Por Cloudbeds
Com a adoção de novas e avançadas tecnologias para gerenciar sua propriedade e prover a melhor experiência a seus hóspedes, já parou para pensar nas potenciais novas ameaças à segurança hoteleira? Hoje em dia, a tecnologia ajuda hoteleiros em todo o mundo a gerenciar as operações, otimizar a receita e melhorar a experiência do hóspede. Estas ferramentas tecnológicas dão às propriedades hoteleiras controle sobre seu negócio, satisfação dos hóspedes e lucratividade. E não se trata apenas de software: o quarto dos hóspedes evoluiu para incluir todo tipo de tecnologia inteligente, como smart TVs, tablets e até cortinas, termostatos e luzes controladas por voz. Apesar de conveniente, esta onda de tecnologia interconectada também cria novos riscos e ameaças de quebra de sigilo de dados. Invasores e cybercriminosos explorarão qualquer fraqueza para obter acesso a sistemas críticos, com frequência na busca de dados dos hóspedes e informações de pagamento que possam ser utilizadas ou vendidas.
Ao longo de minha carreira construindo estratégias de segurança tanto para grandes empresas como pequenas startups, já vi todos os tipos de hacks e tentativas de invasão. Para ficar seguro em meio a estas ameaças em constante evolução, propriedades hoteleiras devem ter planos de segurança claros e concretos.
Consolidei aqui algumas dicas sobre como proteger as áreas mais vulneráveis de sua propriedade hoteleira, assim como um glossário dos principais termos de segurança e algumas das melhores e mais essenciais práticas para defender seu hotel de forma geral. Vamos reforçar sua segurança hoteleira!
As três áreas mais vulneráveis da segurança hoteleira
Grande parte do meu trabalho no passado na área de segurança preventiva envolvia a realização das chamadas Avaliações de Penetração Externa, que simulam um invasor externo tentando invadir os sistemas de uma empresa remotamente via Internet. Essas avaliações envolvem reconhecimento não técnico, como pesquisar listas de funcionários e locais de escritórios, além de pesquisas técnicas, como aprender que tipos de computadores eles usam e quais sistemas eles conectam à Internet. Isso ressalta as vulnerabilidades que os hotéis enfrentam em suas operações, à medida que os invasores exploram tanto pessoas (não técnicas) como sistemas (técnicos).
Então, em quais pontos você deveria focar seus recursos de segurança primeiro? Aqui estão as três áreas mais comumente buscadas por invasores:
- Ponto-de-venda (PDV / POS). Como os sistemas de PDV processam dados de pagamento, eles são um alvo lucrativo para cibercriminosos. Como vimos em algumas das principais quebras de sigilo de dados da última década, o acesso ao sistema de POS de um hotel permite que os cibercriminosos permaneçam escondidos e sigam capturando um fluxo constante de dados de pagamento.
- Redes Sem Fio (Wi-Fi). Outra área vulnerável na propriedade é o Wi-Fi. Como é publicamente detectável, os criminosos podem sentar-se no saguão (ou reservar um quarto) e investigar calmamente todas as fraquezas. Se as redes Wi-Fi do hotel não estiverem protegidas adequadamente, os invasores poderão criar uma ponte da rede pública do estabelecimento para a rede da administração. Pior ainda, eles poderiam se aprofundar ainda mais para encontrar informações úteis e/ou dados valiosos na rede e nos sistemas internos da propriedade.
- Equipe do Hotel. O terceiro ponto mais vulnerável em uma operação de hotel é sua equipe. Seja o recepcionista, um agente de reservas ou um contador no back-office, os atacantes veem a equipe como oportunidade para obter informações privadas e acessar através de técnicas enganosas.
Definição dos principais termos da segurança hoteleira
Hackers e cibercriminosos usam uma variedade de métodos para ganhar acesso aos sistemas de uma empresa. Estas são algumas das ferramentas e técnicas que eles utilizam para explorar falhas de segurança do hotel e obterem informações úteis.
- Engenharia social abrange qualquer tentativa de usar a natureza confiante dos seres humanos para obter acesso não autorizado a informações ou sistemas. Exemplos incluem:
- Ligar para a recepção fingindo ser um colega de trabalho e tentar obter alguns dados faltantes que podem ser combinados com outros dados para penetrar nos sistemas de um hotel
- Um invasor segue um funcionário do hotel através de uma porta de acesso fingindo-se passar por um funcionário, ganhando acesso não autorizado a áreas restritas do hotel.
