зачем гостиницы берут паспортные данные
«Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных клиентов
Сколько бы эксперты сферы ИБ ни рассказывали страшилок, связанных с кражей персональных данных или халатным с ними обращением, подавляющее большинство граждан не задумывается даже об элементарных правилах информационной безопасности. Мы без тени сомнения предоставляем личные данные турагентству (зачем интересоваться тем, как и где будут храниться копии паспорта, анкеты и справки о доходах? Кому будут пересылаться эти документы?), спокойно относимся к копированию собственного паспорта при заселении в гостиницу и даже требование фитнес-центра о скан-копии документа, удостоверяющего личность, не настораживает нас.
Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему миру.
Немного статистики
Чтобы оценить масштаб проблемы: только в Москве 795 гостиниц (включая мини-отели и хостелы) с номерным фондом на 50 500 мест. По статистике, в среднем гостиницы загружены на 60-70%. Даже если брать по минимуму, то ежедневно в организациях сферы гостеприимства «оседает» около 20 200 скан-копий паспортов, которые никто не охраняет. И это только в столице РФ.
Или данные Ростуризма: в 2015 году по РФ путешествовало 50 млн россиян. Даже если поделить эту цифру пополам, количество незащищенных персональных данных остается слишком велико, чтобы не обращать на проблему внимания.
Кроме гостиниц, паспорта сканируют в фитнес- и бизнес-центрах, на проходных режимных объектов и даже в развлекательных учреждениях (вот пример с Ледовой ареной).
Среди всех клиентов SearchInform доля компаний из сферы гостеприимства составляет лишь 0,5%, т. е. более чем из 1600 клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. И это не наше упущение как бизнеса. Для сравнения: у других вендоров доля клиентов из сферы гостеприимства также невелика: от 1 до 3%.
Угроза на практике
Наши клиенты поделились реальными историями мошенничества и халатности со сканами паспортов в гостиницах.
Перед одним из клиентов SearchInform стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с политиками, позволяющими выявить мошенников, в DLP-системе (Data Leak Prevention, система предотвращения утечек информации. — Forbes), были настроены политики по отслеживанию движения сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен продавала их на специализированных сайтах. С сотрудницей расстались, но разбирательство по этому инциденту еще продолжается.
Наиболее распространенный вид мошенничества со скан-копиями паспортов – это передача их заинтересованным лицам. Сканы используются для мошенничества с кредитами, подтверждения личности на различных сайтах, для целенаправленного шантажа конкретного человека. У одного из наших клиентов сложилась такая ситуация: сканы паспортов хранились в общей сетевой папке, один из менеджеров по продажам воспользовался случаем и скинул данные на флешку. Слив информации на внешний носитель зафиксировала DLP-система, и сотрудник признался, что договорился передать скан-копии сообщнику за вознаграждение. Мошенник скупал копии паспортов для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.
И еще одна типичная история. Наш аналитический центр обнаружил пару лет назад, что в гостинице сканы паспортов постояльцев находились в открытом доступе (не будем раскрывать название отеля — он оперативно исправил ситуацию). При подключении к бесплатному вайфаю в сети появлялись несколько компьютеров, в том числе и ПК ресепшена. Аналитик SearchInform свободно скачал скан-копии постояльцев и обратился с этими данными к руководству гостиницы. Оказалось, что в организации нет даже постоянного системного администратора, который бы смог оперативно устранить проблему.
Подобный случай был зафиксирован и в тбилисской гостинице «Вере Палас».
Как защитить свои данные?
Я работаю в сфере информационной безопасности и прекрасно понимаю, чем грозят многочисленные копии моего паспорта в руках злоумышленника: от проблем с кредитами и фирмами-однодневками, до целенаправленных атак социальных инженеров.
Проблема сохранности персональных данных, увы, даже не приближается к решению. Гостиницы лишь «на бумаге» выполняют ФЗ-152, в то время как защитных решений у большинства организаций нет.
