Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

7 min de leitura

Como prevenir ataques de malware e promover a segurança cibernética em seu hotel

Avatar

Jordan Hollander dentro Operações

Ultima atualização Janeiro 26, 2022

Descrição da imagem

Você tem US$ 1,6 milhão sobrando por aí? Essa é a quantidade média que os especialistas em segurança agora estimam que uma empresa precisa para se recuperar de um ataque cibernético contendo malware.

Os hotéis são alvos fáceis para hackers. A segurança cibernética não é algo em que muitos hotéis se sintam confiantes. "No ano passado, os dois maiores relatórios globais sobre violações de dados, o Relatório de Segurança Global da Trustwave e o Relatório de Investigação de Violação de Dados da Verizon, mostram que a hospitalidade continua lutando nessa área. alojamento, alimentação e alojamento representaram quase 54% do seu número de casos”, diz Bob Russo , GM do PCI Security Standards Council.”

Cada vez que os registros de hóspedes de um hotel são violados, a propriedade fica sobrecarregada com problemas financeiros e enfrenta uma quebra de confiança com os hóspedes. Como hoteleiro, você não precisa ser um especialista em segurança cibernética, mas precisa entender o básico para proteger sua empresa e seus hóspedes. Aqui estão algumas maneiras de lidar com a segurança cibernética em seu hotel e minimizar seu risco o máximo possível.

Por que os hotéis são alvos atraentes para hackers

Os hotéis são alvos fáceis – e lucrativos – para hackers. Os hotéis são alvos atraentes por dois motivos: primeiro, a segurança cibernética em muitas propriedades é frouxa. “Apenas cerca de 25% de todas as empresas dos EUA, incluindo operadoras de hotéis, estão totalmente em conformidade com as melhores práticas atuais de segurança de dados. Isso significa que três em cada quatro não são e são desastres potenciais esperando para acontecer”, diz Russo.

Em segundo lugar, os hotéis processam muitas transações e armazenam toneladas de dados dos hóspedes. Um hacker pode atacar simultaneamente o ponto de venda e o sistema de gerenciamento de propriedade de uma propriedade para capturar informações de cartão de pagamento, bem como dados pessoais, como números de passaporte e endereços de e-mail. O malware pode se mover entre os sistemas POS e PMS em diferentes propriedades sob a mesma marca, afetando hóspedes em locais ao redor do mundo sem que ninguém perceba. Da mesma forma, existem muitos pontos de acesso que um hacker pode atingir em uma única propriedade. “Em fevereiro, foi relatado que das 21 violações de dados de empresas hoteleiras mais importantes que ocorreram desde 2010, 20 delas foram resultado de malware que afeta sistemas POS em um restaurante, bar e loja de varejo de hotel”, dizMark Voortman , Ph.D., chefe do programa de tecnologia da informação na Rowland School of Business, com sede em Pittsburgh.

Um pequeno hotel de 100 quartos com um restaurante de 50 lugares ainda processa centenas de pagamentos únicos todos os dias. Esses pagamentos exclusivos são virtualmente indefesos; poucos hotéis têm os protocolos de segurança, infraestrutura e treinamento necessários para garantir que as partes interessadas sejam dissuadidas de roubar informações dos hóspedes.

O que é malware? Conceitos-chave de segurança cibernética definidos

Entender os principais conceitos de segurança cibernética é metade da batalha. Aqui estão alguns termos comuns que você encontrará ao melhorar a segurança em seu hotel:

  • Phishing: o phishing ocorre quando os golpistas enviam um e-mail, mensagem de texto ou até mesmo ligam para tentar enganá-lo a revelar informações pessoais que podem ser usadas para acessar seus dados bancários ou cartões de crédito. Um e-mail de phishing pode parecer uma mensagem do seu banco avisando que ele encerrará sua conta, a menos que você verifique suas informações pessoais.

  • Criptografia: A criptografia é um procedimento de segurança que envolve embaralhar os dados para que apenas as partes autorizadas a lê-los possam entender as informações. O processo pega dados legíveis e os altera para que pareçam aleatórios. A parte que recebe as informações criptografadas precisa de uma chave para desembaralhar os dados e transformá-los em texto simples legível.

  • VPN: VPN significa “ rede privada virtual ”. Uma VPN mascarará seu endereço IP e manterá sua atividade na Internet praticamente indetectável. É uma ótima ferramenta para garantir que sua conexão com a Internet seja segura e privada.

  • Malware: malware é uma abreviação de “software malicioso”. O malware é projetado para obter acesso ao seu computador; spyware, ransomware, vírus e cavalos de Tróia são tipos diferentes de malware.

  • Teste de penetração : o teste de penetração é um procedimento em que um especialista em segurança cibernética tenta identificar pontos fracos em um sistema de computador. O especialista simula um ataque de malware ou hacking para encontrar quaisquer vulnerabilidades das quais os criminosos possam se aproveitar.

  • APT (Advanced Persistent Threat) : um APT é o pior tipo de ataque, no qual um mau ator usa “ técnicas de hacking contínuas, clandestinas e sofisticadas para obter acesso a um sistema e permanecer dentro por um período prolongado de tempo, com consequências."

