Besöksnäringen står inför stora säkerhetshot, vilket gör den till ett naturligt mål för cyberbrottslingar på grund av värdet och mängden personligt identifierbar information som dessa organisationer innehar. Detta, tillsammans med en stor arbetsstyrka, ger stora möjligheter för inkräktare att infiltrera bokningssystemet eller den interna restaurangens kassasystem för att fånga kritiska kunddata.
Det har förekommit ett otal dataintrång inom hotellbranschen. Marriott, Radisson Hotel Group, InterContinental, Four Seasons och Hilton Hotels är bara några av de stora företag som har hamnat i rubrikerna de senaste åren till följd av en datasäkerhetsattack.
Idag nämns Marriott ofta som en av de största dataintrång som någonsin inträffat, vilket resulterade i böter på mer än 120 miljoner dollar. Dessa grundläggande säkerhetsbrister orsakar dock inte bara förödande ekonomiska förluster, utan kostar också organisationer deras rykte, jobb, investeringar och affärer. Förra året konstaterade PwC:s rapport Hotels Outlook att hotell- och restaurangsektorn hade det näst största antalet intrång i cybersäkerheten efter detaljhandelssektorn.
Branschen har genomgått ett stort skifte under de senaste åren och många hotell har blivit helt digitaliserade i ett försök att vinna konkurrensfördelar och hålla jämna steg med resebyråer på nätet som Expedia och Hotels.com. Som ett resultat av detta använder dessa organisationer nu den senaste tekniken, t.ex. bokningsappar, betalningssystem och komplexa företagsnätverk, vilket ökar sannolikheten för en attack. Samtidigt fortsätter cyberlandskapet att utvecklas snabbt och hotellföretag står inför ett antal vanliga hot.
Olika typer av säkerhetshot inom hotell- och restaurangbranschen
Phishing
Majoriteten av alla cyberattacker kan
spåras tillbaka till ett phishing-e-postmeddelande som lurar offret att lämna ut sina
-uppgifter eller ladda ner skadlig skadlig kod. Phishing är fortfarande den mest populära
sociala ingenjörsattacken på grund av dess höga framgångsfrekvens. I en undersökning som Intel genomförde konstaterades att 97 % av säkerhetsexperterna misslyckas
med att identifiera nätfiske från äkta e-post. Förra året riktades ett antal
hotell och pensionat på Booking.com mot nätfiske
, vilket ledde till att användarna av webbplatsen fick e-postmeddelanden där de uppmanades att
lämna betalningsuppgifter.
Men det är inte bara skadliga e-postmeddelanden som
använder för att lura människor att klicka på länkar eller lämna ut känslig information.
En annan vanlig taktik som används av brottslingar är att skapa falska webbplatser
för att lura offren att lämna in känslig information. De kriminella lägger
mycket tid på att få webbplatsen att verka så trovärdig som möjligt och få den att verka
nästan omöjlig att skilja från den riktiga webbplatsen.
Enligt American Hotel and Lodging Association påverkas cirka 55 miljoner hotellbokningar på
av bedrägliga webbplatser och callcenter som utger sig för att vara hotellwebbplatser på
.
Vad är ransomware och hur kan man stoppa det? MetaCompliance
2017 drabbades
Romantik
Seehotel Jaegerwirt, ett österrikiskt lyxhotell, av en attack med utpressningstrojaner
som stängde ute gäster och hotellanställda från gästrummen tills hotellets ledning
betalade den begärda lösensumman - två Bitcoins, eller cirka 1 800 dollar. Efter att
attacken fick rubriker tvingades många hotell att ompröva hur de ska skydda
sig mot framtida cyberattacker.
Det är oroväckande att utpressningstrojaner håller på att utvecklas till en ny typ av hot (
) där cyberkriminella inte bara krypterar data utan också stjäl
och hotar att släppa ut dem på internet. Detta utsätter
organisationer för skadliga offentliga dataintrång och de därmed sammanhängande rättsliga,
ekonomiska och ryktesmässiga konsekvenserna.
