Hoe vinden cyberaanvallen plaats? U hebt misschien al een of twee van de meest voorkomende cyberbeveiligingsbedreigingen in uw hotel gezien (en voorkomen). Dit zijn enkele van de meest voorkomende manieren waarop criminelen proberen toegang te krijgen tot de beveiligde gegevens van uw hotel:

• Phishingaanvallen: Deze aanvallen beginnen met een frauduleuze e-mail, sms of telefoontje waarmee een werknemer wordt misleid om gevoelige informatie te delen. Uw hotel kan bijvoorbeeld een e-mail ontvangen die eruitziet alsof deze afkomstig is van een OTA, en de e-mail instrueert u om op een link te klikken om te voorkomen dat de vermelding van uw hotel wordt gedeactiveerd. Een werknemer die niet op de hoogte is van dit type aanval, kan op de link klikken en onbedoeld financiële informatie of persoonlijke gegevens delen met de aanvaller.

• Ransomware-aanvallen: Bij deze aanval blokkeert een kwaadaardig stukje software uw apparaat totdat er losgeld is betaald, meestal een bedrag in cryptocurrency. Dit soort aanvallen kan software in een hotel onbruikbaar maken – dagenlang. In 2023 werd MGM Resorts getroffen door een ransomware-aanval, waardoor hun systemen 60 uur lang offline waren, wat betekende dat hun PMS down was en dat ze geen keycards konden maken, betalingen konden innen of parkeren konden beheren.

• Datalekken: Elke diefstal van gevoelige informatie, zoals creditcardgegevens en paspoortnummers, wordt beschouwd als een datalek. Hotels zijn grote doelwitten voor datalekken vanwege de hoeveelheid van deze gegevens die ze verwerken. Marriott was het slachtoffer van een enorm datalek in 2018 waarbij de persoonlijke informatie van meer dan 500 miljoen gasten werd blootgesteld.

• Insider threats: Hoewel veel cyberaanvallen van buiten de aangevallen organisaties komen, is het niet ongewoon dat er een inside job plaatsvindt. Wanneer werknemers brede toegang hebben tot gastinformatie, financiële gegevens en wachtwoorden, is het mogelijk dat er gegevens worden gestolen of dat er een beveiligingslek optreedt. Het handhaven van de juiste toegangscontrole tot systemen en het regelmatig trainen van werknemers in beveiligingsprotocollen, helpt het risico op een insider threat te minimaliseren.

Zoals we hierboven al aangaven, vinden cybersecurity-aanvallen plaats bij hotels, en met ongelukkige frequentie. U hebt misschien gehoord over twee grote cybersecurity-incidenten die de afgelopen jaren in het nieuws zijn geweest: de datalek bij Marriott en de ransomware-aanval bij MGM.

Tussen 2014 en 2018 werd Marriott getroffen door een cyberaanval waarbij persoonlijke informatie van maar liefst 500 miljoen eerdere gasten werd blootgelegd. De hackers kregen hun handen op gegevens zoals adressen, e-mailadressen, telefoonnummers en zelfs paspoortnummers en creditcardnummers. Hoe is dit gebeurd? Marriott zegt dat de gegevens waren beschermd, maar niet versleuteld, dus zodra de hackers het reserveringssysteem van Marriott hadden gehackt, konden ze de gegevens gemakkelijk stelen. Marriott kreeg een boete van bijna $ 24 miljoen aan boetes en het incident is de geschiedenis ingegaan als een van de grootste datalekken ooit.

Een ander type cyberaanval trof MGM in september 2023: een ransomware-aanval zorgde ervoor dat gastgerichte en backofficesystemen een paar dagen plat lagen, wat leidde tot een geschat omzetverlies van $ 100 miljoen. Gasten meldden problemen met de keycards, gokautomaten, geldautomaten, parkeersystemen en meer van MGM - en het incident was overal in het nieuws. Het is niet duidelijk of MGM losgeld betaalde aan de aanvallers, maar Caesars werd getroffen door een soortgelijke aanval vlak voordat MGM dat werd, en Caesars betaalde ongeveer $ 15 miljoen aan losgeld aan de hackers in een overeenkomst dat ze de gestolen gegevens niet zouden vrijgeven.

Geen enkel hotel wil het slachtoffer worden van een cyberaanval, dus hoe kunt u voorkomen dat er een incident plaatsvindt? Het goede nieuws is dat er een paar eenvoudige best practices zijn – waarvan u er een aantal vandaag nog kunt implementeren – om uw gegevens veilig te houden en te voorkomen dat u doelwit wordt:

• Implementeer sterke toegangscontroles: in elk systeem dat gevoelige informatie bevat, moet u op rollen gebaseerde toegang configureren, zodat alleen werknemers die echt inzicht in deze gegevens nodig hebben, er toegang toe hebben. Er is geen reden waarom elke werknemer een beheerder in elk systeem zou moeten zijn. Maak daarnaast multi-factor authenticatie een standaard om een ​​extra beveiligingslaag toe te voegen.

• Houd regelmatig trainingssessies voor werknemers: In veel gevallen klikt een werknemer per ongeluk op een frauduleuze e-mail omdat hij/zij niet weet hoe hij/zij een phishingpoging kan herkennen. Zorg ervoor dat uw werknemers phishingpogingen en andere cyberbedreigingen kunnen herkennen en gebruik deze trainingssessies om ze op de hoogte te houden van de nieuwste cybersecurityprotocollen in uw hotel.

