Como os ataques de segurança cibernética acontecem? Você pode já ter visto (e prevenido) uma ou duas das ameaças de segurança cibernética mais comuns no seu hotel. Aqui estão algumas das maneiras mais frequentes pelas quais os criminosos tentam obter os dados seguros do seu hotel:

• Ataques de phishing: Esses ataques começam com um e-mail fraudulento, mensagem de texto ou chamada telefônica que engana um funcionário para compartilhar informações confidenciais. Por exemplo, seu hotel pode receber um e-mail que parece vir de uma OTA, e o e-mail instrui você a clicar em um link para evitar que a listagem do seu hotel seja desativada. Um funcionário que não esteja ciente desse tipo de ataque pode clicar no link e inadvertidamente compartilhar informações financeiras ou dados pessoais com o invasor.

• Ataques de ransomware: Neste ataque, um software malicioso bloqueia seu dispositivo até que um resgate, geralmente uma quantia em dinheiro em criptomoeda, seja pago. Este tipo de ataque pode tornar o software de um hotel inútil – por dias. Em 2023, um ataque de ransomware atingiu o MGM Resorts e deixou seus sistemas offline por 60 horas , o que significou que seu PMS estava inativo, além de não ser capaz de fazer cartões-chave, coletar pagamentos ou gerenciar o estacionamento.

• Violações de dados: Qualquer roubo de informações confidenciais, como dados de cartão de crédito e números de passaporte, é considerado uma violação de dados. Os hotéis são grandes alvos para violações de dados devido à quantidade de dados que eles manipulam. O Marriott foi vítima de uma violação de dados massiva em 2018, na qual as informações pessoais de mais de 500 milhões de hóspedes foram expostas.

• Ameaças internas: Embora muitos ataques cibernéticos se originem fora das organizações que são atacadas, não é incomum que ocorra um trabalho interno. Quando os funcionários têm amplo acesso a informações de hóspedes, dados financeiros e senhas, é possível que ocorra roubo de dados ou vazamento de segurança. Manter o controle de acesso adequado aos sistemas e conduzir treinamento regular dos funcionários sobre protocolos de segurança ajudará a minimizar o risco de uma ameaça interna.

Como mencionamos acima, ataques de segurança cibernética acontecem em hotéis, e com frequência lamentável. Você pode ter ouvido falar sobre dois grandes incidentes de segurança cibernética que viraram manchetes nos últimos anos: a violação de dados do Marriott e o ataque de ransomware no MGM.

Entre 2014 e 2018, o Marriott foi atingido por um ataque de segurança cibernética que expôs informações pessoais de até 500 milhões de hóspedes anteriores. Os hackers conseguiram dados como endereços, endereços de e-mail, números de telefone e até números de passaporte e números de cartão de crédito. Como isso aconteceu? O Marriott diz que os dados estavam protegidos, mas não criptografados, então, assim que os hackers invadiram o sistema de reservas do Marriott, eles puderam facilmente roubar os dados. O Marriott foi multado em quase US$ 24 milhões em penalidades, e o incidente entrou para a história como uma das maiores violações de dados de todos os tempos.

Um tipo diferente de ataque de segurança cibernética atingiu a MGM em setembro de 2023: um ataque de ransomware fez com que os sistemas de atendimento ao hóspede e de back-office caíssem por alguns dias, causando uma perda de receita estimada em US$ 100 milhões. Os hóspedes relataram problemas com os cartões-chave, máquinas caça-níqueis, caixas eletrônicos, sistemas de estacionamento e muito mais da MGM — e o incidente estava em todos os noticiários. Não está claro se a MGM pagou um resgate aos invasores, mas a Caesars foi atingida por um ataque semelhante logo antes da MGM, e a Caesars pagou cerca de US$ 15 milhões em resgate aos hackers em um acordo de que eles não divulgariam os dados roubados.

Nenhum hotel quer ser vítima de um ataque de segurança cibernética, então como você pode evitar que um incidente ocorra? A boa notícia é que existem algumas práticas recomendadas simples – algumas das quais você pode implementar hoje – para manter seus dados seguros e evitar se tornar um alvo:

• Implemente controles de acesso fortes: Em qualquer sistema que armazene informações confidenciais, você deve configurar o acesso baseado em função para que apenas funcionários que realmente precisam de visibilidade desses dados possam acessá-los. Não há razão para que cada funcionário deva ser um administrador em cada sistema. Além disso, torne a autenticação multifator um padrão para adicionar uma camada extra de segurança.

• Realize sessões regulares de treinamento para funcionários: Em muitos casos, um funcionário clica por engano em um e-mail fraudulento porque não sabia como identificar uma tentativa de phishing. Certifique-se de que seus funcionários possam reconhecer tentativas de phishing e outras ameaças cibernéticas e use essas sessões de treinamento para mantê-los atualizados sobre os protocolos de segurança cibernética mais recentes em seu hotel.

