Il settore alberghiero e della ristorazione deve far fronte a numerose minacce alla sicurezza, che lo rendono un obiettivo naturale per i criminali informatici a causa del valore e del volume di informazioni di identificazione personale che queste organizzazioni detengono. Questo, unito a una forza lavoro numerosa, offre ampie opportunità agli intrusi di infiltrarsi nel sistema di prenotazione o nel POS del ristorante interno per acquisire i dati critici dei clienti.

Nel settore alberghiero si sono verificate una miriade di violazioni di dati. Marriott, Radisson Hotel Group, InterContinental, Four Seasons e Hilton Hotels sono solo alcune delle grandi aziende che sono balzate agli onori della cronaca negli ultimi anni a causa di un attacco alla sicurezza dei dati.

Oggi Marriott viene spesso citata come una delle più grandi violazioni di dati mai avvenute, con una multa di oltre 120 milioni di dollari. Tuttavia, queste carenze di sicurezza di base non solo causano perdite finanziarie devastanti, ma costano anche alle organizzazioni la loro reputazione, i loro posti di lavoro, i loro investimenti e la loro attività. Lo scorso anno, il rapporto Hotels Outlook di PwC ha dichiarato che il settore dell’ospitalità ha registrato il secondo maggior numero di violazioni della sicurezza informatica dopo il settore della vendita al dettaglio.

Negli ultimi anni il settore ha subito un grande cambiamento: molti hotel si sono completamente digitalizzati nel tentativo di ottenere un vantaggio competitivo e di tenere il passo con le agenzie di viaggio online come Expedia e Hotels.com. Di conseguenza, queste organizzazioni utilizzano le tecnologie più recenti, come le app di prenotazione, i sistemi di elaborazione dei pagamenti e le complesse reti aziendali, il che aumenta la probabilità di un attacco. Allo stesso tempo, il panorama informatico continua a evolversi rapidamente e gli albergatori devono affrontare una serie di minacce comuni.

Tipi di minacce alla sicurezza nel settore dell’ospitalità

Phishing

La maggior parte degli attacchi informatici può essere
ricondotta a un’e-mail di phishing che induce la vittima a divulgare le proprie credenziali
o a scaricare un malware dannoso. Il phishing rimane l’attacco di
ingegneria sociale più popolare grazie alla sua alta percentuale di successo. Uno studio condotto da Intel ha rilevato che il 97% degli esperti di sicurezza non riesce
a identificare le e-mail di phishing da quelle autentiche. L’anno scorso, alcuni
hotel e pensioni presenti su Booking.com sono stati presi di mira da
email di phishing, con il risultato che agli utenti del sito sono state inviate email che li invitavano a
fornire i dettagli del pagamento.

Ma non sono solo le email maligne a essere
utilizzate per ingannare le persone a cliccare su link o a divulgare informazioni sensibili.
Un’altra tattica comunemente utilizzata dai criminali consiste nel creare siti web falsi
per ingannare le vittime a inserire informazioni sensibili. I criminali spendono
molto tempo per far sembrare il sito il più credibile possibile e per farlo apparire
quasi indistinguibile da quello reale.

Secondo l’American Hotel and Lodging Association, infatti, circa 55 milioni di prenotazioni online di hotel
sono state effettuate da siti web e call center fraudolenti che si spacciano per siti web di hotel
.

Ransomware

Nel 2017, 
Romantik
Seehotel Jaegerwirt, un hotel di lusso austriaco, è stato colpito da un attacco ransomware
che ha escluso gli ospiti e i dipendenti dell’hotel dalle camere fino a quando la direzione dell’hotel
non ha pagato il riscatto richiesto: due Bitcoin, ovvero circa 1.800 dollari. Dopo che l’attacco
ha fatto notizia, molti hotel sono stati costretti a riconsiderare come proteggersi da
futuri attacchi informatici.

È preoccupante che il ransomware si stia evolvendo in un nuovo
tipo di minaccia in cui i criminali informatici non si limitano a criptare i dati, ma
li rubano e minacciano di diffonderli su internet. Questo espone le
organizzazioni a dannose violazioni di dati pubblici e alle relative implicazioni normative,
finanziarie e di reputazione.

