K
KKalkulator.Place
Kalkulator
Nazad
HrvatskaHrvatska
Blog
CtrlK
← Nazad na blog
  1. Hrvatska
  2. /
  3. Blog
  4. /
  5. Kako hakiraju sustave za upravljanje hotelima: od recepcije do svake sobe
Objavljeno 30. svibnja 2026.·Aron Balog

Kako hakiraju sustave za upravljanje hotelima: od recepcije do svake sobe

PMS kontrolira rezervacije, platni sustav i ključeve soba. Napadači su to otkrili — 2025. kupuju Google oglase kako bi ukrali lozinke hotelskih administratora.

IT stručnjakinja radi na laptopu u modernom podatkovnom centru
IT stručnjakinja radi na laptopu u modernom podatkovnom centru

Soba 412. Gost je odjavljen, ali nečiji pristupni podaci još su aktivni u sustavu. Treći dobavljač koji remotely administrira hotelski softver nije ugasio VPN pristup bivšeg zaposlenika. Zadnji sigurnosni update PMS-a instaliran je prije 14 mjeseci jer "nismo htjeli riskirati kompatibilnost s integracijama". Opera PMS — kojeg koriste stotine hotela diljem Europe — pokreće se na Windows Serveru koji je dostigao end of life.

Nije hipotetski scenarij. Ovo je tipični nalaz penetracijskih testova na hotelskim IT sustavima koje provode sigurnosni istraživači. Property Management System (PMS) — operativno srce modernog hotela — je centralizirana točka gdje se spajaju podaci o gostima, rezervacije, platni podaci, pristup sobama, restoran i parking. Tko kontrolira PMS, kontrolira hotel. Napadači to znaju bolje nego mnogi IT timovi.

Što je PMS i zašto je kritičan

Hotel nije samo zgrada sa sobama. Moderan hotel je digitalni organizam — deseci paralelnih sustava koji se moraju sinkronizirati u realnom vremenu. Gost odlazi od rezervacije do odjave kroz niz digitalnih točaka dodira, a svaka od njih prolazi kroz PMS.

PMS (Oracle Opera, Mews, Protel, Cloudbeds, RoomKey i drugi) sadrži sve rezervacije s kompletnim podacima o gostima, povijest boravaka, platne informacije, dodjele soba i status soba (clean/dirty/maintenance), pristupne dozvole za keycard sustave, podatke o zaposlenicima i njihovim ovlastima, integracije s loyalty programima i CRM sustavom.

U modernom integriranom hotelu, PMS je direktno spojen s 10 do 20 vanjskih sustava: channel manageri koji ažuriraju dostupnost na Booking.comu i Expediaji, revenue management sustavi koji dinamički prilagođavaju cijene, restoranski POS, spa booking, parking upravljanje, konferencijski sustavi. Svaka ta integracija ide kroz API koji može biti ulazna točka za napadača.

Hotelski PMS kao centralno čvorište digitalnog ekosustava s integracijama PMS Jezgra Rezerv. kanali Platni gateway Pristup sobama Restoran / POS Loyalty / CRM 3. strana admin Remote IT pristup Svaka integracija = potencijalni napadački vektor

2025: napadači kupuju Google oglase za krađu PMS pristupa

Sredinom 2025. istraživači kibernetičke sigurnosti dokumentirali su kampanju koja targetira hotelijerski sektor kroz sofisticirani i teško prepoznatljivi vektor: plaćene sponzorirane oglase u tražilicama. Napadači su kupili pozicije za pretrage poput "Opera PMS login", "Mews hotel software", "Cloudbeds admin panel" — dakle, točno ono što IT administrator tipično pretražuje kad treba brzo pristupiti operativnom sustavu.

Klik na oglas vodi na typosquatted domenu — vizualno identičnu pravoj login stranici PMS sustava. Kampanja je koristila 13 ili više lažnih domena koje imitiraju hotelske softvere i rezervacijske platforme. Administratori koji se prijave predaju pristup cijelom PMS sustavu — i svim integriranim sustavima koje on kontrolira — direktno napadaču.

Ovo je osobito podmukao vektor jer cilja informatičare, ne obične zaposlenike. IT administrator koji zna sve o phishingu u e-mailu može biti manje oprezan prema oglasima u tražilici, posebno u situaciji hitnosti — problem koji treba brzo riješiti, sustav koji ne radi, gost koji čeka.

Social engineering: MGM lekcija koja vrijedi ponoviti

Najskuplji poznati napad na hotelski PMS ekosustav — MGM Resorts 2023., više od 100 milijuna dolara u troškovima — nije počeo malwareom, zero-day eksploitom ni tjednima pasivnog nadzora mreže. Počeo je telefonskim pozivom.

Napadač (hakerska grupa Scattered Spider / UNC3944) pronašao je ime MGM IT administratora na LinkedInu, nazvao MGM help desk i uvjerio agenta da resetira pristupne podatke za tog korisnika, lažno se predstavljajući kao on. Desetak minuta razgovora, 100 milijuna dolara posljedica.

Social engineering funkcionira jer help desk zaposlenici imaju primarni incentiv da budu korisni i rješavaju probleme brzo. Svaka politika koja zahtijeva "verifikaciju identiteta prije resetiranja pristupa" stvara friciju — a fricija se u praksi zaobilazi zbog pritiska i urgentnosti. Dok hotelski help desk procesi ne ugrade robusnu verifikaciju identiteta kao standardni korak, a ne iznimku, ova ranjivost ostaje otvorena.