- Phishing é uma forma de engenharia social, na qual alguém cria um email ou documento que parece ser oficial, incitando um funcionário a clicar em um link ou fazer download de um anexo contendo malware (software malicioso).
- Spear phishing é uma forma muito mais focada de phishing que almeja alvos de alto valor, como indivíduos que têm acesso a dados sensíveis. Invasores pesquisarão as empresas e buscarão indivíduos específicos para suas tentativas de phishing.
- Malware é software malicioso que infecta compuradores e permite que invasores acessem remotamente sistemas, roubem informação ou mesmo bloqueiem o acesso a computadores para usá-los como reféns.
- Força Bruta é a definição de quando um cibercriminoso configura um programa para tentar todas as combinações possíveis de senha, eventualmente “forçando” o acesso. Frequentemente, senhas fracas permitem acesso fácil de invasores sem necessidade de hackear nada.
- Reuso de Credenciais é um processo automatizado no qual um invasor utiliza um nome de usuário e senha já encontrados de outras invasões e reutiliza contra um outro sistema.
Melhores práticas da segurança hoteleira
O gerenciamento de segurança hoteleira tem menos a ver com encontrar uma solução absoluta e mais em tomar uma série de pequenas ações que se combinam para formar um escudo e camadas de proteção para evitar possíveis ataques. No mundo da segurança, chamamos essa técnica de defesa em profundidade.
Aqui estão algumas das minhas recomendações para as melhores práticas de segurança em hotéis. Lembre-se de que cada hotel e situação é diferente e, se você tiver alguma dúvida sobre sua situação específica, consulte profissionais de segurança, advogados, consultores, etc.
A segurança efetiva é proativa, não reativa; com essas práticas recomendadas, você estará mais bem posicionado para evitar invasões!
#1: TREINAMENTO EM SEGURANÇA HOTELEIRA
No mundo da hospitalidade, estamos sempre tentando atender – e até exceder – as expectativas de nossos clientes, certo? Bem, às vezes essa vontade de ajudar era exatamente o que eu precisava ao realizar avaliações de engenharia social e/ou testes de phishing. Ao escutar uma história crível, um funcionário prestativo pode estar disposto a me dar acesso a um computador, informações confidenciais ou até mesmo à sala principal de computadores / servidores! Dito isto, a natureza humana é a coisa mais difícil de manter “segura”.
Eu recomendo que você incorpore o treinamento de conscientização de segurança como parte de sua integração de novos funcionários, bem como o treinamento contínuo. Isso ajudará a tornar a equipe mais consciente dos conceitos e problemas relacionados à segurança e menos suscetível a tentativas de engenharia social e phishing, pessoalmente, por telefone ou por email.
- Faça isso: Siga os 3Cs do treinamento eficaz em segurança do hotel para a equipe: claro, consistente e constante. O treinamento deve ser fácil de entender, deve ser consistente e deve ser repetido regularmente até que se torne algo intuitivo. É preciso apenas uma invasão para dar um grande golpe na reputação de um hotel; portanto, um treinamento claro, consistente e constante mantém a segurança em primeiro plano com a equipe.
- Isso também: Ensine a equipe a identificar comportamentos suspeitos e impedir que pessoas não autorizadas obtenham acesso a qualquer infraestrutura física (computadores, servidores) na propriedade. Uma política de “se ver algo, diga algo”, juntamente com um procedimento operacional padrão para relatar qualquer atividade suspeita, pode ser uma proteção importante contra invasores. Em caso de dúvida, pergunte!
#2: PROTEJA AS REDES INTERNAS DA PROPRIEDADE
Uma das vulnerabilidades mais frequentes da segurança hoteleira está na rede Wi-Fi pública. Isso ocorre porque a rede pública tem frequentemente uma separação tênue dos sistemas críticos de back-office. Tudo o que um invasor precisa fazer é reservar um quarto e usar sua rede para investigar vulnerabilidades, roubar dados e espionar hóspedes.
Se um hotel não possui o conhecimento interno para implementar as práticas abaixo, deve considerar a parceria com uma consultoria de TI e / ou empresa de gerenciamento que o faça.
- Faça isso: As tecnologias e soluções Wi-Fi mais recentes têm ferramentas integradas para ajudar a impedir atividades maliciosas. Essas tecnologias, chamadas IPS (Intrusion Prevention Systems), identificam atividades potencialmente maliciosas e as bloqueiam automaticamente, tudo sem intervenção humana.
