A indústria da hospitalidade enfrenta vastas ameaças à segurança, tornando-a um alvo natural para os cibercriminosos devido ao valor e volume de informação pessoalmente identificável que estas organizações detêm. Isto, juntamente com uma grande força de trabalho, proporciona amplas oportunidades para os intrusos se infiltrarem no sistema de reservas ou no POS do restaurante interno para capturarem dados críticos dos clientes.
Tem havido uma miríade de violações de dados na indústria hoteleira. Marriott, Radisson Hotel Group, InterContinental, Four Seasons, e Hilton Hotels são apenas algumas das maiores corporações que têm chegado às manchetes nos últimos anos como resultado de um ataque de segurança de dados.
Actualmente, o Marriott é frequentemente citado como uma das maiores violações de dados jamais ocorridas, resultando numa multa de mais de 120 milhões de dólares. No entanto, estas falhas básicas de segurança não só causam perdas financeiras devastadoras, como também custam às organizações a sua reputação, empregos, investimento e negócios. No ano passado, o relatório PwC's Hotels Outlook declarou que o sector hoteleiro tinha o segundo maior número de violações de segurança cibernética, a seguir ao sector retalhista.
A indústria sofreu uma grande mudança nos últimos anos, com muitos hotéis a serem completamente digitalizados numa tentativa de ganhar vantagem competitiva e manter-se a par das agências de viagens on-line, tais como Expedia e Hotels.com. Como resultado, estas organizações estão agora a utilizar as mais recentes tecnologias, tais como aplicações de reservas, sistemas de processamento de pagamentos e redes empresariais complexas, o que aumenta a probabilidade de um ataque. Ao mesmo tempo, a paisagem cibernética continua a evoluir rapidamente e os hoteleiros enfrentam uma série de ameaças comuns.
Tipos de Ameaças de Segurança na Indústria Hoteleira
Phishing
A maioria de todos os ciberataques pode ser
rastreada até um e-mail de phishing que engana a vítima a divulgar as suas credenciais
ou a descarregar malware malicioso. O phishing continua a ser o ataque de engenharia social
mais popular devido à sua elevada taxa de sucesso. Um estudo conduzido pela Intel descobriu que 97% dos peritos em segurança falham em
na identificação de e-mails de phishing a partir de e-mails genuínos. No ano passado, vários
hotéis e casas de hóspedes apresentados em Booking.com foram alvo de e-mails de phishing
, o que resultou no envio de e-mails aos utilizadores do website instruindo-os para
fornecerem detalhes de pagamento.
Mas não são apenas os e-mails maliciosos que são
utilizados para enganar as pessoas a clicar em ligações ou a divulgar informação sensível.
Outra táctica comum utilizada pelos criminosos envolve a criação de websites falsos
para enganar as vítimas na introdução de informação sensível. Os criminosos passarão muito tempo a fazer
parecer o mais credível possível e a fazê-lo parecer
quase indistinguível do verdadeiro.
De facto, aproximadamente 55 milhões de reservas de hotéis em linha
são afectadas por websites e call centers fraudulentos que se fazem passar por websites
, segundo a Associação Americana de Hotéis e Alojamentos.
Ransomware: o que é e como evitar? MetaCompliance
Em 2017,
Romantik
Seehotel Jaegerwirt, um hotel austríaco de luxo foi atingido por um ataque de resgate
que excluiu hóspedes e empregados do hotel dos quartos de hóspedes até a gerência do hotel
pagar o resgate exigido - duas Bitcoins, ou cerca de $1,800. Depois do ataque
ter sido manchete, muitos hotéis foram forçados a reconsiderar a forma de se protegerem a si próprios
de futuros ataques cibernéticos.
Preocupantemente, os resgates estão a evoluir para um novo tipo de ameaça
onde os cibercriminosos não estão apenas a encriptar dados, mas também
a roubá-los e a ameaçar libertá-los na Internet. Isto expõe as organizações
a violações de dados públicos prejudiciais e às implicações regulamentares associadas,
financeiras e de reputação.
