Logiesverstrekkende bedrijven zijn een aantrekkelijk doelwit voor cybercriminelen geworden. Hotels worden immers steeds afhankelijker van digitale technologie. Denk maar aan online reserveringssystemen, betalingsverwerkingen en voorzieningen op de kamer. Dit levert gegevens op zoals namen, emailadressen, mobiele nummers en kredietkaartgegevens die waardevol kunnen zijn voor digitale dieven. Het risico van een succesvolle cyberaanval in een hotel is dus zeker niet hypothetisch. Dat leidt niet alleen tot aanzienlijke financiële verliezen, maar ook tot reputatieschade en vooral het verlies van vertrouwen bij de gasten. Een goede cyberbeveiliging in hotels is dan ook een must.
Fox&Fish Cyberdefense is een bedrijf dat bedrijven helpt bij het voorkomen van cyberbedreigingen en het opzetten van een goede cyberbeveiliging. Het bedrijf heeft een aantal ethisch hackers in dienst, die bij bedrijven audits en penetration testings doen om te zien of de IT-systemen wel op een correcte manier zijn beveiligd tegen ongewenste indringers. Vaak moeten die vaststellen dat er in de bedrijven veiligheidsfouten zitten en dat de risico’s op cyberaanvallen reëel zijn. Reinaert Van de Cruys, Ethical Hacker & Partner Fox&Fish Cyberdefense is stellig: “Bedrijven en hotels vinden het vanzelfsprekend om hun infrastructuur te beveiligen met stevige deuren en goede sloten. Soms wordt er ook geïnvesteerd in toegangscontrole en badges en zelfs camerabewaking. Maar vaak laten ze steken vallen inzake cyberbeveiliging. Ondanks de constante digitalisering en digitale transformatie schenken ze veel te weinig aandacht aan de digitale equivalent van de bedrijfsbeveiliging. Ze laten maar al te vaak hun virtuele deuren openstaan. Met alle gevolgen van dien. Volgens de Cyber Security Barometer van de Vlaamse Overheid blijkt dat momenteel 1 op 8 Kleine en Middelgrote Ondernemingen (KMO’s) wordt gehackt. En dat cijfer ligt waarschijnlijk hoger, want veel bedrijven geven deze problemen (uit schaamte?) niet eens aan. Bovendien stijgt de cybercriminaliteit; het gaat de verkeerde kant op. We zien dat de hackers steeds geavanceerder worden met deepfakes, Artificial Intelligence en noem maar op. Tezelfdertijd merken we op dat de meeste bedrijfsleiders al 15 jaar in dezelfde valkuilen blijven lopen, zoals het slecht omgaan met wachtwoorden of het onvoldoende trainen van hun personeel tegen phishing”.
Wat is een cyberaanval?
In de media spreekt men vaak over een ‘datalek’, waarbij er ongeoorloofde toegang is tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Een datalek op zich heeft impact op vertrouwelijkheid van gegevens. Naast gegevens over natuurlijke personen, zoals klanten of werknemers, kan een datalek uiteraard ook betrekking hebben op bedrijfsgevoelige informatie, zoals commerciële afspraken.
Als er naast het datalek door cybercriminelen ook data worden overgeschreven of servers worden platgelegd, dan is er sprake van een cyberaanval, die ook impact heeft op de integriteit en de beschikbaarheid. Dit is niet alleen het geval wanneer gegevens in handen vallen van personen die geen toegang tot deze gegevens zouden moeten hebben. Ook wanneer gegevens ontoegankelijk zijn gemaakt of verwijderd, of wanneer ze onbevoegd zijn aangepast is er sprake van een cyberaanval.
Tegenwoordig vinden hacks of cyberincidenten vooral plaats als gevolg van een aanval op digitale systemen, bijvoorbeeld door middel van hacking, phishing en/of ransomware. Werknemers worden verleid om op een hyperlink te klikken, een bijlage te downloaden of in een nagemaakt portaal in te loggen. Vervolgens infiltreren criminelen in de computersystemen en worden zoveel mogelijk gegevens gedownload en daarna versleuteld. In ruil voor de decoderingssleutel vragen criminelen losgeld, wie niet betaalt ziet zijn gegevens vaak gepubliceerd worden op internet.
Impact van een cyberaanval op hotels
Ook hotels zijn al herhaalde malen het slachtoffer geweest van een cyberaanval of datalekken. Doordat hackers toegang krijgen tot gevoelige financiële gegevens zoals bankrekeninggegevens en creditcardnummers, kunnen financiële verliezen aanzienlijk zijn. Naast financiële verliezen kan een cyberaanval ook leiden tot reputatieschade en een verlies van vertrouwen bij klanten.
In sommige gevallen kan een cyberaanval ook de dagelijkse activiteiten van een hotel verstoren, wat tot extra kosten en ongemak voor de gasten leidt. Als de systemen van een hotel gecompromitteerd zijn, kan het gebeuren dat een gast geen reserveringen meer kan maken of wijzigen. Ook kunnen gasten soms geen betalingen verrichten. Zo’n situaties zijn enorm frustrerend voor de gasten en kunnen leiden tot een aanzienlijke omzetdaling.
