某五星级酒店在正常运营期间出现了一起看似偶然但性质相当严重的安全事件。一位对无线电设备比较了解的住客在自己的房间里使用便携式无线电接收机扫描附近的无线信号时,意外地发现了一个活跃的通信频道。他仔细一听,发现这竟然是酒店内部的运营调度通信。他的接收机上清楚传来前台联系客房服务的声音、工程部派人去修空调、礼宾部通知行李员到门口接客人、大堂经理在协调各个部门的信息。基本上酒店从大堂到客房、从餐厅到地下停车场的所有内部调度沟通,他都可以实时听到。这位住客起初只是觉得好玩,把自己的发现发到了社交媒体上,引起了不小的关注。但很快事情的性质就发生了转变。有人通过他的描述找到了一些关于该酒店内部管理方式、客户隐私保护状况、以及员工操作流程的信息,而这些信息中有一些是住客本不应该知道的。对于酒店管理方来说,这意味着客人的房间安排信息、VIP客人的接待细节、入住登记过程中的一些内部交流内容,都可能通过这个开放的通信频道被房间里的住客们无意中收听到。
从技术原理来分析,酒店对讲系统使用的频率通常是UHF频段中某些商业用途的特定频率。酒店采购的对讲机设备一般为商业级的常规对讲机,在很多大品牌的产品线里属于基础型号。这些基础型号对讲机通常没有加密功能,或者说加密功能是一个需要额外付费的选配功能,而很多酒店在采购的时候不会为了这个功能多花钱。酒店运营方认为,对讲机就是给员工内部沟通用的,不存在什么会被泄露的内容,加密不是必需的。但实际情况是,酒店对讲系统中讨论的内容远比他们想象的要敏感。比如前台在给一位客人安排房间之后需要通过内部信息通知各部门客人已经入住的房号和楼层,这个信息如果被其他房间的住客听到,就可能带来安全问题。还有客人的特殊需求、投诉内容、房间升级的决策过程等,这些信息虽然没有直接的财务价值,但涉及客人的隐私保护。而且,酒店对讲系统的一个独特特征是其使用频率的固定性。一家酒店一旦选择了某个频率,可能在接下来的几年甚至十几年里都不更换。这就意味着,如果有人第一次听到了这个频率的通信内容并做了记录,他可以在之后的任何时间再次监听。酒店对讲系统的使用范围也是全酒店覆盖的,从地下停车场到顶层套房,几乎所有的营业区域都在对讲系统的通信范围内。任何一个住在酒店里的客人,只要他有一台小小的无线电接收机,就可以在房间里实时收听酒店的几乎所有运行动态。
这个案例对所有服务行业特别是酒店业来说,是一个值得重视的安全提醒。第一,酒店在采购内部通信设备的时候,不应该只看价格和基本功能,通信安全应该作为一项重要的考量条件。支持数字加密的对讲系统虽然在价格上略高一些,但对于保护酒店自身运营信息和客人隐私来说,这笔投入是非常有必要的。数字加密系统可以使用AES等加密算法,只有经过授权的设备才能解密通信内容,未授权的接收设备即使扫描到对应的频率,接收到的也只是一堆无法解析的噪声。第二,酒店应该建立对讲机使用的内部规范。有些信息完全不适合在对讲系统里面公开讨论,比如客人的具体姓名和房间号码、VIP客人的特殊安排、涉及安全问题的处理细节等。这些信息应该通过酒店内部的通信软件或者面对面的方式传递,而不是通过开放的对讲频道一嗓子喊出来。第三,酒店管理方应该定期进行通信安全审查,包括使用专业的频谱分析设备检查酒店内部是否有异常的无线电信号活动,以及评估现有的对讲系统是否存在安全漏洞。如果发现系统的加密能力需要升级,要尽早安排。第四,酒店员工的安全培训也应该把通信安全这一个方面包含进来。很多员工在使用对讲机的时候习惯用很随意的语气说话,不觉得自己的话会被别人听到。他们需要了解对讲机的通信原理,知道只要按下通话键,他们的声音就是以无线电波的形式在向四面八方传播的。这种安全意识不是天生就有的,需要经过适当的教育来建立。对于任何服务行业来说,保障客人的隐私安全是基本的职业底线,而内部通信系统上的管理是这条底线中不可忽视的一环。案例来自企密安官网。
