Her gün, milyonlarca gezgin pasaport, kredi kartı numaraları ve kişisel bilgileri otel, restoran ve seyahat hizmetleriyle paylaşıyor. Bu, bu bilgileri güvenli ve özel tutmak için misafirperverlik sektörüne baskı yapar.
Ağırlama endüstrisindeki siber güvenlik zorlukları
Endüstrinin kendisi patlıyor. Sadece otel segmentinin 2029’da 511,91 milyar dolarlık yeni bir zirveye ulaşması bekleniyor. Siber suçluların dikkat çekmesi şaşırtıcı değil.
Artan finansal etki
Ağırlamadaki bir veri ihlalinin ortalama maliyeti 2023’te 3.62 milyon dolardan 2024’te 3.86 milyon dolara yükseldi.
Genişleyen saldırı yüzeyi
Son analiz, 3.884 benzersiz CVE de dahil olmak üzere misafirperverlik şirketleri arasında 95.040 güvenlik açığını ortaya çıkardı. Bunlardan 14.318’i kritik olarak sınıflandırılmıştır ve CISA’da bilinen Sömürülen Güvenlik Açıkları Kataloğu’nda 1,521 listelenmiştir.
Misafirperverlik ağlarının karmaşıklığı
Mücadelenin bir kısmı, konukları, çalışanları, satıcıları ve akıllı kilitler ve ödeme terminalleri gibi çok çeşitli cihazları birbirine bağlayan misafirperverlik ağlarının karmaşıklığında yatmaktadır. Her bağlantı, saldırganlar için potansiyel bir giriş noktası olabilir.
Düzenleyici baskı ve uyum
Baskıya ek olarak, GDPR ve bölgeye özgü diğer düzenlemeler gibi gizlilik yasaları, otelleri veri koruma standartlarını yükseltmeye ve misafir bilgilerini nasıl ele aldıkları konusunda daha şeffaf olmaya zorluyor.
Gerçek dünya olayları
2024’te Omni Hotels & Resorts, rezervasyonlar, ödeme işleme ve elektronik oda erişimi de dahil olmak üzere temel sistemleri bozarak uzun süreli bir kesintiye yol açan bir siber saldırı yaşadı.
Aynı yılın bir başka olayında, bir tehdit oyuncusu Otelier otel yönetim platformunu ihlal ederek Marriott, Hilton ve Hyatt gibi otel markalarından gelen müşteri verilerini tehlikeye attı. Saldırı, adlar, fiziksel adresler, telefon numaraları, seyahat rezervasyonu detayları, satın alma kayıtları ve bazı durumlarda kısmi kredi kartı bilgileri ile birlikte 437.000 müşteri e -posta adresi ortaya koydu.
Bu verilerin çoğu genellikle yeraltı forumlarına, telgraf gruplarına ve özel pazar yerlerine doğru yol alır. Bu yerlerde, yeraltı “seyahat acenteleri”, oteller, uçuşlar ve araba kiralamalarında indirimler sunar. Bu hizmetler, suçlulardan sadece daha ucuz seçenekler arayanlara kadar birçok kişi tarafından kullanılmaktadır, ancak bazıları bunun yasadışı olduğunun farkında olmayabilir.
İnsan Faktörleri ve Sosyal Mühendislik
Konukseverlik endüstrisi çok sayıda geçici işçi işe alır, bu nedenle personel cirosu yüksektir. Her zaman yeni insanlar geldiğinde, herkesi güvenliği hızlandırmak zor. Eğitim ve uygulamadaki boşluklar, BT personelini taklit ederek veya kimlik avı e -postaları göndererek insan hatasını kullanabilecek saldırganlar için açıklıklar yaratır.
Örneğin, 2023 MGM Resorts ihlali, saldırganlar bir MGM çalışanını taklit ettiğinde ve yardım masası personelini erişim sağlamak için aldattığında meydana geldi. İhlal, yasal yerleşimleri saymadan, yaklaşık 100 milyon dolara mal oluyor.
KeepNet’e göre, yeni işe alımların kimlik avı saldırıları ve sosyal mühendislik için daha uzun vadeli çalışanlardan daha fazla düşme olasılığı daha yüksektir.
AI kullanmak
“AI, kuruluşların büyüyen siber riskler karşısında tehdit korumalarını, yanıt sürelerini ve genel esnekliklerini geliştirmelerine yardımcı olabilir – ancak sadece düşünceli ve stratejik olarak benimsentiler.
Bununla birlikte, AI mükemmel değil. Bazen yanlış alarmlar verir veya ince saldırıları kaçırır. Yapay zeka kullanmak aynı zamanda para harcamak, doğru becerilere sahip olmak ve düzenli olarak yönetmek anlamına gelir, bu da bazı oteller için bir zorluk olabilir.
Bir otel uygun çekler olmadan yapay zekaya çok bağlı ise, güvenlik boşlukları veya gizlilik sorunları olabilir. Konukseverlik sağlayıcıları için AI, bağımsız bir çözüm değil, destekleyici bir araç olarak görülmelidir. İyi eğitimli personel ve tanımlanmış politikalarla eşleştirildiğinde, daha geniş bir siber güvenlik stratejisinin güçlü bir bileşeni olabilir.
Aynı zamanda AI, ceza gruplarını da güçlendirir. Zaten kimlik avı e -postalarını geliştiriyorlar, ikna edici derin dişler yaratıyor ve sesler. AI araçlarının ilerlemesi ile, konaklama endüstrisinin hazırlanması gereken artan sayıda saldırı bekleyebiliriz.
Konukseverlik işiniz ne kadar hazır?
Siber güvenliğinizin ne kadar iyi durduğunu görmek için kendinize şu soruları sorun:
- Personeldeki herkesin bildiği ve takip ettiği yazılı bir siber güvenlik politikamız var mı?
- Yeni ve mevcut çalışanları güvenlik en iyi uygulamaları konusunda ne sıklıkla eğitiyoruz?
- Tüm üçüncü taraf satıcılarımız ve ortaklarımız güvenlik standartlarımızı karşıladıklarından emin olmak için kontrol edildi mi?
- Yeni tehditlere ayak uydurmak için güvenlik önlemlerimizi düzenli olarak gözden geçiriyor ve güncelliyor muyuz?
- Liderlik siber güvenlik ve çalışan eğitimine yatırım yapmayı destekliyor mu?
Bunlardan herhangi birinde tereddüt ettiyseniz, güvenlik planınıza daha yakından bakmanın zamanı gelmiş olabilir.