Of het gaat om een familiehotel of een hotelketen, iedere hotelier heeft te maken met cybersecurity en alle plichten die dit met zich meebrengt. Arnoud Griffioen en Stef Vissers dragen als respectievelijk CFO en Area Manager IT de verantwoordelijkheid voor de cybersecurity bij de Nederlandse tak van Odyssey Hotel Group, terwijl Mark Bergmans als eigenaar dit bij Hotel Wesseling onder zijn hoede heeft. Er zijn veel overeenkomsten te vinden tussen de manier van werken van beide bedrijven, al is de schaal waarop Odyssey opereert natuurlijk groter dan bij een onafhankelijk hotel.
Odyssey heeft sinds 2012 een flinke groei doorgemaakt en Griffioen merkt dat dit de groep ook in het vizier van cybercriminelen heeft gebracht: “Wat we zien is dat naarmate we, door middel van bijvoorbeeld persberichten over hotelopeningen, uit de luwte zijn gekomen er meer aandacht is. Ik zie in mijn eigen mailbox dingen langskomen die te maken hebben met CEO-fraude. Naarmate je meer in het nieuws komt, merk je dat de interesse vanuit de cybercrimehoek groter wordt.” Vissers merkt ook dat cybercriminelen steeds geraffineerder te werk gaan: “Zij analyseren het gedrag van bepaalde keyposities binnen het bedrijf op basis van zaken als woordgebruik, de aanhef en de afsluiting van e-mails. Hiermee creëert men bijvoorbeeld phishingmails, die vanuit een vergelijkbaar e-mailadres als de directie gebruikt worden rondgestuurd met het bericht dat er met spoed een bedrag overgemaakt moet worden.” Bergmans neemt bij Hotel Wesseling een vergelijkbare trend waar: “Bij de receptie komt dagelijks spam binnen, daar heeft iedereen mee te maken. Ons personeel krijgt voorlichting over wat ze wel of niet moeten openen, of wat ze bijvoorbeeld moeten doorsturen.” Voorlichting is voor beide partijen een belangrijke pijler onder het cybersecuritybeleid en bij Odyssey wordt dit gedaan door de Managed Service Provider waar de groep mee samenwerkt. Door middel van campagnes met phishing-simulaties kan bewustzijn bij het personeel worden gekweekt: “Bij de eerste phishingmails klikten ook mensen waarvan je het niet zou verwachten. Het leek natuurlijk ook alsof het bericht van een collega kwam. Mensen zijn toch altijd de zwakste schakel, zij klikken op een link of sturen een mailtje door dat eigenlijk niet doorgestuurd had moeten worden. Dat begint met awareness”, voegt Griffioen toe.
Dit artikel is onderdeel van de White paper: Dossier Cybersecurity.
Rechtenniveaus
Om de kans op problemen zo klein mogelijk te maken werken zowel Odyssey als Hotel Wesseling met verschillende rechtenniveaus. Medewerkers kunnen op deze manier wel bij de bestanden en documenten die voor hun dagelijkse taken van belang zijn, zonder dat zij toegang hebben tot gevoelige informatie die alleen voor het management bedoeld is: “Alle computers hebben tweetrapsverificatie en we hebben een duidelijk protocol met betrekking tot wie waar in mag. Wij hebben drie niveaus binnen ons bedrijf: je hebt afdelingen die alleen mogen kijken, je hebt een afdeling die een map hoger kan en je hebt de directie en administratie die in de hoogste map kunnen”, legt Bergmans uit. Bij Odyssey is er sprake van elf verschillende niveaus: “In onze Sharepoint werken we met verschillende levels op het gebied van toegang tot bepaalde data”, voegt Vissers toe. “Bij een bepaalde rol op het hoofdkantoor en/of in een van onze hotels horen passende toegangsniveaus. Hiermee zorgen we dat medewerkers geen toegang hebben tot gevoelige (gasten)data waar zij niet de autorisatie voor hebben. Dit alles wordt ingesteld op basis van locatie en functie en beveiligd met multifactorauthenticatie indien mogelijk, en anders conditional access ingesteld op device. Hoe minder mensen toegang hebben tot gevoelige data, hoe beter.”
Risico
Bergmans stipt daarbij aan dat het belangrijk is om niet alleen naar de eigen systemen te kijken: “Mensen mogen niet op hun eigen computer thuis inloggen. Ik niet weet of ondernemers daar wel altijd aan denken. Personeel wil thuis bijvoorbeeld misschien even kijken wat ze zullen aantreffen ’s avonds, hoeveel mensen er nog ingecheckt moeten worden. Als je dan zelf een verouderde computer hebt staan zonder beveiliging, kan dat ook misgaan. Werknemers mogen dus vanuit huis niet zomaar inloggen op het PMS. Thuiswerken op een computer van de zaak met beveiliging van de zaak kan wel.” Het opstellen van een succesvol cybersecuritybeleid heeft nogal wat voeten in de aarde en Vissers merkt dat niet iedereen altijd even doordrongen is van de belangen: “Veel mensen vinden het allemaal wel heel erg veel werk: ‘Moet dat nou en kan het allemaal niet veel makkelijker?’ Daardoor ligt er ook een serieuze taak bij het IT-team en bij externe partijen om niet zomaar voor die druk te zwichten. De noodzaak van veiligheid op het gebied van cybersecurity is iets wat herhaald en getraind moet worden, maar daarnaast ook zeker gemonitord.” Griffioen voegt toe dat wanneer het wel misgaat, de schade enorm kan zijn: “Ik denk altijd maar: de kans keer de schade. Met een dergelijk bedrag moet je rekening houden. De ‘bedrijfstak’ van cybercriminelen wordt groter en wij komen meer in de picture, dus die kans wordt ook groter. We moeten als onderneming goed investeren om niet de dupe te worden.”
Verzekering
Hotel Wesseling heeft vanwege de belangen en risico’s die het cybersecuritybeleid met zich meebrengt al geruime tijd een cyberverzekering: “Wij doen alles wat nodig is”, legt Bergmans uit. “Er is duidelijk omschreven aan welke eisen je moet voldoen en dat is voor ons geen punt van discussie. De ondernemer die hier nog niet mee bezig is neemt een onverantwoord risico. Gegevens kwijt, geen omzet kunnen draaien, je moet geld betalen voor de ransom, je kunt aansprakelijk gesteld worden door degenen wiens gegevens op straat komen te liggen. Inmiddels moet je cybersecurity gewoon scharen naast de brandverzekering of voedselhygiëne, je moet meegaan met de tijd. Je zet je systeem open voor reserveringen die binnenkomen via een OTA, als dat niet beveiligd is kan men zo gewoon bij je binnenkomen. Alle creditcard-gegevens van alle gasten staan ook in het systeem, die moeten gecodeerd of vercijferd zijn. Als je dan je koffie tien cent duurder moet maken om de cybersecurityverzekering te betalen, dan is dat maar zo. Ik vind die risico’s te groot.”
Dit artikel is onderdeel van de White paper: Dossier Cybersecurity.
Blijf op de hoogte!
Twee keer per week het actuele en relevante hotelnieuws in je mailbox? Schrijf je hier in voor onze digitale nieuwsbrief en blijf op de hoogte.
