كيف تحدث هجمات الأمن السيبراني؟ ربما تكون قد شاهدت (ومنعت) واحدًا أو اثنين من أكثر تهديدات الأمن السيبراني شيوعًا في فندقك بالفعل. فيما يلي بعض الطرق الأكثر شيوعًا التي يحاول المجرمون من خلالها الوصول إلى البيانات الآمنة في فندقك:

• هجمات التصيد الاحتيالي: تبدأ هذه الهجمات برسالة بريد إلكتروني احتيالية أو رسالة نصية أو مكالمة هاتفية تخدع الموظف لمشاركة معلومات حساسة. على سبيل المثال، قد يتلقى فندقك رسالة بريد إلكتروني تبدو وكأنها واردة من وكالة سفر عبر الإنترنت، وتطلب منك الرسالة الإلكترونية النقر فوق رابط لمنع إلغاء تنشيط قائمة فندقك. قد ينقر الموظف الذي لا يدرك هذا النوع من الهجوم على الرابط ويشارك عن غير قصد معلومات مالية أو بيانات شخصية مع المهاجم.

• هجمات برامج الفدية: في هذا الهجوم، يقوم برنامج ضار بقفل جهازك حتى يتم دفع فدية، وعادة ما تكون مبلغًا من المال بالعملة المشفرة. يمكن لهذا النوع من الهجمات أن يجعل البرامج في الفندق عديمة الفائدة - لعدة أيام. في عام 2023، ضرب هجوم برامج الفدية منتجعات MGM وأدى إلى توقف أنظمتها عن العمل لمدة 60 ساعة ، مما يعني أن نظام إدارة الممتلكات الخاص بها كان معطلاً، بالإضافة إلى عدم القدرة على عمل بطاقات المفاتيح أو تحصيل المدفوعات أو إدارة مواقف السيارات.

• خروقات البيانات: تعتبر أي سرقة لمعلومات حساسة، مثل بيانات بطاقات الائتمان وأرقام جوازات السفر، بمثابة خرق للبيانات. تعد الفنادق أهدافًا كبيرة لانتهاكات البيانات بسبب كمية البيانات التي تتعامل معها. كانت ماريوت ضحية لخرق بيانات ضخم في عام 2018 حيث تم الكشف عن المعلومات الشخصية لأكثر من 500 مليون ضيف.

• التهديدات الداخلية: في حين أن العديد من الهجمات الإلكترونية تنشأ خارج المنظمات التي تتعرض للهجوم، فليس من غير المألوف أن تحدث عملية داخلية. عندما يكون لدى الموظفين إمكانية وصول واسعة النطاق إلى معلومات الضيوف والبيانات المالية وكلمات المرور، فمن الممكن أن تحدث سرقة البيانات أو تسرب أمني. إن الحفاظ على التحكم المناسب في الوصول إلى الأنظمة وإجراء تدريب منتظم للموظفين على بروتوكولات الأمان سيساعد في تقليل مخاطر التهديد الداخلي.

كما ذكرنا أعلاه، تحدث هجمات الأمن السيبراني في الفنادق، وبتكرار مؤسف. ربما سمعت عن حادثتين رئيسيتين للأمن السيبراني تصدرتا عناوين الأخبار في السنوات القليلة الماضية: خرق بيانات ماريوت وهجوم برامج الفدية في إم جي إم.

بين عامي 2014 و2018، تعرضت ماريوت لهجوم إلكتروني كشف عن معلومات شخصية لما يصل إلى 500 مليون ضيف سابق. وتمكن المتسللون من الوصول إلى بيانات مثل العناوين وعناوين البريد الإلكتروني وأرقام الهواتف وحتى أرقام جوازات السفر وأرقام بطاقات الائتمان. كيف حدث ذلك؟ تقول ماريوت إن البيانات كانت محمية، ولكن لم يتم تشفيرها، لذا بمجرد اختراق المتسللين لنظام الحجز الخاص بماريوت، تمكنوا بسهولة من سرقة البيانات. وقد تم تغريم ماريوت ما يقرب من 24 مليون دولار كعقوبات، وسجل الحادث في التاريخ باعتباره أحد أكبر خروقات البيانات على الإطلاق.

