Cyberataki na hotele mogą przyczynić się do ich bankructwa? Kary nawet do 94 mln zł

SHARE

Cyberataki na hotele stają się coraz częstszą przyczyną dużych strat finansowych. Mówią o tym liczby. W 2020 roku zapadł wyrok wydany przez Brytyjskiego regulatora ochrony danych osobowych ws. wycieku 339 mln kont z hotelu Marriott. Sieć musiała zapłacić aż 18,4 mln funtów (94 mln zł) kary. Prawdopodobnie będzie tylko gorzej, a Polska jest na celowniku grup cyberprzestępczych. 

 


Oczywiście o atakach hakerskich słyszał każdy czy to w postaci wirusa, trojana, czy innych nieprzyjemności, związanych np. z otwarciem podejrzanego maila lub kliknięciem w zły link. Jednak pandemia doprowadziła do prawdziwej plagi cyberprzestępczości. Do tej pory, w Polsce już 70% organizacji odnotowało co najmniej jeden przypadek związany z zagrożeniem bezpieczeństwa przechowywanych informacji. A to dopiero początek.  

 

W 2020 roku średni koszt wycieku danych wynosił 3,86 mln dolarów, a w 2021 roku wspomniana suma może być jeszcze wyższa. Natomiast, wedle prognoz, w 2025 roku koszt ten może sięgnąć aż 10.5 tryliona dolarów rocznie! Jedną z branż, która najbardziej ucierpi będzie hotelarstwo. Chcesz wiedzieć dokładnie, dlaczego? Pobierz naszego ebooka 

ebookKliknij i pobierz ebook

 

Już w tym momencie jest to sektor, który znajduje się w top 5 pod względem częstotliwości cyberataków. Następstwem tych ostatnich może być zarówno utrata reputacji, ściśle przekładająca się na zmniejszenie przychodów, kary pieniężne, odszkodowania a nawet okup, który nierzadko sięga kwoty kilkudziesięciu milionów dolarów.   

 

Należy też pamiętać, że za bezpieczeństwo firmy odpowiada jej zarząd lub osoby ściśle pod niego podlegające. Oznacza to, że w razie incydentu odpowiedzialność wykracza znacznie poza firmę, jej reputację i straty pieniężne.  

 

Jak więc widzimy, zarządzanie cyberbezpieczeństwem hotelu stanowi obecnie sprawę kluczową. Wszystko dlatego, że hotelarstwo jest branżą, którą bardzo łatwo zaatakować. Dlaczego? Powodów można wymienić kilka... 

 

5-3

 

Cyberataki na hotele - pod ostrzałem hakerów  

 

Jeżeli jesteś właścicielem lub managerem hotelu, pewnie zastanawia Cię dlaczego akurat wymieniona wyżej branża posiada tak wysokie ryzyko padnięcia ofiarą grup cyberprzestępczych. Odpowiedź na to pytanie nie jest jednoznaczna.  

 

Po pierwsze, cyberataki na hotele są bardzo częste ze względu na ogromne znaczenie danych osobowych, obecnie bardzo często przekazywanych przez internet za pomocą aplikacji do bookowania.  

 

Hotele zbierają i przechowują znacznie więcej rekordów o każdym z gości niż tylko ich imiona i nazwiska oraz dane karty kredytowej. Tak szczegółowe personalia są bezcenne dla planowania konkurencyjnej działalności biznesowej. Cyberprzestępcy doskonale zdają sobie z tego sprawę, stąd najczęstszy kierunek ich działań stanowi obecnie spowodowanie niedostępności owych informacji (np. w wyniku zaszyfrowania), by następnie żądać okupu za możliwość ich odzyskania.  

 

Po drugie, chociaż firmy hotelarskie mają mniej transakcji niż handel detaliczny – co oznacza że danych osobowych też jest mniej – zbierają znacznie bardziej wartościowe i zróżnicowane informacje na temat swoich gości.  

 

Hotele — zwłaszcza te z wyższej półki — gromadzą istotne dane, aby zapewnić bardziej spersonalizowaną obsługę. Ponadto często współpracują z innymi firmami, które mogą obsługiwać ich gości (od restauracji po lokalną rozrywkę), co daje jeszcze bardziej rozbudowane profile dotyczące każdej osoby w ich bazie danych. 

 

Po trzecie, niestety branża hotelarska często pada ofiarą ataków, bo jest ona także stosunkowa łatwa do zhakowania. Paradoksalnie wpłynęło na to polepszenie customer experience i digitalizacja.  

 

Hotele przekształciły się w złożone, szeroko połączone środowiska cyfrowe. Firmy z branży konkurują o zapewnienie klientom jak najbardziej innowacyjnego doświadczenia. Niemal każdy hotel oferuje teraz swoim gościom dedykowane aplikacje mobilne oraz nowe cyfrowe partnerstwa ze sponsorami, biurami podróży czy organizacjami z sektora rozrywkowego. 

