O sector da hotelaria enfrenta vastas ameaças à segurança, o que o torna um alvo natural para os cibercriminosos, devido ao valor e ao volume de informações de identificação pessoal que estas organizações detêm. Este facto, associado a uma grande força de trabalho, proporciona amplas oportunidades para os intrusos se infiltrarem no sistema de reservas ou no POS do restaurante para capturar dados críticos dos clientes.

Tem havido uma miríade de violações de dados na indústria hoteleira. Marriott, Radisson Hotel Group, InterContinental, Four Seasons e Hilton Hotels são apenas algumas das grandes corporações que chegaram às manchetes nos últimos anos como resultado de um ataque à segurança de dados.

Atualmente, a Marriott é frequentemente citada como uma das maiores violações de dados alguma vez ocorridas, resultando numa multa de mais de 120 milhões de dólares. No entanto, estas falhas básicas de segurança não só causam perdas financeiras devastadoras, como também custam às organizações a sua reputação, empregos, investimentos e negócios. No ano passado, o relatório Hotels Outlook da PwC indicava que o sector da hotelaria tinha o segundo maior número de violações de segurança cibernética, a seguir ao sector do retalho.

O sector sofreu uma grande mudança nos últimos anos, com muitos hotéis a tornarem-se completamente digitalizados numa tentativa de ganhar vantagem competitiva e acompanhar as agências de viagens online, como a Expedia e a Hotels.com. Como resultado, estas organizações estão agora a utilizar as tecnologias mais recentes, como aplicações de reserva, sistemas de processamento de pagamentos e redes empresariais complexas, o que aumenta a probabilidade de um ataque. Ao mesmo tempo, o panorama cibernético continua a evoluir rapidamente e os hoteleiros enfrentam uma série de ameaças comuns.

Tipos de ameaças à segurança no sector da hotelaria e restauração

Phishing

A maioria de todos os ciberataques pode ser
rastreada até um e-mail de phishing que engana a vítima para que divulgue as suas
credenciais ou descarregue malware malicioso. O phishing continua a ser o ataque de engenharia social mais
popular devido à sua elevada taxa de sucesso. Um estudo realizado pela Intel concluiu que 97% dos peritos em segurança não conseguem
identificar os e-mails de phishing dos e-mails genuínos. No ano passado, uma série de
hotéis e casas de hóspedes apresentados no Booking.com foram alvo de e-mails de phishing
, resultando no envio de e-mails aos utilizadores do sítio Web com instruções para
fornecerem detalhes de pagamento.

Mas não são apenas os e-mails maliciosos que são
utilizados para enganar as pessoas, levando-as a clicar em links ou a divulgar informações sensíveis.
Outra tática comum utilizada pelos criminosos envolve a criação de sites falsos
para enganar as vítimas e levá-las a introduzir informações sensíveis. Os criminosos gastam
muito tempo a fazer com que o site pareça o mais credível possível e a torná-lo
quase indistinguível do verdadeiro.

De facto, cerca de 55 milhões de reservas online de hotéis
são afectadas por sites fraudulentos e centros de atendimento que se fazem passar por sites de hotéis
, de acordo com a American Hotel and Lodging Association.

Ransomware

Em 2017, 
O Romantik
Seehotel Jaegerwirt, um hotel de luxo austríaco, foi atingido por um ataque de ransomware
que impediu a entrada de hóspedes e funcionários nos quartos até que a gerência do hotel
pagasse o resgate exigido – dois Bitcoins, ou seja, cerca de 1.800 dólares. Depois de o ataque
ter sido notícia, muitos hotéis foram forçados a reconsiderar a forma de se protegerem
de futuros ataques informáticos.

Preocupantemente, o ransomware está a evoluir para um novo
tipo de ameaça em que os cibercriminosos não se limitam a encriptar dados, mas também
os roubam e ameaçam divulgá-los na Internet. Isto expõe as
organizações a violações de dados públicos prejudiciais e às implicações regulamentares,
financeiras e de reputação associadas.