Em 2019, 205.280 organizações apresentaram ficheiros que tinham sido pirateados num ataque de resgate, um aumento de 41% em relação ao ano anterior, de acordo com um relatório recente. Quando se trata de defender contra um resgate na indústria hoteleira, as empresas precisam de estar sempre preparadas para uma violação e ter um plano de resposta a incidentes preparado para pôr em prática.
DDoS
Nos últimos anos, os hackers têm vindo a utilizar
novas tácticas e os ataques de Distributed Denial of Service (DDoS) têm vindo a crescer em popularidade.
Este tipo de ataque é uma tentativa de tornar um serviço online
indisponível, sobrecarregando-o com enormes volumes de tráfego de
fontes múltiplas para causar grandes danos. Isto pode incluir perda de dados, perda de receitas
, danos à reputação, e perda de clientes.
A indústria hoteleira tornou-se o
alvo favorito dos ataques DDoS porque os hotéis utilizam uma vasta gama de dispositivos,
desde televisores a sistemas de reserva que são todos geridos por computadores e podem ser utilizados para perturbar outros sistemas na infra-estrutura. Em 2017, a cadeia de hotéis Donald Trump's
sofreu um ataque DDoS por parte de hackers, o que levou a que o website
ficasse indisponível durante 12 horas.
Vulneráveis
fornecedores terceiros
As violações de dados causadas por terceiros custam milhões às grandes empresas. De acordo com um inquérito, quase metade (44%) das empresas sofreram uma quebra de dados significativa, que altera os negócios, causada por um fornecedor. Com hotéis que utilizam uma multiplicidade de fornecedores, o sector hoteleiro oferece vastas oportunidades para os hackers lançarem ataques maliciosos. Tudo, desde pontos de venda a sistemas de reservas, gestão de propriedades, recursos humanos, e salários, são potenciais pontos de entrada.
É aqui que as normas de segurança, tais como a ISO 27001, têm um papel importante. A ISO 27001 garante que os vendedores são estabelecidos segundo os mais altos padrões através de processos aprovados e documentados, e estão empenhados no mais alto padrão de segurança da informação.
Como pode a indústria hoteleira manter-se a salvo de ameaças de segurança?
Com a indústria hoteleira cada vez mais propensa a ataques cibernéticos maliciosos, existem várias formas de as organizações poderem combater as ameaças à segurança cibernética:
- Desenvolver uma cultura de formação contínua de sensibilização cibernética entre o pessoal, que adopta uma variedade de métodos envolventes para educar os funcionários sobre o seu papel em manter a sua organização segura e protegida.
- Restringir o acesso ao pagamento ou aos dados pessoais apenas ao pessoal que necessite destas informações para fazer o seu trabalho.
- Utilizar logins individuais e códigos de acesso aos sistemas.
- As organizações devem considerar a utilização de um serviço de protecção DDoS que irá detectar fluxos de tráfego anormais e redireccionar qualquer tráfego DDoS para fora da rede. Outras medidas de segurança incluem a segurança da infra-estrutura da rede através da utilização de uma firewall, VPN, Anti-spam e outras camadas de técnicas de defesa DDoS.
- Assegurar a existência de normas de conformidade PCI. Estas normas fornecem um conjunto de requisitos concebidos para assegurar que todas as empresas que processam, armazenam ou transmitem informações sobre cartões de crédito mantenham um ambiente seguro.
- Instalar e actualizar o software antivírus em todos os dispositivos.
- Nunca clicar em ligações ou descarregar anexos a partir de fontes desconhecidas.
- Não utilizar o Wi-Fi público para conduzir quaisquer actividades comerciais.
- Assegurar que os fornecedores são controlados e que os controlos de acesso são cuidadosamente considerados, uma vez que estes são frequentemente pontos fracos.
- Nunca pague um pagamento de resgate, pois não há garantias de que alguma vez receberá os seus ficheiros de volta.
A MetaCompliance criou amplas soluções de sensibilização para a segurança cibernética. Entre em touch withos nossos Especialistas em Sensibilização para a Segurança para mais informações sobre como podemos ajudar a transformar a formação em Segurança Cibernética dentro da sua organização.