Дигитално и данни

Киберсигурност на ресторанта: 9 стъпки срещу хакери

Касовата Ви система, Wi-Fi мрежата и данните на гостите са мишена — често без да го подозирате

Заведенията за хранене от години са сред най-честите мишени на касов малуер — не защото хакерите мразят ресторантьорството, а защото е лесна плячка.

Вериги като Chipotle, Sonic Drive-In и Checkers & Rally's през последните години пострадаха от малуер, заразил касовите им системи — понякога незабелязан с месеци, — при което бяха откраднати милиони номера на карти. Според последния Data Breach Investigations Report на Verizon трета страна — доставчик, партньор за каса или софтуер — вече участва в 30% от всички изтичания на данни, което е почти двойно спрямо година по-рано. А в 22% от случаите откраднатата или слаба парола е била първата стъпка на атаката. Не е нужно да сте международна верига, за да станете мишена: повечето атаки са автоматизирани или минават през един уязвим доставчик, който обслужва десетки заведения едновременно. Тази статия Ви дава 9 конкретни, до голяма степен безплатни или евтини стъпки да защитите заведението си:

  1. Разделете Wi-Fi мрежата за гости — никога на една мрежа с касата.
  2. Защитете касовата си система — актуализации и недоверие към всеки нежелан „техник".
  3. Изберете доставчик на разплащания, съвместим с PCI-DSS — и никога не съхранявайте сами данни за карти.
  4. Използвайте силни пароли и двуфакторна автентикация — навсякъде, не само на касата.
  5. Разпознавайте фишинг и фактурни измами — най-подценяваният разход в бранша.
  6. Ограничете достъпа по роля — и го отнемайте веднага при напускане.
  7. Проверявайте доставчиците си — тяхната слабост става Ваше изтичане на данни.
  8. Правете резервни копия и тествайте плана си за възстановяване — преди момента, в който касата блокира.
  9. Познавайте задължението си за уведомяване — GDPR Ви дава 72 часа, не повече.

Защо заведенията за хранене са предпочитана мишена

Едно заведение обработва дневно десетки до стотици транзакции с карти, съхранява данни за резервации и контакти на гости и често работи с остарял или зле поддържан касов хардуер, който работи непроменен с години. Добавете към това високо текучество на персонала и ограничени ИТ познания и получавате точно профила, който атакуващите търсят: много ценни данни, малко съпротива. За разлика от целенасочена атака срещу голяма банка, повечето касов малуер е опортюнистичен — търси автоматично уязвими системи, без значение дали заведението Ви има дванадесет или сто и двадесет маси.

Добрата новина: повечето мерки по-долу не струват пари, а само десет минути внимание. Киберсигурността в ресторантьорския бранш рядко е въпрос на скъпа ИТ услуга — тя е преди всичко въпрос на затваряне на очевидните пропуски.

9 стъпки към киберсигурно заведение

1. Разделете Wi-Fi мрежата за гости от мрежата на касата

Най-честата — и най-подценявана — грешка е един и същ рутер за всичко: касата, офис компютъра със счетоводството и безплатния Wi-Fi за гости. Щом гост (или някой, комуто гост е подал паролата) се свърже към тази мрежа, в най-лошия случай той може да следи трафика към касовата Ви система.

  • Създайте две отделни мрежи: една за гости, една за каса и офис, всяка със своя парола. Повечето рутери от среден клас нагоре поддържат това чрез „гост SSID" или VLAN, обикновено с една настройка.
  • Сменяйте паролата за гости редовно, например веднъж месечно, така че стара, широко разпространена парола да не продължава да циркулира.
  • Свържете системата за QR поръчки към мрежата за гости, никога към мрежата на касата — дори да изглежда по-практично.

Тази единствена промяна — две мрежи вместо една — затваря най-често използвания път, по който заразено устройство на гост изобщо би могло да достигне до касата Ви.

2. Защитете самата касова система

При избора на касова система обикновено обръщате внимание на интеграциите и таксите по транзакции — но поне толкова важно е доколко добре е защитена и остава защитена. Няколко практически правила:

  • Инсталирайте актуализациите на касовия софтуер веднага щом станат достъпни; остарелият касов софтуер е най-лесната мишена, която съществува.
  • Използвайте компютъра на касата единствено за касата — не за бърза справка, проверка на имейл или пускане на музика.
  • Не се доверявайте на неочакван „техник". Бразилската хакерска група Prilex стана известна в световен мащаб с касов малуер, способен да клонира дори транзакции с чип и ПИН — заразата обикновено започва с телефонно обаждане от уж технически специалист, който настоява да „актуализира" касовия софтуер и иска да инсталирате програма като AnyDesk за отдалечен достъп. При съмнение винаги позвънете обратно на официалния номер на собствения си доставчик, никога на номера, който Ви е дал самият обаждащ се.

