Gegevenssoevereiniteit verwijst naar de rechten en opslag van bedrijfs- en klantgegevens op basis van geografie. Het belangrijkste doel van wetten op het gebied van gegevenssoevereiniteit is het beveiligen van gegevens en het waarborgen van de privacy van bevolkingsgroepen tegen buitenlandse bedreigingen. Gegevenssoevereiniteit begon populair te worden rond de tijd dat de AVG- wetten van kracht werden. De dataprivacybeweging werd grotendeels geleid door Europa, met de Verenigde Staten en Canada als snelle volgers.

Het is niet verwonderlijk dat het leeuwendeel van de debatten over gegevenssoevereiniteit plaatsvonden tussen westerse landen (VS en EU) en China. De snelle opkomst van China aan de macht is gepaard gegaan met veel hervormingen, maar het land wordt nog steeds geconfronteerd met aanzienlijke stigma's in verband met zijn benadering van gegevensprivacy en het verzamelen van inlichtingen.

China heeft een andere visie op de toekomst van internet dan het Westen (en velen in het Oosten):

“China heeft tientallen voorschriften en technische normen doorgevoerd die, in samenhang, de controle van en de zichtbaarheid van de overheid over het hele internetecosysteem versterken, van de infrastructuur die aan het internet ten grondslag ligt, tot de gegevensstroom, tot de online verspreiding van informatie, tot de samenstelling van de software en hardware die de basis vormen van alles, van e-commerce tot industriële besturingssystemen.” ~De Atlantische Oceaan

Dus wat hebben Xi Jinping en de visie van de VRC voor de toekomst van cyberbeveiliging en gegevenssoevereiniteit te maken met uw hotelbedrijf? Kortom veel.

In maart 2020 was de hoteltechnologiewereld geschokt toen de Amerikaanse president Donald Trump actie ondernam om Shiji's overname van het Amerikaanse vastgoedbeheersysteem StayNTouch te blokkeren. Sommige complottheoretici probeerden verbanden te leggen met de relatie van Trump met de oprichter van Oracle, Larry Ellison, in de nasleep van Shiji die zijn langdurige resellerovereenkomst met het bedrijf opzegde.

Deze theorieën slagen er niet in om het geschil in de grotere context van Chinese gegevensbeveiligingskwesties van de afgelopen decennia te plaatsen. De blokkering door Trump van de deal van Shiji is niet de eerste druppel die wordt getrokken in het cybergeschil tussen het Westen en China. Voordat we de potentiële en waargenomen risico's beoordelen die samenhangen met de aankoop van Chinese technologie door Amerikaanse en Europese hotels, laten we eerst eens kijken naar de geschiedenis van gegevensbewaking.

China is niet de eerste regering die een wereldwijd monitoringsysteem ontwikkelt. In de jaren zestig begon de Amerikaanse regering samen te werken met het VK om een wereldwijd systeem van satellieten en software-backdoors te ontwikkelen dat later zou worden uitgebreid naar andere bondgenoten zoals Canada, Australië en Nieuw-Zeeland (Five Eyes Intelligence Alliance). Wereldwijde telecom-krachtpatser Huawei wordt algemeen beschouwd als China's oplossing voor de decennialange voorsprong van het Westen op het gebied van bewakingstechnologie.

"Huawei's bedrijfsstrategie - dat wil zeggen de strategie van de Chinese inlichtingendiensten - is om enorme kortingen te geven op de installatie van de minder kritieke bits van een netwerk op voorwaarde dat Huawei ook de kernen kan installeren en onderhouden", zegt Peter Ziehan , een toonaangevende geopolitieke strateeg.

In maart 2019 blokkeerde de Five Eyes-alliantie officieel het vermogen van Huawei om 5G-technologie in zijn lidstaten in te zetten. Bovendien verbood de Amerikaanse regering Amerikaanse bedrijven om componenten aan het bedrijf te verkopen. Voor critici die beweren dat de reactie van Trump op de StayNTouch-acquisitie een botte overreactie is:De reactie van Huawei is orden van grootte ernstiger.

Dus waarom werd deze actie tegen Huawei ondernomen? "Huawei zou geen andere keuze hebben dan netwerkgegevens aan de Chinese regering te overhandigen als Peking daarom zou vragen, vanwege spionage en nationale veiligheidswetten in het land", zeiden experts tegen CNBC .

Er zijn tekenen van hervorming in China afkomstig van het bedrijfsleven, maar deze tekenen zijn op zijn best vroeg. Alibaba en Tencent hebben onlangs geprobeerd om het verzenden van gegevens naar Peking te weigeren (meestal zonder succes). Met name Alibaba is een minderheidsinvesteerder in Shiji na een investering van $ 486 miljoen in het bedrijf in 2014.

