Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

7 minuti di lettura

Come prevenire gli attacchi di malware e promuovere la sicurezza informatica nel tuo hotel

Avatar

Jordan Hollander in Operazioni

Ultimo aggiornamento Gennaio 26, 2022

descrizione dell’immagine

Hai $ 1,6 milioni di riserva in giro? Questo è l'importo medio che gli esperti di sicurezza stimano ora che un'azienda deve recuperare da un attacco informatico contenente malware.

Gli hotel sono facili bersagli per gli hacker. La sicurezza informatica non è qualcosa in cui molti hotel si sentono sicuri. "L'anno scorso, i due più grandi report globali sulle violazioni dei dati, il Global Security Report di Trustwave e il Data Breach Investigation Report di Verizon, mostrano entrambi che l'ospitalità continua a lottare in questo settore. Verizon, nel frattempo, riferisce che alloggio, vitto e alloggio costituivano quasi il 54% del loro carico di lavoro", afferma Bob Russo, GM del PCI Security Standards Council.”

Ogni volta che i record degli ospiti di un hotel vengono violati, la proprietà è gravato da difficoltà finanziarie e affronta il problema fiducia con gli ospiti. In qualità di albergatore, non devi essere un esperto di sicurezza informatica, ma devi assolutamente comprendere le basi per proteggere la tua attività e i tuoi ospiti. Ecco alcuni modi per affrontare la sicurezza informatica nel tuo hotel e ridurre al minimo i rischi il più possibile. 

 

Perché Ho i tel sono bersagli interessanti per gli hacker

Gli hotel sono facili – e redditizio – obiettivi per gli hacker. Gli hotel sono obiettivi attraenti per due motivi: in primo luogo, la sicurezza informatica in molte proprietà è permissiva. “Solo il 25% circa di tutte le aziende statunitensi, compresi gli operatori alberghieri, è pienamente conforme alle attuali best practice per la sicurezza dei dati. Ciò significa che tre su quattro non sono e sono potenziali disastri in attesa di accadere,” dice Russo.

In secondo luogo, gli hotel elaborano molte transazioni e memorizzano tonnellate di dati degli ospiti. Un hacker può prendere di mira contemporaneamente il punto vendita e il sistema di gestione della proprietà di una proprietà per acquisire informazioni sulla carta di pagamento e dati personali, come numeri di passaporto e indirizzi e-mail. Il malware può spostarsi tra i sistemi POS e PMS in diverse proprietà sotto lo stesso marchio, colpendo gli ospiti in località di tutto il mondo senza che nessuno ne sia più consapevole. Allo stesso modo, ci sono molti punti di accesso che un hacker può prendere di mira in una singola proprietà. "A febbraio, è stato riferito che delle 21 violazioni dei dati di società alberghiere di più alto profilo verificatesi dal 2010, 20 di esse erano il risultato di un malware che ha colpito i sistemi POS in un ristorante, un bar e un punto vendita di un hotel" afferma Mark Voortman, Ph.D., capo del programma di tecnologia dell'informazione presso la Rowland School of Business di Pittsburgh.

Un piccolo hotel di 100 camere con un ristorante da 50 posti elabora ancora centinaia di pagamenti unici ogni giorno. Quei pagamenti unici sono virtualmente indifesi; pochi hotel dispongono dei protocolli di sicurezza, dell'infrastruttura e della formazione necessari per garantire che le parti interessate siano dissuase dal rubare le informazioni degli ospiti. 

 

Che cos'è il malware? Definizione dei concetti chiave della sicurezza informatica

Comprendere i concetti chiave della sicurezza informatica è metà dell'opera. Ecco alcuni termini comuni che incontrerai migliorando la sicurezza del tuo hotel: 

  • Phishing: phishing si verifica quando i truffatori ti inviano un'e-mail, un SMS o addirittura ti chiamano per cercare di indurti a rivelare informazioni personali informazioni che possono quindi utilizzare per accedere ai tuoi dati bancari o alle tue carte di credito. Un'e-mail di phishing potrebbe sembrare un messaggio della tua banca che ti avverte che il tuo account verrà chiuso a meno che tu non verifichi le tue informazioni personali. 

