12月27日,正值岁末,2018中国酒店行业客户隐私与数据安全研讨会在上海召开。
本次研讨会由中国饭店协会、CHTA中国酒店科技联盟、安在新媒体联合主办,并得到上海市旅游行业协会饭店业分会、诸子云社群的鼎力支持。
近几年来,纵览全球,包括中国在内,酒店相关信息泄露事件频发,屡屡将整个酒店行业推上风口浪尖。特别是2018年,更是曝出多起事件,一时引起热议。关于酒店企业在以客户隐私和数据安全保护方面的态度、举措、能力以及现实状况,因此也屡遭质疑。
似乎“阴云”密布,恐有暴风骤雨?可解?何解?正是在此背景下,相关机构联合倡议并举办本次活动。参会嘉宾包括行业协会、管理机构、酒店业者,以及信息安全专家代表,大家畅意分享,热烈讨论,群策群议,在坦陈问题的同时,更是形成共识,以期为促进中国酒店行业信息安全的整体性发展而努力。
作为本次活动的主持人,中国饭店协会信息委员会首席顾问、CHTA中国酒店科技联盟COO张兴国首先致开幕词。
在介绍到会嘉宾后,张兴国指出,今年是中国酒店业压力最大的一年,压力不是来自于业务的飞速发展,而是来自各类与个人信息泄露相关的负面新闻和舆论导向,其实纵观事态,外界说法多有不实。但即便如此,作为酒店业者,也得真正惊醒并时刻小心,客户隐私和数据安全绝非小事,特别是在法律法规驱动和民众意识提升的当下,酒店企业必须将信息安全摆在非常凸显的位置。
作为致辞嘉宾,CHTA中国酒店科技联盟主席朱静女士认为,毫不夸张地说,酒店信息安全其实是酒店的“生命”所在。因为客户住酒店,几乎是把最核心的隐私交给了酒店,如果用户对酒店的隐私信息保障能力产生怀疑,对酒店将会产生致命的打击。
作为本次会议上午的“重头戏”,华住集团CIO刘欣欣以《酒店行业信息安全》为主题,深度阐述了酒店业安全事件频发的主因,比如敏感信息密集、安全防护投入不足等。尽管整个酒店业在信息安全方面的发展略显滞后,但从实际工作讲,华住一直在信息安全方面多有努力,比如早在2013年,华住就曾牵头,成立酒店业信息安全委员会。而就现状看,华住在信息安全方面也是有较多投入的。
至于2018年曾经曝出的与华住相关的事件,刘欣欣也坦言相告,在整个事件发生、应对及处理过程中,华住都是积极、开放并认真负责的,除了第一时间向相关机构及政府部门汇报,更是积极协助网安办案并推进处理,至于外界各种说法,积极澄清只是一个方面,更多还需要以时间为证明。
刘欣欣希望这种会议能够经常开,能够把过去的经验与教训,一点点积累和分析,避免酒店行业的安全走太多的弯路。
作为另一典型酒店业者,首旅如家CIO王波作了以《信息安全行动,我们在路上》为主题的演讲,重点讲述了自家信息安全技术能力与数据保护的现状。王波建议,所有酒店至少一周要去GitHub上搜索,有助于及时发现安全隐患。
王波从DSMM审计场景、信息安全等级保护、渗透测试、主要技术安全日常内容、数据内容保护检测等角度,指出持续的安全运维的重要性,未来还需加强和完善的技术与制度环节。
他山之石可以攻玉,更何况在紧密相关的产业链上的佼佼者,作为信息安全老兵,携程信息安全高级总监凌云发表了以《携程数据安全与隐私保护实践》为主题的演讲,他介绍道,携程作为网络运营者,从始至终都严格践行国际与国内相关信息安全法规,并在隐私政策、数据安全、等级保护、实名认证、内容安全等层面上严格把控、认真管理,确保个人与国家信息安全都得到保障。
凌云以GDPR为重点,阐述了携程的网络安全合规实践,总结出“打铁还得自身硬”,数据安全与网站安全密不可分,息息相关。完善的SDL(安全开发生命周期),运维安全管理,可以大大降低数据安全的风险。
