Je hoeft niet verder te kijken dan het datalek bij Marriott hotels, waarbij de gegevens van 339 miljoen gasten van Marriott gecompromitteerd werden door een cyberaanval.

Nu de Britse waakhond voor gegevensprivacy, de Information Commissioner's Office (ICO), de Marriott hotelgroep in 2020 een boete van 18,4 miljoen pond heeft opgelegd, staat er veel op het spel, zowel vanuit financieel oogpunt als vanuit het oogpunt van vertrouwen van de klant.

Het is belangrijk om te beseffen dat er geen kant-en-klare oplossing bestaat voor het voorkomen van datalekken in hotels.

Maar zelfs als jouw ergste nachtmerrie werkelijkheid wordt, moet elke hotelier weten welke stappen te nemen na een cyberaanval...

In dit artikel leggen we uit wat er allemaal te weten valt over inbreuken op hotelgegevens en hoe jij en jouw hotel de juiste maatregelen kunnen nemen om ervoor te zorgen dat een online aanval u en jouw bedrijf niet met eieren op het gezicht achterlaat omdat het vertrouwen van jouw klanten is aangetast.

Wat zijn inbreuken op hotelgegevens?

Simpel gezegd is er sprake van een hotelinbreuk wanneer de gevoelige informatie van de gasten van een hotel in gevaar komt en buiten het beveiligingssysteem van het hotel terechtkomt.

Dit gebeurt steeds vaker door gecoördineerde hackpogingen die gericht zijn op de schatkamer die een database is vol paspoortnummers, thuisadressen, creditcardgegevens, telefoonnummers en andere waardevolle gegevens.

Het kan ook per ongeluk gebeuren door een softwarestoring of doordat persoonlijke gegevens worden geüpload naar de verkeerde cloudgebaseerde server.

Menselijke fouten kunnen een rol spelen en daarom moet al het leidinggevend personeel in de hotelbranche op de hoogte blijven van hoe inbreuken op hotelgegevens kunnen worden voorkomen door zichzelf te informeren over betere maatregelen voor gegevensbeveiliging.

Zodra deze hotelgegevens worden vrijgegeven, is er sprake van een inbreuk.

Hackers kunnen de verschillende puzzelstukjes vrij eenvoudig in elkaar passen door zich voor te doen als een collega en te bellen of de receptie te bezoeken en te vragen waar een gast zich bevindt.

Dan kunnen ze, gewoon door te werken met een naam en creditcardgegevens, ongeoorloofde online uitgaven doen.

Schade aan het merk op de lange termijn, rechtszaken en dure boetes voor niet-compliance zijn enkele van de gevolgen waarmee je te maken krijgt wanneer je uitzoekt hoe je het incident het beste kunt indammen.

Naast het trainen van je personeel op het gebied van cyberbeveiligingis het noodzakelijk dat je een georganiseerd netwerk- en softwaresysteem hebt dat je vanaf het begin beschermt.

Toename datalekken in hotels

Er is een lange lijst van het groeiende aantal datalekken bij hotels, van aanvallen op verkooppunten bij meer dan 70 Starwood-hotels in 2015 tot het datalek bij Marriott-hotels in 2018 dat we eerder noemden.

Alle grote namen zijn er: Trump Hotels, Hilton, Hyatt Regency, Hard Rock Hotel & Casino Las Vegas, Radisson Hotel Group, MGM Resorts International en Choice Hotels International... dit zijn slechts enkele van de grote bedrijven die de afgelopen jaren een datalek van e-mailadressen hebben aangekondigd.

Naar verluidt zijn meer dan 500 miljoen gasten van Marriott getroffen door het datalek.

Nu cyberhackers hun tools aanscherpen op de meer uitgebreide boekingssystemen van internationale hotelketens die een groter aantal klantgegevens bevatten, is de dreigende realiteit dat kleinere hotelketens en boutique resorts steeds vaker het slachtoffer worden van phishing, malware en de cyberaanvallen van vraatzuchtige hackers.

Wie deze hackers zijn, blijft onduidelijk.

De Amerikaanse regering heeft zelfs gezegd dat ze vermoedt dat de aanval op de Starwood-hotelketen van Marriott deel uitmaakte van een dataminingoefening van de Chinese regering om Amerikaanse spionnen op te sporen.

Slechte gegevensbeveiliging maakt hotels tot zachte doelwitten

Wat Marriott betreft, zij zijn de grootste hotelaanbieder voor Amerikaans militair en overheidspersoneel - je kunt dus stellen dat de grotere hotelketens deel uitmaken van een internationale informatieoorlog met een louche onderbuik.

We hebben gezien hoe algemene gegevensbescherming en het schenden van persoonlijke informatie de afgelopen twee decennia een hot topic zijn geworden, sinds 9/11 en de goedkeuring van de Patriot Act in 2001.

Van groter belang voor kleinere resorts en boetiekhotels is het feit dat de beveiliging op drie fronten moet worden gehandhaafd en versterkt, namelijk 'de cloud', het interne bedrijfsnetwerk en het Point Of Sale (POS)-systeem.

