Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

HOTEL CYBER RISK

GDPR per hotel, b&b, strutture ricettive: le cose principali da fare

L’industria dell’hospitality è sotto attacco dei criminal hacker per via dell’enorme quantità di dati gestiti dalle strutture ricettive, ma la compliance al GDPR negli alberghi, b&b e altre strutture ricettive può scongiurare possibili violazioni di dati. Ecco come raggiungerla

07 Set 2018
I

Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder, www.swascan.com


L’industria dell’hospitality è tra le più esposte al rischio cybercrime: un’affermazione, questa, confermata dal data breach che nel mese di giugno ha coinvolto Fastbooking, un’azienda terza che sviluppa e vende la piattaforma di prenotazione online disponibile sui siti degli alberghi stessi. È evidente, quindi, come una corretta applicazione del GDPR in hotel, b&b, strutture ricettive in genere è indispensabile per prevenire ogni possibile violazione dei dati gestiti dalla struttura turistica e soprattutto di quelli gestiti da terze parti, proprio come nel caso dell’attacco a Fastbooking.

Il GDPR in albergo per ridurre il cyber risk

Subire un data breach rappresenta un danno diversificato per il titolare del trattamento e in questo caso per la possibile struttura alberghiera.

Oltre al danno di reputazione, oltre al danno di ripristino del servizio, dobbiamo necessariamente aggiungere i danni relativi alle possibili sanzioni amministrative del Garante, a cui aggiungere la possibile richiesta di risarcimento danni da parte degli utenti/interessati dei dati.

È ovvio che la gestione della sicurezza necessita di un nuovo approccio culturale. Il mindset deve necessariamente considerare anche la questione relativa ai cyber risk. Tra questi rischi dobbiamo includere anche la gestione delle terze parti nel cyber security framework che ogni struttura deve adottare e prevedere.

Nello specifico, le strutture alberghiere dovrebbero farsi garantire dai fornitori di servizi che gestiscono per conto terzi dati personali e sensibili non solo le certificazioni varie ma anche:

  • evidenza del piano di vulnerability management
  • evidenze delle attività periodiche di vulnerability assessment
  • evidenza delle attività periodiche di network scan
  • evidenza delle attività di code review (analisi del codice sorgente)
  • garantire l’attività costante e periodica relativa a patching e update dei sistemi
  • piani di incident handling e incident management

Ovviamente l’utilizzo di sistemi di crittografia e l’adozione delle soluzioni di security che rientrano nelle best practice della sicurezza preventiva sono sempre ben accetti.

Come indicato, i rischi cyber legati alle terze parti rappresentano solo uno dei possibili rischi di attacco informatico. Rimangono invariate le attenzioni relative ai rischi:

Come proteggersi? Adottando prima di tutto gli strumenti e principi base della security prevention:

  1. formazione del personale
  2. attività periodiche di vulnerability assessment
  3. attività periodiche di network scan.

Turismo, una miniera di dati che fa gola ai criminal hacker

Un recente studio di STR, una nota società che effettua analisi di mercato, ha registrato una crescita interessante dell’industria alberghiera europea. Nello specifico, ad aprile la percentuale di occupazione degli hotel è cresciuta del 1,5% e la permanenza media del 2,9%. Questi incrementi di percentuale hanno di fatto creato un beneficio diretto al fatturato, che ha giovato di un incremento pari al 4,4%.

Anche in Italia i dati relativi al mese di aprile fanno ben sperare per l’economia del turismo nazionale. È stato rilevato un aumento del 1,1% nell’occupazione degli alberghi e un aumento della permanenza del 1,6%. Anche in questo caso, il fatturato dell’hospitality italiana è salito del 2,8%.

Tanti clienti e tante carte di credito. Tutti estremamente contenti e soddisfatti: soprattutto, lo sono anche i criminal hacker.

Se non fosse chiaro ed evidente, il mondo degli hotel è un target interessante per il rapporto dati/sicurezza.

La qualità dei dati è estremamente interessante; gli hotel di fatto dispongono di tutte le informazioni dei propri clienti registrandoli al check-in, unitamente ai dati della carta di credito.

D’altro canto, i livelli di sicurezza non possono sicuramente essere paragonati a quelli di una banca.

Cyber risk in hotel: il pericolo arriva dall’esterno

Fastbooking, è il caso di dirlo, è il terzo che non ti aspetti. È una società di sviluppo piattaforme di prenotazione ed e-commerce che sono messe a disposizione degli albergatori e in generale a disposizione dell’industria dell’Hospitality.

