Hotelli- ja ravintola-ala kohtaa valtavia tietoturvauhkia, mikä tekee siitä luonnollisen kohteen tietoverkkorikollisille, koska näillä organisaatioilla on hallussaan niin paljon henkilökohtaisesti tunnistettavia tietoja. Tämä yhdistettynä suureen työvoimaan tarjoaa tunkeutujille runsaasti mahdollisuuksia tunkeutua varausjärjestelmään tai ravintolan sisäiseen kassakoneeseen ja kaapata kriittisiä asiakastietoja.
Hotellialalla on tapahtunut lukemattomia tietomurtoja. Marriott, Radisson Hotel Group, InterContinental, Four Seasons ja Hilton Hotels ovat vain muutamia suuryrityksiä, jotka ovat viime vuosina joutuneet otsikoihin tietoturvahyökkäyksen seurauksena.
Nykyään Marriottia kutsutaan usein yhdeksi suurimmista koskaan tapahtuneista tietomurroista, ja sen seurauksena Marriottille määrättiin yli 120 miljoonan dollarin sakko. Nämä perusturvallisuuden puutteet eivät kuitenkaan aiheuta vain tuhoisia taloudellisia tappioita, vaan ne maksavat organisaatioille myös mainetta, työpaikkoja, investointeja ja liiketoimintaa. Viime vuonna PwC:n Hotels Outlook -raportissa todettiin, että hotelli- ja ravintola-alalla oli toiseksi eniten tietoturvaloukkauksia vähittäiskaupan jälkeen.
Ala on kokenut viime vuosina suuren muutoksen, ja monet hotellit ovat digitalisoituneet täysin saadakseen kilpailuetua ja pysyäkseen mukana Expedian ja Hotels.comin kaltaisten online-matkatoimistojen vauhdissa. Tämän seurauksena nämä organisaatiot käyttävät nyt uusinta teknologiaa, kuten varaussovelluksia, maksujenkäsittelyjärjestelmiä ja monimutkaisia yritysverkkoja, mikä lisää hyökkäyksen todennäköisyyttä. Samaan aikaan kyberympäristö kehittyy edelleen nopeasti, ja hotelliyrittäjät kohtaavat useita yleisiä uhkia.
Tietoturvauhkien tyypit hotelli- ja ravintola-alalla
Phishing
Suurin osa kaikista verkkohyökkäyksistä voidaan jäljittää
phishing-sähköpostiin, joka huijaa uhrin paljastamaan
-tilintunnuksensa tai lataamaan haittaohjelman. Phishing on edelleen suosituin
sosiaalinen tekniikka -hyökkäys, koska sen onnistumisprosentti on korkea. Intelin tekemässä tutkimuksessa todettiin, että 97 prosenttia tietoturva-asiantuntijoista ei
pysty tunnistamaan phishing-sähköposteja aidoista sähköposteista. Viime vuonna useat Booking.com-sivuston
hotellit ja majatalot joutuivat
phishing-sähköpostin kohteeksi, jolloin sivuston käyttäjille lähetettiin sähköposteja, joissa heitä kehotettiin antamaan maksutiedot
.
ei kuitenkaan ole vain haitallisia sähköposteja, joita käytetään huijaamaan ihmisiä klikkaamaan linkkejä tai paljastamaan arkaluonteisia tietoja.
Toinen yleinen rikollisten käyttämä taktiikka on luoda väärennettyjä verkkosivustoja
, joilla uhreja huijataan syöttämään arkaluonteisia tietoja. Rikolliset käyttävät
paljon aikaa siihen, että sivusto vaikuttaa mahdollisimman uskottavalta ja että se
näyttää lähes erottamattomalta oikeasta sivustosta.
American Hotel and Lodging Associationin mukaan noin 55 miljoonaa online-hotellivarausta
on joutunut petollisten verkkosivustojen ja puhelinpalvelukeskusten kohteeksi, jotka esiintyvät hotellin
verkkosivustoina.
Mikä on Ransomware ja miten se estetään? MetaCompliance
Vuonna 2017
Romantik
Seehotel Jaegerwirt, itävaltalainen luksushotelli, joutui lunnasohjelmahyökkäyksen kohteeksi
, joka sulki vieraat ja hotellin työntekijät ulos huoneista, kunnes hotellin
johto maksoi vaaditut lunnaat - kaksi Bitcoiniä eli noin 1800 dollaria. Kun
hyökkäys nousi otsikoihin, monet hotellit joutuivat miettimään uudelleen, miten suojautua
tulevilta verkkohyökkäyksiltä.
Huolestuttavaa on, että lunnasohjelmat ovat kehittymässä uudeksi
uhkatyypiksi, jossa verkkorikolliset eivät vain salaa tietoja vaan myös varastavat ne ja uhkaavat julkaista ne internetissä.
. Tämä altistaa
organisaatiot vahingollisille julkisille tietomurroille ja niihin liittyville lainsäädännöllisille,
taloudellisille ja maineeseen liittyville seurauksille.
