Het nieuws wordt de afgelopen tijd beheerst door de kwetsbaarheid op Citrix-servers en de invloed van gijzelsoftware waarbij flinke sommen geld werden betaald om de hackers af te kopen. Volgens Sjors Brul van Sbit werken hotels doorgaans niet met Citrix, maar zijn veel hoteliers zich niet bewust van hun digitale kwetsbaarheid: “Het vervangen van matrassen of een defecte koffiemachine… Er zijn altijd wel redenen om het checken van de digitale beveiliging van het hotel uit te stellen.”
En als er dan eens iets misgaat, dan sta je voor een enorm probleem als hotel. Een hack kan er zelfs voor zorgen dat een hotel omvalt of op zijn minst grote financiële schade en imagoschade oploopt. Volgens Sjors is de hotellerie als bedrijfstak best kwetsbaar en zich nog niet bewust van de mogelijke dreiging. “Het begint altijd bij mensen, de meeste hotels zijn zo kwetsbaar omdat de medewerkers niet goed opgeleid zijn en daardoor in de val van hackers lopen. Daarom gaan we ook een security leaflet uitbrengen voor de hotellerie en de ‘awareness’ verhogen. Eigenlijk is het vaak best wel basic, je moet een geïnfecteerde mail niet aanklikken en leren hoe een fake e-mail eruitziet.”
Even testen wie in de valkuil trapt...
Maar hoe zien die er dan uit? Vaak zijn ze niet van echt te onderscheiden. “Nou ja, een mail van de ‘bank’ die barstensvol spelfouten zit, moet je natuurlijk negeren. Banken zullen je überhaupt nooit via een e-mail vragen om vertrouwelijke informatie te delen. Of een mail van Vodafone, terwijl je klant bent van KPN, ook zo’n valkuil. Wij helpen hotels om inzichtelijk te maken welke afdelingen het meest klikken op frauduleuze e-mails. We versturen bijvoorbeeld een mail die zogenaamd van Linkedin afkomstig is en meten wie daar dan op klikt; we mogen dat niet op persoonsniveau doen – vanwege de AVG – maar kunnen wel zien of het de afdeling sales is of frontoffice. Daar kun je dan als hotel mee aan de slag.”
Altijd operationeel dankzij goede backups
Natuurlijk bouwt Sbit veel beveiligingssystemen in om dit soort e-mails te onderscheppen. “In je e-mail zit een filteringssysteem, waardoor de bekende fraude-mails niet aankomen. Maar ja, je kunt pas filteren als het een keer mis is gegaan. Na de klik volgt endpoint security, die het blokkeert als het iets bekends is. Als het niet geblockt wordt, dan staat er malware op het werkstation. Die malware plaatst een ‘agent’, zodat je van buiten troep ophaalt en dat kun je op twee manieren blokkeren: door een firewall of op basis van DNS, waarbij je bepaalde adressen niet toestaat. Als de server daadwerkelijk geïnfecteerd is, dan hebben onze klanten altijd nog de beschikking over back-ups. Ieder uur maken we een lokale back-up en één keer per 24 uur gaat die naar buiten, waarna we er een ransomware-detectie op uitvoeren. Mocht er malware gedetecteerd worden, dan stoppen we alle back-ups en kunnen we een laatste redmiddel toepassen door een gezonde back-up terug te zetten. De kopie van de server starten we op in de cloud, waardoor we zeker weten dat het werkt. Vroeger moest je een bestandsback-up terugzetten en lag je er soms langer dan 48 uur helemaal uit, terwijl we nu virtueel kunnen starten in een hostingcenter. Het kost wel wat, maar je bent verzekerd van bedrijfscontinuïteit. Veel hotels werken nog steeds met Windows 7, maar dat kent een ‘end of life’ vanaf 14 januari, dus je krijgt geen securitypatches meer. Dat is echt zorgelijk, heel veel ziekenhuizen draaien er ook nog op; het is een budgetkwestie, dat weet ik, maar je loopt echt wel gevaar als je niet overstapt naar een nieuwere versie.”
Valkuilen voor hotels
Met name kleinere hotels zijn kwetsbaar, zo heeft Brul vastgesteld. “De firewall is vaak niet goed ingeregeld en de wifi voor de gasten is niet gescheiden van het kantoornetwerk. Een ander probleem zit aan de kant van de leveranciers: hoe weet je wat ze doen? Maar al te vaak wordt er een Teamviewer-sessie gestart, waarbij ze in je systemen komen, maar wat hebben ze dan gedaan? Is daar wel controle op? Er zijn heel veel bedrijven die dat wat slordig doen, net als de exit-procedures. Als iemand het bedrijf verlaat, kunnen ze dan nog via VPN je netwerk op? Als de breuk vervelend was, dan zou een ex-werknemer best wat kwaad kunnen aanrichten. Wat ik ook zie, is dat de two factor authentication nog ontbreekt bij hotels, terwijl je toch echt werkt met vertrouwelijke informatie. 2FA moet eigenlijk wel de standaard worden, want anders ben je behoorlijk kwetsbaar.”
Hoteliers zullen 2FA vaak zien als onhandig, inloggen kost wat meer tijd, maar de noodzaak is er wel degelijk. “Voor ons is het ook tijdrovend, alles moet meer secure, dus het kost ons ook tijd, waardoor beveiliging duurder wordt. Gelukkig is ons bedrijf zo ingericht dat we vrijwel alles op afstand kunnen doen en bovendien 24 uur per dag. We zijn daardoor minder zichtbaar voor de klant, wat soms wel jammer is, maar het werkt perfect en is veel efficiënter. Personeel is een heet hangijzer binnen de hotellerie, maar binnen de ICT is dat net zo erg, dus het is logisch en verklaarbaar. Hotels werken anders dan retail en kantoren, want ze zijn 24 uur per dag operationeel, en met minder mensen meer doen betekent dat we een team in India hebben dat ’s nachts bereikbaar is voor onze hotelklanten. Het is echt een eigen team van vaste mensen, we halen ze zelfs hier naartoe voor een training, zodat ze hun werk uitstekend kunnen doen. We gaan eigenlijk toe naar minder kennis op de vloer, wanneer we op afstand zien dat een kastje kapot is, dan hoeft een TD’er die alleen maar op te halen in het magazijn en aan te sluiten. Wij regelen alles op afstand in. De functie van TD’er wordt dus logischerwijs eenvoudiger, maar dat is kostenbesparend en logisch in deze tijden van vooruitgang en personeelskrapte. Uiteindelijk zijn wij er om in het hotel alles goed ingericht te hebben en de veiligheid en continuïteit te bewaken. En dat doen we best wel goed, al zeg ik het zelf, we zijn ook fors gegroeid in de afgelopen twintig jaar. Ik had twintig jaar geleden, toen ik mijn bedrijf begon, niet kunnen dromen dat we zo groot zouden worden binnen de hotellerie.”
Sbit Hospitality ICT Services, s-bit.nl
