Hotel Cybersecurity framework è una delle nuove tendenze del momento.
Ad ogni miglioramento della tecnologia equivale, sempre, un aumento proporzionale delle minacce. Questo coinvolge moltissimi settori, tuttavia, tra quelli prediletti dai criminal hacker hacker, al di là di banche e siti governativi, c’è il settore alberghiero. Ogni anno gli albergatori vanno incontro a pesanti minacce e spesso perdite dovute ad attacchi hacker, e ogni anno queste minacce e perdite non fanno che aumentare.
Dal 2015 le minacce Cybercrime relative al mondo “vacanze” sono in continua escalation.
Uno studio dell’FBI aveva indicato che il numero di attacchi informatici nel 2015 era di circa 4.000 al giorno, praticamente 4 volte in più rispetto al 2014. Con il passare degli anni i casi che hanno impattato la sicurezza informatica degli Hotel sono aumentati costantemente.
Il motivo?
I Criminal Hacker prendono di mira il mondo hotel e i portali di prenotazione perché dispongono delle nostre informazioni e anche delle nostre carte di credito.
Gli hotel di fatto rappresentano un luogo ideale per qualsiasi criminale: una grande mole di dati, tante transazioni con le carte di pagamento e livelli di sicurezza informatica sicuramente più abbordabili (a volte anche assenti) rispetto ad una banca.
È di qualche settimana fa la notizia che il Prince Hotels in Giappone è stato hackerato subendo un Data Breach che ha visto coinvolti i dati di oltre 124.000 clienti.
Il mese scorso la notizia più clamorosa è stata l’attacco informatico subito da Fastbooking, una azienda che fornisce la piattaforma di servizi di prenotazioni. Praticamente fornisce/gestisce il software e portale che ci permette di effettuare le prenotazioni online direttamente su alcuni siti web degli hotel.
Per intenderci, Fastbooking di fatto gestisce oltre 1.000 strutture ricettive distribuite su oltre 100 paesi.
Nel 2017, la stessa InterContinental Hotels Group, che gestisce oltre 5.000 hotel in tutto il mondo, tra cui Holiday Inn, ha subito un Data Breach che ha compromesso un numero non precisato di ospiti.
Ma l’InterContinental non è il solo e purtroppo è in buona compagnia: Kimpton Hotels & Restaurants, Starwood Hotels & Resorts Worldwide (Marriott International), Hyatt Hotels Corporation, Hilton, Trump Hotels, Mandarin Oriental Hotel Group e White Lodging Services.
Hotel CyberSecurity: Perché gli hotel?
Non sarebbe più remunerativo attaccare il sito di una banca? Sì e no. Cioè, diamo per assodato che facciano anche quello, è solo che gli hotel, in ogni caso, si pongono molto in alto nella classifica delle vittime preferite dagli hacker. Questo perché? Beh, tanto per cominciare, al di là delle risorse dell’hotel in questione (è chiaro che ad esempio l’Hilton potrà spendere molto di più rispetto al B&B del paese di provincia), la protezione contro i cyber-attacchi, nel settore alberghiero, non è altrettanto difficile da bypassare.
Ma non è solo una questione di semplicità. Gli hotel, come tutti i settori, del resto, nel corso degli anni hanno cominciato ad affidarsi sempre di più alla tecnologia, il che chiaramente comporta degli enormi vantaggi, ma pone anche di fronte a enormi rischi. Un hotel medio gestisce praticamente tutto online, dalle prenotazioni, alle transazioni economiche, passando per conti e bilanci, per non parlare poi della video sorveglianza.
Il primissimo rischio che viene in mente quando si parla di attacchi hacker agli hotel è che i cyber-criminali possano rubare i dati di pagamento degli ospiti, ma i problemi vanno molto più in là. Un cyber-attacco, per un hotel, non è soltanto motivo di blocco temporaneo dei sistemi, ma anche un chiaro rischio di compliance legislativa legato alla GDPR ma anche di caos: ad esempio, lo scorso anno un gruppo di hacker ha preso di mira un lussuoso albergo austriaco; ha ottenuto accesso al sistema che controlla le chiavi delle camere, e ha lasciato fuori più di 180 ospiti. L’hotel ha dovuto pagare un riscatto molto cospicuo per riportare la situazione alla normalità.
Questo è il minimo. Ottenendo l’accesso ai sistemi, un hacker qualunque può mettere a rischio non soltanto la tranquillità degli ospiti, ma anche la loro sicurezza, proprio perché la gran parte delle procedure in albergo sono automatizzate.
Le minacce principali a cui gli hotel sono posti in questi casi sono 6.