- Isso também: Certifique-se de separar as redes sem fio usadas pelos hóspedes daquelas para uso interno, como por funcionários e/ou sistemas de computadores de propriedade. Isso pode ser feito fisicamente (com dois conjuntos de hardware completamente separados) ou através do uso de redes virtuais (VLANs). As VLANs permitem que você use o mesmo hardware, mas construa outra camada de segurança entre sua rede Wi-Fi e os computadores de sua propriedade.
Além disso, todas as redes usadas pelos hóspedes (com ou sem fio) devem manter os dispositivos isolados um do outro e de quaisquer sistemas e redes de computadores usados pela equipe. Isso impede que um computador de hóspede possa entrar em contato com outro e, assim, evita a disseminação de malware ou outra atividade maliciosa. Isso também impede que os hóspedes possam ouvir/espiar qualquer tráfego relacionado à equipe.
#3: FIQUE ESPERTO COM SUAS SENHAS
Essa dica é simples, mas poderosa: escolha suas senhas de maneira inteligente e estratégica.
Primeiro, os padrões de segurança de senha estabelecidos pelo Instituto Nacional de Padrão e Tecnologia (NIST) estão sempre mudando. Nos últimos anos, o NIST adotou uma postura de sugerir o uso de senhas mais longas e complexas, mas não exigindo que as senhas sejam alteradas com a mesma frequência (ou até mesmo).
Primeiro, os padrões de segurança de senha estabelecidos pelo Instituto Nacional de Padrão e Tecnologia (NIST) Americano estão sempre mudando. Nos últimos anos, o NIST adotou uma postura de sugerir o uso de senhas mais longas e complexas, mas não exigindo que as senhas sejam alteradas com a mesma frequência (ou mesmo alteradas).
Dito isto, escolher uma senha difícil para uma parte não autorizada adivinhar, mas fácil de lembrar é a sugestão aqui. Essa prática ajudará a impedir que os funcionários do hotel anotem as senhas e os deixem em locais onde alguém (como eu no meu passado de consultoria) poderia encontrá-los e usá-los para obter acesso não autorizado!
Em segundo lugar, exija senhas exclusivas para cada sistema. Se você usar a mesma senha da sua conta de email que outros sistemas (como o Sistema de Gestão Hoteleira), um invasor poderá fraudar / roubar seu nome de usuário e senha de email e, em seguida, tentar as mesmas credenciais no seu PMS!
- Faça isso: Invista em um gerenciador de senhas digitais para que a equipe possa armazenar senhas com segurança em um cofre digital criptografado em vez de anotá-las no papel.
- Ponto extra: Os gerenciadores de senhas permitem gerar senhas longas, fortes e aleatórias e armazená-las com segurança usando uma senha mestra e autenticação multifator. Ao fazer login em sites/serviços, o gerenciador de senhas pode preencher automaticamente seus nomes de usuário/senha para você.
Como parte do treinamento de conscientização em segurança do hotel, ensine sua equipe sobre gerenciadores de senhas, gerando senhas aleatórias e protegendo-as por senha mestra e autenticação multifator.
Terceiro, habilite a autenticação multifator (MFA) sempre que possível: em todos os sites, sistemas e em todos os lugares! O MFA, também conhecido como autenticação de dois fatores (2FA), é uma camada adicional de segurança que só concede ao usuário acesso a um sistema após apresentar com êxito outro mecanismo de autenticação junto com uma senha, como:
- Algo que você sabe (senha, número PIN, etc.)
- Algo que você possui (chave de segurança USB, notificação por push para o telefone/dispositivo, código gerado pelo aplicativo Authenticator, etc.)
- Algo que você é (biometria, como impressão digital, ID facial, etc.)
Mesmo que um nome de usuário e senha fiquem comprometidos (por meio de phishing, força bruta, preenchimento de credenciais, etc.), a Autenticação Multifator protege contra acesso não autorizado a essa conta, exigindo outra informação, ação, dados etc. para prosseguir com o login.
#4: ATUALIZE A TECNOLOGIA EM INTERVALO RAZOÁVEL
Pode custar muito caro atualizar a tecnologia de uma propriedade, mas os cibercriminosos adoram tecnologia ultrapassada! Seja nos computadores da administração ou nos bloqueios digitais da sua propriedade, o hardware mais antigo executando software desatualizado se torna um alvo fácil.
- Faça isso: Sempre que você adquirir uma nova tecnologia, defina uma “vida útil” para que você possa fazer o orçamento pensando em substituições ao longo do tempo. Dessa forma, você define as expectativas e pode levar seu cronograma de substituição ao orçamento de longo prazo.