Što se dogodi kad PMS ode offline

Omni Hotels iskustvo iz ožujka 2024. daje konkretan uvid. Bez PMS-a:

  • Check-in i check-out odvijaju se isključivo papirno i zahtijevaju dvostruko osoblje
  • Digitalni ključevi soba ne rade — gosti moraju dobiti fizičke ključeve tamo gdje postoje, ili ih osoblje prati u sobu
  • Platni terminali ne rade ili su u degradiranom modu — gotovina ili čekanje
  • Rezervacije se ne mogu potvrditi, promijeniti ni stornirati u realnom vremenu
  • Housekeeping ne zna koji su gosti odjavili
  • Revenue management je slijep — nema live podataka o popunjenosti
  • Channel manageri ne primaju ažuriranja — rizik od overbookinga na svim platformama

Za hotel od 400 soba, jedan dan takvog scenarija znači stotine zbunjenih i frustriranih gostiju, impotentno osoblje koje ne može odgovoriti na standardne zahtjeve i mjerljivi prihodni gubitak koji se ne može nadoknaditi.

Tipična tjedna kronologija ransomware napada na hotelski PMS Tipična kronologija PMS napada (primjer) Dan 1 Phishing e-mail → lozinka ukradena Dan 3-5 Lateralno kretanje → privilegije proširene Dan 7-10 Ransomware deploy → sustavi šifrirani Dan 10+ Zahtjev za otkupninom Prosječno vrijeme između inicijalnog pristupa i detekcije: 7–10 dana

Kako se brani hotelski PMS

NIST NCCoE (National Cybersecurity Center of Excellence) objavio je specifične smjernice za PMS sigurnost koje adresiraju upravo te scenarije. Ključne mjere:

Segmentacija mreže: PMS mora biti na odvojenoj VLAN mreži koja nije dostupna s gostetvene Wi-Fi mreže ni s administrativnog Wi-Fi-ja. Svaka integracija — s platnim gatewayem, channel managerom, POS-om — prolazi kroz firewall s whitelistom dopuštenih IP adresa i protokola.

Multi-faktorska autentikacija za sve: posebno za remote pristup trećih dobavljača. Zero trust model za external admin pristup: privremeni token za specifičnu sesiju, automatski ugasen nakon završetka. Nijedan vendor ne smije imati trajan, stalan remote pristup PMS-u.

Patch management s testnim okruženjem: PMS se ažurira, ali mnogi hoteli odgađaju ažuriranja jer se boje problema s integracijama. Rješenje: test environment koji replicira produkcijsku konfiguraciju, gdje se ažuriranja testiraju prije deploy-a. Trošak test okruženja manji je od troška jednog sigurnosnog incidenta.

Vendor security assessment: svaki treći dobavljač koji ima API pristup PMS-u treba proći sigurnosnu procjenu. Ugovor s dobavljačem mora sadržavati security zahtjeve, incident response obveze i pravo na audit. Otelier breach eksponirao je 10.000 hotela jer je jedan vendor imao loše konfiguriran cloud storage.

Napadači su brzi i uče. Kampanja plaćenih oglasa za krađu PMS kredencijala pokazuje koliko se brzo metode prilagođavaju IT kulturi ciljane industrije. Hotelska industrija mora prestati tretirati IT sigurnost kao trošak koji se odgađa za "sljedeću sezonu" — jer sljedeća sezona je uvijek preblizu.

Izvori i dodatno čitanje

  • NIST NCCoE: Securing Property Management Systems
  • Phishing Campaign Exploits Ads to Breach Hotel Property Management Systems — GBHackers 2025
  • Cybercriminals Exploit Online Ads to Breach Hotel PMS — CyberPress
  • Hotel Data Breach: Causes, Risks and Prevention — Mews
  • Top 15 Hotel Cybersecurity Case Studies 2026 — DigitalDefynd
  • 5 Cybersecurity Threats Every Hotel Group Should Know — Cvent

Više članaka

  • dark webcybersecurity

    Što je zapravo dark web: mit vs. stvarnost

    30. svibnja 2026.

  • cybersecurityhoteli

    Sezone i hakiranja: zašto hoteli u srpnju imaju tri puta više sigurnosnih incidenata

    30. svibnja 2026.

  • cybersecurityransomware

    Turistički sektor kao meta ransomwarea: MGM, Omni i 100 milijuna razloga za brigu

    30. svibnja 2026.

KKalkulator.Place

Besplatni kalkulatori plate za Hrvatsku, BiH i Srbiju.

Ažurirano za 2026

Kalkulatori

  • Hrvatska
  • Bosna i Hercegovina
  • Srbija

Korisno

  • Bruto u neto
  • Neto u bruto
  • Poreske stope
  • Minimalna plata
  • Olakšice za djecu
  • Blog

Pravno

  • Politika Privatnosti
  • Politika kolačića
  • Uvjeti korištenja
  • O nama
  • Kontakt

© 2026 Kalkulator.Place. Sva prava pridržana.

hr·bs·sr·en·it·fr·de

Kalkulator
Nazad
Blog