ריבונות נתונים מתייחסת לזכויות ואחסון של נתוני חברה ולקוחות המבוססים על גיאוגרפיה. המטרה העיקרית של חוקי ריבונות הנתונים היא לאבטח נתונים ולהבטיח את פרטיות האוכלוסיות מפני איומים זרים. ריבונות הנתונים החלה להתפשט בסביבות הזמן שבו נכנסו חוקי ה-GDPR לתוקף. תנועת פרטיות הנתונים הועמדה בעיקר על ידי אירופה עם ארצות הברית וקנדה כעוקבים מהירים.

באופן לא מפתיע, חלק הארי בוויכוחים על ריבונות נתונים התרחשו בין מדינות מערביות (ארה"ב והאיחוד האירופי) וסין. עלייתה המהירה של סין לשלטון באה עם רפורמות רבות, אך המדינה עדיין מתמודדת עם סטיגמות משמעותיות הקשורות לגישתה לפרטיות נתונים ואיסוף מודיעין.

לסין יש חזון שונה מהמערב (ורבים במזרח) לגבי עתיד האינטרנט:

"סין דחפה דרך עשרות תקנות ותקנים טכניים המחזקים את השליטה והנראות של הממשלה בכל האקולוגי של האינטרנט, מהתשתית העומדת בבסיס האינטרנט, דרך זרימת הנתונים ועד להפצת מידע באינטרנט, להרכב התוכנה והחומרה המהווים את הבסיס לכל דבר, החל ממסחר אלקטרוני ועד למערכות בקרה תעשייתיות". ~האטלנטי

אז מה הקשר של Xi Jinping והחזון של PRC לעתיד של אבטחת סייבר וריבונות נתונים לעסקי המלונאות שלך? בקיצור, הרבה.

עוד במרץ 2020, עולם הטכנולוגיה של בתי המלון היה בהלם כאשר הנשיא האמריקני דונלד טראמפ נקט בפעולה כדי לחסום את רכישת מערכת ניהול הנכסים האמריקאית StayNTouch של Shiji. כמה חוקרי קונספירציה ניסו ליצור קשרים למערכת היחסים של טראמפ עם מייסד אורקל, לארי אליסון, בעקבות ביטול הסכם המשווק ארוכת השנים שלו עם החברה של שיג'י.

תיאוריות אלו אינן מצליחות להכניס את המחלוקת להקשר רחב יותר של סוגיות אבטחת מידע סיניות בעשורים האחרונים. החסימה של טראמפ את העסקה של שיג'י היא בקושי הקש הראשון שנשלף במחלוקת הסייבר בין המערב לסין. לפני שנעריך את הסיכונים הפוטנציאליים והנתפשים הקשורים למלונות בארה"ב ובאירופה הרוכשים טכנולוגיה סינית, הבה נסתכל על ההיסטוריה של מעקב הנתונים.

סין היא בקושי הממשלה הראשונה שפיתחה מערכת ניטור גלובלית. עוד בשנות ה-60 החלה הממשלה האמריקאית לשתף פעולה עם בריטניה לפיתוח מערכת גלובלית של לוויינים ודלתות אחוריות של תוכנה שתתרחב מאוחר יותר לבעלות ברית אחרות כמו קנדה, אוסטרליה וניו זילנד (Five Eyes Intelligence Alliance). מעצמת הטלקום העולמית Huawei נחשבת כפתרון של סין לראשית המערב של המערב בתחום טכנולוגיית המעקב.

"האסטרטגיה הארגונית של Huawei - כלומר האסטרטגיה של שירותי המודיעין של סין - היא להעניק הנחות מסיביות על התקנת סיביות פחות קריטיות של רשת בתנאי ש-Huawei תוכל גם להתקין ולתחזק את הליבות", אומר פיטר זיהן , א. אסטרטג גיאופוליטי מוביל.

במרץ 2019, ברית Five Eyes חסמה רשמית את יכולתה של Huawei לפרוס טכנולוגיית 5G במדינות החברות בה. בנוסף, ממשלת ארה"ב אסרה על חברות אמריקאיות למכור רכיבים לחברה. עבור מבקרים שטוענים שתגובתו של טראמפ לרכישת StayNTouch היא תגובת יתר בוטה,תגובת Huawei היא בסדרי גודל חמורה יותר.

אז מדוע ננקטה הפעולה הזו נגד Huawei? "לוואווי לא תהיה ברירה אלא למסור את נתוני הרשת לממשלת סין אם בייג'ין תבקש זאת, בגלל ריגול וחוקי הביטחון הלאומי במדינה", אמרו מומחים ל- CNBC .

ישנם סימנים לרפורמה בסין המגיעים מהמגזר התאגידי אך הסימנים הללו מוקדמים במקרה הטוב. עליבאבא וטנסנט ניסו לאחרונה לסרב לשלוח נתונים לבייג'ינג (בעיקר ללא הצלחה). ראוי לציין כי עליבאבא היא משקיע מיעוט בשיג'י לאחר השקעה של 486 מיליון דולר בחברה עוד ב-2014.