Vuonna 2019 205 280 organisaatiota toimitti lunnasohjelmahyökkäyksen kohteeksi joutuneita tiedostoja, mikä on 41 prosenttia enemmän kuin edellisenä vuonna, ilmenee tuoreesta raportista. Kun on kyse lunnasohjelmilta puolustautumisesta vieraanvaraisalalla, yritysten on aina oltava valmiita loukkaukseen ja niillä on oltava valmiiksi laadittu vastatoimintasuunnitelma, jonka ne voivat ottaa käyttöön.
DDoS
Viime vuosina hakkerit ovat käyttäneet
uusia taktiikoita, ja DDoS-hyökkäykset (Distributed Denial of Service) ovat
kasvattaneet suosiotaan. Tämäntyyppisellä hyökkäyksellä yritetään tehdä
verkkopalvelu käyttökelvottomaksi hukuttamalla se valtavilla liikennemäärillä, jotka tulevat
useista eri lähteistä ja aiheuttavat suurta vahinkoa. Tällaisia vahinkoja voivat olla tietojen menetys,
tulojen menetys, maineelle aiheutuva vahinko ja asiakkaiden menettäminen.
Majoitus- ja ravitsemisalasta on tullut
DDoS-hyökkäysten suosikkikohde, koska hotelleissa käytetään monenlaisia laitteita,
televisioista varausjärjestelmiin, joita kaikkia hallinnoidaan tietokoneilla ja joita voidaan
käyttää infrastruktuurin muiden järjestelmien häiritsemiseen. Vuonna 2017 Donald Trumpin
hotelliketju joutui hakkerien DDoS-hyökkäyksen kohteeksi, jonka seurauksena verkkosivusto
ei ollut käytettävissä 12 tunnin ajan.
Haavoittuva
Kolmannen osapuolen toimittajat
Kolmansien osapuolten aiheuttamat tietomurrot maksavat miljoonia suurille yrityksille. Tutkimuksen mukaan lähes puolet (44 %) yrityksistä on kokenut merkittävän, liiketoimintaa muuttavan tietomurron, jonka on aiheuttanut myyjä. Koska hotellit käyttävät lukuisia toimittajia, hotelli- ja ravintola-ala tarjoaa hakkerille valtavat mahdollisuudet tehdä pahantahtoisia hyökkäyksiä. Kaikki myyntipisteistä varausjärjestelmiin, kiinteistönhallintaan, henkilöstöhallintoon ja palkanlaskentaan ovat mahdollisia hyökkäyspisteitä.
Tässä yhteydessä ISO 27001:n kaltaisilla turvallisuusstandardeilla on tärkeä rooli. ISO 27001 takaa, että myyjät noudattavat korkeimpia standardeja hyväksyttyjen ja dokumentoitujen prosessien avulla ja ovat sitoutuneet korkeimpiin tietoturvan standardeihin.
Miten ravintola-ala voi pysyä turvassa tietoturvauhkilta?
Koska hotelliala on yhä alttiimpi ilkivaltaisille verkkohyökkäyksille, organisaatiot voivat torjua verkkoturvauhkia monin tavoin:
- Kehitetään henkilöstön keskuudessa jatkuvaa tietoverkkotietoisuutta edistävää koulutusta, jossa käytetään erilaisia houkuttelevia menetelmiä, joilla työntekijöille opetetaan heidän roolinsa organisaation turvallisuuden ja varmuuden ylläpitämisessä.
- Rajoita pääsy maksu- tai henkilötietoihin vain sellaiselle henkilöstölle, joka tarvitsee näitä tietoja työnsä hoitamiseen.
- Käytä henkilökohtaisia kirjautumistunnuksia ja pääsykoodeja järjestelmiin.
- Organisaatioiden tulisi harkita DDoS-suojauspalvelun käyttöä, joka havaitsee epänormaalit liikennevirrat ja ohjaa DDoS-liikenteen pois verkosta. Muita turvatoimia ovat verkkoinfrastruktuurin turvaaminen palomuurin, VPN:n, roskapostin torjunnan ja muiden DDoS-puolustustekniikoiden avulla.
- Varmista, että PCI-vaatimustenmukaisuusstandardit ovat käytössä. Nämä standardit sisältävät joukon vaatimuksia, joiden tarkoituksena on varmistaa, että kaikki luottokorttitietoja käsittelevät, tallentavat tai välittävät yritykset ylläpitävät turvallista ympäristöä.
- Asenna ja päivitä virustorjuntaohjelmisto kaikkiin laitteisiin.
- Älä koskaan napsauta linkkejä tai lataa liitetiedostoja tuntemattomista lähteistä.
- Älä käytä julkista Wi-Fi-verkkoa liiketoimintaan.
- Varmista, että tavarantoimittajat on tarkistettu ja että pääsynvalvonta on harkittu huolellisesti, sillä nämä ovat usein heikkouksia.
- Älä koskaan maksa lunnaita, koska ei ole mitään takeita siitä, että saat koskaan tiedostosi takaisin.
MetaCompliance on luonut kattavat tietoisuutta kyberturvallisuudesta lisäävät ratkaisut. Ota yhteyttätietoturvatietoisuuden asiantuntijoihimme, niin saat lisätietoja siitä, miten voimme auttaa muuttamaan kyberturvallisuuskoulutuksen organisaatiossasi.