Em 2019, 205 280 organizações apresentaram ficheiros que tinham sido pirateados num ataque de ransomware, um aumento de 41% em relação ao ano anterior, de acordo com um relatório recente. No que diz respeito à defesa contra o ransomware no sector da hotelaria, as empresas têm de estar sempre preparadas para uma violação e ter um plano de resposta a incidentes preparado para ser implementado.

DDoS

Nos últimos anos, os hackers têm vindo a utilizar
novas tácticas e os ataques Distributed Denial of Service (DDoS) têm
vindo a ganhar popularidade. Este tipo de ataque é uma tentativa de tornar um serviço
online indisponível, sobrecarregando-o com grandes volumes de tráfego de
várias fontes para causar grandes danos. Estes podem incluir perda de dados, perda de
receitas, danos à reputação e perda de clientes.

A indústria hoteleira tornou-se o
alvo favorito dos ataques DDoS porque os hotéis utilizam uma vasta gama de dispositivos,
desde televisores a sistemas de reservas, todos geridos por computadores e que podem ser
utilizados para perturbar outros sistemas na infraestrutura. Em 2017, a cadeia de hotéis
de Donald Trump foi alvo de um ataque DDoS de piratas informáticos que levou a que o sítio Web
ficasse indisponível durante 12 horas.

Vulnerável
fornecedores terceiros

As violações de dados causadas por terceiros custam milhões às grandes empresas. De acordo com um inquérito, quase metade (44%) das empresas sofreram uma violação de dados significativa e que alterou a sua atividade, causada por um fornecedor. Com os hotéis a utilizarem uma multiplicidade de fornecedores, o sector da hotelaria oferece vastas oportunidades para os piratas informáticos lançarem ataques maliciosos. Tudo, desde o ponto de venda aos sistemas de reserva, gestão de propriedades, recursos humanos e folhas de pagamento, são potenciais pontos de entrada.

É aqui que as normas de segurança, como a ISO 27001, têm um papel importante. A norma ISO 27001 garante que os fornecedores cumprem as normas mais exigentes através de processos aprovados e documentados e que estão empenhados em respeitar os mais elevados padrões de segurança da informação.

Como é que a indústria hoteleira se pode proteger das ameaças à segurança?

Com a indústria hoteleira cada vez mais propensa a ataques cibernéticos maliciosos, existem várias formas de as organizações combaterem as ameaças à segurança cibernética:

  • Desenvolver uma cultura de formação contínua de sensibilização para o ciberespaço entre o pessoal, que adopte uma variedade de métodos envolventes para educar os funcionários sobre o seu papel em manter a sua organização segura e protegida.
  • Restringe o acesso a pagamentos ou dados pessoais apenas ao pessoal que necessita dessas informações para fazer o seu trabalho.
  • Utiliza logins individuais e códigos de acesso aos sistemas.
  • As organizações devem considerar a utilização de um serviço de proteção DDoS que detectará fluxos de tráfego anormais e redireccionará qualquer tráfego DDoS para fora da rede. Outras medidas de segurança incluem a proteção da infraestrutura de rede através da utilização de uma firewall, VPN, anti-spam e outras camadas de técnicas de defesa contra DDoS.
  • Assegura que as normas de conformidade PCI estão em vigor. Estas normas fornecem um conjunto de requisitos concebidos para garantir que todas as empresas que processam, armazenam ou transmitem informações sobre cartões de crédito mantêm um ambiente seguro.
  • Instala e actualiza o software antivírus em todos os dispositivos.
  • Nunca cliques em links ou descarregues anexos de fontes desconhecidas.
  • Não utilizes a rede Wi-Fi pública para realizar actividades comerciais.
  • Assegura que os fornecedores são controlados e que os controlos de acesso são cuidadosamente considerados, uma vez que estes são frequentemente pontos de fraqueza.
  • Nunca pagues um resgate, uma vez que não há qualquer garantia de que alguma vez recuperes os teus ficheiros.

A MetaCompliance criou soluções abrangentes de sensibilização para a cibersegurança. Entra em contactocom os nossos especialistas em sensibilização para a segurança para obter mais informações sobre como podemos ajudar a transformar a formação em cibersegurança na sua organização.