Il settore dell'ospitalità affronta vaste minacce alla sicurezza, rendendolo un obiettivo naturale per i criminali informatici a causa del valore e del volume di informazioni di identificazione personale che queste organizzazioni detengono. Questo, insieme a una grande forza lavoro, fornisce ampie opportunità per gli intrusi di infiltrarsi nel sistema di prenotazione o nel POS del ristorante interno per catturare i dati critici dei clienti.
C'è stata una miriade di violazioni di dati nel settore alberghiero. Marriott, Radisson Hotel Group, InterContinental, Four Seasons e Hilton Hotels sono solo alcune delle grandi società che hanno colpito i titoli dei giornali negli ultimi anni come risultato di un attacco alla sicurezza dei dati.
Oggi, Marriott è spesso citata come una delle più grandi violazioni di dati mai avvenute, con una multa di oltre 120 milioni di dollari. Tuttavia, queste mancanze di sicurezza di base non solo causano devastanti perdite finanziarie, ma costano anche alle organizzazioni la loro reputazione, posti di lavoro, investimenti e affari. L'anno scorso, il rapporto Hotels Outlook di PwC ha dichiarato che il settore alberghiero ha avuto il secondo maggior numero di violazioni della sicurezza informatica dopo il settore della vendita al dettaglio.
Il settore ha subito un grande cambiamento negli ultimi anni, con molti hotel che si sono completamente digitalizzati nel tentativo di ottenere un vantaggio competitivo e tenere il passo con le agenzie di viaggio online come Expedia e Hotels.com. Di conseguenza, queste organizzazioni stanno utilizzando le ultime tecnologie come le app di prenotazione, i sistemi di elaborazione dei pagamenti e le complesse reti aziendali, il che aumenta la probabilità di un attacco. Allo stesso tempo, il panorama informatico continua ad evolversi rapidamente e gli albergatori devono affrontare una serie di minacce comuni.
Tipi di minacce alla sicurezza nell'industria dell'ospitalità
Phishing
La maggior parte degli attacchi informatici può essere
ricondotta a un'e-mail di phishing che induce la vittima a divulgare le proprie credenziali
o a scaricare un malware dannoso. Il phishing rimane l'attacco di
social engineering più popolare grazie al suo alto tasso di successo. Uno studio condotto da Intel ha rilevato che il 97% degli esperti di sicurezza non riesce
a identificare le e-mail di phishing da quelle autentiche. L'anno scorso, alcuni
hotel e pensioni presenti su Booking.com sono stati presi di mira da
e-mail di phishing, con il risultato che agli utenti del sito web sono state inviate e-mail con l'istruzione di
fornire i dettagli del pagamento.
Ma non sono solo le e-mail dannose a essere
utilizzate per ingannare le persone a cliccare su link o a divulgare informazioni sensibili.
Un'altra tattica comunemente utilizzata dai criminali prevede la creazione di siti Web falsi
per indurre le vittime a inserire informazioni sensibili. I criminali spendono
molto tempo per far sembrare il sito il più credibile possibile e per farlo apparire
quasi indistinguibile da quello reale.
Secondo l'American Hotel and Lodging Association, infatti, circa 55 milioni di prenotazioni alberghiere online su
sono state effettuate da siti web e call center fraudolenti che si spacciano per siti web di alberghi
.
Cosa sono i ransomware e come proteggersi? MetaCompliance
Nel 2017,
Romantik
Seehotel Jaegerwirt, un hotel di lusso austriaco, è stato colpito da un attacco ransomware
che ha escluso gli ospiti e i dipendenti dell'hotel dalle camere fino a quando
la direzione dell'hotel non ha pagato il riscatto richiesto - due Bitcoin, o circa 1.800 dollari. Dopo che l'attacco
ha fatto notizia, molti hotel sono stati costretti a riconsiderare come proteggersi da
futuri attacchi informatici.
È preoccupante che il ransomware si stia evolvendo in un nuovo
tipo di minaccia in cui i criminali informatici non si limitano a criptare i dati, ma
li rubano e minacciano di diffonderli su Internet. Questo espone le
organizzazioni a dannose violazioni pubbliche dei dati e alle relative implicazioni normative,
finanziarie e di reputazione.