• Redes WiFi seguras para hóspedes: para manter os dados confidenciais do seu hotel seguros, você deve ter duas redes WiFi separadas no local: uma para hóspedes e outra para uso interno. A rede interna deve ser protegida por senha e fora dos limites para qualquer pessoa que não faça parte da sua organização.

• Criptografe seus dados: Evite acabar como o Marriott, em uma situação em que seus dados correm o risco de serem roubados porque não estão criptografados. Não importa se você está enviando ou recebendo dados confidenciais, ou simplesmente armazenando-os, seus sistemas de pagamento e banco de dados de reservas devem ser totalmente criptografados.

• Realize auditorias de segurança regulares: trabalhe com um fornecedor terceirizado de segurança cibernética para avaliar seus riscos de segurança e fazer a penetração em intervalos regulares

• Estabeleça um plano de resposta a incidentes: Embora nunca seja divertido pensar no pior cenário, é uma boa ideia formular um plano de como você e sua equipe lidariam com uma violação de segurança cibernética. Pense em como você responderia rapidamente para minimizar o impacto e manter seu hotel operando durante o incidente.

Quais ferramentas e tecnologias ajudarão você a manter seus dados seguros? No mínimo, seus dispositivos locais devem ter firewalls e software antivírus instalados para evitar malware perigoso. Os sistemas de detecção de intrusão também podem alertá-lo se um arquivo malicioso for baixado ou se um usuário não autorizado obtiver acesso a um dispositivo. Ao enviar ou coletar dados de hóspedes, também é uma ideia inteligente usar um sistema de tokenização para criptografar os dados, eliminando a possibilidade de uma violação de dados durante o trânsito.

Dito isso, tecnologias emergentes como ferramentas de segurança cibernética orientadas por IA e blockchain visam adicionar um nível maior de segurança a muitos tipos de transações. Elas podem eliminar a necessidade de senhas e outras chaves de acesso potencialmente vulneráveis.

Considerando que os hotéis lidam com muitos dados sensíveis dos hóspedes, de endereços de e-mail a números de passaporte, é crucial não apenas proteger esses dados, mas também permanecer em conformidade com as regulamentações locais. Algumas regulamentações são especialmente relevantes para o setor hoteleiro:

• GDPR: O Regulamento Geral de Proteção de Dados é um regulamento da União Europeia que define padrões sobre o que as empresas podem e não podem fazer com dados pessoais. Você pode ter notado sites adicionando pop-ups solicitando seu consentimento para armazenar cookies; esse consentimento foi um resultado do GDPR implementado recentemente. As empresas que têm sites que atendem usuários europeus devem cumprir o GDPR ou correr o risco de ação legal.

• CCPA: Modelado com base no GDPR, o California Consumer Privacy Act é um estatuto estadual que garante que os usuários saibam quais dados estão sendo coletados sobre eles, como são usados, onde são armazenados e como excluí-los.

• PCI DSS: Relacionado especificamente aos dados de cartão de crédito, os Padrões de Segurança de Dados do Setor de Cartões de Pagamento descrevem os padrões que as empresas devem seguir ao coletar informações de pagamento e armazená-las, além de uma verificação anual de que estão cumprindo as práticas de segurança recomendadas.

Permanecer em conformidade com essas regulamentações manterá seus dados confidenciais seguros e evitará o risco de penalidades legais.

Agora você sabe como manter os dados e a infraestrutura digital do seu hotel seguros hoje, mas o que você pode esperar com o surgimento de novas tecnologias? Alguns avanços tecnológicos certamente exigirão muita atenção aos riscos de segurança e proteção de dados.

À medida que os hotéis usam mais dispositivos de IoT (Internet das Coisas), como fechaduras inteligentes e alto-falantes inteligentes, haverá mais dispositivos a serem mantidos seguros, tornando ainda mais importante ter redes Wi-Fi seguras e controles de acesso apropriados.

E o aumento de medidas de segurança biométricas, como reconhecimento facial e escaneamento de impressão digital, levará a informações de identificação pessoal ainda mais sensíveis que devem ser transmitidas e armazenadas com segurança. No entanto, a biometria pode ajudar você a controlar melhor o acesso aos seus sistemas ou espaços físicos; uma senha pode ser facilmente compartilhada, mas uma impressão digital não.

A mudança para experiências digitais para hóspedes também leva a mais complexidade quando se trata de prevenir riscos de segurança cibernética. A entrada sem chave nos quartos de hóspedes, por exemplo, tem muitas vantagens, mas também abre o risco de um hacker obter entrada não autorizada em um quarto de hóspedes. Da mesma forma, o check-in móvel é mais rápido e mais conveniente do que ficar na fila da recepção, mas significa que os hotéis devem estar mais atentos para manter os dados dos hóspedes seguros em muitos dispositivos e sistemas.