 

Jednak jeszcze zanim hotele zaczęły próbować doskonalić się w cyfrowych innowacjach, podstawowa funkcjonalność i struktura większości firm hotelarskich czyni je szczególnie podatnymi na cyberataki, ponieważ obsługują ogromną liczbę punktów końcowych i połączeń zdalnych. Systemy Wi-Fi, sterowanie HVAC, alarmy i drzwi elektroniczne to typowe funkcje cyfrowe w nowoczesnych obiektach, a każda z nich zapewnia cyberprzestępcom potencjalny punkty wejścia do systemu. 

 

Natomiast w przypadku sieci hotelowych każdy poszczególny obiekt jest bezpośrednio połączony z całą krajową (lub globalną) organizacją, co oznacza, że ​​wystarczy naruszyć tylko jeden mały lokalny ośrodek, aby narazić całą markę na szwank. Stąd właśnie tak częste cyberataki na hotele.  

 

1-2

 

Czy mój hotel może być narażony? 

 

Wszystko zależy od świadomości zarządzania cyberbezpieczeństwem hotelu. Cyberataki na hotele mogą przytrafić się każdemu, jednak w przypadku gdy mamy wprowadzone odpowiednie procedury czy korzystamy z chroniącego systemy oprogramowania, szkody będą proporcjonalnie niższe.  

 

Warto pamiętać, by nie wierzyć w popularny mechanizm wyparcia, mówiący cichym głosem w głowie: “mnie to nie dotyczy”. Hakerskiemu atakowi może ulec zarówno wielka sieć jak i mały butikowy pensjonat. Zarazem to te mniejsze i średnie placówki są bardziej narażone na bankructwo w związku z tego typu wypadkiem. 

Ponadto, by doszło do incydentu, wystarczy jeden błąd jednego pracownika, wywołujący globalny kryzys. Oznacza to, że prawdopodobieństwo ataku na hotel jest duże w każdym przypadku. Hotelowe systemy komputerowe są w ciągłym użyciu oraz łączą się z wieloma terminalami co oznacza, że punktów wejścia dla cyberprzestępców jest wiele przez całą dobę, co wpływa na bezpieczeńśtwo IT w hotelach.

 

Co więcej, większość pracowników, którzy stykają się z komputerami, nie ma pojęcia o IT ani nie jest przeszkolona, jak reagować na zagrożenia cyberbezpieczeństwa. Niejeden ośrodek korzysta również ze starszych systemów, co może stanowić dodatkowe ryzyko cyberataku na hotel, aczkolwiek te nowoczesne też rzadko są aktualizowane, łatane, i właściwie chronione. 

 

A oto naprawdę zła wiadomość, nawet jeśli hotel ma doskonale zabezpieczone systemy i przeszkolone kadry, musi również zadbać o właściwą kontrolę dostawców usług zewnętrznych. Wiele dużych cyberataków na hotele nie było wszak spowodowanych błędem popełnionym przez wewnętrznego pracownika, ze względu na dobre przygotowanie kadrowe w tym zakresie, lecz przez grupy cyberprzestępcze włamujące się do systemu Point of Sale (POS), czego często ciężko jest uniknąć.  

 

Oznacza to, że każdy, kto nie ma świadomości zarządzania cyberbezpieczeństwem hotelu oraz nie podejmuje odpowiednich środków, mających przeciwdziałać cyberprzestępczości  powinien liczyć się z wysokim ryzykiem ataku.  Co jednak można zrobić, by się chronić?  

 

3-4

 

Jak bronić się przed cyberatakami na hotele?  

 

Tak naprawdę jest na to kilka sprawdzonych reguł. Prawdopodobieństwo cyberataków i ich szkodliwych konsekwencji znacznie spada, jeżeli zadbamy o kilka punktów.  

 

  1. Oprogramowanie  

Niestety, ale czasy, gdy instalowało się jedynie program antywirusowy dawno odeszły do lamusa. Natomiast pandemia wpłynęła na jeszcze szybszy rozwój technologii w związku z coraz większą digitalizacją wszelkich dziedzin życia i można przypuszczać, że wachlarz zabezpieczeń technologicznych również trzeba będzie jeszcze rozszerzyć. Oto kilka przykładów koniecznych zastosowań technologicznych zapewniających ochronę: 

  • Wdrożenie przepisów dotyczących prywatności danych osobowych 
  • Warstwowe podejście do ochrony danych
  • Certyfikacja zgodność ze standardem PCI DSS
  • Sejfy haseł
  • Zapory sieciowe
  • Regularne kopie zapasowe systemu
  • Dedykowane narzędzia zwiększające bezpieczeństwo sieci i aplikacji
  • Skanery i ochrona przed złośliwym oprogramowaniem, aktualizacje antywirusowe
  • Uwierzytelnianie wieloskładnikowe 

Obecnie należy więc wdrożyć dostosowany do potrzeb i ustrukturyzowany program cyberbezpieczeństwa w połączeniu z dedykowaną technologią i zasobami, aby skutecznie chronić informacje przechowywane w infrastrukturze cyfrowej. Oznacza to, że trzeba zainwestować w dobrej jakości specjalistyczne oprogramowanie, które nie tylko chroni hotel przed atakami, ale także monitoruje zagrożenia i mierzy na bieżąco poziom zapewnionego bezpieczeństwa informacji.  