في سبتمبر 2023، تعرضت MGM لنوع مختلف من هجمات الأمن السيبراني: تسبب هجوم برامج الفدية في تعطل أنظمة التعامل مع الضيوف والإدارة الخلفية لبضعة أيام، مما تسبب في خسارة إيرادات تقدر بنحو 100 مليون دولار. أبلغ الضيوف عن مشكلات في بطاقات المفاتيح وماكينات القمار وأجهزة الصراف الآلي وأنظمة وقوف السيارات والمزيد في MGM - وكان الحادث في جميع الأخبار. ليس من الواضح ما إذا كانت MGM قد دفعت فدية للمهاجمين، لكن Caesars تعرضت لهجوم مماثل قبل MGM مباشرة، ودفعت Caesars حوالي 15 مليون دولار فدية للمتسللين في اتفاق على عدم إصدار البيانات المسروقة.

لا يرغب أي فندق في أن يكون ضحية لهجوم أمني إلكتروني، فكيف يمكنك منع وقوع مثل هذا الحادث؟ الخبر السار هو أن هناك بعض الممارسات البسيطة الأفضل - والتي يمكنك تطبيق بعضها اليوم - للحفاظ على أمان بياناتك وتجنب أن تصبح هدفًا:

• تنفيذ ضوابط وصول قوية: في أي نظام يحتوي على معلومات حساسة، يجب عليك تكوين الوصول القائم على الدور بحيث لا يتمكن من الوصول إلى هذه البيانات إلا الموظفون الذين يحتاجون حقًا إلى الاطلاع عليها. لا يوجد سبب يجعل كل موظف مسؤولاً في كل نظام. بالإضافة إلى ذلك، اجعل المصادقة متعددة العوامل معيارًا لإضافة طبقة إضافية من الأمان.

• عقد جلسات تدريبية منتظمة للموظفين: في كثير من الحالات، ينقر الموظف عن طريق الخطأ على رسالة بريد إلكتروني احتيالية لأنه لم يكن على دراية بكيفية اكتشاف محاولة التصيد الاحتيالي. تأكد من أن موظفيك قادرون على التعرف على محاولات التصيد الاحتيالي والتهديدات الإلكترونية الأخرى، واستخدم جلسات التدريب هذه لإبقائهم على اطلاع بأحدث بروتوكولات الأمن السيبراني في فندقك.

• شبكات WiFi آمنة للضيوف: للحفاظ على أمان البيانات الحساسة الخاصة بفندقك، يجب أن يكون لديك شبكتا WiFi منفصلتان في الموقع: واحدة للضيوف وأخرى للاستخدام الداخلي. يجب أن تكون الشبكة الداخلية محمية بكلمة مرور ومحظورة على أي شخص ليس جزءًا من مؤسستك.

• تشفير بياناتك: تجنب الوقوع في موقف مشابه لماريوت، حيث تكون بياناتك معرضة للسرقة لأنها غير مشفرة. سواء كنت ترسل أو تستقبل بيانات حساسة، أو تقوم بتخزينها ببساطة، فيجب تشفير أنظمة الدفع وقاعدة بيانات الحجوزات الخاصة بك بالكامل.

• إجراء عمليات تدقيق أمنية منتظمة: العمل مع بائع أمن سيبراني تابع لجهة خارجية لتقييم مخاطر الأمان لديك وإجراء عمليات الاختراق على فترات منتظمة

• وضع خطة للاستجابة للحوادث: على الرغم من أنه ليس من الممتع أبدًا التفكير في أسوأ السيناريوهات، فمن الجيد وضع خطة لكيفية تعاملك أنت وفريقك مع خرق الأمن السيبراني. فكر في كيفية الاستجابة السريعة لتقليل التأثير والحفاظ على تشغيل فندقك طوال الحادث.

ما الأدوات والتقنيات التي ستساعدك في الحفاظ على بياناتك آمنة؟ على الأقل، يجب أن تكون أجهزتك المحلية مزودة بجدران حماية وبرامج مكافحة فيروسات مثبتة لمنع البرامج الضارة الخطيرة. يمكن لأنظمة اكتشاف التسلل أيضًا تنبيهك في حالة تنزيل ملف ضار أو وصول مستخدم غير مصرح له إلى جهاز. عند إرسال أو جمع بيانات الضيوف، من الحكمة أيضًا استخدام نظام رمزي لتشفير البيانات، مما يزيل احتمال حدوث خرق للبيانات أثناء النقل.