Evenzo heeft WeChat besloten om geen chatlogboeken op zijn platform op te slaan. Velen geloven dat dit was om de verantwoordelijkheid voor het verzenden van on-demand gegevens naar Peking weg te nemen. Anderen zijn sceptisch over de vraag of het bedrijf eerlijk is in zijn bewering dat het geen chatgegevens opslaat.

Ondanks deze kleine maar belangrijke hervormingen staat het paradigma binnen de westerse democratische gegevenssoevereiniteit in schril contrast met dat in China, waar Amerikaanse en Europese bedrijven voortdurend in geschillen zijn over gebruikersgegevens met overheden en visa versa - een bewijs van de checks and balances die ervoor zorgen dat de rechten en privacy van consumenten. Deze checks and balances zijn verre van perfect, maar ze leggen de basis voor vooruitgang.

In 2015 wees Apple op beroemde wijze het verzoek van de Amerikaanse regering af om de iPhone van een crimineel te ontgrendelen , daarbij verwijzend naar de onwankelbare focus op veiligheid en gebruikersprivacy. Een brief van Apple aan iPhone-klanten laat zien hoe moeilijk het is voor Amerikaanse autoriteiten om de privacy van consumenten te schenden:

“De implicaties van de eisen van de regering zijn huiveringwekkend. Als de overheid de All Writs Act kan gebruiken om het ontgrendelen van je iPhone gemakkelijker te maken, zou ze de macht hebben om in ieders apparaat te reiken om hun gegevens vast te leggen. De overheid zou deze inbreuk op de privacy kunnen uitbreiden en eisen dat Apple bewakingssoftware bouwt om uw berichten te onderscheppen, toegang te krijgen tot uw gezondheidsdossiers of financiële gegevens, uw locatie te volgen of zelfs zonder uw medeweten toegang te krijgen tot de microfoon of camera van uw telefoon.”Apple-klantbrief

Niet alleen hebben Amerikaanse en Europese bedrijven het vermogen om hun regering substantieel te bestrijden in het belang van de privacy van de consument, maar westerse regeringen hebben ook belangstelling getoond om hetzelfde te reguleren voor hun zakelijke tegenhangers. Dit feit is de afgelopen jaren meermaals naar voren gekomen. Misschien heeft de meest opvallende zaak betrekking op Amerikaanse federale regelgevers die een juridisch offensief opzetten tegen Facebook vanwege de behandeling van klantgegevens in de context van Cambridge Analytica . EU-regelgevers zijn misschien nog agressiever in hun bescherming van consumentengegevens, zoals blijkt uit een rechtszaak tegen Google die resulteert in een$ 57 miljoen boete.

De belangrijke conclusie hier is dat Amerikaanse en Europese bedrijven publiekelijk (en agressief) de overheid kunnen bestrijden en visa versa. In China lijkt dat nog steeds niet het geval te zijn en dat vormt waarschijnlijk een materieel risico voor elk hotel in de VS of Europa dat ervoor kiest Chinese technologie te gebruiken.

In onze steeds meer geglobaliseerde economieën is vreemdelingenhaat gevaarlijk en contraproductief. De argumenten die hier worden aangevoerd zijn verre van dat - dit zijn belangrijke zakelijke overwegingen. China heeft een gevestigd belang bij zijn nieuwe soort gepatrouilleerde internet en ondanks de kritiek van activisten zijn die belangen goed gefundeerd op basis van zijn wens om de binnenlandse veiligheid te handhaven en interne sociale onrust te voorkomen.

Er zijn geen "good guys" en "bad guys" in dit debat, het is slechts een politieke en strategische dans tussen verschillende belangen en culturen. Dat gezegd hebbende, zijn de nationale belangen en wereldbeelden van China in schril contrast met die van de democratische westerse landen in Europa en Noord-Amerika, wat betekent dat particuliere bedrijven die overwegen Chinese technologie over te nemen, de implicaties van dat conflict moeten overwegen. Dus wat zijn de implicaties voor particuliere bedrijven zoals uw hotel?

Zoals ervaren hoteliers weten, beheren zakelijke vergaderplanners van grote klanten zoals Google een hechte groep hotelpartners die gecertificeerd zijn om spraakmakende vergaderingen te organiseren. Deze partners worden streng gecontroleerd op basis van beveiligingsprotocollen. Vaak moeten deze hotels bij het boeken bedrijfscodenamen in het PMS invoeren om de vertrouwelijkheid te behouden en mogelijke risico's te beperken.