Elk van deze interfaces kan gemakkelijk worden gehackt als je bedrijf niet waakzaam is. Cloud software staat nog in de kinderschoenen als het gaat om het installeren van beveiligingslagen.

Interne berichten via e-mail en communicatiekanalen zoals WhatsApp zijn eenvoudig te infiltreren.

En natuurlijk is een kassasysteem de basis waar we het al over hadden, waar hotelpersoneel een glimlach op het gezicht van de klant wil toveren - en niet twijfelt of hij wel of niet een fraudeur is.

Soorten inbreuken op de beveiliging van hotels

Net zoals je de juwelen van je hotelgasten opbergt in de hotelkluis, moet je de gegevens van je klanten veilig bewaren.

Zodra je de waarde ervan inziet, kun je je hoofd buigen over de systemen die je vanuit technologisch oogpunt en vanuit het oogpunt van personeel moet opzetten om dit waardevolle bezit te beschermen.

Om te beginnen is het goed om te weten wat een reële bedreiging vormt:

Denial of Service (DoS)-aanvallen

De bedoeling is om je werkcomputer of website te oververzadigen, zodat deze geen verdere verzoeken meer kan uitvoeren.

In de horeca gaat het vaak om het crashen van de website van een hotel met behulp van botnetsoftware, zodat de site geen nieuwe boekingen meer kan accepteren.

Door de doelwebsite, het netwerk of de machine te overspoelen met verkeer, zal de overvloed aan informatie ervoor zorgen dat je IT-systeem crasht.

Dit resulteert in langere 'front of house' downtime voor jouw klant die vertrouwt op het gemak en de functionaliteit van jouw systeem om hun reizen te plannen.

Hotel malware

Malware, kort voor 'kwaadaardige software', is er in alle soorten en maten.

Als je ooit een computer hebt gehad die verbonden was met het internet, dan is de kans groot dat je hebt gehoord over virussen, ransomware, spyware en Trojaanse paarden.

De gebruikelijke regels voor bescherming tegen malware met betrekking tot antivirussoftware en software-updates zijn van toepassing.

Bij hotels ligt de kwetsbaarheid echter in de WiFi of 'internet hotspot' van het hotel, waarbij een gast onbewust iets downloadt wat hij ziet als een internettoken of ziekenhuiswachtwoord, waarna het maandenlang op zijn laptop blijft staan voordat het zichzelf aankondigt als malware en actief wordt.

DarkHotel' is een cyberaanvalgroep die bekend staat om het op deze manier aanvallen van bedrijfsleiders.

Hotel ransomware vergrendelt en versleutelt je persoonlijke bestanden en dwingt je om het losgeld in bitcoin te betalen als je je persoonlijke gegevens wilt terugkrijgen.

Afluisteraanval

Deze vorm van cyberaanval wordt ook vaak uitgevoerd via een netwerk en kan van alles betreffen, van een smartphone of printer die tijdelijk is aangesloten op het bedrijfsnetwerk.

Gasten zijn misschien niet op hun hoede en klikken op een officieel uitziende website terwijl ze proberen toegang te krijgen tot de WiFi van je hotel, en een nabijgelegen machine op afstand kan meeliften op hun login en toegang krijgen tot het bedrijfssysteem.

WiFi-netwerken in hotels bieden gasten de mogelijkheid om e-mails te beantwoorden, online betalingen te doen en bestanden over te zetten, allemaal onder het mom van dat ze zich kunnen uitleven terwijl ze dit doen.

Het is dus aan het hotelmanagement om ervoor te zorgen dat het WiFi-netwerk volledig veilig is en om de gasten precies uit te leggen hoe ze moeten inloggen op hun netwerk.

De strategische precisie en het raffinement waarmee afluisterende hackersoftware kan azen op het precieze moment waarop de vertrouwende gast zijn behoefte doet in je hotel, zijn op zijn zachtst gezegd alarmerend.

De gedownloade software hoeft maar toegang te hebben tot één aangesloten apparaat en kan dan rondzwerven in het hele wortelsysteem van je hotelnetwerk.

Van daaruit kan het malware verspreiden naar andere apparaten op het netwerk, terwijl het tegelijkertijd bestanden kopieert en bijwerkt zodat het niet eens een digitaal spoor achterlaat.

Het is nu open seizoen op de database met reserveringsgegevens van gasten, evenals aankomst- en vertrekinformatie - om nog maar te zwijgen van hun creditcardnummers.

Phishing en spam

Bij phishing en spam ligt de kwetsbaarheid vooral in menselijke fouten. Gevoelige gegevens worden verkregen wanneer iemand zich voordoet als vertegenwoordiger van een legitieme instelling.

Ze vertrouwen op de goedgelovigheid van de poortwachter (bijvoorbeeld een hotelreceptionist) om die informatie te onthullen.

Spammails maken gebruik van een 'spray and pray'-tactiek die soms kan werken als een hotelmanager zich laat misleiden door het valse briefhoofd van het bedrijf of als een personeelslid vrolijk een bijlage opent die officieel lijkt.

Pop-up phishing' komt steeds vaker voor. In dit geval waarschuwt een browservenster je voor een virus dat op je computer is gedetecteerd.