באופן דומה, WeChat קיבלה החלטה שלא לאחסן יומני צ'אט בפלטפורמה שלה. רבים מאמינים שזה היה כדי להסיר את האחריות של שליחת נתונים לפי דרישה לבייג'ינג. אחרים ספקנים אם החברה כנה בטענתה שהיא לא אוגרת נתוני צ'אט.

למרות הרפורמות הקטנות אך החשובות הללו, הפרדיגמה בריבונות הנתונים הדמוקרטית המערבית עומדת בניגוד גמור לזו שנראתה בסין שבה חברות אמריקאיות ואירופיות נמצאות בהתדיינויות מתמדת סביב נתוני משתמשים עם ממשלות ולהיפך - עדות לבלמים והאיזונים המשמרים הזכויות והפרטיות של הצרכנים. הבלמים והאיזונים הללו רחוקים מלהיות מושלמים, אבל הם מניחים את הבסיס להתקדמות.

בשנת 2015, אפל דחתה את בקשתה של ממשלת ארה"ב לפתוח את האייפון של פושע, תוך ציון ההתמקדות הבלתי פוסקת שלה באבטחה ובפרטיות המשתמש. מכתב מאפל ללקוחות אייפון מדגים עד כמה קשה לרשויות בארה"ב להפר את פרטיות הצרכן:

"ההשלכות של דרישות הממשלה מצמררות. אם הממשלה תוכל להשתמש ב-All Writs Act כדי להקל על ביטול נעילת האייפון שלך, תהיה לה את הכוח להגיע למכשיר של כל אחד כדי ללכוד את הנתונים שלו. הממשלה יכולה להרחיב את הפרת הפרטיות הזו ולדרוש מאפל לבנות תוכנת מעקב כדי ליירט את ההודעות שלך, לגשת לרישומי הבריאות או לנתונים הפיננסיים שלך, לעקוב אחר מיקומך, או אפילו לגשת למיקרופון או למצלמה של הטלפון שלך ללא ידיעתך".מכתב לקוח של אפל

לא רק שלחברות אמריקאיות ואירופיות יש את היכולת להילחם באופן מהותי בממשלתן למען פרטיות הצרכן, אלא שממשלות מערביות הוכיחו אינטרס להסדיר את אותו הדבר עבור עמיתיהם הארגוניים. עובדה זו הודגשה פעמים רבות בשנים האחרונות. אולי המקרה בעל הפרופיל הגבוה ביותר מתייחס לרגולטורים פדרליים בארה"ב שפתחו במתקפה משפטית נגד פייסבוק בשל טיפולה בנתוני לקוחות בהקשר של קיימברידג' אנליטיקה . הרגולטורים של האיחוד האירופי אולי אפילו יותר אגרסיביים בהגנה על נתוני צרכנים כפי שהוכח מתביעה נגד גוגל שהובילה ל57 מיליון דולר קנס.

הנקודה החשובה כאן היא שחברות אמריקאיות ואירופיות יכולות להילחם בפומבי (ובאגרסיביות) בממשלה ולהיפך. בסין, נראה שזה עדיין לא המקרה וזה עשוי להוות סיכון מהותי לכל נכס מלון בארה"ב או אירופאי שיבחר לאמץ טכנולוגיה סינית.

בכלכלות הגלובליות שלנו יותר ויותר, שנאת זרים היא מסוכנת ופוגעת בתפוקה. הטיעונים המועלים כאן רחוקים מכך - אלו שיקולים עסקיים חשובים. לסין יש אינטרס מובהק בסוג החדש של האינטרנט המפוקח שלה ולמרות הביקורת של הפעילים, האינטרסים הללו מבוססים היטב על בסיס רצונה לשמור על ביטחון הפנים ולמנוע תסיסה חברתית פנימית.

אין "טובים" ו"רעים" בוויכוח הזה, זה רק ריקוד פוליטי ואסטרטגי בין אינטרסים ותרבויות שונות. עם זאת, האינטרסים הלאומיים והשקפות העולם של סין עומדים בסתירה מוחלטת לאלו של מדינות המערב הדמוקרטיות באירופה ובצפון אמריקה, כלומר, עסקים פרטיים השוקלים לאמץ טכנולוגיה סינית צריכים לשקול את ההשלכות של הסכסוך הזה. אז מה ההשלכות על עסקים פרטיים כמו המלון שלך?

כפי שמלונאים מנוסים יודעים, מתכנני פגישות ארגוניות מלקוחות גדולים כמו גוגל מנהלים קבוצה מלוכדת של שותפים בבתי מלון המוסמכים לארח פגישות בפרופיל גבוה. שותפים אלה נבדקים מקרוב על סמך פרוטוקולי אבטחה. לעתים קרובות מלונות אלו צריכים להזין שמות קוד ארגוניים ל-PMS בעת ההזמנה על מנת לשמור על סודיות ולהפחית סיכונים פוטנציאליים.

