Tehnologija postaje sve naprednija, a kibernetički kriminal prati ju u stopu, zbog čega kibernetička sigurnost u hotelijerstvu nikad nije bila tako važna.
Efekti krađe podataka ili zloporabe kreditnih kartica su dalekosežni, štetni i skupi. Ne stradava samo vaš džep, nego i ugled.
Kako bi bile konkurentne u brzo rastućoj industriji hotelijerstva, tvrtke moraju pružati izvrsno korisničko iskustvo. Jedan od način da to postignu je prikupljajući i analizirajući osjetljive korisničke podatke.
No, prikupljanje, obrađivanje i pohranjivanje velikih količina podataka o korisnicima privlačno je i kibernetičkim kriminalcima. Hotelski lanci obično pohranjuju osjetljive podatke svakoga gosta.
Osobni podaci često pohranjeni u računalnim sustavima hotela uključuju:
- Imena gostiju hotela
- Adrese stanovanja
- E-mail adrese
- Brojeve telefona
- Podatke o kreditnim karticama
- Datume rođenja
Kibernetički kriminalci mogu prodavati podatke o gostima na crnom tržištu, zadržati ih i tražiti otkupninu putem ransomwarea, ili ih pak koristiti kako bi počinili daljnje zločine, uključujući phishing napade ili krađe identiteta. Također, koristeći ukradene osobne podatke kriminalci mogu razviti i distribuirati lažne potvrde, ažuriranja ili nepostojeće programe vjernosti, lažne zahtjeve za uplatama, a sve kako bi prevarili goste i nagovorili ih na financijske transakcije ili otkrivanje dodatnih podataka.
Najčešće ranjivosti u hotelijerstvu:
- Čitači kartica / POS sustavi
POS sustavi omogućuju praktično plaćanje u cijeloj industriji hotelijerstva, ali istodobno povećavaju potencijalni rizik od krađe podataka. POS uređaji ne samo da obrađuju transakcije, već mogu upravljati inventarom i narudžbama. Upravo stoga kibernetički kriminalci pokreću napade na poslovne sustave koristeći POS aplikacije kao ulaznu točku.
Jedno područje slabosti je kada organizacije koriste POS sustave s nezaštićenim WiFi-jem. Hakeru je na ovaj način relativno lako doći do neovlaštenog pristupa uređaju ili cijeloj mreži. Na ovaj način si kibernetički kriminalci mogu omogućiti pristup informacijama o klijentima, primjerice podacima o kartici, što bi im moglo omogućiti lažne transakcije.
- Korištenje zadanih lozinki koje dolaze s uređajima poput ovih čini organizacije ranjivijima na kibernetičke napade, posebno imajući u vidu da se svaki uređaj obično može povezati s drugim POS uređajima u mreži. Dovoljan je samo jedan uređaj s problemom i povećava se rizik za cijelu organizaciju.
- Uređaji interneta stvari (IoT)
Organizacije u hotelskoj industriji povećavaju korištenje interneta stvari (IoT) kako bi poboljšali korisničko iskustvo i povećali učinkovitost.
Primjeri takvih inovacija:
- Interaktivni ekrani na kojima gosti mogu dobiti personalizirane pozdrave, vremensku prognozu i lokalne informacije
- LED rasvjeta koja reagira na prirodno dnevno svjetlo
- Brave koje koriste prepoznavanje lica za ulazak u zgrade i sobe
- Pametni termostati za smanjenje troškova energije
Iako su mnoge IoT aplikacije povezane sa sigurnosnim poboljšanjima, hotelijeri i ostali u industriji ne smiju implementirati IoT rješenja bez razumijevanja njihovih ranjivosti.