Hotel Cybersecurity: Le 6 minacce alla cyber-security degli hotel
Scopriamo quali sono le principali minacce al Hotel Cybersecurity framework:
- Phishing
- Ransomware
- DDoS
- Point of Sale (POS)
- DarkHotel
- Furto d’identità
Hotel Cybersecurity: Phishing
È un attacco a cui siamo più o meno tutti abituati, anche perché lo subiamo pressoché giornalmente. I cyber-attacchi di tipo phishing sono volti al furto di dati attraverso l’invio di e-mail apparentemente sicure. In sostanza, nella spam che riceviamo, potenzialmente, ci sono quasi solamente tentativi di phishing. È rischioso perché non sempre il provider di posta elettronica riesce a filtrarli, quindi magari queste mail appaiono come sicure. Di solito in queste e-mail l’utente è invitato a condividere delle informazioni che, il più delle volte, riguardano i dati bancari.
Fondamentalmente è il trucco più vecchio del web. Tuttavia, negli anni anche i tentativi di phishing sono diventati più sofisticati, e se prima era facile distinguere le mail infette perché corredate di evidentissimi errori grammaticali e in quanto provenienti da indirizzi e-mail chiaramente falsi, a oggi è sempre meno semplice individuarli. I tentativi di phishing colpiscono gli alberghi rubando i dati degli utenti, esponendoli a rischi che vanno dalla frode bancaria ai ricatti.
Hotel Cybersecurity: Ransomware
È la versione informatica del rapimento. Come dice la parola stessa, un ransomware è un attacco hacker a scopo di riscatto (in inglese “ransom”, per l’appunto). I cyber-criminali in questo caso prendono il controllo del sistema, lo “rapiscono”, e ricattano l’utente preso di mirare affinché paghi, in denaro vero, sonante, per riavere indietro i suoi dati e il controllo del suddetto sistema. Gli hotel sono particolarmente a rischio in questi casi, in quanto negli ultimi anni il numero di operazioni digitali è drasticamente aumentato: al di là del database e delle prenotazioni, bisogna considerare anche gli accessi elettronici delle camere degli Hotel. È per questo che gli albergatori sono arrivati a pagare più di 17mila dollari agli hacker.
Hotel Cybersecurity: DDoS
Il DDoS è un tipo di attacco molto diffuso, in quanto abbastanza semplice, seppure dispendioso in termini di energia, in quanto necessita di diversi indirizzi IP: gli hacker più esperti possono crearne pacchetti falsi, i principianti necessitano di più dispositivi. DDoS sta per Distributed Denial of Service. Un attacco hacker di questo tipo si pone come scopo la saturazione del sistema attraverso l’invio di ripetute e invasive richieste, fino a mandarlo in tilt, bloccandolo quasi del tutto. In un hotel, specie se di alto livello, molti sistemi sono elettronici: dalle telecamere di sorveglianza ai più semplici irrigatori. Considerato ciò, riuscire a impedire al sistema di funzionare metterebbe in crisi l’intera gestione dell’hotel.
Hotel Cybersecurity: Point of sale (POS)
Un altro attacco dei più classici sul web: il furto di dati bancari. La differenza però qui sta nel fatto che, in realtà, l’hacker in questo caso non attacca il sistema operativo dell’hotel di per sé, quanto invece quello del servizio bancario. Per Point of Sale, infatti, più comunemente noto come POS, che tra l’altro in Italia è diventato obbligatorio dall’anno scorso, s’intende il dispositivo elettronico con cui vengono effettuati i pagamenti tramite carta di credito e carta prepagata. Poiché l’attacco è a una parte terza, in teoria l’hotel non dovrebbe avere responsabilità, ma è chiaro che, di fatto, la pubblicità che ne verrà fuori, specie se poi vengono coinvolti i media, sarà pessima.
Hotel Cybersecurity: DarkHotel
DarkHotel è uno spyware, ovvero un software infetto che punta all’acquisizione di dati in modo fraudolento, nato nel 2007 come tentativo di phishing. Negli anni, naturalmente, è andato migliorandosi, il che gli ha concesso di superare le sue stesse origini: a differenza dei tentativi di phishing, infatti, DarkHotel, chiamato così perché creato appositamente per attaccare i server degli hotel, non usa le e-mail, ma direttamente la connessione Wi-Fi: l’hacker in questo caso inietta un codice malevolo nei server dell’hotel, così che nel momento in cui l’ospite usa il Wi-Fi, gli viene suggerito di scaricare un software apparentemente sicuro. Nella categoria dei DarkHotel come Hotel Cybersecurity risk dobbiamo anche elencare tutte le possibili minacce relative ai WI-FI sicuro.
Stiamo parlando dei seguenti rischi/minacce:
- Wi-Fi senza Password
- Attacchi MitM ( Man in the Middle)
- Punti di Accesso Rogue ( falsi WI FI esca, es: WI Fi con il nome della struttura)
- Evil Twin ( viene clonato il WI FI ufficiale della struttura)
- Ad Hoc ( attacco alle reti P2P)
- Configurazione di default del Wi-FI
Hotel Cybersecurity: Furto d’identità
L’informazione è potere. Se poi essa viene servita su un piatto d’argento, beh, è anche più facile approfittarne. Uno dei più grossi rischi a cui gli hotel vanno incontro a livello informatico sono i furti d’identità, in quanto per un hacker, come abbiamo menzionato, non è poi tanto complicato appropriarsi dei dati degli ospiti.