- Isso também: Mantenha todos os computadores atualizados usando os patches de segurança mais recentes fornecidos pelo fornecedor do sistema operacional (Microsoft, Apple etc.), bem como qualquer software que eles possam ter instalado.
#5: ESCOLHA PARCEIROS E FORNECEDORES DE TECNOLOGIA CUIDADOSAMENTE
É essencial que você saiba com quem está fazendo negócios. Quando se trata de segurança hoteleira, você é tão forte quanto o seu elo mais fraco. Um sistema ruim ou fraco abre sua propriedade para todos os tipos de vulnerabilidades.
Os hotéis devem fazer a devida pesquisa dos fornecedores de tecnologia inteligente e/ou as empresas que desejam comprar. É sempre bom ter conversas e fazer perguntas sobre segurança antes de implementar algo novo, em vez de pedir a um hóspede que pergunte “Como seu fornecedor de chaves digitais protege meus dados pessoais?” e você, como hoteleiro, não tem resposta para isso.
- Faça isso: Questione seus fornecedores e parceiros de tecnologia até ficar satisfeito com as respostas. Sugiro fazer as seguintes perguntas, no mínimo:
-
- Como você está protegendo os dados de nossos hóspedes?
- Como você está protegendo os dados de meu hotel/propriedade?
- Você vende ou monetiza os dados ou informações que compartilhamos com você?
- Quais regulamentos de segurança e/ou privacidade sua empresa cumpre?
- No caso de uma violação de dados de qualquer informação que confiamos a você (hóspede, hotel/propriedade etc.), como e quando você nos reportaria isso?
- Se pararmos de usar seus serviços, qual é sua política de retenção de dados? Quando os dados são excluídos?
#6: ISOLAR INFORMAÇÕES SENSÍVEIS
Ao combater um adversário, é útil entender suas motivações. Para os cibercriminosos, é praticamente tudo financeiro: o Relatório de Investigação de Quebra de Dados de 2019 da Verizon descobriu que 100% das violações no setor de acomodações eram motivadas financeiramente!
As empresas de administração de hotéis e hotéis devem garantir a proteção de todos os sistemas e aplicativos de computador usados para acessar informações financeiras. Isso inclui especialmente locais onde as propriedades podem estar mantendo e aceitando informações financeiras, como na recepção ou no sistema de gestão hoteleira.
- Faça isso: Para sistemas sensíveis, como aqueles que incluem informações financeiras e/ou dados de hóspedes, use a autenticação multifator sempre que possível.
- Isso também: Proteja dados sensíveis de olhares indiscretos. Coloque qualquer computador, tablet ou laptop longe de áreas públicas. Além disso, considere instalar uma tela de privacidade para computador para ajudar a impedir que alguém veja dados/informações confidenciais do hóspede.
O que fazer no caso de quebra do sigilo de dados
Não sou advogado – e nem faço o papel de um na TV! Portanto, se você suspeitar de uma violação de dados, consulte um especialista em segurança de dados e alguém com experiência jurídica nessa área. Dessa forma, você pode garantir que cumpra todas as leis, regulamentos e padrões do setor de proteção de dados, enquanto trabalha diligentemente para fechar as lacunas exploradas pelos invasores.
Dito isto, sempre acreditei firmemente que a honestidade é a melhor política. Coloque-se no lugar dos hóspedes: você preferia ficar com uma marca proativa e que o notifica de uma possível violação? Ou você prefere descobrir por alguém que usa indevidamente suas informações pessoais (como abrir uma conta bancária em seu nome, fazer cobranças não autorizadas no cartão de crédito etc.) Não há dúvida – proteja sua reputação e fique à frente de qualquer violação .
Infelizmente, na economia digital atual, não é mais uma questão de se, mas quando, sua empresa enfrentará algum tipo de quebra de sigilo de dados. E uma tentativa bem-sucedida pode não apenas custar-lhe dinheiro em taxas de consultoria e perda de receita, mas as relações públicas atingidas por sua reputação também podem ser catastróficas.
Propriedades de todos os tamanhos e de todas as categorias devem estar preparadas para ameaças provenientes de várias direções e fontes, incluindo convidados, funcionários ou cidadãos públicos. Para proteger seu hotel contra invasões indesejadas, reserve um tempo hoje para evitar futuros desastres. Um pouco de preparação ajuda bastante a impedir ataques de segurança e a manter os sistemas do hotel (e os dados de seus hóspedes!) seguros.