Dvanaest milijardi eura. Uz ovogodišnji porast prihoda veći od 20 posto, toliko bi mogao biti ukupni prihod od hrvatskog turizma. Uz ovakav porast njegov bi udio u BDP-u mogao dostići i 20 posto. Nema nikakve sumnje da je turizam najvažnija grana hrvatskoga gospodarstva pa je logično da je treba zaštititi, upravo kao što svaka uspješna tvrtka štiti vlastiti biznis. A mi to - ne činimo. Promjene u regulativi EU sljedeće bi turističke sezone mogle zato slediti zadovoljni osmijeh hrvatskih turističkih djelatnika, ali i cijele Hrvatske koja 20 posto svoga životnog standarda duguje udjelu turizma u BDP-u.
Nema analize učinka
Opća uredba EU o zaštiti osobnih podataka (GDPR) donosi niz pravila o prikupljanju, čuvanju i obradi osobnih podataka, a putničke agencije, hotelijeri, prijevoznici i svi ostali uključeni u pružanje turističkih usluga za nju nisu niti čuli. Pokušate li na internetu pronaći bilo kakvu informaciju o turizmu u Hrvatskoj i zaštiti osobnih podataka, naći ćete slovom i brojem jedan (1) tekst u kojem Hrvatska turistička zajednica na upit novinara navodi da je spremna na primjenu te uredbe, ali u istom tom tekstu navodi kako u sljedećem razdoblju tek planiraju provesti procjenu njezina učinka “na postojeće zbirke podataka...” Dakle, HTZ još nije niti proveo analizu učinka koja bi tek pokazala kako Uredba utječe na “postojeće zbirke”, pa onda ne može niti biti spremna na njezinu primjenu. Ni riječi o procjeni utjecaja Uredbe na turizam.
Neodgovorno ponašanje prema osobnim podacima nije isključivo karakteristika hrvatskih turističkih djelatnika. Činjenica je da su sigurnost osobnih podataka i gostoljubivost nekad teško spojivi, no sve se to može, a od iduće će godine gosti to i očekivati. Nepotrebno prikupljanje i čuvanje kopija dokumenata, informacija o djeci, kućnim adresama... Sve to mora nestati iduće sezone. Ne samo to. Podaci koje se prikuplja moraju biti dobro zaštićeni, a kazne su enormno visoke - do 20 milijuna eura ili četiri posto ukupnog prihoda (što je veće). Dok će ovakvim kaznama biti pogođene tvrtke, reputacijska šteta koju medijske objave o neodgovornom ili zlonamjernom (a i toga ima) upravljanju osobnim podacima građana EU mogu izazvati, pogađaju cjelokupni hrvatski turizam.
S obzirom na imidž sigurne turističke zemlje koji gradimo i turističko strateško opredjeljenje, naša je odgovornost mnogo veća od pukog usklađivanja s Uredbom. Hrvatska bi morala biti predvodnik u zaštiti osobnih podataka turista te postavljati standarde koje će ostale članice EU slijediti. Uredba o zaštiti osobnih podataka usvojena je u svibnju 2016., a njezina puna primjena počinje u svibnju 2018. godine. Dobili smo dvije godine za prilagodbu. Ostalo je još samo devet mjeseci. Dosad nismo učinili baš ništa. Manipuliranje osobnim podacima, njihova zlonamjerna uporaba, obrada u nedopuštene svrhe, krađa identiteta, nanošenje financijske i reputacijske štete... - sve su to postali posve uobičajeni događaji vezani uz osobne podatke.
Omiljena meta
Sektor turizma susreće se s valom organiziranog kriminala kojemu je cilj ukrasti i zloupotrijebiti osobne podatke gostiju. Glavni razlozi leže u nekoliko činjenica. Kao prvo, u turizmu se gotovo sve plaća kreditnim karticama, omiljenom metom cyber kriminalaca. Nadalje, osobni podaci o tome tko s kim putuje i spava te kuda putuje također mogu biti posebno zanimljiva meta, a Wi-Fi pristup internetu u hotelima idealan je način krađe podataka s laptopa gostiju, često visokorangiranih političara ili poslovnih ljudi. Turistički su informacijski sustavi često povezani s brojnim internim i vanjskim informacijskim sustavima agencija za bukiranje, hotela, putničkih agencija, prijevoznika. Rad takvih turističkih informacijskih sustava često se temelji na bežičnoj mreži koja nije sigurna, a zbog niske svijesti o informacijskoj sigurnosti sektor turizma pun je ustaljenih loših praksi upravljanja podacima. Također, tu je i ljudski faktor. Broj stručnjaka za informacijsku sigurnost zaposlenih u turističkom sektoru je zanemarivo malen, fluktuacija kadrova u turizmu je izuzetno visoka zbog čega je vrlo teško sve djelatnike educirati u području sigurnosti, a kako ljubaznost i sigurnost često nisu komplementarni, turistički djelatnici često su izuzetno podložni socijalnom inženjeringu. Na kraju, ni država dosad nije prepoznala zaštitu osobnih podataka o turistima kao bitan čimbenik ukupne sigurnosti turističke usluge.
Notorni propusti
Primjera propusta je mnogo. Iz hotelskog lanca Trump Hotel Collection prije koju godinu iscurili su osobni podaci 70 tisuća gostiju, uključujući i brojeve njihovih kreditnih kartica. Jedan od najzanimljivijih incidenata je vezan uz krađu više od 600.000 osobnih podataka iz hotelskog lanca Wyndham’s koji se ponavljao od 2008. nekoliko puta, a sudski je proces završio tek osam godina poslije, nagodbom. Na međunarodnoj konferenciji o informacijskoj sigurnosti u jednom od vodećih hotela u Hrvatskoj, poznati stručnjak za informacijsku sigurnost Peter Wood nekoliko je puta zaredom metodama socijalnog inženjeringa uspio dobiti kopije kartica za ulaz u najraskošnije hotelske apartmane.
Žalosno je što su u usporedbi s nekim zapadnim zemljama ovakve sigurnosne prakse u našim hotelima relativno dobre. Uzevši u obzir značenje turizma za Hrvatsku, morali bismo biti u samom vrhu.
---------------------
* Autor je suosnivač Ostendo Consultinga, specijalizirane tvrtke koja o informacijskoj sigurnosti i sukladnosti savjetuje tvrtke iz SAD-a i Europe