3. Изберете доставчик на разплащания, съвместим с PCI-DSS

Всяка страна, обработваща плащания с карта, трябва да спазва PCI-DSS — стандарта за сигурност на картовите мрежи. Практическото следствие за Вас: никога не позволявайте данни за карти да минават през или да се съхраняват във Вашите собствени системи, ако не е необходимо.

  • Изберете терминал или доставчик, който токенизира данните за картата — така касата Ви никога не вижда реалния номер на картата, само безполезен заместващ код.
  • Никога не съхранявайте сами номера на карти в таблици, имейли или бележки „за всеки случай".
  • Ако не сте съвместими с PCI-DSS и все пак се стигне до изтичане на данни, може да носите отговорност за измамни транзакции — цената на несъответствието почти винаги е по-висока от тази на съвместим доставчик.

Числата, които имат значение

Защо скоростта и базовата хигиена тежат повече от скъп договор за сигурност.

Срок за уведомяване при изтичане на данни (GDPR)72 часа
Таван на глобата при сериозно изтичане на даннидо 4% от годишния оборот
Изтичания на данни в света чрез трета страна30%
Инциденти, започнали с открадната парола22%

4. Силни пароли и двуфакторна автентикация — навсякъде

Една споделена парола отпреди години („kasa1234"), която някога е получил всеки служител, е може би най-голямият невидим риск в бранша. Докато го осъзнаете, десет бивши служители продължават да я знаят.

  • Включете двуфакторна автентикация, където е възможно: на касовия акаунт, системата за резервации, бизнес профила Ви в Google и служебната поща. Обикновено е безплатно и струва едно допълнително кликване при вход.
  • Дайте на всеки служител собствен вход вместо един споделен акаунт — така знаете и кой какво е направил, ако нещо се обърка.
  • Използвайте мениджър на пароли за бизнес акаунтите, вместо да преизползвате една и съща парола навсякъде.
Пълното ръководство Технологии и данни за ресторанта: пълното ръководство Уебсайт, изкуствен интелект, анализи и сигурност, които развиват заведението Ви напред. Отворете ръководството

5. Разпознавайте фишинг и фактурни измами

Повечето пробиви не започват със сложен код, а с имейл или обаждане, което злоупотребява с доверие. Включете това изрично в обучението на персонала:

  • Фактурна измама: „доставчик" пише, че банковата сметка е сменена. Потвърждавайте всяка промяна в платежните данни винаги по телефона, на номер, който вече сте знаели — не на номера, посочен в имейла.
  • Измама с изпълнителния директор: спешен имейл „от собственика", който иска да купите ваучери или да направите бърз превод. Уговорете се в екипа, че такива искания винаги се потвърждават устно.
  • Фалшиви имейли „от доставчика на касата Ви" или „Google", които искат да влезете чрез връзка. При съмнение винаги отивайте директно на официалния уебсайт, вместо да кликвате върху връзката.

6. Ограничете достъпа по роля — и го отнемайте веднага

Не всеки служител се нуждае от администраторски права за касата, системата за резервации или социалните мрежи. Работете с роли: сервитьорът може да въвежда поръчки, но не му е нужно да експортира отчети или да сменя настройки.

  • Давайте пълни администраторски права само на собственика и ограничен брой ръководители.
  • Отнемайте достъпа незабавно, щом някой напусне — това е най-забравяната стъпка от целия списък и една от най-рисковите. Включете я по подразбиране в чеклиста за напускане наред с останалата документация около управлението на персонала.
  • Проверявайте поне два пъти годишно кой все още има достъп до какво и премахвайте това, което вече не е необходимо.

7. Проверявайте доставчиците си: тяхната слабост става Ваше изтичане на данни

Касовата Ви система, платформата за онлайн поръчки и инструментите за автоматизация често работят на софтуер на външна страна. Ако тази страна бъде хакната, проблемът е и Ваш. От октомври 2024 г. европейската директива NIS2 повишава изискванията за сигурност пред средни и големи компании в редица сектори — самостоятелни заведения обикновено остават извън обхвата (прагът е 50 служители или 10 милиона евро оборот), но доставчикът Ви на каса, резервации и разплащания често попада точно в него. Затова при всеки нов доставчик питайте:

  • Съответствате ли на NIS2 или ISO 27001, или поне можете ли да покажете как защитавате клиентски данни?
  • Колко бързо се уведомяват клиентите при инцидент от Ваша страна?
  • Къде и колко дълго се съхраняват нашите данни и кой има достъп до тях?

