Analiza ryzyka – nowy wymóg RODO
Chciałbym dziś podzielić się z Państwem moimi spostrzeżeniami z dotychczas przeprowadzanych przeze mnie wdrożeń zasad ochrony danych osobowych (w skrócie ODO) w hotelach. Nie będę dziś straszył karami ani namawiał do natychmiastowych wdrożeń. Refleksje po lekturze tekstu zostawiam dla Państwa.
Przepisy o ochronie danych osobowych były do tej pory jednymi z najmniej respektowanych.
Niewielka ilość kontroli oraz brak nieuchronności kary powodowały, że hotelarze bardzo rzadko decydowali się na wdrożenie zasad ODO. Zwykle tylko duże sieciowe hotele decydowały się na wprowadzenie tych zasad, głównie dlatego, że tam świadomość przestrzegania procedur jest większa, a przetwarzane dane często były udostępniane podmiotom znajdującym się poza Polską i Unią Europejską.
Kolejną grupą były hotele w których zaistniał jakiś incydent związany z ochroną danych, oraz hotele w których kadra zarządzająca zetknęła się wcześniej z tym tematem.
Ostania, najmniej liczna grupa, to hotele których właściciele dbając o wyższy poziom usług i wzorując się na dużych obiektach postanowili wprowadzić zasady ochrony danych osobowych.
Mimo wielu przeprowadzonych wdrożeń i wieloletniego doświadczenia, prawie za każdym razem zaskakują mnie nowe, nieprzewidziane sytuacje. Coś, czego wcześniej nie brałem pod uwagę, bo wydawało mi się zbyt oczywiste aby się nad tym zastanawiać.
Zwykle staramy się spełnić wymogi prawa nie myśląc o głębszym sensie tych działań.
W przypadku ochrony danych nie tylko chodzi o stworzenie dokumentacji i procedur, ale przede wszystkim o przeanalizowanie ryzyka oraz negatywnych skutków które mogą zaistnieć w wyniku zaistnienia incydentu bezpieczeństwa.
Czym bowiem jest ryzyko ? Najkrótsza definicja ryzyka mówi, że jest to strata, którą jesteśmy w stanie zaakceptować i ponieść w wyniku różnego splotu zdarzeń.
Myśląc życzeniowo (przecież to mi na pewno nie może się przydarzyć), często nie zdajemy sobie sprawy ze jego skali, dopóki nie wydarzy się coś, czego nikt się wcześniej nie spodziewał.
Dlatego poniżej postanowiłem opisać przykłady z „ życia wzięte”, które mogą się przydarzyć w każdym hotelu.
Pytanie: Na ile hotel jest na to przygotowany?
Sytuacja wydarzyła się w jednym ze średnich obiektów hotelowych obsługiwanych przez zewnętrznego informatyka. Ów informatyk prowadził jednoosobową działalność gospodarczą. Tworzył i zarządzał siecią komputerową od początku istnienia obiektu, wprowadził również wiele usprawniających pracę rozwiązań autorskich. Zawsze był do dyspozycji, a w przypadku wyjazdów lub choroby zastępował go kolega o dużo mniejszej wiedzy, jednak wystarczająco kompetentny, aby przy zdalnej pomocy informatyka coś naprawić.
Niestety podczas wakacji tragicznie zginął w wypadku samochodowym. Jego nagła śmierć uświadomiła właścicielowi hotelu, że nie posiada żadnej wiedzy na temat sprzętu, haseł oraz zastosowanych rozwiązań informatycznych, z których korzysta.
Poszukiwanie nowej firmy, która podejmie się obsługi sprzętu i oprogramowania zajęło blisko dwa tygodnie. Kosztowało to sporo pieniędzy i nerwów. Trzeba było zinwentaryzować cały sprzęt i oprogramowanie, zresetować hasła dostępowe, których nikt oprócz ww. informatyka nie znał, oraz przeanalizować jego wdrożone rozwiązania autorskie.
Okazało się również, że w hotelu jest sporo urządzeń, o których istnieniu nikt nie miał pojęcia, a które zostały zamontowane w wyniku rozbudowy sieci komputerowej po ostatniej modernizacji obiektu.
Hasła do serwera, urządzeń sieciowych, TV, urządzeń wi-fi, zamków hotelowych oraz monitoringu trzeba było zresetować i założyć nowe.
Na szczęście w tym czasie nie wydarzyła się żadna poważna awaria , a hotel prócz straty finansowej wyszedł z tego zdarzenia w miarę obronna ręką. Straty można było zminimalizować – wystarczyłoby, gdyby sprzęt i hasła były zinwentaryzowane i przekazane właścicielowi hotelu.
Ten przykład pokazuje, że należy analizować ryzyko nie tylko przez pryzmat naszej firmy oraz własnych pracowników, ale również przez pryzmat stabilności i jakości pracy firm, które świadczą dla nas usługi outsourcingowe (informatyczne, księgowe, kadrowe, itp).
W ubiegłym roku, w szczycie sezonu turystycznego, w piątkowe popołudnie jeden z hoteli miał awarię internetu spowodowaną przecięciem światłowodu przez koparkę pracującą kilka posesji dalej od hotelu.
Dostawca internetu w poniedziałek naprawił kabel, ale hotel i goście byli przez cały weekend pozbawieni dostępu do sieci.