Reinaert Van de Cruys geeft de MGM Hotels als recent voorbeeld op van een hotelketen die zware gevolgen van een cyberaanval moest ondergaan. “MGM Hotels & Resorts in Las Vegas zijn in september 2023 gehackt geweest. Men schat dat de hotelgroep zo’n 100 miljoen dollar heeft verloren aan omzet door het incident en door de herstellingswerken. Op een bepaald ogenblik lag het systeem volledig plat en was het voor de gasten onmogelijk om een hotelkamer of andere faciliteiten online te reserveren. MGM Resorts schakelde dan externe cybersecurityspecialisten in, die de systemen uitschakelden en de data moesten beschermen. Anderhalf week heeft het geduurd vooraleer de dienstverlening grotendeels kon hersteld worden”.
Volgens de ethisch hacker konden de cybercriminelen eenvoudig in de systemen binnen geraken via social engineering. “De hackers gebruikten deze typische manipulatietechniek, door zich voor te doen als een medewerker om te krijgen wat ze wilden. Zo hadden ze gewoon een LinkedIn profiel van een medewerker opgezocht en zich voorgedaan als die persoon. Hierdoor slaagden ze erin om van IT paswoorden los te krijgen om zogenaamd de account van deze persoon te resetten. Na 10 minuten waren ze binnen in het systeem en konden ze alles plat leggen.”
Top drie van de meest voorkomende cyberbedreigingen voor een hotel
Er zijn verschillende cyberbedreigingen waar hotels zich van bewust moeten zijn. Maar volgens Reinaert Van de Cruys moeten hoteliers en IT’ers zich hoofdzakelijk focussen op deze ‘top drie:
- Social Engineering en Phishing
De ethical hacker beklemtoont dat bijna al de incidenten en geslaagde cyberaanvallen gebeuren via Social Engineering: “Negen van de tien incidenten starten met een telefoontje of een email. Medewerkers worden opgebeld of krijgen een phishing-email van hackers die zich voordoen als collega’s of als een legitieme bron. Op die manier wordt het personeel verleid om gevoelige informatie vrij te geven of om malware te downloaden. Het probleem is dat die aanvallen steeds geavanceerder worden, zodat de medewerkers vroeg of laat een fout maken. Als men bijvoorbeeld een bepaald soort e-mail begint te herkennen, verzinnen ze iets nieuws. De nieuwste trend is om te werken met QR Codes. Heel wat spamfilters herkennen dat nog niet, omdat ze dergelijke QR codes zien als een afbeelding. Op die manier wordt een kwaadaardige link niet herkend.”
“We constateren bij die Social Engineering-technieken ook het toenemende gebruik van kunstmatige intelligentie (A.I) en Machine Learning”, gaat Reinaert Van de Cruys verder. “Terwijl vroeger alles met de hand moest geschreven worden, kunnen cybercriminelen nu A.I, zoals ChatGPT, gebruiken om hun aanvallen te automatiseren en op te schalen. Een andere techniek is het gebruik van spraaktechniek. Zo werd eind januari van dit jaar een financieel medewerker van een multinational uitgenodigd in een videocall met deepfakes van collega’s, waarbij zowel beeld als audio werden vervalst. De medewerker werd zo overtuigd om 25 miljoen US dollars over te schrijven. Dergelijke meer geavanceerde cyberaanvallen vormen een enorme uitdaging voor de cybersecurity.” - Wachtwoordaanvallen
Op de tweede plaats van de cyberbedreigingen in een hotel, staan de Wachtwoordaanvallen. Reinaert Van de Cruys: “Bij dit soort aanvallen proberen hackers wachtwoorden te raden of te kraken om zo toegang te krijgen tot gevoelige gegevens van gasten of hotelpersoneel. Het grootste risico is een zwakke authenticatie. Nochtans is authenticatie een essentieel onderdeel van beveiliging in de digitale wereld. Dat zorgt ervoor dat alleen geautoriseerde personen of entiteiten toegang krijgen tot gevoelige informatie of systemen.”
“Een absolute must hierbij, is de tweestapsverificatie”, vervolgt Reinaert Van de Cruys. “Als jij een platform hebt waar je klanten op bijhoudt, je energierekeningen beheert, bestellingen plaatst…; dan moet je daarvoor op het internet inloggen. Ik hoop dan echt dat dat niet gewoon met een gewone gebruikersnaam is. Als je 30 medewerkers hebt die er allemaal op inloggen, dan zijn er 15 slechte wachtwoorden bij en die zijn heel gemakkelijk kwijt gespeeld aan hackers. Hotels en andere bedrijven worden meestal gehackt omdat ze een slechte authenticatie hebben en geen apps hebben om een tweestapsverificatie te doen. Een (zwak) wachtwoord alleen is echt niet betrouwbaar, zeker niet als het gaat over het loginportalen op het internet, waar een hacker ook aan kan.” - Slecht beveiligde toestellen
Een derde probleem zijn slecht beveiligde toestellen. Vooral toestellen aan de balie zijn kwetsbaar, omdat verschillende mensen daar op werken. Veel hackerincidenten ontstaan juist omdat medewerkers onbewust daarop kwaadaardige software downloaden. In principe zou dat moeten onderschept worden door antivirus-systemen, maar dan moet men regelmatig updates installeren. En daar wringt het schoentje.
