Sicurezza. La Cyber Security negli Hotel: come affrontare il problema
Negli anni recenti gli hotel si sono affidati sempre di più alla tecnologia, con enormi vantaggi ma anche con grandi rischi. Un cyber-attacco non è soltanto motivo di blocco temporaneo dei sistemi ma anche un rischio di compliance legislativa legato alla GDPR
di Gabriele Gneri
Nel 2018 a seguito di una serie di controlli informatici, Marriott si accorse che c’era stata una violazione del data base informatico portato ai danni del sistema di prenotazione dei brand di Starwood (che Marriott aveva da poco acquisito); l’attacco informatico che era iniziato 4 anni prima non era stato rilevato da nessuno ed aveva portato (si scoprirà in seguito) alla sottrazione di oltre 500 milioni di record dei clienti contenenti in moltissimi casi, informazioni sensibili come le date dei soggiorni, gli accompagnatori, le loro preferenze, i dati dei loro strumenti di pagamento e numerose informazioni personali che Starwood raccoglieva mediante il programma fedeltà SPG e mediante il sistema gestionale. Questa violazione, che è passata alla storia come una delle violazioni dati più importanti e vasta degli ultimi anni, è costata a Marriott una multa salatissima (circa 24 milioni di dollari) e un’ enorme perdita di immagine che ha anche avuto ripercussioni sul valore del brand.
Questa storia ha insegnato a tutti che gli hotel sono purtroppo fonte di interesse per gli hacker che con i dati prelevati dai sistemi gestionali e di prenotazione degli hotel possono compiere diverse tipi di frodi e attività illegali, pensiamo per esempio ai dati delle carte di credito alle informazioni anagrafiche che potrebbero essere utilizzate per eventuali furti di identità o ai ricatti (per decriptare i dati) portati ai danni dei gestori delle strutture ricettive.
Se da un certo punto di vista gli hotel indipendenti possono ritenersi più sicuri, per l’esigua quantità di dati raccolti rispetto alle grandi catene e perché di solito utilizzano tecnologia fornita da operatori specializzati (PMS, booking engines, channel manager, sistemi di CRM etc…) che normalmente investono e fanno attenzione ai protocolli di sicurezza informatica, occorre ricordare che gli attacchi ai danni di hotels indipendenti sono aumentati in modo esponenziale anche perché difficilmente i piccoli hotel riescono ad avere un consulente IT preparato per affrontare questi rischi.
Ma quali sono gli attacchi più diffusi e quali sono i loro punti di accesso?
I metodi e le tecniche utilizzate per le violazione dei dati (data breach) possono essere diverse, tra le più frequenti troviamo :
- Il phishing: sono di solito mail che hanno l’apparenza di operatori web conosciuti e da noi frequentati utilizzate per carpirci l’identità e le credenziali di accesso.
- Il Ransomware: una tecnica attraverso il quale vengono criptati i dati del pc e resi illeggibili alla quale segue una richiesta di riscatto (per liberare i nostri dati).
- Lo spoofing: è un tipo di attacco informatico che impiega in varie maniere la falsificazione dell’identità.
- I Malware: l’immissione nei nostri pc di stringhe di programmi che hanno lo scopo di impossessarsi delle nostre informazioni spesso veicolati attraverso link ingannevoli.
- Forzature dei sistemi: quando vengono utilizzati sistemi per trovare la pass word oppure
- Social engeneering: una tecnica sofisticata che presuppone l’individuazione di un soggetto utile (magari un nostro dipendente) da colpire mediante lo studio delle tracce informatiche da lui lasciate in rete allo scopo di accedere alle sue informazioni e password.