De aanvaller dringt je systeem binnen (door cyberbeveiligingsexperts gedefinieerd als een 'bruggenhoofd') met iets schijnbaar onschuldigs als een bestand waar jij of je medewerkers toevallig op hebben gedubbelklikt. Eenmaal 'aan land' beginnen ze met het scannen van jouw poorten.

Ze zijn op zoek naar conventies voor hostnamen, manieren om je bedrijfwachtwoorden te kraken en een POS-machine of -server die de hackers dan op afstand kunnen bedienen.

Dit geeft ze de tijd om creditcardgegevens te extraheren (ook bekend als RAM-scraping of memory scraping) zonder ontdekt te worden. En voila! Slecht nieuws, je hebt nu te maken met een datalek in een hotel.

Hoe beschermen tegen een datalek in een hotel

Het is nu tijd om als hotelmanager of eigenaar van een horecabedrijf de handen uit de mouwen te steken en uit te zoeken wat je kunt doen om jezelf te beschermen tegen een datalek bij een hotel op je werkadres.

Informeer jezelf over gegevensbeveiliging

Onderwijs jezelf. Leer je personeel. Leer je hotelgasten.

De reputatie van je hotel staat immers op het spel.

Vooral als het gaat om phishingpogingen die azen op goodwill, moeten jij en je personeel niet te veel achterover leunen om een gast tegemoet te komen terwijl het eigenlijk onderdeel is van een uitgebreide zwendel.

Ook je bereisde hotelgast verwacht een bepaald niveau van IT-beveiliging en best practices als het gaat om het verstrekken van inloggegevens en het vragen om betaling.

Hoe meer je je inleest over de beste praktijken in de sector, hoe groter de kans dat je waakzaam blijft, zodat jij en je collega's een zwendel kunnen herkennen.

Maak een back-up van je hotelgegevens

Houd je antivirussoftware up-to-date en maak back-ups van de persoonlijke gegevens van je klanten op een server die gescheiden is van de server waarop je dagelijkse zaken worden afgehandeld.

Op dezelfde manier als je de keuken, het tapijt en de kamers van je hotel één keer per maand een 'grote schoonmaak' geeft, kun je ook van het back-uppen van je gegevens naar je cloud of externe server een regelmatig geplande maandelijkse activiteit maken.

Vernietig alle papieren kopieën van ontvangstbewijzen, facturen en reisafspraken die hun doel hebben gediend.

Als waardevolle gegevens moeten worden bewaard voor belastingdoeleinden, sla ze dan off-site op.

Wachtwoord- en netwerkbeveiliging verbeteren

Het is belangrijk dat je wachtwoorden gevarieerd en uniek zijn en dat ze regelmatig veranderen (idealiter wanneer je een back-up van je gegevens maakt).

Wachtwoordgeneratoren maken het ons gemakkelijker om niet meer te hoeven denken aan een combinatie van de naam van ons eerste huisdier, de meisjesnaam van onze moeder en het adres waar we zijn opgegroeid als antwoorden op beveiligingsvragen voor elk e-mailaccount dat zijn eigen bescherming nodig heeft!

Je kunt het netwerk dat je gasten gebruiken voor hun WiFi isoleren van het netwerk dat in gebruik is door het personeel.

Door een geschikte firewall op te zetten, beperk je het type persoon dat gemakkelijk toegang kan krijgen tot je bedrijfsnetwerk.

Door je netwerken te compartimenteren beperk je ook de schade mocht er een datalek plaatsvinden op een van de netwerken.

Ontdek hoe Sbit kan helpen

Blijf op de hoogte van de best practices in de horeca door samen te werken met Sbit als je favoriete beveiligingskeuze.

We zorgen ervoor dat jij en jouw medewerkers een hoog niveau van digitaal bewustzijn hebben, zodat cybercriminelen er geen moeite mee hebben om jou te slim af te zijn.

We bieden een gratis 'netwerkdetectiescan' om eventuele zwakke plekken in het IT-netwerk van je hotel te beoordelen.

Van daaruit hebben we een geweldig, gebruiksvriendelijk online platform dat ervoor zorgt dat jouw hotelpersoneel de sterkste schakel is in jouw gastvrijheidsketen.

Mocht u al te maken hebben met een servercrash of ransomware, dan beschikken wij over de technische vaardigheden om jouw systemen binnen een uur weer aan de praat te krijgen, dankzij onze veelgeprezen 'back-up and discovery'-oplossing, aangedreven door Datto SIRIS 4.

We kunnen helpen met het instellen van gegevensback-ups en het maken van de juiste firewall, zodat je niet wordt buitengesloten van je eigen systeem.

We zijn zeer bedreven in het leveren van de juiste camerabewakingsoplossing voor jouw hotelplan, zodat de juiste producten en systemen samenwerken zonder inbreuk te maken op de privacy van jouw gasten of de functionaliteit van jouw personeel te belemmeren.

Door proactief te zijn is het gemakkelijker om dat beetje meer veiligheidsbewust te worden.

Met Sbit word je de hele tijd ondersteund.