  • Crittografia: strong> Crittografia è una procedura di sicurezza che prevede la codifica dei dati in modo che solo le parti autorizzato a leggerlo può comprendere le informazioni. Il processo prende dati leggibili e li altera in modo che appaia casuale. La parte che riceve le informazioni crittografate ha bisogno di una chiave per decodificare i dati e trasformarli in testo in chiaro leggibile. 

  • VPN: VPN sta per “rete privata virtuale.” Una VPN maschererà il tuo indirizzo IP e manterrà la tua attività su Internet in gran parte irrintracciabile. È un ottimo strumento per assicurarti che la tua connessione Internet sia sicura e privata.

  • Malware: malware è l'abbreviazione di “software dannoso.” Il malware è progettato per accedere al tuo computer; spyware, ransomware, virus e cavalli di Troia sono tutti tipi diversi di malware.

  • Test di penetrazione: test di penetrazione è una procedura in cui un esperto di sicurezza informatica cerca di identificare i punti deboli in un sistema informatico. L'esperto simula un malware o un attacco di hacking per individuare eventuali vulnerabilità di cui potrebbero trarre vantaggio i malintenzionati.

  • APT (Advanced Persistent Threat): un APT è il peggior tipo di attacco, in cui un cattivo attore utilizza “continuo, clandestino e sofisticato tecniche di hacking per ottenere l'accesso a un sistema e rimanere all'interno per un periodo di tempo prolungato, con conseguenze potenzialmente distruttive.”

  • Antivirus: un programma progettato per rilevare e distruggere i virus informatici su un sistema operativo

  • Anti-malware: simile al software antivirus ma in cui l'antivirus si concentra sulle minacce più vecchie/conosciute, l'anti-malware in genere si concentra sulle nuove minacce sconosciute.  La protezione dai malware si concentra sull'identificazione di minacce sconosciute prima che si trasformino in virus maturi.  La rimozione del malware è in genere più difficile dell'antivirus poiché ci sono più incognite.

  • Rootkit: un rootkit è un programma informatico clandestino progettato dai criminali informatici per fornire un accesso privilegiato continuo a un computer nascondendone attivamente la presenza.

  • Keylogger: un keylogger, a volte chiamato keystroke logger o monitor di sistema, è un tipo di tecnologia di sorveglianza utilizzata per monitorare e registrare ogni sequenza di tasti digitata sulla tastiera di un computer specifico. Il software Keylogger è disponibile anche per l'uso su dispositivi mobili, come iPhone di Apple e dispositivi Android.  I keylogger sono un software legittimo che può essere utilizzato a fin di bene, ma sono spesso usati come una truffa per rubare informazioni sensibili come numeri di carte di credito e password.

  • Botnet: una rete di computer privati ??infetti contenenti codice dannoso e controllati come un gruppo all'insaputa dei proprietari, ad esempio per inviare messaggi di spam.

Utilizzare una VPN e la crittografia e l'esecuzione di test di penetrazione regolari possono proteggere la tua rete da malware e APT. Dovresti anche assicurarti che il team IT del tuo hotel controlli regolarmente i computer della proprietà per i registratori di tasti e che il tuo personale non apra strani allegati e-mail.  Questi sono i protocolli di sicurezza minimi essenziali che devi praticare regolarmente per evitare disastri come questi hack di alto profilo nel settore alberghiero.

 

Attacchi di malware di alto profilo nel Settore alberghiero

Ricerca da Symantec, una società di sicurezza informatica, ha scoperto che oltre il 65% degli hotel perde regolarmente codici di riferimento delle prenotazioni attraverso siti di terze parti. Perché questo è importante? Perché le informazioni condivise tramite questi codici consentirebbero a un cattivo attore di accedere a una prenotazione, visualizzare i dettagli personali e persino annullare del tutto una prenotazione. Quando ciò accade, le informazioni sui tuoi ospiti sono vulnerabili e rischi di distruggere la relazione con gli ospiti.