Глобально исправить ситуацию с сохранностью персональных данных могут инициативы регуляторов: если от учреждений сферы гостеприимства на государственном уровне будут требовать защиты персональных данных, будут проводиться проверки и налагаться существенные штрафные санкции, то большая часть проблем будет решена.
Качественная DLP-система на компьютерах, хранящих и обрабатывающих персональные данные, позволит как заблокировать отправку критически важной информации, так и оповестить о попытке слива руководство или сотрудника отдела информационной безопасности.
Что делать, если просят копию паспорта?
Насколько я понимаю, любая организация, у которой есть копия моего паспорта или мои паспортные данные, становится обладателем моих персональных данных и обязана их хранить.
Могу ли я потребовать с организации письменное обязательство о неразглашении моих персональных данных?
Вы совершенно правы. В паспорте содержатся ваши персональные данные. Тот, кому вы их предоставляете, становится оператором персональных данных и должен соблюдать требования закона: использовать данные для конкретной цели, хранить в защищенном месте и не допускать утечки. Операторы сами должны запрашивать ваше согласие на обработку персональной информации.
Насторожитесь, когда копию паспорта делают без вашего согласия. Если паспортные данные окажутся у мошенников, вас могут ждать неприятные последствия.
Мы уже не раз писали про персональные данные. Но давайте еще раз вспомним главное.
По закону персональные данные — это любая информация, относящаяся к физическому лицу. Любой, кто получает и использует сведения о других людях, становится оператором персональных данных и должен соблюдать требования закона.
Нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Поэтому вы смело можете запросить у фирмы, которая получила копию вашего паспорта или паспортные данные, обязательство не разглашать эти данные. А лучше потребовать у компании соглашение на обработку данных. Оно обязательно должно быть.
По закону оператор должен получить письменное согласие на обработку персональных данных, если эти данные не нужны суду или гос. органам (ст. 6 Закона о персональных данных). В согласии должны быть прописаны данные, которые от вас требуются, и цель, для которой они нужны.
Если соглашения нет, возможно, вы имеете дело с мошенниками.
Чем грозит утечка паспортных данных
На ваше имя могут оформить кредит или микрозаем. Мошенникам достанутся деньги, а вам — звонки коллекторов и обязанность погасить долг. Конечно, такой кредит можно оспорить в суде, но вы потратите время и нервы.
Ваши данные могут использовать для незаконных финансовых операций. Чтобы снять ограничения в некоторых платежных системах, достаточно предъявить фото паспорта. В этом случае вы рискуете стать участником дел о незаконной торговле или финансировании терроризма.
Как обезопасить себя
Во-вторых, не давайте делать копии всех страниц паспорта. Первой страницы и страницы с пропиской обычно достаточно.
Наконец, по возможности напишите на копии паспорта, для какой фирмы она сделана. Либо замажьте или зачеркните какие-нибудь данные, например вашу подпись.
Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.
Просят копию паспорта: 6 способов защититься
По копии чужого паспорта мошенник может взять кредит, оформить банковскую карту, арендовать квартиру и вывезти из нее мебель и технику. А получить копию просто — в интернете их продают по сто рублей за штуку.
Вот что сделать, чтобы защитить копию паспорта или хотя бы помешать мошенникам ей воспользоваться.
Как победить выгорание
Оценить контрагента
Одно дело, когда фото паспорта просит прислать солидное госучреждение, совсем другое — если это небольшой таксопарк. Компания может выглядеть благополучно, но при этом находиться на грани закрытия или существовать только в виде странички в «Инстаграме» или воображении мошенника.
Закажите выписку из реестра ФНС и посмотрите, чем на самом деле занимается компания, сколько в ней сотрудников, какой уставный капитал, нет ли информации о недостоверных сведениях.