Under 2019 skickade 205 280 organisationer in filer som hade hackats i en utpressningsattack, vilket är en ökning med 41 % jämfört med året innan, enligt en färsk rapport. När det gäller att försvara sig mot ransomware inom hotell- och restaurangbranschen måste företag alltid vara beredda på ett intrång och ha en incidenthanteringsplan förberedd att sätta i verket.
DDoS
Under de senaste åren har hackare använt
nya taktiker och DDoS-attacker (Distributed Denial of Service ) har
ökat i popularitet. Denna typ av angrepp är ett försök att göra en
onlinetjänst otillgänglig genom att överväldiga den med enorma trafikvolymer från
flera olika källor för att orsaka stor skada. Det kan handla om förlust av data, förlust av
intäkter, ryktesspridning och förlust av kunder.
Hotellbranschen har blivit
favoritmål för DDoS-attacker eftersom hotell använder en mängd olika enheter,
från TV-apparater till bokningssystem, som alla hanteras av datorer och som kan
användas för att störa andra system i infrastrukturen. År 2017 utsattes Donald Trumps
hotellkedja för en DDoS-attack från hackare som ledde till att webbplatsen
var otillgänglig i 12 timmar.
Sårbar
tredjepartsleverantörer
Dataintrång som orsakas av tredje part kostar miljoner för stora företag. Enligt en undersökning har nästan hälften (44 %) av företagen drabbats av ett betydande dataintrång som förändrat verksamheten och som orsakats av en leverantör. Eftersom hotellen använder sig av en mängd olika leverantörer erbjuder hotellsektorn stora möjligheter för hackare att genomföra illasinnade attacker. Allt från försäljningsställen till bokningssystem, fastighetsförvaltning, personalresurser och löner är potentiella inkörsportar.
Det är här som säkerhetsstandarder som ISO 27001 spelar en viktig roll. ISO 27001 garanterar att leverantörerna uppfyller de högsta standarderna genom godkända och dokumenterade processer och att de har åtagit sig att tillämpa den högsta standarden för informationssäkerhet.
Hur kan hotell- och restaurangbranschen skydda sig mot säkerhetshot?
Eftersom hotellbranschen är alltmer utsatt för cyberattacker finns det ett antal sätt för organisationer att bekämpa hot mot cybersäkerheten:
- Utveckla en kultur av kontinuerlig utbildning i cybermedvetenhet bland personalen, där man använder olika engagerande metoder för att utbilda de anställda om deras roll när det gäller att hålla organisationen säker och trygg.
- Begränsa tillgången till betalningsuppgifter eller personuppgifter till den personal som behöver informationen för att utföra sitt arbete.
- Använd individuella inloggningar och åtkomstkoder till systemen.
- Organisationer bör överväga att använda en DDoS-skyddstjänst som upptäcker onormala trafikflöden och omdirigerar DDoS-trafiken bort från nätverket. Andra säkerhetsåtgärder är att säkra nätverksinfrastrukturen med hjälp av brandväggar, VPN, antispam och andra lager av DDoS-försvarstekniker.
- Se till att standarderna för PCI-överensstämmelse finns på plats. Dessa standarder innehåller en uppsättning krav som är utformade för att se till att alla företag som behandlar, lagrar eller överför kreditkortsinformation upprätthåller en säker miljö.
- Installera och uppdatera antivirusprogram på alla enheter.
- Klicka aldrig på länkar eller hämta bilagor från okända källor.
- Använd inte offentligt Wi-Fi för att bedriva affärsverksamhet.
- Se till att leverantörerna är granskade och att åtkomstkontrollerna är noggrant övervägda, eftersom dessa ofta är svaga punkter.
- Betala aldrig en lösensumma eftersom det inte finns någon garanti för att du någonsin får tillbaka dina filer.
MetaCompliance har skapat omfattande lösningar för medvetenhet om cybersäkerhet. Kontaktavåra specialister på säkerhetsmedvetenhet för mer information om hur vi kan hjälpa till att förändra cybersäkerhetsutbildningen inom din organisation.