Hotel CyberSecurity: Come proteggersi
Come abbiamo descritto è diventato necessario ed indispensabile che il settore Hospitality debba adottare un Hotel Cybersecurity framework che permetta la corretta gestione e tutela del proprio business e dei dati dei propri dipendenti.
Questa necessità è indispensabile tenuto conto anche degli aspetti di compliance legislativa relativi alla nuova disposizione privacy GDPR.
Hotel Cybersecurity: Vulnerability Assessment
E’ necessario prevedere una attività periodica di Vulnerability Assessment della propria infrastruttura al fine di identificare le possibili vulnerabilità presenti. L’attività di vulnerability scanner permette di identificare, analizzare e risolvere le criticità presenti sui siti web e applicazioni web.
Hotel Cybersecurity: Network Scan
Il Network scan effettua la verifica di sicurezza dell’infrastruttura informatica e dei dispositivi dell’Hotel al fine di misurare il livello della sicurezza informatica. In particolare permette di identificare le vulnerabilità e criticità di sicurezza. L’ Analisi delle criticità ha l’obiettivo di livelli di rischio e indicare le azioni correttive. L’analisi del rischio tecnologico è un requisito obbligatorio previsto dalla disposizione legislativa della privacy europea GDPR
Hotel Cybersecurity: SIEM
Esiste il SIM (Security Information Management), ovvero il sistema che gestisce la sicurezza informatica dell’hotel; poi c’è il SEM (Security Events Management), che è la stessa cosa, ma concentrata sugli eventi sospetti. E poi c’è il SIEM (Security Information and Events Management), che è una combinazione dei due. Un aggiornamento costante del SIEM è molto importante per la sicurezza degli alberghi, in quanto questo sistema non solo è più potente rispetto a SIM e SEM separati, ma, tra le altre cose, è in grado di correlare diversi eventi, così da avere un quadro più ampio della situazione. Inoltre fornisce dati sulla situazione in tempo reale, e l’admin viene immediatamente notificato se si verifica un qualunque evento sospetto.
Hotel Cybersecurity: Formazione Dipendenti
L’abbiamo visto col phishing, basta molto poco per accedere a un account amministrativo, e dopotutto errare è umano. Una maggiore consapevolezza però non guasta mai, per questo è essenziale istruire gli impiegati sulle procedure di sicurezza informatica, che sono altrettanto importanti di quelle di emergenza. L’attività di formazione è anche un obbligo di legge della stessa GDPR.
Hotel Cybersecurity: Antivirus
Basta veramente poco per provocare una falla nel sistema, perciò è essenziale che le misure di sicurezza siano sempre aggiornate e comprendano ogni singolo aspetto della gestione. Questo significa che va installato un antivirus non soltanto sui computer dell’albergo, ma anche sugli smartphone aziendali, i tablet e qualunque altro dispositivo. Se poi i dipendenti volessero fare un passo in più e installarlo anche sui dispositivi propri, quantomeno quelli che portano a lavoro, non sarebbe proprio una cattiva idea.
Hotel CyberSecurity: PCI-DSS
PCI (Payment Card Industry) è lo standard di sicurezza voluto dall’associazione omonima di produttori di carte di credito. Aderire è un requisito essenziale per adoperare questo tipo di pagamento, ma è anche molto importante per assicurarsi che gli ospiti siano sicuri da questo punto di vista
Hotel Cybersecurity: GDPR
La nuova disposizione legislativa della privacy europea GDPR, impone a tutte le aziende e quindi anche al mondo dell’Hospitality di:
- Effettuare un GDPR Assessment: al fine di determinare gli scostamenti e redigere il piano di azione in termini di adeguamento.
- Redigere il Registro Traattamento dei dati: al fine di dimostrare la consapevolezza dei dati trattati.
- Effettuare l’analisi del Rischio o Data Protection Impact Analysis:
- Analisi del Rischio Tecnologico ( Vulnerability Assessment e Network Scan degli asset tecnologici)
- Analisi del Rischio Organizzativo
- Governance: al fine di determinare i Responsabili, DPO ( eventuale) e Addetti al Trattamento
- Informative Privacy: Redigere le nuove informative Provacy al fine di dimostrare la liceità dei trattamenti
- Formazione : al fine di sensibilizzare e formare i propri dipendenti
Hotel Cybersecurity Framework
Swascan ha le competenze ed esperienze necessarie per costruire l’Hotel Cybersecurity framework idoneo per le aziende del mondo Hospitality grazie ai suoi servizi di Security Management e alla piattaforma tecnologica di Vulnerability Assessment e Network Scan.