Hotels kwetsbaar voor digitale inbraak

10 november 2015
Hotels kwetsbaar voor digitale inbraak

In security wordt door hoteliers niet altijd genoeg geïnvesteerd, en dat terwijl het hotel via XML gekoppeld is aan verschillende systemen. De
kwetsbaarheid van het eigen hotel wordt vaak onderschat. Niet alleen vanwege zelfoverschatting, maar vaak ook door onvoldoende kennis van zaken. Niet alleen op het gebied van XML, maar ook op het gebied van firewalls en web protection.

*Over XML*
XML staat voor EXtensible Markup Language en lijkt op het bekende HTML. XML is ontwikkeld om data op te slaan en te transporteren. Feitelijk bevat XML informatie die ingepakt is in ‘tags’. Er is dus een stukje software nodig om de informatie te verzenden, te ontvangen, weer te geven of op te slaan. Het verschil tussen HTML en XML? XML is ontwikkeld om data te transporteren en HTML om data weer te geven. XML is gemakkelijker uit te breiden en aan te passen, aangezien er geen gedefinieerde tags zijn zoals bij HTML.

*Gemakkelijk overstappen*
Het voordeel? XML bewaart data in een ‘plain text’ formaat, en is dus compleet onafhankelijk van software- en hardware-aanpassingen. Het is dus geen enkel probleem om over te gaan naar andere applicaties, nieuwe browsers of besturingssystemen. Feitelijk wordt de data via XML aangeboden aan diverse ‘leesmachines’, zoals mensen, computers, news feeds, reserveringssystemen et cetera.

*Kwetsbare reserveringssystemen*
Het woord reserveringssysteem is al gevallen. Binnen de hotellerie wordt XML vaak gebruikt om data aan te leveren aan deze systemen. Vanuit Booking, Expedia, de eigen website en andere bronnen. Het grote aantal XML-bronnen maakt het hotel direct kwetsbaar. Wanneer de XML-verbinding niet goed beveiligd is, kan een kwaadwillende hacker inkomende en uitgaande informatie via deze verbinding stelen of inzien. Niet zo handig, want ook creditcardgegevens en persoonsgegevens worden bij een boeking meegezonden.

*Kies voor een slimme firewall*
Dan is er de firewall-kwestie. De ‘standaard’ firewall is vaak niet meer toereikend. Beveiligen met een firewall die goed is ingesteld per applicatie, gebruiker en soort content is aan te raden. Applicaties komen vaak binnen door de firewall van de huidige generatie, maar worden niet herkend als applicatie. Denk hierbij aan social media, file transfer en persoonlijke e-mail. Nieuwe typen malware kunnen meeliften op deze applicaties en vormen een potentieel risico voor de bedrijfsveiligheid.

*Payment data security*
Creditcardmaatschappijen maken een inschatting van de data security in uw hotel. Afhankelijk van de situatie moet u deze jaarlijks of per kwartaal invullen. Er zijn 12 eisen voor beveiliging van creditcardgegevens en het invullen van deze lijst vergt veel van u. Het is immers administratief een aardige klus en uw beveiliging dient optimaal te zijn. Er zijn partners die u kunnen helpen.

*En verder…*
Heeft u al nagedacht over account-en passwordprocedures? Wat gebeurt er bij verwijdering van accounts? Of bij datamisbruik van een gebruiker? Is dat te traceren? Ook de netwerktekening is van belang. Welke externe partij mag bij welk deel van uw gegevens? Dit is van belang bij samenwerking met creditcardmaatschappijen, netwerk- en kassaleveranciers en bij pinautomaten.

~Thijs Jacobs~

Overig nieuws