Cibersegurança, o grande desafio enfrentado pelos hotéis independentes

Quando falamos em segurança em geral e segurança cibernética em particular, devemos partir da seguinte premissa: "Segurança total não existe".

Provavelmente já ouviu disso antes, mas acho que é vital relembrar e colocar alguma perspetiva sobre este assunto.  Nos últimos meses, recebemos constantemente notícias, de grandes multinacionais de TI, governos, grandes cadeias hoteleiras e até agências de segurança viram os seus sistemas de informação violados, apesar de contar com equipes altamente qualificadas e com a melhor formação, recursos técnicos e protocolos de segurança que se possa imaginar.  Embora possa parecer que o alvo desses ataques cibernéticos seja focado em grandes entidades, a verdade é que, de acordo com um recente relatório da Cisco "Cisco SMB Cybersecurity", 53% das PMEs sofreram um ataque cibernético no último ano com maiores ou menores consequências, tornando-se o alvo mais apetecível para os criminosos. Sem dúvida, esses dados são surpreendentes e sugerem o nível de vulnerabilidade desse perfil de empresas.  Em particular, hotéis independentes ou pequenas cadeias, diferentemente de outros setores, veem o risco de ser atacadas multiplicado devido a dois fatores principais:  1 - A natureza de sua distribuição de vendas, cerca de 90% das reservas são geradas on-line e através de múltiplos canais, seja direta ou por intermediação de vendas.  2 - O grande volume de registos pessoais que são processados e armazenados nos seus sistemas e dos seus fornecedores ao longo do ano, que contêm informações vitais (cartões de crédito, números de conta, endereços residenciais, regimes de atendimento ao cliente, viagem, etc….).  Riscos a que um hotel está exposto

Mas quais são os principais riscos a que um hotel está exposto devido a sua atividade?

— Phising

É uma técnica pela qual os dados pessoais e corporativos são capturados de forma ilegal e / ou fraudulenta, redirecionando o usuário para um domínio da Web falso com a intenção de subtrair as suas informações pessoais e financeiras, o que pode permitir com facilidade  o acesso aos sistemas do hotel.

— Bloqueio de sistemas, criptografia de arquivos e sobrecarga de rede

—Através de ataques de ransomware e ataques DDoS, respectivamente, com o objetivo de paralisar a atividade comercial do hotel e solicitar um resgate em troca de retornar a atividade ao normal.

 

— Roubo de dados pessoais de clientes

— A responsabilidade civil motivada pelo que isso possa acarretar, especialmente ao gerir dados bancários e outras informações confidenciais.

— Perda de informação que em muitos casos, pode ser irrecuperável.

Uma vez que os riscos aos quais um hotel é exposto são conhecidos, é essencial identificar os pontos fracos e reforçá-los para evitar que, tanto quanto possível, uma vulnerabilidade seja gerada nos seus sistemas.

Ações Básicas de Prevenção

A partir de nossa experiência como mediadores em seguro cibernético para hotéis, consideramos quatro ações preventivas básicas que qualquer hotel pode implementar e que, embora não garantam segurança absoluta, reduzem em grande parte o risco de sofrer um ataque, minimizando seu impacto caso aconteçam:

1. Sensibilizar e treinar os funcionários

É crucial que as empresas invistam em processos e pessoas e garantam que sua equipe seja a primeira linha eficaz de defesa contra esses ataques.

De acordo com um relatório da companhia de seguros HISCOX de 2018, 67% das reclamações envolviam algum tipo de negligência por parte de um empregado. Clicar  num e-mail malicioso, visitar um site prejudicial ou simplesmente ser descuidado e perder um dispositivo pode ser a porta de entrada para qualquer cibercriminoso.

2. Autenticação

- Limitar tentativas de aceder uma conta.

- Considere a implementação da autenticação de fator duplo em todas as contas remotas.

- Ofereça aos administradores, usuários remotos e dispositivos móveis proteção adicional, e garanta que os administradores usem senhas diferentes nas suas contas de usuário administrador e não administrador.

 

3. Aplique a regra 3-2-1 para fazer o backup

Faça três cópias de dados em dois sistemas  diferentes e grave a terceira cópia num local físico diferente.

 

4. Mantenha o software sempre atualizado

 

Mas o que acontece quando estou a ser atacado? Quais as ferramentas com que  conto? Neste ponto, o protocolo de ação e os recursos necessários para minimizar os danos do ataque são muito diferentes, porém pouco se fala sobre o assunto. O fato é que um hotel médio independente  poder ser tentado a pensar que não é um alvo suficientemente relevante para esses tipo de criminosos,  está mais longe da realidade.

Este tipo de hotel tem informações muito valiosas e inúmeras portas de entrada para as informações fornecidas pelo WIFI do hotel, pelas APIs que integram os seus sistemas ou através de certas ações não recomendadas por seus funcionários e convidados ...

Os hoteleiros sempre viveram para o serviço, e é sua responsabilidade fazer tudo o que estiver ao seu alcance para criar e manter (por meio de ações apropriadas) um ecossistema tecnológico seguro para os seus negócios,  clientes e para os seus dados. Mas o que acontece quando a prevenção é insuficiente e o dano é óbvio?

Neste ponto, é onde entram os seguro cibernético e as  medidas de contenção, com as quais o cliente recebe o suporte técnico necessário para minimizar os danos durante o ataque e o apoio subsequente para ajudá-lo a retomar a atividade normal o mais rápido possível., e para cobrir os custos que tais ataques podem ter gerado.

Como diria Bruce Schneier, "Se acha que a tecnologia pode resolver os seus problemas de segurança, isso significa que  ainda não entende esses problemas ou essa tecnologia".

Na García Alamán, consideramos que o seguro cibernético é uma ferramenta fundamental que permite ao hotel garantir sua sobrevivência diante de um ataque cibernético com o menor impacto possível na conta de perdas e ganhos e na sua reputação.

 

Juan Carbajal - Chefe de Segurança Cibernética na Corretora de Seguros García Alamán