Если вам предложили удаленную работу в ИТ-агентстве и попросили прислать фото паспорта, а по выписке компания занимается продажами, да еще и зарегистрирована по недостоверному адресу, это повод задуматься. Возможно, с таким контрагентом лучше вообще не иметь никаких дел — и тем более не отправлять ему копию паспорта.
Предложить обойтись без фото паспорта
Во многих ситуациях достаточно паспортных данных, без графического изображения страниц: например, при составлении договора купли-продажи или доверенности. Предложите другой стороне такой вариант: вместо фото паспорта вы присылаете распечатку данных в виде текста, а при подписании договора показываете документ, чтобы контрагент мог их проверить.
Такой вариант безопаснее: кредит или банковскую карту на текстовые данные оформить не получится.
Закрыть часть данных на фото
Банки принимают только копии паспортов без изменений, правок или пометок. А вот для небольших компаний можно эту копию немного изменить: если закрыть часть фото листом бумаги, для мошенника она станет менее полезной.
Хорошая идея — закрыть свою подпись, чтобы ее не скопировали. Даже если мошенник все-таки использует фото вашего паспорта, потом будет намного проще доказать подлог. Перед дальней поездкой распечатайте несколько таких копий, чтобы не искать принтер в дороге.
Написать на копии паспорта, когда и для кого ее сделали
Для банков копия паспорта с такой надписью не годится — у службы безопасности сразу возникнут вопросы к сотруднику, оформившему кредит. Но вариант сработает, если копию паспорта требуют в гостинице или при приеме на работу. Напишите, например, «Копия сделана для гостиницы „Ромашка“» или «Копия сделана для Иванова Петра, отдел кадров фирмы „Рога и копыта“» — и поставьте дату. А еще попросите сотрудника, которому отдаете копию, поставить на ней свою подпись.
Для копии в электронном виде отсканируйте версию с надписью или напечатайте текст поверх документа в графическом редакторе. Хорошо, если надпись перекроет часть вашего фото: так ее сложнее будет удалить.
Сделать копию низкого качества
Чем выше качество копии паспорта, тем проще с нее снять еще одну копию, поэтому цветная фотография в высоком разрешении на черном рынке ценится выше размытой черно-белой. Но отделу кадров или службе безопасности качество не важно — им нужно только проверить вашу личность. Поэтому идеальная копия — это черно-белое изображение, на котором с трудом можно разобрать текст, а фото владельца документа похоже на черный квадрат с разводами.
Нужные фильтры есть в большинстве графических редакторов. Можно даже инвертировать цвета — получится что-то вроде негатива.
Помнить о своем праве защищать персональные данные
Контрагент может отказаться принимать копию паспорта с пометками, и в случае с банками такой отказ обоснован. Но если отказ пришел из другой организации, скорее всего, это произвол. «Всегда так делаем» и «начальник распорядился» не считается законным основанием для отказа принять копию документа.
Постарайтесь объяснить, что закон разрешает вам защищать свои персональные данные так, как вы считаете нужным, и все действия с вашими персональными данными возможны только с вашего согласия. А проверить точность данных в копии паспорта никто не мешает — вот оригинал.
ст. 9 ФЗ «О персональных данных»: согласие на обработку персональных данных
И если все-таки отправили копию своего паспорта контрагенту, а потом передумали, у вас есть право отозвать согласие на обработку персональных данных. Компания будет обязана уничтожить все копии ваших документов.
Кредит взять можно а пиво по фотке паспорта не продают. Что за страна.
What, слышала, что только сейчас разрабатывают закон, позволяющий зафиксировать «отказ» в МоихДокументах на выдачу вам кредита. Как отказ на продажу квартиры без вашего ведома.
What, мошенники же, а кибе все честно
What, по фотке заграна иногда проканывает
Ната, мы с женой уже лет десять, когда пытаются сделать копию паспорта, просим дать нам эту копию сразу после копирования и пишем на ней ручкой, кому и когда дана копия. Очень редко, когда кто-то выступает против такого, но, как правило, в итоге всё решается в нашу пользу.