Това се свързва пряко с критичния поглед, който така или иначе трябва да имате към начина, по който обработвате клиентски данни съгласно GDPR: отговорността за данните на гостите Ви не свършва при доставчика, който технически ги съхранява.

8. Правете резервни копия и тествайте плана си за възстановяване

Ransomware рядко прави заглавия в ресторантьорството така, както при болниците, но ефектът е поне толкова разрушителен: каса, която блокира в натоварена петъчна вечер, означава незабавна загуба на оборот и разочаровани гости на входа.

  • Правете редовни резервни копия на данните за резервации, клиентски данни и конфигурация — автоматично, не ръчно „когато се сетите".
  • Съхранявайте поне едно резервно копие отделно от основната Ви мрежа, така че ransomware, шифроващ системите Ви, да не отнесе и резервното копие.
  • Тествайте поне веднъж годишно дали резервно копие наистина може да бъде възстановено — резервно копие, което никога не сте възстановявали, е предположение, не гаранция.

9. Познавайте задължението си за уведомяване и обмислете застраховка

Ако обработвате лични данни на гости или служители — а това прави практически всяко заведение, от резервации до досиета на персонала, — GDPR важи изцяло, независимо от размера Ви. При сериозно изтичане на данни:

  • Трябва да уведомите органа за защита на данните в рамките на 72 часа от откриването.
  • Трябва да уведомите засегнатите гости или служители, ако рискът за тях е висок.
  • Глобите могат да достигнат до 4% от световния годишен оборот — на практика малките заведения обикновено се третират много по-меко, но самото задължение за уведомяване важи без изключение.

Достъпна киберзастраховка често покрива не само директните щети, но и криминалистично разследване и правна помощ след инцидент — попитайте застрахователя, при когото вече имате другите си полици. Документирайте освен това на един лист кого трябва да се обадите (доставчик, застраховател, евентуална ИТ помощ), когато нещо се случи: посред нощ не искате да търсите телефонен номер.

Чести грешки, които подкопават киберсигурността

  • Каса, офис и Wi-Fi за гости на абсолютно една и съща мрежа.
  • Използване на една споделена парола, която никога не се сменя, дори след смяна на персонала.
  • Даване на неочакван „техник" на отдалечен достъп до касата без въпроси.
  • Ръчно записване или съхраняване на данни за карти на гости „за всеки случай".
  • Отнемане на достъпа на напуснали служители чак когато случайно се забележи.
  • Никога да не се тества дали резервно копие наистина може да бъде възстановено.

Заключение: сигурността като основна хигиена, не като лукс

Киберсигурността в ресторантьорския бранш рядко изисква голяма инвестиция. Тя е поредица от малки, устойчиви навици: отделна мрежа за гости, двуфакторна автентикация, критичен поглед към всяко неочаквано обаждане и достъп, който отнемате веднага щом някой напусне. Започнете тази седмица с безплатните стъпки — разделяне на мрежите, включване на двуфакторна автентикация, информиране на екипа за фишинг — и планирайте останалото за следващия разговор с доставчик.

Цената на тези няколко часа внимание е нищожна в сравнение с това, което изтичане на данни струва по отношение на репутация, глоби и доверието на гости, които просто са очаквали данните им да са в безопасност при Вас.

Често задавани въпроси

Твърде малко ли е заведението ми, за да е интересно за хакери?

Не. Повечето атаки срещу касови системи са автоматизирани или минават през доставчика на софтуер, който обслужва десетки заведения едновременно — размерът на бизнеса Ви няма значение. Малкото заведение обикновено има и по-малко ИТ поддръжка, тоест е по-лесна, а не по-незначима мишена.

Трябва ли малко заведение да спазва изискванията на директивата NIS2?

Обикновено не пряко: NIS2 е насочена към средни и големи предприятия (от 50 служители или над 10 милиона евро оборот нагоре). Повечето самостоятелни ресторанти остават под тези прагове. NIS2 обаче повишава изискванията за сигурност пред доставчиците Ви на каса, резервации и разплащания, които често попадат в обхвата ѝ — а тяхното ниво на защита определя до голяма степен колко сигурни са и Вашите данни.

Какво да направя, ако подозирам изтичане на данни?

Изключете засегнатото устройство от мрежата, уведомете незабавно доставчика на касовата или софтуерната си система и документирайте установеното. Ако става въпрос за лични данни на гости или служители, сте длъжни да уведомите органа за защита на данните в рамките на 72 часа. Не чакайте да сте напълно сигурни — навременното уведомление тежи повече от идеално точното.