È una azienda francese di tutto rispetto, come riportato dal sito di Fastbooking stessa:

  • 8.000 hotel partner in 100 Paesi
  • 10 milioni di richieste sui loro server ogni giorno
  • 1.2 milioni di transazioni all’anno
  • 1.2 miliardi di euro generati per i loro hotel partner dal 2000

Dopo aver elencato questi numeri credo che la notizia di giugno, relativa al data breach subito da Fastbooking, abbia fatto preoccupare, e non poco, molti dei suoi hotel partner/clienti.

Sembrerebbe che i criminal hacker abbiano usato una vulnerabilità presente in una web application del sito web di Fastbooking. Alcune indiscrezioni, non confermate dalla stessa Fastbooking, rivelano che la vulnerabilità sfruttata fosse dovuta ad un sistema non patchato. Per intenderci, la vulnerabilità era nota.

Come da prassi nel mondo del criminal hacking, dopo aver ottenuto l’accesso al sistema informatico, i malintenzionati hanno installato un malware che aveva lo scopo di rubare e sottrarre informazioni e dati. Molto probabilmente il malware usato era della famiglia dei RAT. Stiamo parlando dei Remote Access Trojan.

Come riportato dal Cert, Il RAT “è un malware che contiene una backdoor che consente ad un utente non autorizzato il controllo amministrativo da remoto del computer su cui è installato. I RAT vengono generalmente scaricati da Internet e installati all’insaputa dell’utente, ad esempio mascherati come un’applicazione apparentemente innocua, come un gioco o un’utility, o inviati come allegati ad email malevole. Una volta che il sistema è compromesso, il RAT fornisce una porta attraverso la quale un’attaccante può inviare comandi al malware. Poiché un RAT viene eseguito con i privilegi di amministratore, chi lo controlla può compiere qualsiasi tipo di azione malevola. Spesso i RAT sono utilizzati per realizzare delle botnet.”

Il cyber attack ha compromesso migliaia di dati. Non solo i dati degli hotel partner, ma anche e soprattutto i dati degli utenti/clienti dei loro partner. Le informazioni che hanno subito il data breach riguardano i nomi e cognomi, gli indirizzi fisici, gli indirizzi email, i dati di prenotazione, i dati delle carte di credito e via dicendo.

Per farla breve, tutte le informazioni che ognuno di noi fornisce al momento della prenotazione, al check-in e al check-out, servizi aggiuntivi e “altro” compreso.

La violazione della confidenzialità delle informazioni gestite da Fastbooking è avvenuta il 14 giugno.

Di fatto questa violazione, come nel gioco del domino, ha messo a rischio tutti i clienti/partner di Fastbooking.

Come le tessere del domino, dopo solo qualche giorno ci sono state le prime vittime illustri.

Fastbooking non ha voluto rivelare quanti e quali hotel sono stati oggetto di attacco, ma la catena Prince Hotel, e nello specifico il Japan Prince Hotel, ha dichiarato di essere stato oggetto di una violazione dei dati che ha compromesso di circa 124.000 clienti.

In linea generale, sembrerebbe che in Hotel e catene in Giappone siano stati rubati circa 320.000 dati di clienti.

La catena Washington Hotel ha segnalato un transito anomalo nel traffico di rete pari a 25.000 bit di informazioni.

La cosa particolare di questo attacco a Fastbooking è che la modalità e vulnerabilità sfruttata è estremamente simile ad un altro cyber attack avvenuto qualche settimana prima nei confronti di Pageup.

Quando si dice la coincidenza. Anche in questo caso, Pageup è una società australiana che fornisce sistemi e piattaforme tecnologiche per la gestione HR (Human Resource) delle aziende.

Oltre alla modalità di attacco, è anche abbastanza evidente come il target sia estremamente similare.

Sicurezza informatica per l’intera industria turistica

Nel nostro mondo di interconnessione e di integrazione, spesso i punti di accesso per effettuare gli attacchi informatici non sono mai diretti al target, ma spesso viene identificata una “terza parte”. Il motivo? Si cerca l’anello debole. Come indicato all’inizio, gli attacchi informatici vengono effettuati sempre in ottica dati/sicurezza e gli hotel non hanno parametri di sicurezza a livello di una banca.

Se questa premessa è condivisa, possiamo anche tranquillamente affermare che i fornitori degli Hotel non sempre dispongono dei parametri di sicurezza a livello degli hotel stessi.

