã bị tấn công mạng vào tháng 9/2016. Cuộc tấn công làm ảnh hưởng đến hệ thống đặt phòng trung tâm của khách sạn và các ứng dụng di động. Hậu quả là giây ra tình trạng gián đoạn dịch vụ trong vào ngày, các thành viên của chương trình khách hàng thân thiết không thể đăng nhập hay tạo đặt phòng mới trong thời gian này. Dù không công bố chi tiết về vụ vi phạm nhưng trên diễn đàn Twitter cho biết có ít nhất 15 nhân viên của IHG và 4.030 tài khoản người dùng trên mạng nội bộ của công ty đã bị xâm phạm. Năm 2020, IHG đã đồng ý trả hơn 1,5triệu USD để giải quyết vụ kiện tập thể liên quan đến vụ vi phạm dữ liệu này.
Wyndham Wordwide: là một tập đoàn ở Delaware, trụ sở chính ở New Jerrsey, Wyndham đã vướng phải những khó khăn và gánh nặng bởi các cuộc điều tra kéo dài của các cơ quan quản lý sau khi liên tiếp bị tấn công mạng tới 3 lần từ năm 2008 đến 2010, Tin tặc đã xâm nhập vào mạng chính của một trong các công ty con của Wyndham Wordwide và đánh cắp thông tin của hơn 619.000 khách hàng chủ yếu là thông tin thẻ tín dụng. Wyndham phải chịu trách nhiệm cho các vụ vi phạm mà tin tặc gây ra. Trong các cuộc điều tra và yêu cầu từ FTC (Federal Trade Commission – Uỷ ban Thương mại Liên Bang của Hoa Kỳ), Wyndham đã ước tính rằng chi phí phản hồi của họ vượt quá 5 triệu USD cho các phí pháp lý và nhà cung cấp dịch vụ, chưa kể các chi phí về thời gian nhân viên dành ra để phản hồi các yêu cầu cũng như sự gián đoạn kinh doanh do đó gây ra.
Tất nhiên, đây chỉ là một vài ví dụ rất điển hình trong lĩnh vực này và có thể thấy mục tiêu đánh cắp dữ liệu của tin tặc đều nhắm vào thông tin thanh toán, thẻ tín dụng của các khách hàng.
Đảm bảo an ninh mạng cho hệ thống dữ liệu trong lĩnh vực khách sạn
Theo Báo cáo thị trường toàn cầu ngành lưu trú khách sạn năm 2024 của Research and Markets, thị trường lưu trú toàn cầu dự kiến tăng từ 4.673,63 tỷ USD vào năm 2023 lên 4.993,71 tỷ USD vào năm 2024 với tỷ lệ tăng trưởng hàng năm kéo (CACG) là 6,8%. Đến năm 2028, thị trường này dự kiến đạt 6.189,59 tỷ UDSD với tỷ suất tăng trưởng hàng năm trung bình (CAGR) là 5,5%.
Cũng theo báo cáo khu vực Châu Á – Thái Bình Dương là khu vực lớn nhất trên thị trường dịch vụ lưu trú năm 2023. Dịch vụ lưu trú sẽ có sức tăng trưởng mạnh được dự báo dựa trên các yếu tố bền vững, du lịch thể thao, đặt phòng linh hoạt, … và các xu hướng cá nhân hoá AI, công nghệ không tiếp xúc, các tiến bộ về công nghệ và trải nghiệm cá nhân hoá cho khách hàng.
Với tốc độ phát triển cao và duy trì đà doanh thu trong xu thế chung của khu vực, các đơn vị hoạt động trong ngành này cần đảm bảo uy tín và danh tiếng của mình. Thông qua việc triển khai các biện pháp an ninh trong bảo vệ dữ liệu khách hàng trở nên ngày càng cấp thiết và là yếu tố quan trọng không kém việc xây dựng các trải nghiệm khách hàng tại nơi lưu trú. Dưới đây là một số quy định bắt buộc và hướng dẫn giúp các doanh nghiệp kinh doanh trong lĩnh vực lưu trú, khách sạn, du lịch cần thực hiện:
- Xây dựng và tuân thủ các quy định về an toàn thông tin trong nội bộ. Thông thường hoạt động của các khách sạn đều đang tuân thủ theo các quy định ISO nghiêm ngặt, tuy nhiên, một số hoạt động liên quan đến vấn đề bảo mật trong nội bộ vẫn còn bị xem nhẹ hoặc chưa tuân thủ trong khâu thực thi. Khi đưa ra các quy định, quy trình về bảo mật, cần đảm bảo các CBNV trong nội bộ đã hiểu đúng và thực thi chính xác hay chưa. Ví dụ như việc thường xuyên đảo tạo nhân viên về vấn đề bảo mật, áp dụng hình thức MFA xác thực đa yếu tố trong quy định về truy cập, …
- Đối với hệ thống trang thiết bị công nghệ cần được thường xuyên kiểm tra và nâng cấp hệ thống báo mật. Với các trường hợp thiết bị IoT kết nối không được kiểm soát truy cập hay end of life có thể tồn tại các lỗ hổng chưa được vá. Vì vậy cần nâng cấp và thực hiện rà quét đánh giá kiểm thử xâm nhập đối với hệ thống thiết bị này định kỳ.