  • Antivírus: um programa projetado para detectar e destruir vírus de computador em um sistema operacional

  • Antimalware:Semelhante ao software antivírus, mas onde o antivírus se concentra em ameaças mais antigas/conhecidas, o antimalware normalmente se concentra em ameaças desconhecidas mais recentes. A proteção contra malware se concentra na identificação de ameaças desconhecidas antes que elas se transformem em vírus maduros. A remoção de malware geralmente é mais difícil do que o antivírus, pois há mais incógnitas.

  • Rootkit: Um rootkit é um programa de computador clandestino projetado por cibercriminosos para fornecer acesso privilegiado contínuo a um computador enquanto oculta ativamente sua presença.

  • Keylogger: Um keylogger, às vezes chamado de keystroke logger ou monitor do sistema, é um tipo de tecnologia de vigilância usada para monitorar e registrar cada pressionamento de tecla digitado no teclado de um computador específico. O software Keylogger também está disponível para uso em dispositivos móveis, como os dispositivos iPhone e Android da Apple. Os keyloggers são um software legítimo que pode ser usado para o bem, mas geralmente são usados como uma farsa para roubar informações confidenciais, como números de cartão de crédito e senhas.

  • Botnet: uma rede de computadores privados infectados contendo código malicioso e controlados como um grupo sem o conhecimento dos proprietários, por exemplo, para enviar mensagens de spam.

Usar uma VPN e criptografia, bem como realizar testes de penetração regulares, pode manter sua rede segura contra malware e APTs. Você também deve garantir que a equipe de TI do seu hotel verifique regularmente os computadores da propriedade em busca de registradores de teclas e que sua equipe não abra anexos de e-mail estranhos. Esses são os protocolos de segurança mínimos que você deve praticar regularmente para evitar desastres como esses hacks de alto perfil na indústria hoteleira.

Ataques de malware de alto perfil no setor hoteleiro

Uma pesquisa da Symantec , uma empresa de segurança cibernética, descobriu que mais de 65% dos hotéis vazam rotineiramente códigos de referência de reserva por meio de sites de terceiros. Por que isso é importante? Porque as informações compartilhadas por meio desses códigos permitiriam que um agente mal-intencionado faça login em uma reserva, visualize detalhes pessoais e até mesmo cancele uma reserva. Quando isso acontece, as informações do seu hóspede ficam vulneráveis e você corre o risco de destruir o relacionamento com o hóspede.

A pesquisa da Symantec mostrou que hotéis de todos os tamanhos estão em risco. Grandes hacks ocorreram no HEI Hotels & Resort, Starwood/Marriott e muito mais. Aqui estão apenas alguns eventos de alto nível:

IES Hotéis e Resorts

Em 2016, uma violação de dados afetou 20 hotéis dos EUA operados pela HEI Hotels & Resorts . O ataque expôs os dados do cartão de pagamento de dezenas de milhares de transações de alimentos e bebidas. Malware foi descoberto nos sistemas de pagamento dos hotéis usados para processar informações de cartão em restaurantes, bares, spas, lojas de lobby e outras instalações no local. Especialistas determinaram que os hackers provavelmente param nomes de clientes, números de contas, datas de validade de cartões e códigos de verificação.

Starwood/Marriott

Em janeiro de 2019,A Starwood/Marriott descobriu que uma violação de dados expôs as informações pessoais dos hóspedes que ficaram em suas propriedades desde 2014. Os dados dos hóspedes foram roubados para cerca de 500 milhões de pessoas – incluindo números de passaporte criptografados e números de cartão de crédito ou débito. O New York Times informou que os hackers podem estar trabalhando com o Ministério do Tesouro do Estado da China, já que um ataque dessa escala é notável.

Omni Hotéis e Resorts

A Omni também foi atacada em 2016 em uma violação de malware que afetou 50.000 clientes. Informações de cartão de débito e crédito de 49 dos 60 locais da rede foram roubadas: incluindo números de cartão de crédito e débito, nomes de titulares de cartão, códigos de segurança e datas de validade.

Hyatt

Em 41 dos hotéis do Hyatt, os hackers obtiveram acesso não autorizado às informações do cartão de pagamento no segundo ataque desde 2015. Sobre o segundo ataque, um especialista em segurança observou: “É possível que as medidas tomadas pelo grupo Hyatt em dezembro de 2015 ainda estejam sendo implantadas em todo o a organização, especialmente se esses sistemas estiverem dispersos ao redor do globo e não estiverem conectados por uma rede comum. Ao escolher seu conjunto de ferramentas de gerenciamento de sistemas , você precisa implementar a solução que é protegida usando certificados de 2048 bits e autenticação de dois fatores, mas também funciona independentemente de onde os terminais estão localizados.”

Sabre

O Sabre processa reservas para cerca de 100.000 hotéis e mais de 70 companhias aéreas em todo o mundo. A empresa foialvo em 2017 por agentes mal-intencionados que roubaram credenciais do sistema SynXis Central Reservations da Sabre Hospitality Solutions. Essas credenciais forneceram acesso aos dados do cliente, incluindo informações do cartão de pagamento e detalhes da reserva – nomes dos clientes, endereços de e-mail, números de telefone e endereços.