公安部第三研究所专家张弛作了以《酒店行业信息安全展望》为主题的演讲。他认为,当下互联网信息安全形势严峻,如Facebook泄密门;数据黑产也是屡禁不绝,诈骗已从过去的“盲骗”准变为“精准诈骗”,个人信息不泄露反而成了罕见之事。
张弛从法律的角度,阐释隐私保护亟需共治,在数据空间的身份管理上,强调保护个人心思、可靠身份认证、抗抵赖;在数字身份体系原则上,提出用户自愿、便利和互操作、个人信息保护、充分告知、个人信息收集最小化、风险控制等六大原则。并对未来数字社会进行展望。
上海段和段律师事务所知识产权部主管合伙人刘春泉作了以《酒店业中国网络安全法违规案例及法律风险防范》为主题的演讲。以去年与今年酒店业发生的严重数据泄露为引,分析了酒店行业数据泄露频繁的主要原因。
刘春泉认为,酒店行业应建立网络安全合规制度,并列举了此前多家互联网公司因涉及个人信息保护不完善、信息安全建设不规范等案例的处罚情况,从法律层面强调了网络安全与信息保护的重要性与紧迫性。提出尊重规律、敬畏法律、信仰法治的理念。
整个上午的议程非常紧凑,主要是酒店及相关行业代表,以及法律专家来分享真知灼见,短暂午餐和休息后,会议进入下半程。
下午的议程,由安在新媒体创始人张耀疆主持,出席嘉宾主要是信息安全领域专家。张耀疆表示,个人隐私和数据安全日益成为全社会共同面临的问题,作为酒店业,必须和包括信息安全专业领域在内的各界人士携手联动,构建生态环境,才能从根子上找到解决之道。
全知科技CEO,前阿里网络安全专家方兴作了以《DT时代的数据安全与合规》为主题的演讲。他认为,数据时代的趋势是办公移动化、计算云化、服务云化、业务IT化、产业生态化、数据业务化。数据时代也面临着三大挑战:开始吸引越来越多的黑灰产和内部作案,开始就缺乏有效控制和管理,权属复杂、监管趋严、合规要求增加。
方兴还介绍了全知科技对数据合规风险管理方法论、数据流动风险管理技术体系、产品方案,提出应具备全局数据流动态势视野。
云丁科技安全负责人向阳作了以《智能门锁安全分析》为主题的演讲。先是介绍云丁科技的安全产品和服务,以及智能门锁的架构,重点分析了智能门锁的安全风险,并分享了几个智能门锁攻破案例,比如电磁攻击、人脸识别开锁攻击、云平台攻击等。
向阳认为,智能门锁的安全防护,应具备机械安全、电子安全、系统安全、通信安全、OTA安全、端到端安全等六大安全类别。并对门锁安全进行了思考,认为门锁厂商重视安全研发投入,推进行业标准和认证体系,平台与安全公司加快IOT安全产业化进程。
观安资深咨询顾问索云翔作了《如何运用大数据保障酒店行业数据安全》为主题的演讲。他认为,酒店用户的入住时间、离开时间、房间号、消费金额甚至可能演变为人身安全事件,庆幸的是,网络信息安全已正式立法,并以等级保护制度的方式落地。应当建立企业信息安全保障体系,使安全管理可见、可知、可预警、可运营。
议程接近尾声,进入到圆桌讨论环节。
圆桌讨论由张耀疆主持,讨论主题为“客户信息安全现状应对及未来发展趋势”,开元酒店集团CIO付全勇、凌云、方兴、刘春泉等嘉宾共同参与。
诸位嘉宾均发表了对信息安全的意见与建议,如酒店信息安全的投入资金体量、酒店日常安全运维的流程、法律对网络安全与信息保护的价值、事件响应与应急响应机制、公众信息与商业机密的泄密防范等,结合现实中真实发生的具体案例加以说明,为酒店行业信息安全的出路指点了不少迷津。
会议尾声,又掀高潮,“中国酒店行业SRC”启动仪式在CHTA主席朱静的主持下,正式拉开帷幕。
“中国酒店行业SRC”能够凝聚酒店行业安全能力和力量,聚沙成塔,提升酒店行业整体应对网络安全风险的能力,提高应对网络威胁的响应速度,完善酒店行业网络安全体系,保障酒店行业健康平稳发展。