データ侵害は、すべてのホテルにとって最悪の悪夢です。特に、個人データやゲスト情報が漏洩した場合はなおさらです。 COVID-19 が発生する前は、ホテル経営者はサイバーセキュリティとデータ保護を業界に対する最大の脅威の 1 つと見なしていました。ホスピタリティ業界は常に脅威にさらされています。ホテルに対する多数の有名なマルウェア攻撃により、何億人ものゲストのデータが危険にさらされ、何百万ドルもの損害が発生しています。
適例:マリオット。このホテル チェーンは、2014 年に発生したデータ侵害の結果として、最近、約2,380 万ドルの罰金を科されました。そして、金銭的負担はマリオットの苦境の始まりにすぎません。この攻撃により、ブランドのグローバルなゲスト予約データベースに保存されている 3 億人を超えるゲストのクレジット カードの詳細、パスポート番号、生年月日が侵害されました。これは、これまでで最大のデータ侵害の 1 つです。
保険はマリオットの財政的影響の多くをカバーしますが、そのブランドの評判は将来にわたって損なわれるでしょう.マリオットのデータ侵害がどのように発生したか、また、このようなことがホテルに起こらないようにする方法は次のとおりです。
Background: Marriott Data Breach 2014
侵害は 2014 年に発生しましたが、2018 年に内部セキュリティ ツールがマリオットのスターウッド ブランドの内部ゲスト予約データベースにアクセスする不審な試みを検出するまで発見されませんでした。スターウッド ホテルは 2016 年にマリオットに買収され、11 の新しいブランドがマリオット インターナショナルの元の 19 の資産に追加されました。
内部セキュリティ アラートにより調査が行われ、買収前の 2014 年に Starwood ネットワークが侵害されたことが判明しました。スターウッドは、2018 年にマリオットの予約システムを移行していませんでした。スターウッド ブランドは依然として従来の IT インフラストラクチャを使用していたため、データ侵害の範囲と規模が拡大しました。
Marriott は内部調査で、ハッカーがデータを暗号化し、Starwood システムから削除したことを発見しました。その情報には、最大5 億件のゲスト レコードからの情報が含まれていましたが、それらのレコードの一部は重複していました。侵害を発表したとき、マリオットは、ハッカーが「名前、郵送先住所、電話番号、電子メール アドレス、パスポート番号、スターウッド プリファード ゲスト (「SPG」) アカウント情報、生年月日、性別、到着日などのゲスト情報を盗んだと述べました。出発情報、予約日、通信設定。これらのゲストの何人かについては、支払いカードのデータも盗まれましたが、マリオットは何人かを明らかにしませんでした。」
How Did the Marriott Data Breach Happen?
攻撃の実際の詳細はかなり技術的なものになりますが、悪意のある人物がこれだけ多くのゲストの記録にアクセスすることがいかに簡単であったかを裏付ける、スターウッドのビジネス上および文化上の慣習がいくつかありました。
Crowdstrike のサイバーセキュリティ専門家である Ryan Cornateanu 氏は、Hotel Tech Report に次のように語っています。この戦術はフィッシングで使用され、マルウェアをターゲット ネットワークに侵入させ、すべてのシステムを横方向に移動させます。ハッカーはそこから、アカウント番号、運転免許証番号、およびロイヤルティ プログラムや予約システムからのその他の機密情報を利用できます。一般的なデータ保護規制は、消費者を保護するのに大いに役立ちましたが、ハッカーがログイン資格情報を保護したり、サーバーに直接アクセスしたりできる場合にできることは限られています。」
スターウッドは予約システムが不安定なことで有名でした。 2015 年の別の攻撃ではデータが侵害され、 8 か月間検出されませんでした。その後、Marriott は 2016 年の買収時に Starwoods の IT スタッフを解雇することで問題を悪化させました。人員不足により、Marriott は新たに追加されたホテル施設を自社の予約システムに迅速に統合することができませんでした。したがって、スターウッドのすでに安全でないゲスト予約システムは、「足を引きずり、ゾンビのように、マルウェアに感染し、ハッカーに侵害され、ケアの継続性がほとんどない状態で、侵害が最終的に発見されるまでさらに 2 年間続いた」とCSO は報告しています。 オンライン。
誰がマリオットをハッキングしたのかという質問に関しては、その答えはさらに複雑です。ニューヨーク・タイムズとワシントン・ポストの両方が、攻撃は中国政府に代わって国が後援する情報収集活動の一環であると報じた。コードのパターンと攻撃の方法は、中国のハッカーが以前に採用した手法を反映しており、ダーク Web で販売されたゲスト レコードはありません。これは、これが営利目的のハッキングではないことを示しています。
世界有数のホテルブランドの10万人以上のエグゼクティブに加わり、最新の洞察を週に1回メールで受け取りましょう。
The Repercussions for Marriott
このデータ侵害の結果として、Marriott は金銭的に多額の罰金を科されました。マリオットがスターウッドのITシステムのデューデリジェンスを怠ったとして、ブランドに対して複数の集団訴訟が提起されました。訴訟に加えて、マリオットは、データ侵害の被害者の顧客のためにパスポートの交換費用を支払うことに同意しました.
