Hotelový průmysl je třetím nejčastějším cílem kybernetických útoků na světě — hned za zdravotnictvím a finančním sektorem. Důvod je prostý: hotely zpracovávají platební karty, cestovní dokumenty, osobní údaje tisíců hostů ročně. A přitom jejich IT zabezpečení bývá překvapivě slabé.
Proč jsou hotely tak atraktivním cílem
Útočníci jdou tam, kde jsou data a kde je obrana slabá. Hotely splňují obě podmínky:
- 🔴 Platební karty hostů — tisíce transakcí ročně, PCI-DSS compliance je složitá
- 🔴 Kopie pasů a dokladů — hotelová recepce je jeden z mála míst, kde se fyzicky kopírují pasy
- 🔴 Otevřená WiFi pro hosty — pokud není správně segmentována, je branou do celé sítě
- 🔴 PMS systémy — often zastaralé, s Windows 7, bez aktualizací, propojené se vším
- 🔴 Sezónní fluktuace personálu — přístupy se nedávají a nebírají systematicky
Případ z praxe (2025): Útok na síť pražského čtyřhvězdičkového hotelu přišel přes tablety v recepci, na kterých nebyly aktualizace. Útočníci získali přístup k PMS a s ním k datům 8 000 hostů včetně čísel karet. GDPR pokuta: 2,8 mil. Kč. Reputační škody: nevyčíslitelné.
5 největších bezpečnostních mezer v hotelech
1. Nesegmentovaná síť
Největší problém a nejjednodušší oprava. Pokud hosté sdílejí síť s recepčním systémem, pokladnou nebo kamerovým systémem, jakýkoliv kompromitovaný hostův notebook může být vstupní branou do celé infrastruktury. Řešení: oddělená VLAN pro hosty, provoz (PMS, kasy), IoT (TV, klíčové systémy) a management.
2. Zastaralý PMS systém
Velká část hotelů v ČR stále provozuje PMS na Windows 7 nebo Windows Server 2012 — systémech, pro které Microsoft přestal vydávat bezpečnostní záplaty. Každý den provozu je hazardem. Přitom migrace na cloudový PMS nebo alespoň aktualizace OS na Windows Server 2022 je dnes otázka dnů, ne měsíců.
3. Sdílená a slabá hesla
„Hotel2024", „recepcePW" nebo hesla sdílená přes WhatsApp s brigádníky. Klasika, která stojí hotely miliony. Řešení: password manager pro tým, unikátní přístupy pro každého zaměstnance, automatické odebrání přístupu při ukončení spolupráce.
4. Chybějící zálohy
Ransomware útoky na hotely fungují tak: zašifrovat PMS, lobby displeje, restaurační systém — a požadovat výkupné. Pokud máte zálohy ze včerejška, problém je obnova systémů (dny práce). Pokud zálohy nemáte, platíte. Zálohy by měly být automatické, denní, testované a uložené off-site.
5. Chybějící školení personálu
90 % úspěšných útoků na hotely začíná phishingovým emailem. Útočníci se vydávají za rezervační platformy (Booking.com, Expedia), za dodavatele, za firmy s „neuhrazenou fakturou". Recepční a účetní jsou první linie obrany — a pokud nejsou vyškoleni, jsou první linie prolomení.
GDPR a NIS2: co hrozí za nedodržení
Hotely jsou povinny chránit osobní údaje hostů pod GDPR. Únik dat bez přijatých opatření může znamenat:
- 💶 GDPR pokuta až 4 % ročního obratu nebo 20 mil. EUR (co je vyšší)
- 📰 Povinné hlášení ÚOOÚ do 72 hodin od zjištění úniku
- 📧 Informování postižených hostů — reputační dopad
- ⚖️ Civilní žaloby od hostů, jejichž data unikla
Od roku 2025 platí v ČR zákon č. 264/2025 Sb. (transpozice NIS2), který rozšiřuje povinnosti i na provozovatele ubytovacích zařízení nad určitou velikost. Pokud váš hotel má více než 50 zaměstnanců nebo obrat přes 10 mil. EUR, pravděpodobně se vás týká.
Praktický checklist: co udělat dnes
Okamžitá opatření (bez nákladů)
- ✅ Zkontrolujte, zda jsou všechna zařízení s přístupem k PMS aktualizována
- ✅ Změňte všechna sdílená hesla na unikátní pro každého zaměstnance
- ✅ Ověřte, že guest WiFi je oddělena od interní sítě
- ✅ Proveďte test: pošlete si sami phishingový email — kdo na něj kliknul?
Krátkodobá opatření (1–4 týdny)
- 🔵 Nasaďte zálohovací řešení s off-site kopií
- 🔵 Segmentujte síť na VLAN (hosté / provoz / IoT / management)
- 🔵 Zapněte dvoufaktorové přihlašování pro PMS a email
- 🔵 Proveďte inventarizaci všech zařízení s přístupem k internetu
Střednědobá opatření (1–3 měsíce)
- 🟡 Migrujte PMS na aktuální OS nebo cloudové řešení
- 🟡 Proveďte bezpečnostní audit celé IT infrastruktury
- 🟡 Zaveďte pravidelné školení personálu (1× ročně minimum)
- 🟡 Zkontrolujte PCI-DSS compliance platebních terminálů
Kolik to celé stojí?
Hotely se někdy ptají: „Kolik nás bude stát zabezpečení?" Lepší otázka je: „Kolik nás bude stát nezabezpečení?"
| Opatření | Orientační cena | Frekvence |
|---|---|---|
| Síťová segmentace (VLAN) | 15 000–30 000 Kč | Jednorázově |
| Zálohovací řešení | 5 000–15 000 Kč | Ročně |
| Bezpečnostní audit | 20 000–50 000 Kč | 1× za 2 roky |
| Školení personálu | 8 000–20 000 Kč | Ročně |
| IT monitoring | 3 000–8 000 Kč/měs | Průběžně |
Pro srovnání: průměrná pokuta GDPR za hotelový únik dat v EU (2024): 1,2 mil. EUR.
Nevíte, kde začít?
Nabízíme bezplatný bezpečnostní audit IT infrastruktury pro hotely v Praze. Zkontrolujeme síťovou segmentaci, stav PMS systémů, zálohy a přístupová práva. Dostanete konkrétní zprávu — bez zbytečné omáčky.
Objednat bezplatný audit →