Secondo un recente rapporto, nel 2019 205.280 organizzazioni hanno inviato file che erano stati violati in un attacco ransomware, con un aumento del 41% rispetto all’anno precedente. Quando si tratta di difendersi dal ransomware nel settore dell’ospitalità, le aziende devono essere sempre pronte ad affrontare una violazione e avere un piano di risposta agli incidenti da mettere in atto.

DDoS

Negli ultimi anni, gli hacker hanno messo in campo
nuove tattiche e gli attacchi DDoS (Distributed Denial of Service) sono
diventati sempre più popolari. Questo tipo di attacco è un tentativo di rendere
indisponibile un servizio online sovraccaricandolo di enormi volumi di traffico provenienti da
più fonti per causare ingenti danni. Questo può includere perdita di dati, perdita di
entrate, danni alla reputazione e perdita di clienti.

L’industria dell’ospitalità è diventata il
bersaglio preferito degli attacchi DDoS perché gli hotel utilizzano una vasta gamma di dispositivi,
dalle TV ai sistemi di prenotazione, che sono tutti gestiti da computer e possono essere
utilizzati per disturbare altri sistemi dell’infrastruttura. Nel 2017, la catena di hotel
di Donald Trump ha subito un attacco DDoS da parte di hacker che ha reso il sito web
non disponibile per 12 ore.

Vulnerabile
fornitori terzi

Le violazioni di dati causate da terzi costano milioni alle grandi aziende. Secondo un sondaggio, quasi la metà (44%) delle aziende ha subito una violazione di dati significativa e che ha alterato il business, causata da un fornitore. Poiché gli hotel si avvalgono di una moltitudine di fornitori, il settore dell’ospitalità offre agli hacker vaste opportunità di sferrare attacchi malevoli. Tutti i sistemi, dai punti vendita ai sistemi di prenotazione, dalla gestione delle proprietà alle risorse umane e alle buste paga, sono potenziali punti di accesso.

È qui che gli standard di sicurezza, come l’ISO 27001, hanno un ruolo importante. L’ISO 27001 garantisce che i fornitori rispettino gli standard più elevati attraverso processi approvati e documentati e che si impegnino a rispettare i più alti standard di sicurezza delle informazioni.

Come può l’industria dell’ospitalità rimanere al sicuro dalle minacce alla sicurezza?

Poiché il settore alberghiero è sempre più soggetto ad attacchi informatici dannosi, esistono diversi modi in cui le organizzazioni possono combattere le minacce alla sicurezza informatica:

  • Sviluppare una cultura di formazione continua sulla consapevolezza informatica tra il personale, che adotti una varietà di metodi coinvolgenti per educare i dipendenti sul loro ruolo nel mantenere l’organizzazione sicura e protetta.
  • Limitare l’accesso ai dati di pagamento o personali solo al personale che ne ha bisogno per svolgere il proprio lavoro.
  • Utilizza login e codici di accesso individuali ai sistemi.
  • Le organizzazioni dovrebbero prendere in considerazione l’utilizzo di un servizio di protezione DDoS che rilevi i flussi di traffico anomali e reindirizzi il traffico DDoS dalla rete. Altre misure di sicurezza includono la protezione dell’infrastruttura di rete attraverso l’uso di firewall, VPN, antispam e altri livelli di tecniche di difesa DDoS.
  • Assicurati che siano in vigore gli standard di conformità PCI. Questi standard prevedono una serie di requisiti volti a garantire che tutte le aziende che elaborano, memorizzano o trasmettono informazioni sulle carte di credito mantengano un ambiente sicuro.
  • Installa e aggiorna il software antivirus su tutti i dispositivi.
  • Non cliccare mai sui link o scaricare allegati da fonti sconosciute.
  • Non utilizzare il Wi-Fi pubblico per svolgere attività commerciali.
  • Assicurati che i fornitori siano controllati e che i controlli di accesso siano considerati con attenzione, poiché questi sono spesso punti di debolezza.
  • Non pagare mai un riscatto perché non c’è alcuna garanzia di riavere i tuoi file.

MetaCompliance ha creato ampie soluzioni di sensibilizzazione alla sicurezza informatica. Contattai nostri specialisti di Security Awareness per avere maggiori informazioni su come possiamo aiutarti a trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.