Svaki IoT uređaj povećava površinu napada organizacije pružajući još jednu krajnju točku koju kibernetički kriminalci mogu iskoristiti. Neprovjerena IoT tehnologija može povećati organizacijski rizik na brojne načine, uključujući sljedeće:
- Dodatna organizacijska kompleksnost
- Više ulaznih točaka
- Korištenje nezaštićene bežične tehnologije
- Potencijalni ugrađeni zlonamjerni softver (malware)
- Nepromijenjene zadane sigurnosne postavke
Web stranice hotela
Hoteli obično pružaju ažurne informacije i mogućnost online rezerviranja kako bi bili što kompetitivniji na tržištu. Međutim, web stranice hotela potencijalna su ranjivost. KIbernetički kriminalci mogu ciljati slabo osigurane web stranice kako bi pristupili mreži organizacije, ukrali korisničke podatke ili uzrokovali prekid poslovanja.
Kako spriječiti krađe podataka u hotelijerstvu
Održavanje PCI DSS usklađenosti
PCI usklađenost ključna je u svijetu kibernetičke sigurnosti. Mnogo je zadataka koje morate postići kako bi postali i ostali usklađeni, uključujući:
- Zamijenite papirnate/PDF obrasce za autorizaciju digitalnim rješenjem
- Izradite internu politiku sigurnosti podataka
- Napravite plan reakcije na kibernetičke incidente
- Izvršite procjene rizika
- Provedite program podizanja svijesti o sigurnosti
Mjere fizičke sigurnosti
- Mjere fizičke sigurnosti igraju važnu ulogu u sprječavanju krađe podataka u vašem hotelu. Ključno je zaštititi sve svoje uređaje i sustave koji pohranjuju i prenose osjetljive informacije. To možete učiniti na sljedeći način:
- Ograničite fizički pristup određenim područjima
- Instalirajte sigurnosne kamere: kamere na lokacijama na kojima se pohranjuju ili obrađuju osjetljivi podaci.
Sigurnosne kopije
Sve bi organizacije trebale sigurnosno kopirati ključne podatke. Bolje je imati sigurnosne kopije i ne trebati ih nego ih trebati i nemati ih.
Organizacija može vratiti poslovnu funkcionalnost putem sigurnosnih kopija ako napad ransomwarea enkriptira ključne datoteke.
Zapisnici događaja
Zapisivanje događaja prati tko koristi mrežu u bilo kojem trenutku. Kada dođe vrijeme za analizu neobičnog mrežnog ponašanja ili identificiranje vektora kibernetičkog napada, zapisnici događaja pružaju stručnjacima za kibernetičku sigurnost i stručnjacima za digitalnu forenziku vrijedne informacije.
Dnevnici događaja pomažu organizacijama da brže reagiraju na kibernetičke incidente pomažući timu za reagiranje na incidente ili stručnjacima za kibernetičku sigurnost da identificiraju, obuzdaju i ublaže posljedice napada.
Anti-Malware
Anti-malware je bitan sloj obrane od kibernetičkih napada. Ključno je osigurati da baze podataka protiv zlonamjernog softvera budu što je ažurnije moguće, stoga je redovito održavanje ključno.
Vatrozidi
Vatrozidi nadziru i filtriraju sve što pokušava ući u mrežu i sve prijenose koji je pokušavaju napustiti u skladu s pravilima mrežne sigurnosti organizacije. Uz zlonamjerni softver, bitna je komponenta mrežne sigurnosti.
Kibernetičko osiguranje
KIbernetičko osiguranje, koje se obično isključuje iz općeg osiguranja od odgovornosti, pokriva odgovornost tvrtke u kontekstu krađe podataka koja uključuje kompromitiranje osjetljivih podataka. Financijska pomoć za pokrivanje troškova otklanjanja krađe podataka, regulatornih kazni i tužbi može pomoći u oporavku tvrtke.
Primjeri kibernetičkih napada u hotelijerstvu
U siječnju 2023. korisnički podaci hotela Hilton stavljeni su u prodaju na crnom tržištu (na forumu dark weba). Korisnik foruma pod aliasom IntelBroker ponudio je bazu podataka od 3,7 milijuna zapisa, koji pripadaju programu Hilton Hotels Honors. Hotelska grupa i neovisni analitičari potvrdili su da tranša sadrži detalje oko 500.000 Honors računa.
Kontaktirajte nas za više podataka o kibernetičkoj sigurnosti u hotelijerstvu