Hotels zijn een aantrekkelijk doelwit voor cybercriminelen. Hotels bezitten immers gegevens die zich goed voor misbruik lenen, zoals namen, (e-mail)adressen, mobiele nummers, creditcard gegevens en (kopieën van) paspoorten en rijbewijzen. Ook gegevens over een gepland bezoek aan een hotel zijn waardevol voor criminelen. Met deze gegevens kunnen zij identiteitsfraude plegen, of zich voordoen als de bank van de betrokkene of als het hotel zelf. Het risico op een grootschalig incident is niet hypothetisch; een van de grotere datalekken van de afgelopen jaren heeft plaatsgevonden bij de Marriott Hotel Group. Hierbij zijn gegevens van meer dan 327 miljoen hotelgasten gestolen.
In deze bijdrage gaan we in op wat een cyberaanval precies is, wat kunt u doen om te voorkomen dat uw organisatie wordt getroffen en welke stappen u kunt zetten als u toch slachtoffer wordt.
Wat is een cyberaanval?
Het gaat in de media vaak over een ‘datalek’. Kort gezegd is van een datalek sprake als de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens gecompromitteerd is. Dit is niet alleen het geval wanneer gegevens in handen vallen van personen die geen toegang tot deze gegevens zouden moeten hebben. Ook wanneer gegevens ontoegankelijk zijn gemaakt of verwijderd, of wanneer ze onbevoegd zijn aangepast is sprake van een datalek. Naast gegevens over natuurlijke personen, zoals klanten of werknemers, kan een datalek uiteraard ook betrekking hebben bedrijfsgevoelige informatie, zoals commerciële afspraken.
Er zijn verschillende vormen van een datalek. Soms vinden die fysiek plaats: er worden medische gegevens uit de tas van een arts gestolen of een poststuk wordt verkeerd bezorgd. Tegenwoordig vinden datalekken echter veelal plaats als gevolg van een aanval op digitale systemen, bijvoorbeeld door middel van hacking, phishing en/of ransomware. Dan is sprake van een cyberaanval. Werknemers worden verleid om op een hyperlink te klikken, een bijlage te downloaden of in een nagemaakt portaal in te loggen. Vervolgens infiltreren criminelen in de computersystemen en worden zoveel mogelijk gegevens gedownload en daarna versleuteld. In ruil voor de decoderingssleutel vragen criminelen losgeld, wie niet betaald ziet zijn gegevens vaak gepubliceerd worden op internet.
Wat kunt u doen om een cyberaanval te voorkomen?
Voorkomen is beter dan genezen: er is een aantal praktische tips om een cyberaanval te voorkomen. Het belangrijkste is het investeren in een goeie ICT-beveiliging. Hiervoor kunt u een cybersecurity expert inschakelen. Maatregelen als verplichte sterke wachtwoorden en twee-factor-authenticatie dragen bij aan de beveiliging van uw ICT. Ook kan er software geïnstalleerd worden ter beveiliging van uw data. Specifiek om phishing te voorkomen, is het belangrijk om de identiteit van de gesprekspartner te controleren en om foute links, webadressen en mailadressen van de afzender te checken.
Cees Plaizier is een van de sprekers tijdens de Hospitality Security Summit op 17 april in Zoetermeer. Hij gaat dieper in op de vraag: Wat is de juridische schade van een datalek? Inschrijven voor de summit kan hier.
Twee verder maatregelen zijn het verwijderen van gegevens die niet meer noodzakelijk zijn en het beperken van het aantal plekken waar de data bewaard worden. Zo worden ook de gevolgen als het toch onverhoopt misgaat beperkt. Daarnaast is het goed om dit onderwerp bespreekbaar te maken binnen uw organisatie: wanneer is er sprake van een incident, waar kunnen medewerkers alert op zijn en wat kunt u doen om het te voorkomen? Het overgrote merendeel van de cyberincidenten had voorkomen kunnen worden door betere menselijke oplettendheid.
Om ervoor te zorgen dat er snel gehandeld kan worden wanneer het toch misgaat, kunt u een incident response protocol opstellen om direct een handleiding paraat te hebben wanneer een incident zich voordoet. De ervaring leert dat een duidelijk uitgedachte rolverdeling, communicatie structuur en prioriteitenlijst kostbare tijd bespaart in de eerste reactie op een incident.
Ten slotte is kunt u overwegen om een cyberverzekering af te sluiten. Daarmee bent u verzekerd van technische en juridische bijstand bij een incident en kunt u de (financiële) schade voor uw organisatie beperken.
Wat moet u doen als u slachtoffer bent geworden van een cyberaanval?
Op het moment dat u slachtoffer bent geworden van een cyberaanval, zal uw eerste belang zijn informatie verkrijgen over het incident en de schade daarvan beperken. Het kan raadzaam zijn om bij deze stap al direct experts in te schakelen. Zo kunt u een Incident Response Team (IRT) inschakelen wanneer u merkt dat er iets mis is. Dit team bestaat uit verschillende disciplines, waaronder forensische IT-experts en juristen. Zij bieden doelgerichte hulp om de negatieve consequenties van een incident effectief te bestrijden. Wellicht kunnen gegevens hersteld worden, en hoe dan ook is het van belang dat eventuele onbevoegd verkregen toegang gesloten wordt en er voor wordt gewaakt dat dit weer plaatsvindt.
Vervolgens komt de vraag aan de orde of externe partijen geïnformeerd moeten worden over het incident. Dit kan op basis van wettelijke of contractuele verplichtingen vereist zijn, of een onverplichte keuze zijn. Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet een datalek mogelijk binnen 72 uur nadat daar kennis van genomen is gemeld worden bij de Autoriteit Persoonsgegevens (AP), en eventueel ook ‘onverwijld’ aan de betrokkenen. Of deze “meldplichten” uit artikel 33 en 34 van de AVG van toepassing zijn, hangt af van de impact van het datalek op de personen wiens gegevens betrokken zijn. Bij datadiefstal als gevolg van een ransomware-aanval vindt de AP dat altijd ook aan de betrokkenen gemeld moet worden. Voor specifieke organisaties en sectoren kunnen andere of aanvullende meldplichten gelden, bijvoorbeeld bij het Nationaal Cyber Security Centrum. Verder bevatten tegenwoordig veel contracten ook meldplichten aan opdrachtgevers bij cyberincidenten.
Niet, of te laat, melden kan grote gevolgen hebben. Zo heeft Booking.com een boete van 475.000 euro opgelegd gekregen door de Autoriteit Persoonsgegevens voor het te laat melden van een datalek, waarbij gegevens van 4000 klanten betrokken waren. Marriott moest in 2020 een boete van meer dan 20 miljoen euro betalen, al was dat vanwege gebrekkige beveiliging. Ook contractspartijen kunnen, onder andere als gevolg van inadequate informatieverstrekking, een vergoeding vorderen van de schade die zij geleden hebben door het cyberincident. Ook daarom is het goed vooraf in kaart te brengen welke meldplichten eventueel een rol zouden spelen bij een cyberincident.
Nu cybercriminelen steeds slimmer worden, wordt het risico op een cyberaanval steeds groter. Zorg er daarom voor dat u maatregelen neemt om een incident te voorkomen en weet wat u moet doen wanneer u het slachtoffer ben geworden van cybercriminaliteit.
Auteurs: Cees Plaizier (advocaat) en Laura Sleeuwenhoek (student-stagiaire), Kennedy Van der Laan.
Blijf je graag op de hoogte?
Twee keer per week het actuele en relevante hotelnieuws in je mailbox? Schrijf je hier in voor onze digitale nieuwsbrief en blijf op de hoogte.