Dus als bedrijfsgroepen zoals Google en Amazon veilige vergaderomgevingen in hotels vereisen, is het geen schok dat de Amerikaanse regering hetzelfde eist. De Amerikaanse overheid is een belangrijk bedrijfssegment voor hotels. Gezien de stappen die bedrijven als Google en Amazon hebben genomen om veilige vergaderingen te garanderen, is het geen wonder dat de federale overheid niet wil dat China toegang heeft tot gegevens van overheidsmedewerkers en informatie over overheidsvergaderingen. Bovendien is China in het verleden in verband gebracht met hacking in de hotelindustrie.

In februari 2020 heeft het Amerikaanse ministerie van Justitie vier leden van het Chinese leger formeel aangeklaagd in verband met de Equifax-hack van 2017 die identificerende informatie over miljoenen mensen in de VS lekte. van dezelfde grotere operatie. Dit was een uiterst zeldzame zet – de VS dienen zelden strafrechtelijke aanklachten in tegen buitenlandse inlichtingenofficieren om vergelding tegen Amerikaanse agenten te voorkomen – die onderstreepte hoe serieus de Amerikaanse regering de aanval nam”, schrijft de New York Times .

Bovendien is er bewijs dat China rechtstreeks in verband brengt met de massale Starwood/Marriott-hack: “De cyberaanval op de Marriott-hotelketen waarbij persoonlijke gegevens van ongeveer 500 miljoen gasten werden verzameld, was onderdeel van een Chinese inspanning voor het verzamelen van inlichtingen waarbij ook zorgverzekeraars en de veiligheidsmachtiging werden gehackt. dossiers van nog eens miljoenen Amerikanen, volgens twee mensen die over het onderzoek zijn geïnformeerd.” Beveiligingsexperts wijzen op het feit dat het datalek van Starwood nooit online is vrijgegeven voor verkoop op het dark web. Ze beweren dat als de hackers dit niet voor het geld deden, het zeer waarschijnlijk was dat dit verband hield met een exploit om inlichtingen te verzamelen.

Er zijn veel technische manieren om deze risico's te beperken, zoals penetratietesten, het inhuren van een cyberbeveiligingsauditbureau, het beveiligen van wifi-netwerken en meer. Het allerbelangrijkste dat een hotel kan doen om het cyberrisico te verkleinen, is zorgvuldig te werk te gaan bij de selectie van leveranciers van hoteltechnologie .

Zoals we zagen in het geval van de hack van Starwood, nam Marriott uiteindelijk de verantwoordelijkheid, ondanks dat het niet de verantwoordelijke partij was op het moment van de inbreuk. Hetzelfde geldt voor je hotel. Elke manager en IT-leider moet inzicht hebben in hun technologie-architectuur, kwetsbaarheden en stappen die worden genomen om hun gasten te beschermen. Technologiebedrijven besteden miljoenen dollars aan engineering om deze beveiliging te waarborgen, maar het is aan de hoteltech-kopers om ervoor te zorgen dat ze de juiste vragen stellen en de juiste leveranciers selecteren.

Elke hotelier moet de gegevenssoevereiniteit van hun systemen begrijpen. Het is belangrijk om rekening te houden met de risico's van het opslaan van uw gastgegevens in China of andere regio's van de wereld die kwetsbaar kunnen zijn voor lekkage, hacking of directe inbeslagname door lokale overheden.

Een ander belangrijk facet waarmee u rekening moet houden, is de financiële levensvatbaarheid van uw technologiepartners. Bedrijven die krap bij kas zitten of het moeilijk hebben, zijn vaak niet in staat om op hetzelfde niveau te investeren in cyberbeveiliging en innovatie, wat een risico met zich meebrengt. SaaS staat voor "software als een service" en hoewel u vandaag misschien technologie "koopt", begrijpen de slimste kopers dat ze de toekomst van dat bedrijf kopen, inclusief hun productroutekaart en investeringen in kritieke innovatie om concurrerend te blijven. Vorig jaar was Drury Hotels genoodzaakt om gasten op de hoogte te stellen van een beveiligingsincident dat plaatsvond bij een niet nader genoemde externe technologieserviceprovider met informatie over online boekingssites.

De beste manier om ervoor te zorgen dat uw hotelgroep niet de volgende Drury Hotels wordt, is door uitgebreid onderzoek te doen naar uw leveranciers. Waar bevinden ze zich? Waar worden gegevens opgeslagen? Wie heeft de rechten op die gegevens? Hoeveel hebben ze geïnvesteerd in cyberbeveiliging? Welke stappen en protocollen zijn er om ervoor te zorgen dat de gegevens van uw hotel (met name gevoelige gastgegevens) worden beschermd tegen kwaadaardige cyberaanvallen?