ومع ذلك، تهدف التقنيات الناشئة مثل أدوات الأمن السيبراني التي تعتمد على الذكاء الاصطناعي والبلوك تشين إلى إضافة مستوى أعلى من الأمان للعديد من أنواع المعاملات. وقد يؤدي هذا إلى القضاء على الحاجة إلى كلمات المرور ومفاتيح الوصول الأخرى التي قد تكون عرضة للخطر.

نظرًا لأن الفنادق تتعامل مع الكثير من بيانات النزلاء الحساسة، من عناوين البريد الإلكتروني إلى أرقام جوازات السفر، فمن الأهمية بمكان ليس فقط حماية هذه البيانات ولكن أيضًا الالتزام باللوائح المحلية. هناك بعض اللوائح ذات الصلة بشكل خاص بقطاع الفنادق:

• اللائحة العامة لحماية البيانات (GDPR): اللائحة العامة لحماية البيانات هي لائحة صادرة عن الاتحاد الأوروبي تحدد المعايير التي تحدد ما يمكن للشركات فعله وما لا يمكنها فعله بالبيانات الشخصية. ربما لاحظت أن مواقع الويب تضيف نوافذ منبثقة تطلب موافقتك على تخزين ملفات تعريف الارتباط؛ وكانت هذه الموافقة نتيجة للائحة العامة لحماية البيانات التي تم تطبيقها مؤخرًا. يجب على الشركات التي لديها مواقع ويب تخدم المستخدمين الأوروبيين الامتثال للائحة العامة لحماية البيانات أو المخاطرة بالتعرض لإجراء قانوني.

• CCPA: تم تصميم قانون خصوصية المستهلك في كاليفورنيا على غرار اللائحة العامة لحماية البيانات، وهو قانون ولاية يضمن للمستخدمين معرفة البيانات التي يتم جمعها عنهم، وكيفية استخدامها، ومكان تخزينها، وكيفية حذفها.

• PCI DSS: فيما يتعلق ببيانات بطاقات الائتمان على وجه التحديد، تحدد معايير أمان بيانات صناعة بطاقات الدفع المعايير التي يجب على الشركات اتباعها عند جمع معلومات الدفع وتخزينها، بالإضافة إلى التحقق السنوي من التزامها بممارسات الأمان الموصى بها.

إن الالتزام بهذه اللوائح سيحافظ على بياناتك الحساسة آمنة ويجنبك خطر التعرض لعقوبات قانونية.

الآن أنت تعرف كيفية الحفاظ على سلامة البيانات والبنية الأساسية الرقمية لفندقك اليوم، ولكن ماذا يمكنك أن تتوقع مع ظهور التقنيات الجديدة؟ من المؤكد أن بعض التطورات التكنولوجية ستتطلب الاهتمام الوثيق بمخاطر الأمن وحماية البيانات.

مع استخدام الفنادق لمزيد من أجهزة إنترنت الأشياء (IoT)، مثل الأقفال الذكية ومكبرات الصوت الذكية، سيكون هناك المزيد من الأجهزة التي يجب تأمينها، مما يجعل من المهم للغاية الحصول على شبكات WiFi آمنة وضوابط وصول مناسبة.

وسوف يؤدي ارتفاع مستوى التدابير الأمنية البيومترية، مثل التعرف على الوجه ومسح بصمات الأصابع، إلى زيادة حساسية المعلومات الشخصية التي يتعين نقلها وتخزينها بشكل آمن. ومع ذلك، يمكن أن تساعدك القياسات الحيوية على التحكم بشكل أفضل في الوصول إلى أنظمتك أو مساحاتك المادية؛ حيث يمكن مشاركة كلمة المرور بسهولة، ولكن لا يمكن مشاركة بصمة الإصبع.

كما يؤدي التحول نحو تجارب الضيوف الرقمية إلى مزيد من التعقيد عندما يتعلق الأمر بمنع مخاطر الأمن السيبراني. على سبيل المثال، يتمتع الدخول بدون مفتاح إلى غرف الضيوف بالعديد من المزايا، ولكنه يفتح أيضًا خطر دخول أحد القراصنة إلى غرفة الضيوف دون إذن. وبالمثل، يعد تسجيل الوصول عبر الهاتف المحمول أسرع وأكثر ملاءمة من الوقوف في طابور عند مكتب الاستقبال، ولكن هذا يعني أن الفنادق يجب أن تكون أكثر انتباهاً للحفاظ على أمان بيانات الضيوف عبر العديد من الأجهزة والأنظمة.