Mimo wyjaśnień i przeprosin spotkało się to z dużą falą krytyki ze strony niezadowolonych gości, oraz fatalnymi opiniami na portalu rezerwacyjnym. Utrata reputacji i krytyka na forach internetowych to również spora strata dla hotelu. Ciężko ją przeliczyć na pieniądze, ale na dobre opinie pracuje się przez długi okres, natomiast te złe bardzo szybko zniechęcają potencjalnych gości.
Na całe szczęście system hotelowy PMS oparty był o lokalny serwer, a system rezerwacji internetowych automatycznie przełączył się w tryb offline, co pozwoliło na rozliczenie gości.
W przypadku hoteli które posiadają bazę na zewnętrznych serwerach (hotele sieciowe oraz niektóre rozwiązania PMS) takie zdarzenie uniemożliwiłoby rozlicznie gości hotelowych i wtedy straty byłyby ogromne.
Jeśli zaś chodzi o terminale kart płatniczych działające poprzez sieć internetową, hotel nie mógłby również przyjmować płatności wykonywanych za pomocą kart kredytowych.
Niestety takie zdarzenie jest zupełnie niezależne od działań hotelu i nie bardzo jest jak temu przeciwdziałać. W takiej sytuacji rozwiązaniem jest posiadanie przez hotel drugiego niezależnego łącza internetowego, do którego można się przepiąć w wyniku tego typu awarii.
Koszmarna rzeczywistość, której nikt z hotelarzy nie chciałby nigdy doświadczyć.
W poprzednim artykule w Hotelarzu pisałem o ostatnich atakach hakerskich, które spowodowały zaszyfrowanie wszystkich danych na serwerach (w tym również backupów i archiwizacji) w kilku hotelach.
W jednym z hoteli pobytowych, w sobotę wieczorem, recepcjonista zauważył, że program hotelowy nagle przestał działać i na żadnym komputerze nie można połączyć się z bazą danych.
Dotyczyło to wszystkich komputerów zarówno w recepcji, gastronomii, jak i SPA.
Informatyk przyjechał w niedzielę rano i stwierdził, że wszystkie dane na serwerze oraz na zewnętrznych dyskach służących do archiwizacji są zaszyfrowane.
W pierwszej chwili pojawiło się niedowierzanie, a następnie panika i zupełny paraliż funkcjonowania obiektu.
Do recepcji zaczęli schodzić się goście chcący rozliczyć się i wyjechać, ale nikt nie wiedział jaką kwotą należy ich obciążyć.
Hotel nie posiadał papierowych wydruków zestawienia przyjazdów i wyjazdów wraz rozliczeniami pobytów.
Działając pod presją czasu i chwili zdecydowano się na szacowanie orientacyjnych kosztów pobytu wraz z gastronomią i wykorzystanymi usługami w SPA.
Aby móc rozliczyć gościa należało upewnić się co do długości jego pobytu i zadeklarowanych przez gościa (tych które pamiętał lub chciał podać do rozliczenia) obciążeń.
W odtworzeniu informacji o długości pobytów gości pomógł system rezerwacji internetowych.
Hotel poniósł straty zarówno finansowe jak i utratę reputacji, ale przede wszystkim został pozbawiony wielu bieżących jak i archiwalnych danych.
Stres i frustracja, które wynikły z tego wydarzenia zamieniły się w szukanie winnych, oraz oskarżenia wobec firmy informatycznej o niezapobieżenie temu atakowi.
Ataku hakerskiego podobnie jak ataku terrorystycznego nie można przewidzieć i trudno się przed nim obronić. Jednak wprowadzenie procedur jak dodatkowo zabezpieczyć dane, oraz jak szybko odzyskać sprawność działania hotelu mają kluczowe znaczenie.
Jednym ze sposobów na zabezpieczenie kopii bezpieczeństwa jest archiwizacja danych w chmurze.
Polecam rozwiązania komercyjne, które dają pewność że dostawca usługi przechowuje dane na polskich serwerach i posiada certyfikaty bezpieczeństwa.
Odradzam natomiast korzystanie z darmowych narzędzi oferowanych bez żadnej gwarancji zapewnienia naszym danym poufności i integralności.
Nieprzypadkowo wybrałem powyższe zdarzenia, które miały miejsce w niedalekiej przeszłości i których osobiście doświadczyłem. Wszystkie pokazują realne zagrożenia i ryzyko, które ze sobą niosą. Każde z nich dotyczy innego obszaru poddawanego analizie (bezpieczeństwo danych powierzonych firmie outsourcingowej, bezpieczeństwo związane z dostawcami mediów,
bezpieczeństwo związane z systemami informatycznymi).
Według nowego rozporządzenia RODO to właśnie analiza ryzyka ma zastąpić obecnie
obowiązującą dokumentację z zakresu ochrony danych osobowych.
Analizę najlepiej jest przeprowadzić opierając się o międzynarodowe oraz polskie normy związane z bezpieczeństwem Informatycznym (PN-ISO IEC 27001 oraz PN-ISO IEC 27005).
W kolejnym numerze Hotelarza postaram się Państwu pokazać jak powinna wyglądać przykładowa analiza ryzyka w hotelu.
Tekst ukazał się w Hotelarzu nr 9 wrzesień 2017