- Hệ thống phần mềm và các ứng dụng: cài đặt các phần mềm chống malware thôi là chưa đủ, cần tiến hành cài đặt các công cụ phát hiện xâm nhập để giám sát 24/7 sẽ giúp cảnh báo sớm các nguy cơ xâm nhập trái phép vào hệ thống. Đặc biệt đối với lĩnh vực lưu trú khi các phần mềm, ứng dụng đều cần có sự kết nối với nhau link đến các ứng dụng quản lý từ nội bộ ra đến bên ngoài. Rủi ro tồn tại lỗ hổng bảo mật hoặc một liên kết yếu trong hệ thống đều có thể dẫn đến nguy cơ tin tặc xâm nhập và lấy cắp dữ liệu.
- Mã hoá dữ liệu: đây cũng là một cách thức kiểm soát cao đối với các dữ liệu có mức độ quan trọng cao. Tuy nhiên đòi hỏi đội ngũ CNTT của đơn vị phải có chuyên môn cao. Bên cạnh đó, cần đảm bảo việc sao lưu dữ liệu thường xuyên cũng như nơi lưu trữ để giảm thiểu tối đa các thiệt hại trong trường hợp bị tấn công, đặc biệt với hình thức tấn công mã độc tống tiền ransomware.
- Áp dụng tiêu chuẩn an toàn về thanh toán PCI DSS (Payment Card Industry Data Security Standard) – Tiêu chuẩn bảo mật được xác lập bởi hội đồng PCI Security Standards Council gồm các thành viên như Visa, MasterCard, American Express, JCB International và Discover Financial Services. Mục đích là để đảm bảo các tiêu chuẩn an toàn trong thanh toán thẻ từ việc xử lý, lưu trữ đến truyền tải an toàn thông tin thẻ tín dụng tại các khách sạn. Tiêu chuẩn này cũng được nhiều đơn vị áp dụng liên quan đến vấn đề truyền dẫn trên không gian internet.
- GDPR (General Data Protection Regulation) là Quy định bảo vệ dữ liệu chung của Liên mình Châu Âu (EU) được thiết lập để bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân EU. Ở Việt Nam, chưa có luật định nào quy định cụ thể về vấn đề bảo mật dữ liệu cá nhân cho người dùng, tuy nhiên với các khách sạn nằm trong hệ thống toàn cầu thường phải đáp ứng các tiêu chuẩn này. GDPR nhấn mạnh việc bảo vệ dữ liệu cá nhân cũng như tác động lớn đến các chiến lược tiếp thị của các khách sạn.
- Bảo mật hệ thống website ngay từ khâu thiết kế lập trình web và đặc biệt là thực hiện việc rà soát đánh giá bảo mật định kỳ cho hệ thống công nghệ thông tin, thậm chí thực hiện hoạt động diễn tập trong trường hợp bị tấn công mạng đối với nhân viên trong hệ thống.
Các biện pháp an toàn thông tin cho hệ thống mà các khách sạn cần triển khai
Tại sao nên lựa chọn VSEC
Là doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin hơn 20 năm kinh nghiệm, các chuyên gia của VSEC hiện đã, đang tham gia vào các hoạt động hỗ trợ doanh nghiệp trong việc đảm bảo mức độ an toàn cao cho hệ thống công nghệ thông tin. 100% chuyên gia của chúng tôi đạt các chứng nhận quốc tế về bảo mật cũng như có kinh nghiệm thực chiến tại các doanh nghiệp có yêu cầu cao về an toàn thông tin. VSEC cũng là MSSP đầu tiên tại Việt Nam đạt được đồng thời hai chứng nhận CREST cho dịch vụ Kiểm thử xâm nhập Penetration Testing và SOC – Trung tâm vận hành & giám sát ATTT.
Chúng tôi tuân thủ nghiêm ngặt các quy định và quy trình về an toàn thông tin để mang lại sự yên tâm về chất lượng dịch vụ bảo mật cho mỗi doanh nghiệp. Năm 2023, VSEC cũng là đại diện duy nhất của Việt Nam lọt vào danh sách Top 250 MSSPs toàn cầu do tổ chức CyberRisk Alliance công bố.