Esses ataques de alto perfil ganham as manchetes, mas há centenas de ataques menores que acontecem em hotéis todos os meses. Mesmo recentemente, um hack massivo, como o de Fontainbleu em Miami, passou despercebido pela grande mídia. Fontes relataram que Fontainbleu enfrentou um ataque de ransomware ao seu sistema de cartão de crédito, forçando o hotel a comprometer os dados dos hóspedes, continuando a aceitar pagamentos com cartão ou pedindo aos hóspedes que pagassem em dinheiro. Os hóspedes esperaram até cinco horas pelos quartos enquanto a recepção tentava mitigar a situação – uma cena que uma pessoa descreveu como “caos .” “A fila estava na porta do saguão”, disse um executivo à Variety Magazine . Para um hotel cinco estrelas como o Fontainebleau, um incidente como esse é absolutamente destruidor de marca.

Como proteger seus ataques de malware de hotel e ameaças cibernéticas

Qual é a melhor maneira de garantir que seus dados permaneçam seguros e que nenhum hóspede fique preso? Em primeiro lugar, tome cuidado extra ao selecionar um sistema de ponto de venda e processador de cartão de crédito. “Os acordos com essas entidades devem ser examinados e, se possível, modificados para adicionar proteção e padrões mínimos de manuseio de dados para o fornecedor externo. A conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) não apenas ajuda a garantir que o software, hardware e práticas de segurança de dados sejam mais seguros, mas também ajuda a proteger contra multas e penalidades quando ocorre uma violação”, escreve.um especialista .

Um provedor de nível empresarial, como o Oracle Hospitality, pode proteger o link vulnerável entre seu PMS e POS. O Oracle OPERA é um sistema de gerenciamento de propriedades baseado em nuvem que se integra ao sistema de ponto de venda da Micros, bem como a um conjunto de outros aplicativos. A Oracle oferece protocolos de segurança sofisticados, como o Cloud Security Monitoring Analytics para monitorar a plataforma no local e na nuvem. As ferramentas Oracle também incluem:

  • Cloud Compliance Control (OMC CC) para verificar as configurações em relação aos requisitos da empresa ou regulamentos externos;

  • Cloud Access Security Broker (Oracle CASB) para descobrir shadow IT na nuvem e monitorar os requisitos corporativos em relação ao uso e configuração de Oracle e serviços de nuvem de terceiros, como AWS, Salesforce, Azure, Box etc.;

  • Identity Cloud Service (Oracle IDCS) para fornecer um sistema de gerenciamento e autenticação de usuários para serviços locais ou em nuvem.

Esses protocolos de segurança monitoram o que está acontecendo em sua rede interna, bem como quaisquer ataques externos. Trabalhar com a Oracle oferecesegurança multicamadas , proteção de dados, transações seguras e conformidade com padrões de pagamento e privacidade de dados. Mas, como evidenciado no ataque ao Sabre, às vezes nem mesmo essas medidas são suficientes. Com as credenciais certas, qualquer pessoa pode passar pelo seu sistema de segurança.

A tecnologia certa é apenas metade da equação; ao longo dos anos, especialistas em segurança também identificaram funcionários como parte do problema. Os hotéis devem treinar sua equipe para lidar com a segurança das informações pessoais, cumprir as políticas de privacidade e alterar as credenciais de acesso dos usuários regularmente. Esta indústria tem alta rotatividade, o que é parte do motivo pelo qual os funcionários nem sempre mantêm os padrões de segurança. Sua propriedade deve hospedar regularmente seminários de segurança para garantir que todos os novos funcionários sejam treinados e os veteranos fiquem atualizados com as ameaças mais recentes.

Mesmo com um ótimo sistema PMS/POS e o treinamento certo, é importante realizar testes de penetração de rotina e avaliações de risco. Não há uma resposta direta sobre a frequência com que você deve testar sua rede, mas os especialistas alertam que uma vez por ano provavelmente não é suficiente. Além de treinar sua equipe, manter seu software de segurança atualizado e investir em uma plataforma como o Oracle OPERA, que investe em segurança cibernética, você pode incentivar seus hóspedes a usar uma VPN e a sair do WiFi quando não estiver usando.

Você também pode gostar
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage Marketing Anúncios de hotéis no ChatGPT: Eles chegaram e as OTAs já têm vantagem por serem pioneiras.

há 1 mês

The Best Hotel Tech Apps of 2026 Experiência do hóspede Os melhores aplicativos de tecnologia para hotéis em 2026

há 4 meses

The 10 Best Places to Work in Hotel Tech 2026 Operações Os 10 melhores lugares para trabalhar em tecnologia hoteleira em 2026

há 4 meses

HITEC Indianapolis 2025 Innovation Report Experiência do hóspede Relatório de Inovação HITEC Indianápolis 2025

há 11 meses

Obtenha recomendações personalizadas de produtos

Consultor de recomendações de produtos

Ghostel icon

Vamos pesquisar as informações do seu hotel