E in termini di dati? Nel nostro caso, e non solo, i fornitori gestiscono tanti e diversi hotel. Quindi, attaccando un fornitore, il volume dei dati è sempre maggiore rispetto ad attaccare il singolo hotel. È una semplice questione di efficienza ed efficacia a cui aggiungiamo un tema di riduzione dei costi, che è sempre ben apprezzato anche dai criminal hacker.

Era ipotizzabile un attacco a Fastbooking, o meglio, a piattaforme terze legate al mondo dell’hospitality? La risposta, purtroppo, è sì. C’erano le evidenze e i primi early warning.

L’anno scorso i criminal hacker hanno violato l’azienda Sabre e ad inizio di quest’anno Orbitz è stata oggetto di un data breach.

Data breach Sabre

Sabre è una azienda leader di soluzioni tecnologiche per l’industria dei viaggi e dell’hospitality con un fatturato di 8 trilioni di dollari USA. Propone piattaforme e soluzioni tecnologiche a compagnie aeree, hotel e agenzie di viaggio. Per essere più precisi, offre soluzioni informatiche e non solo a:

  • compagnie aeree e aeroporti
  • compagnie di autonoleggio
  • corporazioni
  • linee di crociera
  • governo
  • alberghi
  • agenzie di viaggi online
  • vettori ferroviari
  • compagnie turistiche
  • agenzie di viaggio
  • società di gestione dei viaggi

La società Texana, che elabora prenotazioni per circa 100.000 hotel e più di 70 compagnie aeree, a luglio ha confermato di essere stata oggetto di un data breach.

L’attacco è avvenuto da parte di malintenzionati attraverso l’utilizzo di credenziali compromesse che hanno permesso l’accesso diretto al sistema di prenotazioni centrali SynXis (la piattaforma di Sabre per la gestione delle prenotazioni).

Anche in questo caso, come per Fastbooking, dopo alcuni giorni diversi partner/clienti di Sabre hanno segnalato diverse e consistenti violazioni.

Trump Hotels, Hotel Hard Rock, Loews Hotels e Four Seasons Hotels and Resorts sono tra le aziende che hanno subito la violazione della sicurezza dei dati, anche se la violazione è avvenuta proprio tramite il loro fornitore di prenotazioni alberghiere.

Dopo solo un mese dal data breach che ha visto coinvolto Sabre, diverse strutture alberghiere hanno subito una violazione con la relativa perdita della confidenzialità e il relativo furto di dati degli ospiti: carte di credito, indirizzi fisici, email ecc.).

SynXis gestisce le prenotazioni alberghiere fatte dai consumatori non solo attraverso gli hotel, ma anche attraverso le agenzie di viaggio online.

Data breach Orbitz

Il sito web di viaggi di Expedia, Orbitz, ha annunciato a marzo 2018 di aver scoperto che dal 1° ottobre al 22 dicembre 2017 è stato oggetto di una violazione dei dati. Durante il periodo in questione, terze parti non identificate hanno avuto accesso alla piattaforma di prenotazione, sottraendo dati personali e relative carte di credito dei clienti e, anche in questo caso, sono stati violati i dati e le informazioni dei Business Partner.

I dati compromessi fanno riferimento a circa 880.000 carte di credito.

Hotel Cyber Risk: l’importanza della digital integration

Lo storico dei attacchi informatici, unitamente ai target, dimostra come il settore dell’hospitality è e rimane un target ad altro rischio. Oltre ai tradizionali rischi legati al cybercrime, in questo momento il settore “paga” una impreparazione culturale e tecnologica legata alla necessità di digitalizzare e informatizzare le strutture. Se la digital innovation porta con sé i tipici rischi informatici, la vera preoccupazione è la digital integration.

È un tema che spesso non viene affrontato con la giusta e corretta consapevolezza. La necessità di affidarsi a terze parti per garantire nuovi servizi, l’integrazione delle diverse piattaforme e soprattutto il fatto che buona parte di questi servizi/applicazioni/piattaforme sono esposti su internet portano automaticamente ad incrementare sostanzialmente la probabilità di subire un attacco informatico e di conseguenza essere vittima di data breach.

La nuova legge europea sulla privacy, la GDPR, rappresenta un ottimo motivatore per le aziende alberghiere; di fatto tutte le aziende sono oggi costrette a dover affrontare queste tematiche.

Informazioni sull’autore:
Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder

“La Cybersecurity e la Digital Innovation sono da sempre la mia passione che ho trasformato in lavoro creando diverse startup tra cui Swascan, la prima piattaforma di Cybersecurity in cloud, SaaS e Pay for use. La mia frase è: ognuno di noi è le risposte alle domande che si pone”

@RIPRODUZIONE RISERVATA

Articolo 1 di 5