Tra i punti più sensibili agli attacchi informatici di una struttura ricettiva abbiamo sicuramente i P.O.S i “point of sale” che sono i sistemi attraverso i quali vengono raccolti i pagamenti dei clienti. I P.O.S infatti contengono informazioni dei mezzi di pagamento che sono particolarmente interessanti per i male-intenzionati; anche le reti-Wi-Fi spesso poco protette o addirittura utilizzate dai collaboratori per collegarsi possono essere una porta di accesso ai nostri preziosi dati; anche lo staff con il suo comportamento potrebbe essere fonte di pericolo per i nostri dati mediante comportamenti distratti o addirittura vietati pensiamo alla condivisione delle password di accesso ai sistemi o al fatto che potrebbero non essere formati abbastanza per individuare una mail o un link fasullo.
Come abbiamo visto per il caso Marriott, quando siamo oggetto di tali attacchi (ormai abbastanza frequenti) le conseguenze che affrontiamo sono di natura diversa:
- la perdita di reputazione aziendale che può trasformarsi in un attacco social ed avere come conseguenza anche la perdita del valore del nostro brand, i clienti si sentono traditi e non tutelati e ci abbandonano;
- conseguenze legali che sono quelle rappresentata dalle responsabilità che il GDPR ci attribuisce per cui l’albergatore risponde per non essere stato in grado di tutelare con ogni mezzo possibile i dati dei propri clienti;
- conseguenze monetarie, legate alle multe che possono esserci comminate o dalle eventuali cause per danni ricevute dai clienti;
- i costi per ripristinare i sistemi danneggiati e coprire le spese di riposizionamento sul mercato;
Come si può capire la questione della cyber-security è di fatto una nuova priorità che ci troviamo ad affrontare e che merita sicuramente la nostra attenzione come imprenditori e come tenutari dei dati dei nostri clienti.
Ma come è possibile affrontare il tema senza perdersi?
Lo abbiamo chiesto a Nelson Marin – Senior Security Advisor, esperto di tematiche di sicurezza con un importante trascorso nel settore dell’hospitality di cui riportiamo alcuni suggerimenti:
“Innanzitutto occorre conoscere gli obblighi di legge acui sono soggetti gli operatori alberghieri circa la protezione dei dati personali dei loro clienti (vedi regolamento europeo sulla protezione dei dati – the General Data Protection Regulation / GDPR – e conseguente normativa italiana – Codice Privacy).
La normativa europea e nazionale prescrivono infatti l’adozione obbligatoria di misure di sicurezza, sia fisiche che logiche/procedurali ed organizzative, per la tutela delle informazioni pertinenti appunto ai clienti, ma possibilmente anche relativamente a fornitori/terzi in generale, che, per vari motivi, entrano in contatto con l’hotel (che assume quindi il ruolo di titolari del trattamento dei dati per specifiche finalità del trattamento dei dati personali)”.
“Per poter proteggere efficacemente i dati personali dei clienti che vengono trattati dall’hotel è necessario adottare un approccio sistemico/organico alla sicurezza, corredato quindi di politiche, procedure, ruoli organizzativi ben delineati ed eventuali conseguenti nomine (es. RTD/ Responsabile del Trattamento dei dati – DPO/ Data Protection Officer, come da GDPR), formazione/sensibilizzazione del personale, nonché contromisure di tipo tecnico.
Un utile guida per impostare correttamente tale attività si può rinvenire anche nella normativa ISO 27001 (standard internazionale sulla sicurezza delle informazioni)”.
In sintesi occorre affrontare il tema in modo organico, facendosi aiutare da professionisti e tecnici qualificati per poter scrivere e diffondere procedure e buone pratiche, coinvolgendo attivamente tutto il personale.
Link utili per approfondimenti: https://www.cloudbeds.com/articles/hotel-security-data-breach/
https://www.garanteprivacy.it/temi/cybersecurity/misure-di-sicurezza
Ogni testo è redatto da l’Albergo, proprietario dei diritti di proprietà intellettuale.
Qualunque riproduzione, anche parziale è vietata, così come l’utilizzo del logo senza preventiva autorizzazione scritta è perseguito a termini di legge.