La ricerca di Symantec ha mostrato che gli hotel di tutte le dimensioni sono a rischio. Si sono verificati importanti hack presso HEI Hotels & Resort, Starwood/Marriott e altro ancora. Ecco alcuni eventi di alto profilo:

HEI Hotels & Resorts 

Nel 2016, una violazione dei dati ha colpito 20 hotel statunitensi gestiti da HEI Hotels & Resort. L'attacco ha esposto i dati delle carte di pagamento di decine di migliaia di transazioni di cibo e bevande. Il malware è stato scoperto negli hotel’ sistemi di pagamento utilizzati per elaborare le informazioni sulle carte presso ristoranti, bar, spa, negozi nella hall e altre strutture in loco. Gli esperti hanno stabilito che gli hacker probabilmente bloccano i nomi dei clienti, i numeri di conto, le date di scadenza delle carte e i codici di verifica.

Starwood/Marriott

A gennaio 2019, Starwood/Marriott ha scoperto che una violazione dei dati aveva esposto le informazioni personali degli ospiti che avevano soggiornato nelle loro proprietà dal 2014. I dati degli ospiti sono stati rubati per circa 500 milioni di persone – inclusi numeri di passaporto crittografati e numeri di carte di credito o di debito. Il New York Times ha riferito che gli hacker potrebbero aver lavorato con il Ministero del Tesoro di Stato cinese, poiché un attacco di questa portata è notevole.

Omni Hotel & Resort

Omni è stato anche attaccato nel 2016 in una violazione di malware che ha colpito 50.000 clienti. Le informazioni sulle carte di debito e di credito di 49 delle 60 sedi della catena sono state rubate: inclusi numeri di carte di credito e di debito, nomi di titolari di carte, codici di sicurezza e date di scadenza.

Hyatt

In 41 degli hotel Hyatt, gli hacker hanno ottenuto l'accesso non autorizzato alle informazioni sulle carte di pagamento nel secondo attacco dal 2015. Di il secondo attacco, ha osservato un esperto di sicurezza, "è possibile che le misure intraprese dal gruppo Hyatt nel dicembre 2015 vengano ancora implementate in tutta l'organizzazione, soprattutto se tali sistemi sono dispersi in tutto il mondo e non collegati da una rete comune . Quando scegli il tuo set di strumenti di gestione dei sistemi, devi implementare la soluzione che è protetta utilizzando certificati a 2048 bit e autenticazione a due fattori ma funziona anche indipendentemente da dove si trovano gli endpoint.”

Sabre 

Sabre elabora le prenotazioni di circa 100.000 hotel e più di 70 compagnie aeree in tutto il mondo. La società è stata mirata nel 2017 da cattivi attori che hanno rubato le credenziali per Sabre Hospitality Solutions’ Sistema centrale di prenotazioni SynXis. Tali credenziali fornivano l'accesso ai dati del cliente, comprese le informazioni sulla carta di pagamento e i dettagli della prenotazione – clienti’ nomi, indirizzi e-mail, numeri di telefono e indirizzi.

Questi attacchi di alto profilo conquistano i titoli dei giornali, ma ci sono centinaia di attacchi più piccoli che si verificano negli hotel ogni mese. Anche di recente, un massiccio attacco, come quello di Fontainebleu a Miami, ha passato inosservato ai media mainstream. Fonti hanno riferito che Fontainbleu ha subito un attacco ransomware al proprio sistema di carte di credito, costringendo l'hotel a compromettere i dati degli ospiti continuando ad accettare pagamenti con carta o a chiedere agli ospiti di pagare in contanti. Gli ospiti hanno aspettato fino a cinque ore per le camere mentre la reception ha cercato di mitigare la situazione – una scena descritta da una persona come “caos.” “La fila era fuori dalla porta dell'atrio,” un dirigente ha detto a Variety Magazine. Per un hotel a cinque stelle come il Fontainebleau, un incidente come questo è assolutamente distruttivo per il marchio.

