Voor het verwerken van betalingen is een gecertificeerde beveiliging een absolute noodzaak. Maar wat als een medewerker vervolgens ingaat op een phishing mail of een telefoongesprek met een robot? Dan is er vaak geen technisch vangnet dat misbruik van gegevens voorkomt. Toch sta je als hotel niet machteloos. Meer veiligheidsbewustzijn helpt, zegt security officer Johannes Werkman van VSA.
“Het kat-en-muisspel met de digitale onderwereld gaat iedere dag door. Heb je vandaag je veiligheid op orde, morgen kan het anders zijn. Met alleen technische oplossingen ben je er niet. Gedrag is minstens zo belangrijk. Tussen de tachtig en negentig procent van alle aanvallen wordt veroorzaakt door onveilig klikgedrag en het bezoeken van onveilige websites”, zegt Johannes Werkman. Als security officer bij VSA is hij gespecialiseerd in hotelautomatisering en kent hij hotelorganisaties van binnenuit. “Als ik aandring op betere beveiliging, krijg ik nog wel eens de reactie: ‘Ik heb niets te verbergen.’ Dan zeg ik: Je hebt iets heel belangrijks te verbergen: je identiteit. Je wilt niet dat een ander namens jou je gast benadert en vraagt om betalingen te doen, zoals een bekend boekingsplatform overkwam. Criminelen hebben het vertrouwen gewonnen van hotelmedewerkers en inloggegevens op het platform buitgemaakt. Dat is hoe misbruik begint. Niet door een hack van het boekingsplatform, maar doordat een hotelier niet voorzichtig genoeg is geweest met inloggegevens.”
AI neemt misleiding over
Tot nu toe zijn hotels niet vaak een primair doelwit voor hackers. Werkman: “Ik verwacht dat gerichte aanvallen op hotels meer gaan voorkomen. Bijvoorbeeld met phishingmails over onderwerpen die in het hotel vaak voorkomen, zoals de vraag om een reservering te bevestigen, waarbij je opnieuw moet inloggen of om een betaling opnieuw te doen, omdat deze fout zou zijn gegaan. De nieuwe betaling gaat uiteraard naar een malafide website. Als in zo’n mail ook staat dat er haast bij is, dan is de kans groot dat iemand daar in de hectiek van de dag een keer intrapt.” Nog moeilijker wordt het als AI de misleiding gaat overnemen. “Ik ken er in mijn eigen omgeving nog geen voorbeelden van, maar het gaat een keer gebeuren dat je denkt een bekende aan de lijn te hebben, terwijl die stem door AI is gegenereerd. Als een vertrouwde stem vraagt om een wachtwoord te resetten of geld over te maken, dan wordt het nog moeilijker om gezond wantrouwen te behouden.”
Twintig seconden lezen
De belangrijkste tip om de phishing-val in een mailbericht te ontwijken ontleent Werkman aan een bekend hygiënevoorschrift. “Je moet twintig seconden je handen wassen met zeep om er zeker van te zijn dat ze schoon zijn. Als je die tijd ook neemt voor het lezen van een mailtje, kun je veel ellende voorkomen. Wat staat er nou eigenlijk? Waar word je door getriggerd? Wat is de aanhef? Wie is de afzender? Is het logisch dat er haast bij is? Of kan dit ook best even wachten tot je het met een collega hebt besproken?” Werkman weet hoe lastig het is om deze mate van bewustzijn tussen de oren te krijgen van het voltallige personeel. Daarom heeft VSA een Security Awareness training ontwikkeld, waarmee alle personeelsleden die een computer gebruiken spelenderwijs hun kennis kunnen opkrikken en op peil houden. “De training bestaat uit verschillende modules, die het hotel zelf kiest. Er zijn modules over veilige wachtwoorden, over phishing en over bescherming van privacygevoelige gegevens. Je leert over cybercriminaliteit met grappige filmpjes, spelletjes en questionnaires. Medewerkers kunnen de training volgen waar en wanneer ze willen en in verschillende talen.” Na het voltooien van de Security Awareness training bestaat de mogelijkheid om tests uit te voeren, zoals een phishing-simulatie. “Het hotel kan zelf een phishingmail sturen naar de hele organisatie of een select groepje en kijken of erop geklikt wordt. Niet voor naming and shaming van medewerkers die in de fout gaan, maar om het veiligheidsbewustzijn te peilen en eventueel de training te herhalen. De medewerker die op de foute link klikt, krijgt meteen al een leermoment. Die krijgt een pagina te zien waarop iets staat als: ‘Dit is een test, dus maak je geen zorgen. Maar wees scherp, want dit had ook een echte phishingmail kunnen zijn.’”
“Ik verwacht dat gerichte aanvallen op hotels meer gaan voorkomen.”
Rollen en rechten
Binnen hotelorganisaties ziet Werkman vaak weinig onderscheid in toegangsrechten van personeel. “Front office medewerkers kunnen soms meer doen binnen het systeem dan ze op grond van hun rol hoeven te kunnen. Hotels kunnen problemen voorkomen door scherper te zijn op deze rollen en rechten. Hoe minder rechten iemand heeft, hoe veiliger. Veel organisaties willen graag transparant en open zijn naar hun personeel, maar dat doel kun je beter op andere manieren bereiken.” Medewerkers die geld kunnen overmaken of bankrekeningnummers aanpassen, moeten ook alert zijn op CEO-fraude. “Op LinkedIn zijn namen van medewerkers van de administratie en general managers zo te vinden, dus het is voor een crimineel niet zo moeilijk om uit naam van een baas een mailtje te sturen en te vragen om geld. Maar is dat normaal gedrag? Dat kan het personeel alleen weten als daar protocollen voor zijn binnen het hotel. Hetzelfde geldt voor het veranderen van een bankrekeningnummer op verzoek van een ander personeelslid. Kan dat via mail met een kopietje van een pasje erbij, ook als dat een buitenlands bankpasje is? Het is verstandig om vast te leggen hoe je zoiets moet verifiëren.”
Betere wifi of veiligheid?
Een must voor iedere organisatie is 2FA, oftewel two-factor authentication. Je hebt dan bijvoorbeeld een token op je telefoon nodig als extra inlogmiddel. “Het werkt voor het personeel wel vertragend, omdat het een extra drempel opwerpt, maar het maakt inloggen stukken veiliger. Een alternatief is een fysieke sleutel, zoals een USB-stick die je in je laptop of computer steekt. Je bent dan in één keer ingelogd in verschillende applicaties. Dat werkt sneller dan bij iedere applicatie dubbel moeten inloggen.” In vergelijking met vijf of tien jaar geleden is het veiligheidsbewustzijn in organisaties al flink toegenomen, merkt Werkman. “Een investering in goede wifi of nieuwe televisies betaalt zich terug in betere reviews, maar een gast merkt er weinig van als een hotelier investeert in digitale beveiliging. Het helpt dat er in het nieuws steeds meer aandacht is voor bedrijven die slachtoffer zijn van een cyber-aanval. Eén zwakke schakel kan enorm veel geld kosten of je reputatie op het spel zetten. Daar worden steeds meer hotels zich bewust van.”
VSA Security Awareness training
Wilt u meer weten? Neem dan contact op via +31 (0)88 872 0 510 of security@vsa.nl.