これとは別に、消費者権利の監視機関である英国の情報コミッショナーズ オフィス(ICO) は、 GDPRで要求されるセキュリティ基準を満たしていないとして、Marriott に 2,380 万ドルの罰金を科しました (元の 1 億 2,300 万ドルから減額)。 ICO は、マリオットがデータを処理する際に「適切な技術的または組織的な措置を講じる」ことに失敗したと主張しているが、マリオットがその後セキュリティを向上させるために適切な措置を講じたことも認めている.特に、元の 1 億 2,300 万ドルの罰金は、GDPR の下で発行された最大の罰則の 1 つであり、 Marriott の総収益の約 3% に相当します。
財務的に、Marriott がこのデータ侵害を乗り切る可能性が高いのは事実です。しかし、顧客満足度スコアは2019 年に低下し、 ヒルトンと同ブランドになり、違反がゲストのロイヤルティに長期的な害を及ぼす可能性があることを示唆しています.調査によると、 アメリカ人の 4 分の 1近くが、ハッキングされた企業との取引をやめますが、3 人に 2 人以上がデータ侵害の後、その企業への信頼を失います。
How to Avoid a Similar Data Breach
最終的には、ハッカーにとって魅力的な戦利品が少ないため、独立系企業はブランド企業よりもはるかに安全です。戦利品が少ないということは、インセンティブが少ないということです。さらに、独立系企業は、社内でシステムを開発しようとするのではなく、最高の技術ベンダーと協力することがよくあります。これらのベンダーはベンチャー支援を受けており、データ セキュリティを確保するために優れた対策を講じています。ホテル経営者は、 SOC-2 、GDPR、 PSD2、PCIコンプライアンスなどの最新の規制フレームワークに関する厳格な基準を満たすソフトウェア ベンダーを探す必要があります。
しかし、無所属の企業であっても、ホスピタリティ業界はハッカーにとって魅力的なターゲットです。ホテルは膨大な量の個人を特定できる情報を収集していますが、多くの場合、この貴重なデータを保護するセキュリティ プロトコルは時代遅れであるか、ほとんどありません。将来、あなたのホテルがサイバー攻撃の標的になる可能性は否定できません。しかし、Marriott が 4 年間侵害を発見できなかったという過ちを避けることは非常に重要です。
ホテルの IT チームの最優先事項は、ゲスト データを暗号化し、セキュリティ侵害の可能性がある場合に直ちに警告するアラートを設定することです。従来の IT は最新の状態にする必要があります。ソフトウェアの最新バージョンがすべてのデバイスにインストールされていることを確認してください。多くの場合、セキュリティ更新プログラムには、脅威の状況と共に進化するパッチと新しい修正が含まれています。また、侵害があったと感じたらすぐに顧客と連絡を取る計画を立ててください。問題は、サイバー攻撃が発生するかどうかではなく、いつ発生するかです。
