TURIZAM info

Pretplata na časopis

Turizam u sjeni digitalnih prijetnji

8. srpnja 2025.  |  Opremanje

Kibernetički napadi su, nažalost, postali nova svakodnevica turističke industrije, pa sigurnost digitalnih sustava i edukacija zaposlenika postaju jednako važni kao kvaliteta usluge i infrastrukture.

Krajem rujna 2023. godine, europski hotelski lanac Motel One postao je meta ozbiljnog ransomware napada. Hakerska skupina ALPHV, poznata i pod imenom BlackCat, kompromitirala je sustave lanca i ukrala oko šest terabajta podataka. Među 24,5 milijuna ukradenih datoteka nalazile su se informacije o rezervacijama gostiju iz posljednje tri godine: imena, adrese, kontakti, datumi boravka, načini plaćanja, kao i interni poslovni dokumenti. Potvrđeno je i curenje podataka sa 150 kreditnih kartica. Motel One brzo je angažirao sigurnosne stručnjake i obavijestio nadležne institucije, no šteta je već bila počinjena.

Ovaj napad, koliko god bio ozbiljan, nije iznimka. Slični pokušaji i uspješni prodori sve su češći i na hrvatskoj obali, a o posljedicama i načinima zaštite razgovarali smo sa stručnjacima iz A1 Hrvatska.

Visoki troškovi i ozbiljne posljedice

Cyber napadi ne znače samo reputacijsku štetu i izgubljeno povjerenje gostiju, već često nose i vrlo konkretne financijske posljedice. Troškovi forenzičke analize sustava, angažmana stručnjaka, privremeno isključenje rezervacijskih kanala, zamjena IT infrastrukture i troškovi obavještavanja korisnika samo su dio tereta.

U najtežim slučajevima, kada su sustavi zaključani ransomwareom, turistički objekti su ponekad prisiljeni na isplatu otkupnine kako bi mogli nastaviti s radom, a dodatno, tu su i potencijalne kazne zbog kršenja GDPR-a, ako se utvrdi da zaštita podataka nije bila adekvatna.

– Cyber kriminal je sve češća pojava i u našem turizmu, a posebno su ranjivi manji hoteli, kampovi i apartmanski kompleksi, koji najčešće nemaju vlastite IT timove niti kontinuiranu brigu o sigurnosti. Napadači to znaju i ciljano napadaju. S druge strane, veliki hoteli su atraktivni ciljevi zbog količine osjetljivih podataka. Dovoljan je samo jedan loše zaštićen korisnički račun ili otvorena mreža i ulaz je otvoren – objašnjavaju iz A1 Hrvatska.

Tehničke slabosti i nedovoljna edukacija

Zabrinjavajući je podatak da se većina napada – ne prijavi. Prema europskim procjenama i sigurnosnim analizama, stvarni broj napada mogao bi biti i 30 puta veći od onoga što je službeno poznato. U Hrvatskoj se, prema javno dostupnim podacima, godišnje prijavi više od tisuću incidenata ove vrste, a najslabije točke kod turističkih subjekata u Hrvatskoj najčešće proizlaze iz kombinacije tehničkih i ljudskih čimbenika.

– U stvarnosti, mnogi hoteli i turistički objekti koriste zastarjelu opremu, softvere ne ažuriraju redovito, lozinke se rijetko mijenjaju, Wi-Fi mreže za osoblje i goste često nisu odvojene, a osoblje je nedovoljno educirano o sigurnosnim prijetnjama – ističu iz A1 Hrvatska.

Koliko toga ovisi o brzoj i točnoj procjeni prijetnje, najbolje potvrđuju i konkretni primjeri koji u A1 dolaze iz hrvatskih hotela:

– Nedavno smo imali slučaj jednog manjeg hotela na obali, korisnika naših sigurnosnih rješenja. Djelatnica recepcije primila je e-mail koji je izgledao kao potvrda rezervacije s poznate platforme. No, zahvaljujući prethodnoj edukaciji, posumnjala je u autentičnost poruke i odmah kontaktirala naš tim. Ispostavilo se da se radi o pokušaju phishing napada, s poveznicom koja je vodila na lažnu stranicu za unos korisničkih podataka. Brza reakcija spriječila je kompromitaciju, a dodatno smo proveli sigurnosne mjere poput resetiranja lozinki, skeniranja sustava i dodatne edukacije cijelog osoblja.

Dodaju da napadi mogu biti i znatno sofisticiraniji

– U drugom slučaju radilo se o kompromitaciji poslovne e-mail komunikacije, usmjerenoj na računovodstvo i direktora jednog većeg hotela. Napadač je presreo internu komunikaciju i potom, koristeći direktorovu e-mail adresu, poslao računovodstvu lažan zahtjev za hitnu uplatu gotovo milijun eura na nepoznat račun, uz poruku da će detalje objasniti na sastanku. Srećom, računovodstvo je posumnjalo u neuobičajeni ton poruke i kontaktiralo naš tim, koji je odmah proveo analizu sigurnosti e-mail računa i potvrdio da je došlo do kompromitacije.