Nel 2019, 205.280 organizzazioni hanno presentato file che erano stati violati in un attacco ransomware, un aumento del 41% rispetto all'anno precedente, secondo un recente rapporto. Quando si tratta di difendersi dal ransomware nel settore dell'ospitalità, le aziende devono essere sempre preparate per una violazione e avere un piano di risposta agli incidenti preparato da mettere in atto.
DDoS
Negli ultimi anni, gli hacker hanno messo in campo
nuove tattiche e gli attacchi DDoS (Distributed Denial of Service) sono
sempre più diffusi. Questo tipo di attacco è un tentativo di rendere
indisponibile un servizio online sovraccaricandolo di enormi volumi di traffico provenienti da
più fonti per causare ingenti danni. Questo può includere perdita di dati, perdita di
entrate, danni alla reputazione e perdita di clienti.
L'industria dell'ospitalità è diventata il
bersaglio preferito degli attacchi DDoS perché gli hotel utilizzano una vasta gamma di dispositivi,
dai televisori ai sistemi di prenotazione, che sono tutti gestiti da computer e possono essere
utilizzati per interrompere altri sistemi dell'infrastruttura. Nel 2017, la catena di hotel
di Donald Trump ha subito un attacco DDoS da parte di hacker che ha reso il sito web
non disponibile per 12 ore.
Vulnerabile
fornitori terzi
Le violazioni di dati causate da terzi costano milioni alle grandi aziende. Secondo un sondaggio, quasi la metà (44%) delle aziende ha sperimentato una violazione dei dati significativa e alterante il business causata da un fornitore. Con gli hotel che utilizzano una moltitudine di fornitori, il settore dell'ospitalità offre grandi opportunità per gli hacker di lanciare attacchi maligni. Tutto, dal punto di vendita ai sistemi di prenotazione, gestione della proprietà, risorse umane e libro paga sono potenziali punti di ingresso.
È qui che gli standard di sicurezza, come ISO 27001, hanno un ruolo importante. ISO 27001 garantisce che i venditori sono impostati sui più alti standard attraverso processi approvati e documentati, e sono impegnati nel più alto standard di sicurezza delle informazioni.
Come può l'industria dell'ospitalità rimanere al sicuro dalle minacce alla sicurezza?
Con l'industria alberghiera sempre più soggetta ad attacchi informatici malevoli, ci sono una serie di modi in cui le organizzazioni possono combattere le minacce alla sicurezza informatica:
- Sviluppare una cultura di formazione continua di consapevolezza informatica tra il personale, che adotta una varietà di metodi coinvolgenti per educare i dipendenti sul loro ruolo nel mantenere la loro organizzazione sicura e protetta.
- Limitare l'accesso al pagamento o ai dati personali solo al personale che ha bisogno di queste informazioni per fare il proprio lavoro.
- Utilizzare login individuali e codici di accesso ai sistemi.
- Le organizzazioni dovrebbero considerare l'uso di un servizio di protezione DDoS che rilevi flussi di traffico anormali e reindirizzi qualsiasi traffico DDoS lontano dalla rete. Altre misure di sicurezza includono la protezione dell'infrastruttura di rete attraverso l'uso di un firewall, VPN, Anti-spam e altri livelli di tecniche di difesa DDoS.
- Assicurarsi che gli standard di conformità PCI siano in atto. Questi standard forniscono una serie di requisiti progettati per garantire che tutte le aziende che elaborano, memorizzano o trasmettono informazioni sulle carte di credito mantengano un ambiente sicuro.
- Installare e aggiornare il software antivirus su tutti i dispositivi.
- Non cliccare mai su link o scaricare allegati da fonti sconosciute.
- Non utilizzare il Wi-Fi pubblico per svolgere attività commerciali.
- Assicuratevi che i fornitori siano controllati e che i controlli di accesso siano attentamente considerati, poiché questi sono spesso punti di debolezza.
- Non pagate mai un riscatto, perché non c'è alcuna garanzia che riavrete mai i vostri file.
MetaCompliance ha creato una vasta gamma di soluzioni per la consapevolezza della sicurezza informatica. Mettetevi in contattocon i nostri specialisti della consapevolezza della sicurezza per ulteriori informazioni su come possiamo aiutarvi a trasformare la formazione sulla sicurezza informatica all'interno della vostra organizzazione.