 

Come proteggere il tuo hotel dagli attacchi di malware e Minacce informatiche

Qual ??è il modo migliore per assicurarti che i tuoi dati rimangano al sicuro e che nessun ospite rimanga bloccato? Innanzitutto, presta particolare attenzione nella selezione di un sistema di punti vendita e di un processore di carte di credito. “Gli accordi con tali entità dovrebbero essere controllati e, se possibile, modificati per aggiungere protezione e standard minimi di gestione dei dati per il fornitore esterno. La conformità allo standard PCI-DSS (Payment Card Industry Data Security Standard) non solo aiuta a garantire che il software, l'hardware e le pratiche per la sicurezza dei dati siano più sicuri, ma aiuta anche a proteggere da multe e sanzioni in caso di violazione,” scrive un esperto.

Un fornitore di livello aziendale , come Oracle Hospitality, può proteggere il collegamento vulnerabile tra il tuo PMS e il POS. Oracle OPERA è un sistema di gestione della proprietà che si integra con il sistema di punti vendita Micros, nonché con una suite di altre applicazioni. Oracle offre protocolli di sicurezza sofisticati, come Cloud Security Monitoring Analytics per il monitoraggio della piattaforma sia in loco che nel cloud. Strumenti Oracle include anche: 

  • Cloud Compliance Control (OMC CC) per la verifica delle configurazioni rispetto ai requisiti aziendali o alle normative esterne; 

  • Cloud Access Security Broker (Oracle CASB) per scoprire lo shadow IT nel cloud e monitorare i requisiti aziendali relativi al utilizzo e configurazione di servizi cloud Oracle e di terze parti come AWS, Salesforce, Azure, Box ecc.; 

  • Identity Cloud Service (Oracle IDCS) per fornire una gestione degli utenti e sistema di autenticazione per servizi on-premise o cloud.

Questi protocolli di sicurezza monitorano cosa sta succedendo nella tua rete interna e qualsiasi attacco esterno. Lavorare con Oracle ti offre sicurezza multilivello , protezione dei dati, transazioni sicure e conformità agli standard di pagamento e privacy dei dati. Ma, come evidenziato nell'attacco di Sabre, a volte anche queste misure non sono sufficienti. Con le credenziali giuste, chiunque può superare il tuo sistema di sicurezza.

La tecnologia giusta è solo metà dell'equazione; nel corso degli anni, anche gli esperti di sicurezza hanno identificato i dipendenti come parte del problema. Gli hotel devono formare il proprio personale per gestire la sicurezza delle informazioni personali, rispettare le politiche sulla privacy e modificare regolarmente le credenziali di accesso degli utenti. Questo settore ha un elevato turnover, che è parte del motivo per cui i dipendenti non mantengono sempre gli standard di sicurezza. La tua proprietà dovrebbe ospitare regolarmente seminari informativi per assicurarsi che tutti i nuovi dipendenti siano formati e che i veterani rimangano aggiornati con le ultime minacce.

Anche con un ottimo sistema PMS/POS e la giusta formazione, è importante eseguire test di penetrazione e valutazioni dei rischi di routine. Non c'è nessuna risposta semplice sulla frequenza dovresti testare la tua rete, ma gli esperti avvertono che una volta all'anno probabilmente non è abbastanza frequente. Oltre a formare il tuo personale, mantenere aggiornato il tuo software di sicurezza e investire in una piattaforma come Oracle OPERA che ha investito nella sicurezza informatica, puoi incoraggiare i tuoi ospiti a utilizzare una VPN e a disconnettersi dal proprio WiFi quando non la utilizzano. 

 

Potrebbe piacerti anche
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage Marketing Annunci di hotel su ChatGPT: sono arrivati ​​e le OTA hanno già il vantaggio di essere state le prime ad adottarli.

1 mese fa

The Best Hotel Tech Apps of 2026 Esperienza degli ospiti Le migliori app tecnologiche per hotel del 2026

4 mesi fa

The 10 Best Places to Work in Hotel Tech 2026 Operazioni I 10 migliori posti di lavoro nel settore alberghiero nel 2026

5 mesi fa

HITEC Indianapolis 2025 Innovation Report Esperienza degli ospiti Rapporto sull'innovazione HITEC Indianapolis 2025

11 mesi fa

Ricevi consigli personalizzati sui prodotti

Consulente per raccomandazioni sui prodotti

Ghostel icon

Cerchiamo le informazioni sul tuo hotel