酒店資安危機四伏？AI深偽攻擊一通電話即失守！

數碼化浪潮席捲香港酒店業，由無匙入住至雲端物業管理系統（PMS），每項創新都深深影響酒店業的營運方式，唯背後風險已急劇上升。最新資安報告顯示，酒店業已成駭客首要目標；2024年北美高峰時期逾八成酒店遭受攻擊，44%酒店平均停業12小時，損失逾億美元。這個安全風險問題已遠超IT部門，而是直擊營運核心。

語音社交工程：前線頭號威脅

凌晨兩點，前台員工接獲一通「緊急」來電，對方自稱來自集團總部，指酒店訂房系統「未能同步」，急需登入憑證「驗證」，員工不慎有詐提供登入憑證，結果使到系統受到駭客人侵，大量客人的個人資訊被放到暗網上拍賣。

這是一個「vishing」（語音社交工程）的典型案例，亦是近年藉著AI助力，發展得最凶狠的攻擊手法。駭客偽裝賓客、供應商或品牌代表，製造緊迫感，向前枱或後勤員工套取憑證或系統存取權限，進而竊取賓客資料、癱瘓系統，甚至勒索巨款。2023年MGM Resorts事件即因一通vishing來電，單季損失1億美元。

切勿低估舊設備可以引起的破壞！不少酒店仍使用早已停止支援的Windows 7 系統、Server 2008或未修補之POS終端，連IP電話仍沿用出廠密碼，可被輕易破解。此等「靜默風險」容許駭客橫向移動，由前台直入賓客資料庫，釀成嚴重後果。更甚者，不少獨立單棟酒店未有跟從PCI DSS 4.0標準*——每季漏洞掃描、每年滲透測試之要求，多數報告僅存檔未跟進。

*(PCI DSS 4.0是《支付卡產業資料安全標準》的最新版本，旨在透過加強安全措施來保護持卡人資料。 它是一項強制性標準，適用於所有處理信用卡、簽帳金融卡或預付卡的公司，並針對網路安全、資料保護、威脅反應等領域進行了更新。 )

AI雙刃劍：助力抑或隱患？

人工智能本來是酒店福音，AI工具可即時記錄及轉錄會議內容，提升酒店營運效率。但不少工具的資料儲存政策成疑，免費版本或暗中將用戶資料數據用於訓練模型，洩露商業機密。更令人憂慮的是，駭客已借AI反撲——2025年媒體揭露了PromptLock的存在，全球首個AI驅動勒索軟件原型。其不依賴固定程式碼，內建本地AI模型，實時生成新惡意腳本，繞過防禦，猶如變色龍。

保護網絡安全即優質服務

面對新型的攻擊手段，酒店業的應對需要軟硬兼施。面對社交工程攻擊，實在沒有任何設備或裝置能夠阻隔，因此前線員工的警覺性就成為預防攻擊的重要手段，酒店管理者可安排員工強制接受網絡安全培訓，了解社交工程的特點和應對；並定期模擬vishing演習，提升團隊警覺性。管理者亦可以訂立政策，要求對經語音、電郵等高危途徑而來的請求進行「驗證」。實施此類措施，不僅阻截威脅，更可提升員工士氣，確保賓客安心入住。

面對酒店內的過時硬期和設備，管理者需要定時盤點淘汰末期支援系統或尋找可靠的第三方支援服務、利用強密碼取代預設登入憑證並定期更換、酒店網路分隔離賓客與營運流量，並持續監測異常行為。

AI的威脅演化迅速，酒店管理者應及早做好準備，嚴格審批第三方AI整合，使用工具前先了解背後資料擁有權和使用條款；更新AI事故應變計劃，為酒店員工進行深偽情境演練。還可以導入機器學習威脅偵測平台，由被動防禦轉為主動預警。

GUNA為客戶提供一站式服務，保障住客在享用網絡服務的同時保護其個人資料免受駭客攻擊。駭客可以入侵其中一間酒店並訪問整個連鎖酒店的網路， 每家酒店都為駭客提供了許多潛在的入口點：警報器、電子門鎖、Wi-Fi、氣候控制系統、物聯網 (IoT) 設備等。

GUNA持有政府認可的保安牌照，具有安裝與維護保安裝置的專業資格，同事們都具有豐富的實體與網絡安全知識和經驗。我們會全程負責不同階段的IT保安解決方案工作，提供網絡保安策略，支援及配備IoT 設備，更會協助客戶提升員工網絡安全意識等， 與客戶共同解決IT難題，為客戶建立一套無漏洞的安全防護監察系統。

酒店設備多動態難掌握？GUNA的網絡監測系統(Network Monitoring System, NMS)能夠幫助IT團隊輕鬆掌握企業網絡內設備的運作惜況以及資訊流量，利用簡易圖表總結資訊，幫助IT團隊快速了解設備運作。即時流量監控隨時偵測可疑的流量，及早警告團隊預防駭客人侵。

面對社交工程攻擊，員工的安全意識培訓刻不容緩。GUNA視員工的網絡安全意識為整個保安政策中不可或缺的一部份，致力提供資源協助客戶員工加深對新式網絡威脅的認識和應對方法，透過課程或活動的形式幫助員工學習預防社交工程攻擊。

如果客戶希望了解更多如何應對酒店安全威脅的方案，歡迎致電2389 2322或電郵marketing@guna.com.hk與我們的專家進行諮詢。