• Veilige gast-wifi-netwerken: om de gevoelige gegevens van uw hotel veilig te houden, moet u twee afzonderlijke wifi-netwerken op locatie hebben: één voor gasten en één voor intern gebruik. Het interne netwerk moet met een wachtwoord worden beveiligd en verboden terrein zijn voor iedereen die geen deel uitmaakt van uw organisatie.

• Versleutel uw gegevens: Voorkom dat u in een situatie terechtkomt zoals Marriott, waarin uw gegevens het risico lopen te worden gestolen omdat ze niet zijn versleuteld. Of u nu gevoelige gegevens verzendt of ontvangt, of ze gewoon opslaat, uw betalingssystemen en reserveringsdatabase moeten volledig worden versleuteld.

• Voer regelmatig beveiligingsaudits uit: werk samen met een externe leverancier van cyberbeveiliging om uw beveiligingsrisico's te beoordelen en voer regelmatig penetratietests uit

• Stel een incidentresponsplan op: Hoewel het nooit leuk is om na te denken over het ergste scenario, is het een goed idee om een ​​plan te formuleren voor hoe u en uw team een ​​cybersecurity-inbreuk zouden aanpakken. Denk na over hoe u snel zou reageren om de impact te minimaliseren en uw hotel tijdens het incident operationeel te houden.

Welke tools en technologieën helpen u om uw gegevens veilig te houden? Uw on-premise apparaten moeten minimaal firewalls en antivirussoftware hebben geïnstalleerd om gevaarlijke malware te voorkomen. Intrusion detection-systemen kunnen u ook waarschuwen als een schadelijk bestand wordt gedownload of als een onbevoegde gebruiker toegang krijgt tot een apparaat. Wanneer u gastgegevens verzendt of verzamelt, is het ook een slim idee om een ​​tokenisatiesysteem te gebruiken om de gegevens te versleutelen, waardoor de mogelijkheid van een datalek tijdens de overdracht wordt geëlimineerd.

Dat gezegd hebbende, opkomende technologieën zoals AI-gestuurde cybersecuritytools en blockchain zijn erop gericht om een ​​hoger beveiligingsniveau toe te voegen aan veel soorten transacties. Deze kunnen de noodzaak voor wachtwoorden en andere potentieel kwetsbare toegangssleutels elimineren.

Aangezien hotels veel gevoelige gastgegevens verwerken, van e-mailadressen tot paspoortnummers, is het cruciaal om niet alleen deze gegevens te beschermen, maar ook te voldoen aan de lokale regelgeving. Een paar regelgevingen zijn met name relevant voor de hotelindustrie:

• AVG: De Algemene Verordening Gegevensbescherming is een verordening van de Europese Unie die normen stelt aan wat bedrijven wel en niet mogen doen met persoonlijke gegevens. U hebt misschien websites gezien die pop-ups toevoegen die om uw toestemming vragen om cookies op te slaan; deze toestemming was een resultaat van de onlangs geïmplementeerde AVG. Bedrijven met websites die Europese gebruikers bedienen, moeten voldoen aan de AVG of riskeren juridische stappen.

• CCPA: De California Consumer Privacy Act is gebaseerd op de AVG en is een staatswet die garandeert dat gebruikers weten welke gegevens er over hen worden verzameld, hoe deze worden gebruikt, waar deze worden opgeslagen en hoe deze kunnen worden verwijderd.

• PCI DSS: Specifiek met betrekking tot creditcardgegevens schetst de Payment Card Industry Data Security Standards de normen die bedrijven moeten volgen bij het verzamelen en opslaan van betalingsgegevens. Daarnaast wordt jaarlijks gecontroleerd of ze zich aan de aanbevolen beveiligingspraktijken houden.

Als u zich aan deze regels houdt, blijven uw gevoelige gegevens veilig en loopt u geen risico op juridische sancties.

Nu weet u hoe u de data en digitale infrastructuur van uw hotel veilig kunt houden, maar wat kunt u verwachten met de opkomst van nieuwe technologieën? Een paar technologische ontwikkelingen vereisen ongetwijfeld veel aandacht voor beveiligingsrisico's en gegevensbescherming.

Omdat hotels steeds meer IoT-apparaten (Internet of Things) gebruiken, zoals slimme sloten en slimme speakers, zijn er ook meer apparaten die beveiligd moeten worden. Het wordt dan ook steeds belangrijker om te beschikken over beveiligde wifi-netwerken en passende toegangscontroles.

En de opkomst van biometrische beveiligingsmaatregelen, zoals gezichtsherkenning en vingerafdrukscans, zal leiden tot nog gevoeligere persoonlijke identificatiegegevens die veilig moeten worden verzonden en opgeslagen. Biometrie kan u echter helpen de toegang tot uw systemen of fysieke ruimtes beter te controleren; een wachtwoord kan eenvoudig worden gedeeld, maar een vingerafdruk niet.

De verschuiving naar digitale gastervaringen leidt ook tot meer complexiteit als het gaat om het voorkomen van cybersecurityrisico's. Sleutelloze toegang tot gastenkamers heeft bijvoorbeeld veel voordelen, maar het brengt ook het risico met zich mee dat een hacker ongeautoriseerd toegang krijgt tot een gastenkamer. Op dezelfde manier is mobiel inchecken sneller en handiger dan in de rij staan ​​bij de receptie, maar het betekent wel dat hotels meer aandacht moeten besteden aan het veilig houden van gastgegevens op veel apparaten en systemen.