Шпаргалка для отельеров. 6 ошибок в работе с персональными данными клиентов и как их избежать
— Зачем вы присылаете мне весь этот бред? — Возмущалась Ольга.
Уже несколько лет она получала смс-рассылку от одного отеля, в котором периодически останавливалась во время командировок в Питер, и все это время ей ничего не мешало просто удалять сообщения, а иногда даже пересылать их знакомым.
Но сегодня все было не так: мигрень, ЧП на работе, дочка закатила истерику, а тут еще этот отель со своим спамом. Нет, хоть одну проблему из этого списка надо вычеркнуть.
— Я никакого согласия не давала, я знаю законы, я буду жаловаться на вас в Роскомнадзор! — Искрила Ольга.
Ирина, администратор отеля на другом конце провода, явно с таким еще не сталкивалась, поэтому ей потребовалось пару секунд, чтобы выдавить из себя:
— Скажите, как я могу к Вам обращаться?
— На «Вы» и шепотом! — Не унималась клиентка. — Ольга Герасимова меня зовут.
— Очень приятно, Ольга. — Дрожащим голосом продолжала Ирина. — Не может такого быть, чтобы мы посылали Вам сообщения без Вашего разрешения.
— Очень даже может, знаю я вас! — Почти кричала Ольга. — Готовьтесь, суд уже не за горами.
— Подождите, пожалуйста. Давайте мы все же попробуем найти Вашу анкету для начала. Я уверена, что проблему можно решить. — Ирина пыталась говорить убедительно. — Может быть, Вы помните, в каком году останавливались у нас впервые? Это упростит нам задачу.
— Так я вам еще и задачи должна упрощать? — Ольга была близка к бешенству. — Ищите мою анкету сами, если она вообще существует! — И бросила трубку.
Ирина была в ужасе, но нужно было взять себя в руки. Спустя 4 часа, 2 скандала и 1573 файла, анкету Ольги Герасимовой все же нашли, галочка напротив фразы «Я согласна получать смс-уведомления об акциях и спецпредложениях» и подпись там стояли.
Громкую клиентку удалось успокоить скан-копией анкеты и обещанием удалить ее номер из рассылки. Но осадочек остался…
Мы решили выяснить, какие ошибки чаще всего допускает администрация отелей при обработке персональных данных, какую ответственность влечет за собой незнание законов и как избежать неприятных ситуаций.
Но для начала разберемся,
Что считать персональными данными
Закон не дает четкого определения этого понятия. Если же исходить из формулировки, что это любая информация, которая определяет физическое лицо, то к персональным данным можно отнести:
«Дорогие гости»: как сотрудники сферы гостеприимства наживаются на персональных данных
Проблема сохранности персональных данных в российских отелях грозит клиентам как проблемами с кредитами, так и целенаправленными атаками социальных инженеров
Сколько бы эксперты сферы ИБ ни рассказывали страшилок, связанных с кражей персональных данных или халатным с ними обращением, подавляющее большинство граждан не задумывается даже об элементарных правилах информационной безопасности. Мы без тени сомнения предоставляем личные данные турагентству (зачем интересоваться тем, как и где будут храниться копии паспорта, анкеты и справки о доходах? Кому будут пересылаться эти документы?), спокойно относимся к копированию собственного паспорта при заселении в гостиницу и даже требование фитнес-центра о скан-копии документа, удостоверяющего личность, не настораживает нас.
Я сам провожу в перелетах и гостиницах пятую часть рабочего времени и даже боюсь представить, сколько копий моего паспорта гуляет по всему миру.
Немного статистики
Чтобы оценить масштаб проблемы: только в Москве 795 гостиниц (включая мини-отели и хостелы) с номерным фондом на 50 500 мест. По статистике, в среднем гостиницы загружены на 60-70%. Даже если брать по минимуму, то ежедневно в организациях сферы гостеприимства «оседает» около 20 200 скан-копий паспортов, которые никто не охраняет. И это только в столице РФ.