Sigurnost počinje prije napada

U A1 napominju i da se sve više klijenata javlja nakon incidenata, no ističu važnost prevencije:

– Nakon što se napad dogodi, već je kasno. Tada se spašava što se može. Naša preporuka je edukacija osoblja, redovita nadogradnja sustava i angažman partnera koji može sustavno brinuti o sigurnosti, baš kao što netko drugi brine o vodi, energiji ili internetu – navode iz A1 Hrvatska. Već godinama razvijaju posebne pakete usluga za sektor turizma, a njihov pristup kombinira komunikacijske i sigurnosne usluge, od segmentacije mreža i enkripcije podataka, do sustava za nadzor prometa i obranu od DDoS i phishing napada.

Svaki hotel ili kamp koji pohranjuje osobne podatke gostiju, a danas su to svi, odgovoran je za njihovu zaštitu. A možda najvažnije – gosti to očekuju. Povjerenje se danas ne gradi samo na osmijehu osoblja i kvaliteti usluge, već i na nevidljivom, ali ključnom elementu: sigurnosti njihovih podataka. A to je područje koje zahtijeva stalnu pažnju. Prije, a ne poslije napada.

Tri koraka za smanjenje rizika od cyber napada

1. Uvođenje dvofaktorske autentifikacije (2FA)

Zaštita pristupnih točaka, posebno e-mail računa i rezervacijskih sustava, značajno smanjuje mogućnost kompromitacije. 2FA se jednostavno integrira i predstavlja osnovni sloj dodatne sigurnosti.

2. Edukacija zaposlenika

Zaposlenici trebaju znati prepoznati prijetnje i pravilno reagirati. Kratke, ciljane edukacije mogu spriječiti ozbiljne incidente, osobito one temeljene na socijalnom inženjeringu i phishingu.

3. Zaštita mreže i redovita testiranja

Važno je odvojiti mreže za goste i osoblje, koristiti višeslojnu zaštitu poput firewalla i antivirusnih sustava te provoditi redovita penetracijska testiranja kako bi se otkrile i uklonile moguće ranjivosti.

___________________

Pojmovnik cyber sigurnosti

Phishing

Lažni e-mail koji izgleda kao da dolazi od poznatog gosta, agencije, rezervacijskog sustava ili čak kolege. Cilj mu je da kliknete na poveznicu i unesete lozinku ili podatke.

Primjer: E-mail s „potvrdom rezervacije“ s Booking.coma izgleda uvjerljivo, ali vodi na lažnu stranicu koja krade podatke.

Ransomware

Vrsta virusa koji „zaključa“ vaše podatke i traži otkupninu (najčešće u kriptovalutama) da ih ponovno otključa.

Primjer: Ne možete pristupiti računima ili rezervacijama jer su svi dokumenti „šifrirani“. Pojavi se poruka s uputama za plaćanje.

Socijalni inženjering

Napad koji se ne temelji na tehničkim ranjivostima, već na manipulaciji zaposlenika. Napadač se predstavlja kao kolega, gost, partner ili nadređeni i pokušava vas navesti da otkrijete lozinke, podatke ili napravite neku radnju.

Primjer: Telefonski poziv iz „IT službe“ u kojem osoba traži pristupne podatke za sustav ili poruka od „direktora” s hitnim zahtjevom za uplatu.

Dvofaktorska autentifikacija (2FA)

Dodatna sigurnosna provjera prilikom prijave; osim lozinke, unesete i kôd koji dobijete na mobitel ili aplikaciju.

Primjer: Kad se prijavljujete u e-mail, nakon lozinke morate još unijeti kôd koji stigne SMS-om.

Firewall (zaštitni zid)

Digitalni čuvar koji filtrira i kontrolira što ulazi i izlazi iz vaše mreže.

Primjer: Ako netko s nepoznate adrese pokušava pristupiti vašoj mreži, firewall to blokira automatski.

SOC – sigurnosni operativni centar

Tim stručnjaka koji 24/7 nadzire mreže i sustave, i reagira ako primijeti sumnjivu aktivnost.

Primjer: Ako se netko pokušava prijaviti u vaš sustav iz Kine u tri sata ujutro, SOC može odmah reagirati.

Segmentacija mreže

Razdvajanje mreže za goste i osoblje, kao i različitih uređaja unutar objekta.

Primjer: Gosti koriste jednu Wi-Fi mrežu (bez pristupa internim podacima), dok računovodstvo i recepcija koriste drugu, sigurnu mrežu.

Automatizirani napadi

Napadi koje ne izvodi fizička osoba, nego softver koji automatski traži „rupe“ u sustavima.

Primjer: Napadač ne mora „ciljati“ vas, ali njegov program će sam pronaći da imate otvoren stari sustav i pokušati ući.

Kompromitacija e-maila

Kada napadač preuzme pristup tuđem e-mail računu i koristi ga kao da je osoba koju poznajete.

Primjer: Dobijete poruku od direktora s molbom za hitnu uplatu, ali to nije on.

Penetracijsko testiranje (pen test)

Test sigurnosti gdje stručnjaci namjerno pokušavaju „provaliti“ u vaše sustave kako bi pronašli slabe točke, a postoje i automatizirani pen testovi koji rezultate daju isti dan. Bolje da propust pronađe netko tko vas želi zaštititi, nego netko tko vas želi napasti!

Povezane objave

© Sva prava zaštićena - 2026. - Info Lab Mediji d.o.o.