Търговия и Хотелиерство.

Тези две индустрии често се класират сред топ трите най-уязвими индустрии, непосредствено след финансовите институции. Тази уязвимост стана ясна по-рано този месец, когато кибер атаката срещу MGM Гранд прекъсна функционирането на стотици казино игри и деактивира картите в хотелските стаи. Според доклади, компанията съобщава за загуба между 4.2 и 8.4 милиона долара от дневни приходи по време на атаката.

Компаниите в сферата на търговията и хотелиерството събират данни за ЛИИ и ИПКК чрез множество пресечни точки на взаимодействие с клиентите – програми за лоялност, сайтове за резервации, съхранени истории на покупки или данни за клиентския път. Но самите данни могат да бъдат съхранени на места, уязвими на атаки, като системи за продажба на точки (POS), контактни центрове или общи работни станции. В някои случаи тези системи могат да бъдат инсталирани на стари инфраструктури, които често не разполагат с актуални мерки за сигурност и автентикация, което потенциално оставя клиентските данни и сигурност на личните данни на висок риск от кибератаки.

За да защитите този вид данни и за да имате сигурен достъп до тях, е необходимо да разгледате устойчивото на фишинг и многократна автентификация (MFA) решение. Като индустрия, която често работи директно с потребителите, R&H има допълнителното предизвикателство да се увери, че всяко MFA решение е потребителски приятно и лесно разбираемо. Потребителите често стават цел на измамни схеми за кражба на удостоверителни данни чрез “социално инженерство” – последният доклад за нарушение на данни на Verizon показва, че 74% от инцидентите се дължат на кражба на удостоверителни данни. Вторият метод за факторно удостоверяване – или още по-добре, безпаролно влизане – е от съществено значение, за да не станете жертва на нови кибер атаки. Потребителски имена и пароли, както и други стари MFA методи като SMS, мобилни приложения за удостоверяване и еднократни пароли, няма да предложат достатъчно сигурност и няма да осигурят добро потребителско преживяване.

Hyatt Hotels и YubiKeys – кибератаки за хотелиерство.

Наскоро Hyatt Hotels достигна кръстопът на сигурността – старите системи за автентикация не отговаряха на техните нужди. Арт Чернобров, Директор по Идентичност, Достъп и Крайни точки в Hyatt, се беше убедил, че старата система за автентикация не е подходяща. Голямата верига хотели разполагаше с 200 000 служители, работещи на 1 500 различни места (вкл. работещи дистанционно), и той вече се беше отказал от традиционните потребителски имена и пароли. Служителите използваха еднократна парола (OTP), изпратена по SMS, което създаваше усещане за “умора от многофакторна автентикация,” тъй като имаше множество MFA подканвания всеки ден.

YubiKeys предостави решение, което се интегрира отлично със съществуващите автентикации на Hyatt, като Entra ID (предишно известна като Azure ID) и SSO на Microsoft. С хардуерен ключ за сигурност, устойчив на фишинг, “умората от многофакторната автентикация” вече не беше проблем, и организацията като цяло можеше да приеме бъдеще без пароли. Хотелите на Hyatt използват ключовете YubiKeys и безпаролното влизане, за да намалят рисковете и да подобрят преживяванията на гостите в хотелските си лобита.

Покриване на основите на киберсигурността в сферата на търговията и хотелиерството.

Внедряването на ново решение за MFA трябва да започне с надлежна проверка и вътрешен одит. Затова е критично да се спазват утвърдени насоки, за да се гарантира, че разполагате с цялата необходима информация. Общо казано, е добре да започнете внедряването с вашите най-важни потребители, които работят с най-чувствителните данни. Тези служители са по-мотивирани да следват указанията и да приемат нова система. След като MFA е изпробвана с тази група, разширете приложението й, като я предоставите на останалите служители.

Препоръчваме да включите списък с ключови приложения във вътрешния Ви аудит. По време на това проучване, можете да зададете следните въпроси за всяко едно приложение или сценарий за автентикация.

  1. Кой има нужда от достъп?
  2. Какъв метод за автентикация ще изберете?
  3. Как в момента управлявате достъпа: чрез управление на идентичността и достъпа (IAM), доставчик на идентичност (IdP), управление на привилегиите (PAM), единичен вход (SSO) или виртуална частна мрежа (VPN)?
  4. Какъв е профилът на работната Ви сила: дали тя е дистанционна, комбинирана, локална или разпределена на множество места?
  5. Какви устройства използват: собствени, BYOD, настолни компютри, лаптопи, смартфони, таблети, POS терминали или скенери за инвентаризация?

Източник: Melanie Greene / yubico.com

Споделете тази статия!

Присъединете се към бюлетина.

Новини и съвети за киберсигурност

Не сте сигурни кой YubiKey ви трябва?

разгледайте таблицата за сравнение на YubiKey