Или данные Ростуризма: в 2015 году по РФ путешествовало 50 млн россиян. Даже если поделить эту цифру пополам, количество незащищенных персональных данных остается слишком велико, чтобы не обращать на проблему внимания.
Кроме гостиниц, паспорта сканируют в фитнес- и бизнес-центрах, на проходных режимных объектов и даже в развлекательных учреждениях (вот пример с Ледовой ареной).
Среди всех клиентов SearchInform доля компаний из сферы гостеприимства составляет лишь 0,5%, т. е. более чем из 1600 клиентов лишь восемь – гостиницы, дома отдыха, пансионаты. И это не наше упущение как бизнеса. Для сравнения: у других вендоров доля клиентов из сферы гостеприимства также невелика: от 1 до 3%.
Угроза на практике
Наши клиенты поделились реальными историями мошенничества и халатности со сканами паспортов в гостиницах.
Перед одним из клиентов SearchInform стояла задача по выявлению мошеннических схем с заселением в гостиницу. Вместе с политиками, позволяющими выявить мошенников, в DLP-системе (Data Leak Prevention, система предотвращения утечек информации. — Forbes), были настроены политики по отслеживанию движения сканов паспортов. Ответственный за информационную безопасность сотрудник был немало удивлен, когда система обнаружила систематическую отправку сканов на внешнюю почту. Выяснилось, что сотрудница ресепшен продавала их на специализированных сайтах. С сотрудницей расстались, но разбирательство по этому инциденту еще продолжается.
Наиболее распространенный вид мошенничества со скан-копиями паспортов – это передача их заинтересованным лицам. Сканы используются для мошенничества с кредитами, подтверждения личности на различных сайтах, для целенаправленного шантажа конкретного человека. У одного из наших клиентов сложилась такая ситуация: сканы паспортов хранились в общей сетевой папке, один из менеджеров по продажам воспользовался случаем и скинул данные на флешку. Слив информации на внешний носитель зафиксировала DLP-система, и сотрудник признался, что договорился передать скан-копии сообщнику за вознаграждение. Мошенник скупал копии паспортов для подтверждения личности на сайтах онлайн-казино, а также на ресурсах по розничной купле-продаже.
И еще одна типичная история. Наш аналитический центр обнаружил пару лет назад, что в гостинице сканы паспортов постояльцев находились в открытом доступе (не будем раскрывать название отеля — он оперативно исправил ситуацию). При подключении к бесплатному вайфаю в сети появлялись несколько компьютеров, в том числе и ПК ресепшена. Аналитик SearchInform свободно скачал скан-копии постояльцев и обратился с этими данными к руководству гостиницы. Оказалось, что в организации нет даже постоянного системного администратора, который бы смог оперативно устранить проблему.
Подобный случай был зафиксирован и в тбилисской гостинице «Вере Палас».
Как защитить свои данные?
Я работаю в сфере информационной безопасности и прекрасно понимаю, чем грозят многочисленные копии моего паспорта в руках злоумышленника: от проблем с кредитами и фирмами-однодневками, до целенаправленных атак социальных инженеров.
Проблема сохранности персональных данных, увы, даже не приближается к решению. Гостиницы лишь «на бумаге» выполняют ФЗ-152, в то время как защитных решений у большинства организаций нет.
Глобально исправить ситуацию с сохранностью персональных данных могут инициативы регуляторов: если от учреждений сферы гостеприимства на государственном уровне будут требовать защиты персональных данных, будут проводиться проверки и налагаться существенные штрафные санкции, то большая часть проблем будет решена.
Качественная DLP-система на компьютерах, хранящих и обрабатывающих персональные данные, позволит как заблокировать отправку критически важной информации, так и оповестить о попытке слива руководство или сотрудника отдела информационной безопасности.