אז אם קבוצות ארגוניות כמו גוגל ואמזון דורשות סביבות פגישות מאובטחות בבתי מלון, אין זה הלם שממשלת ארה"ב דורשת את אותו הדבר. ממשלת ארה"ב היא פלח קבוצתי מרכזי עבור בתי מלון. בהתחשב בצעדים שנקטו תאגידים כמו גוגל ואמזון כדי להבטיח פגישות מאובטחות, אין זה פלא שהממשלה הפדרלית לא רוצה שלסין תהיה גישה לנתוני עובדי ממשלה ולמידע על פגישות ממשלתיות. בנוסף, לסין יש היסטוריה של קשר לפריצת תעשיית המלונאות.

בפברואר 2020 האשים משרד המשפטים של ארצות הברית רשמית ארבעה חברי צבא סין בקשר לפריצת Equifax 2017 שהדלפת מידע מזהה על מיליוני אנשים בארה"ב "התקפת Equifax הייתה קשורה במפורש להפרות של Marriott ו-OPM כחלק של אותה פעולה גדולה יותר. זה היה מהלך נדיר ביותר - ארה"ב מגישה רק לעתים רחוקות כתבי אישום פליליים נגד קציני מודיעין זרים כדי למנוע תגמול נגד פעילים אמריקאים - שהדגיש את מידת הרצינות של ממשלת ארה"ב למתקפה" כותב הניו יורק טיימס .

בנוסף, קיימות עדויות הקושרות את סין ישירות לפריצת סטארווד/מריוט המסיבית, "התקפת הסייבר על רשת מלונות מריוט שאספה פרטים אישיים של כ-500 מיליון אורחים הייתה חלק ממאמץ סיני לאיסוף מודיעין שפרץ גם למבטחי בריאות ולאישור הביטחון. תיקים של מיליוני אמריקאים נוספים, לפי שני אנשים שתודרכו על החקירה". מומחי אבטחה מציינים את העובדה שדליפת הנתונים של סטארווד מעולם לא פורסמה באינטרנט למכירה ברשת האפלה. הם טוענים שאם ההאקרים לא עשו זאת בשביל הכסף, סביר מאוד שזה היה קשור לניצול איסוף מודיעין.

ישנן דרכים טכניות רבות לצמצם סיכונים אלו כגון בדיקות חדירה, שכירת חברת ביקורת אבטחת סייבר, אבטחת רשתות WiFi ועוד. הדבר החשוב ביותר שכל מלון יכול לעשות כדי להפחית את סיכוני הסייבר הוא להיות חרוץ בבחירת ספקי טכנולוגיות המלון .

כפי שראינו במקרה של הפריצה של סטארווד, מריוט בסופו של דבר לקחה אחריות למרות שלא הייתה הגורם האחראי בזמן ההפרה. אותו דבר לגבי המלון שלך. כל מנהל ומנהיג IT צריכים להבין את הארכיטקטורה הטכנולוגית שלהם, את הפגיעויות והצעדים שננקטים כדי להגן על האורחים שלו. חברות טכנולוגיה מוציאות מיליוני דולרים על הנדסה כדי להבטיח את האבטחה הזו, אבל זה מוטל על רוכשי טכנולוגיה בבתי מלון כדי להבטיח שהם שואלים את השאלות הנכונות ובוחרים את הספקים הנכונים.

כל מלונאי צריך להבין את ריבונות הנתונים של המערכות שלו. חשוב לקחת בחשבון את הסיכונים של אחסון נתוני האורחים שלך בסין או באזורים אחרים בעולם שעלולים להיות חשופים לדליפה, פריצה או החרמה ישירה על ידי ממשלות מקומיות.

פן חשוב נוסף שיש לקחת בחשבון הוא הכדאיות הפיננסית של השותפים הטכנולוגיים שלך. עסקים חסרי מזומנים או מתקשים לעתים קרובות אינם מסוגלים להשקיע באותה רמה באבטחת סייבר ובחדשנות המהווים סיכון. SaaS מייצג "תוכנה כשירות" ולמרות שאולי "קונים" טכנולוגיה היום, הקונים הממולחים ביותר מבינים שהם קונים לעתיד של העסק הזה, כולל מפת הדרכים של המוצר שלהם והשקעות בחדשנות קריטית כדי להישאר תחרותיים. רק בשנה שעברה נאלצה מלונות דרורי להודיע לאורחים על תקרית אבטחה שהתרחשה אצל ספק שירותי טכנולוגיה של צד שלישי לא ידוע, הכולל מידע הקשור לאתרי הזמנות מקוונים.

הדרך הטובה ביותר להבטיח שקבוצת המלונות שלך לא תהפוך למלונות הדרורי הבאים היא לבצע בדיקות מקיפות מול הספקים שלך. היכן הם ממוקמים? איפה הנתונים מאוחסנים? למי יש זכויות על הנתונים האלה? כמה הם השקיעו באבטחת סייבר? אילו צעדים ופרוטוקולים קיימים כדי להבטיח שהנתונים של המלון שלך (במיוחד נתוני אורחים רגישים) נשמרים מפני התקפות סייבר זדוניות?