Hotelkamersloten en badges kunnen ook een probleem vormen. Toch relativeert Reinaert Van de Cruys dit probleem enigszins. Hackers kunnen hiermee geen gegevens stelen of er een hotel mee plat leggen. Ze kunnen wel in de kamers binnendringen, maar men moet hiervoor wel ter plaatse komen, met risico op betrapping op camerabeeld. Ondanks het feit dat het kraken van elektronische hotelkamersloten spraakmakend kan zijn, omschrijft de ethische hacker dit eerder als een ‘klein risico’.
We merken dat de meeste bedrijfsleiders al 15 jaar in dezelfde valkuilen blijven lopen, zoals het slecht omgaan met wachtwoorden – Reinaert Van de Cruys, Fox&Fish Cyberdefense
Hoe wordt een hotel minder kwetsbaar voor cyberaanvallen?
Volgens Reinaert Van de Cruys moeten hotels verschillende stappen ondernemen om minder kwetsbaar te worden voor hackers en digitale dieven. Zo raadt hij een audit aan, waarbij cyberdefense-specialisten ter plaatse gaan om na te gaan wat de problemen zijn. De ethisch hacker stelt vast dat de meeste hoteliers op het vlak van cyberbeveiliging wel inspanningen doen, maar dat ze vaak niet weten welke apparaten en toestellen er zijn. Bovendien blijkt steeds maar weer dat de medewerkers de zwakste schakel zijn van de cyberdefense. Volgens hem is een medewerkerstraining dan ook broodnodig.
Reinaert Van de Cruys denkt dat hoteliers best een aantal stappen volgen om de deur voor cybercriminelen dicht te gooien. Train de medewerkers, stel het authenticatiesysteem op punt, beveilig de software, de toestellen en de wifi beter en tenslotte: toon de nodige veerkracht en voorzie een plan als het toch fout loopt.
- Train de hotelmedewerkers
“Social Engineering en phishing is het grootste gevaar. Awareness Training bij de werknemers is dus het eerste dat we moeten doen. Die mensen hebben Login-gegevens en werken op toestellen die overal zijn aangemeld. Als die bovendien zo maar op alles klikken en telefoons krijgen, dan is dat vroeg of laat om problemen vragen. Het is dus zeer belangrijk dat ze bewust worden voor het gevaar van hacking. Daarom is het aangewezen om de werknemers te trainen over hoe ze cyberaanvallen, zoals phishing e-mails en malware kunnen herkennen en voorkomen.” - Gebruik een tweestapsverificatie
“We kunnen het niet genoeg benadrukken: gebruik een tweestapsverificatie. Dat is echt de norm in 2024 en is een essentiële beveiligingsmaatregel om je online accounts te beschermen tegen ongeautoriseerde toegang. Het voegt een extra laag beveiliging toe door te vereisen dat je niet alleen een wachtwoord invoert, maar ook een tweede verificatiemethode gebruikt om je identiteit te bevestigen. Dit maakt het veel moeilijker voor hackers om toegang te krijgen tot je accounts, zelfs als ze je wachtwoord hebben gekraakt. Er zijn verschillende manieren om tweestapsverificatie in te stellen. Het meest gebruikte zijn SMS-codes. Na het invoeren van het wachtwoord, ontvang je dan een code via SMS op de smartphone. Deze code moet je dan invoeren op de website of app om toegang te krijgen tot de account.” - Gebruik sterke wachtwoorden
“Gebruik complexe wachtwoorden die voor hackers moeilijk te achter-
halen zijn. Moedig uw werknemers aan hetzelfde te doen voor hun persoonlijke apparaten.” - Werk software en beveiligingssystemen regelmatig bij
“Zorg ervoor dat alle toestellen, software en beveiligingssystemen up-to-date zijn. Vergeet ook niet de wifi-netwerken te beveiligen. Installeer firewalls en antivirussoftware om de toestellen te beveiligen tegen bedreigingen van buitenaf. Werk deze systemen regelmatig bij om ervoor te zorgen dat ze effectief zijn.” - Voorzie noodplan
“Je hebt een plan nodig als het dan toch fout gaat. Ook als het hotel gehackt is, is nog niet alles verloren. Wie snel en juist reageert, kan de impact decimeren. Daarom is het belangrijk om te weten wat je moet doen en wie je moet contacteren, als het systeem plat valt. Als je dan nog moet googelen om te zien wie je moet bellen, verlies je kostbare tijd”, geeft Reinaert Van de Cruys nog mee.
Tekst Peter Van Oyen