  1. Procesy

Kolejna istotną kwestią są procesy. Tak, procesy. Gdyż oprogramowanie to jedynie element całej strategii, mającej chronić Twój ośrodek przed cyberatakiem. Bez odpowiednich procesów nawet najlepszy system nie pomoże. Jak jednak przygotować taki proces? Musisz wziąć pod uwagę kilka czynników:  

  • Identyfikacja/klasyfikacja ryzyka 
  • Dobór odpowiednich zabezpieczeń 
  • Regularna ocena zewnętrznych dostawców 
  • Efektywne zarządzanie incydentem 
  • Zapewnienie ciągłości operacyjnej 

Oznacza to, że oprócz oprogramowania musisz także wprowadzić odpowiednie procedury jego wykorzystania i cykliczne monitorowanie potencjalnych zagrożeń. Ponadto zawsze miej backupy i ustalony proces reagowania na awarie. Przyda się także oddzielna procedura, jeżeli do cyberataku na hotel rzeczywiście dojdzie. 

 

blog (1)-1 

 

  1. Świadomość i edukacja pracowników

Następna kwestią jest czynnik ludzki. Jeżeli masz świetne oprogramowanie i efektywne procesy, to wiedz jednak, że i tak istnieje ryzyko cyberataki, bo zawsze ktoś może po prostu kliknąć w podejrzany link. Dlatego ważne są szkolenia pracowników, które wezmą  pod uwagę następujące aspekty: 

 

  • Wdrożenie kontroli bezpieczeństwa i uprawnień do danych wrażliwych 
  • Ogólnofirmowa edukacja w zakresie cyberbezpieczeństwa w celu zapewnienia zgodności  
  • Ustalony protokół bezpieczeństwa/szkolenie dla personelu, oddzielnie dla osób pracujących zdalnie 

Chodzi głównie o to, że kadra hotelu powinna mieć pełne zrozumienie swoich obowiązków związanych z danymi gości oraz identyfikowaniem (i odpieraniem) cyberzagrożeń. 

 

Wiadomo, że mylić się, rzecz ludzka i zawsze może zdarzyć się błąd, jednak odpowiednie szkolenia i uprawnienia pracowników pozwalają zminimalizować ryzyko a także, w razie dojścia do incydentu, zmniejszyć wysokość potencjalnych kar (bo w końcu hotel był dobrze zabezpieczony na każdym poziomie, także ludzkim!).  

 

  1. Zarządzanie cyberbezpieczeństwem hotelu  

Ostatnie tylko na papierze. Tak naprawdę zarządzanie cyberbezpieczeństwem hotelu jest pierwszym, na co powinniśmy zwrócić uwagę, jeżeli chcemy chronić swój obiekt (dlatego zostawiliśmy to właśnie na koniec, by dobrze wbiło się w pamięć ;) ). 

 

Wszak cyberzagrożenie stale ewoluuje, dlatego protokół cyberbezpieczeństwa hoteli musi również ewoluować i dostosowywać się w oparciu o częste ponowne oceny zagrożeń i słabych punktów. Pod tym względem zastałe, generyczne podejście do cyberbezpieczeństwa jest wyjątkowo nieskuteczne. 

 

Podsumowanie 

 

Podsumowując, zapewnienie bezpieczeństwa cyfrowego hotelom to złożony proces nie ograniczający się jedynie do zainstalowania programu antywirusowego. W ogóle nie powinieneś/-naś ograniczać kwestii cyberbezpieczeństwa do oprogramowania, gdyż jak mogłeś/-aś zauważyć na bazie przytoczonych tu informacji, problem ten jest dużo bardziej złożony i opiera się przede przede wszystkim na odpowiednim zarządzaniu,  a nie samej technologii.  

 

Najlepszy system nic nie da, jeżeli pominiemy ustalenie procesów czy uświadamianie i szkolenie pracowników. I to o tym przede wszystkim musisz pamiętać, jeżeli chcesz chronić Twój obiekt przed cyberprzestępczością, która staje się coraz większym i częstszym zagrożeniem.

 

Możemy Ci w tym pomóc. Sprawdź jak zabezpieczony jest Twój hotel dzięki darmowemu bezpłatnemu audytowi cyebrbezpieczeństwa. Zajmie Ci to 10 minuto, a możesz ustrzec swoją firmę przed wieloma zagrożeniami i zachować ciągłość biznesu

 

Nie czekaj, sprawdź czy Twój hotel jest dobrze chroniony już dziś.  

 

AUDYT

 

Ocena wdrożonych rozwiązań

Zachęcamy do przetestowania nas i naszej wiedzy bez żadnych zobowiązań i ryzyka. Bezpłatnie zweryfikujemy aktualnie wdrożone narzędzia i procedury w Twojej firmie.