Hotels zijn een aantrekkelijk doelwit geworden voor cybercriminelen. Het risico van een succesvolle cyberaanval in een hotel is dan ook reëel. Met deze gedachte in het achterhoofd organiseerden de Belgium Hospitality Club en Coriotech op 29 april in Kasteel Solhof (Aartselaar) en op 5 juni in hotel Park Inn by Radisson,(Brussels Airport) een roadshow rond cyberbeveiliging in hotels.
Na het welkomswoord van Filip Helssen, Voorzitter van BHC en CEO van Coriotech, legden gastsprekers Koert Van Espen (Apogado) en Pieter Govers (Coriotech) uit waarom hotels maar beter hun data en systemen beveiligen. Wie zijn virtuele deuren laat openstaan en te maken krijgt met een geslaagde cyberaanval, haalt zich heel wat problemen op de hals. Een hardnekkig misverstand blijft dat het enkel zou gaan over vertrouwelijkheid. De impact van een cyberaanval gaat veel verder dan dat. In sommige gevallen kan een geslaagde cyberaanval de dagelijkse activiteiten van een hotel grondig verstoren, wat tot extra kosten en ongemak voor de gasten leidt. Als hackers toegang hebben gekregen tot gevoelige financiële gegevens zoals bankrekening- en creditcardnummers, kunnen financiële verliezen aanzienlijk zijn. Daarnaast kan een cyberaanval ook leiden tot reputatieschade en een verlies van vertrouwen bij klanten.
Hackers: digitale inbrekers, vandalen en dieven
Volgens Koert Van Espen en Pieter Govers werken hackers vaak via diverse ‘hackers-collectieven’ en behoren zij tot de georganiseerde misdaad. Vooreerst moet een cybercrimineel beschouwd worden als een ‘inbreker’. Een hacker komt het hotel binnen via de ‘voordeur’ via valse voorwendsels (bijv. onderhoud van de systemen op afstand of phishing). Via de ‘achterdeur’ kan soms ook, door middel van slecht beveiligde toestellen. Eens binnen, schakelt de hacker de alarmen (bijv. anti-virus-tools) uit en doorzoekt hij ongemerkt het systeem; dit kan soms weken duren.
Daarna vernietigt de hacker als een ‘vandaal’ de systemen en de back-ups om dan als ‘dief’ toe te slaan. Eerst wordt informatie (belangrijke data) gestolen, meestal wordt alles gedownload en daarna versleuteld. Vervolgens vraagt de cybercrimineel losgeld, waardoor de hotelier zijn data terugkrijgt. Wanneer er niet overgegaan wordt tot betaling, wordt de gestolen data soms verkocht. De gastsprekers vinden overigens dat het betalen van losgeld een ‘verkeerd signaal’ is.
Tips om hackers op afstand te houden
Koert Van Espen en Pieter Govers denken dat hoteliers best een aantal stappen volgen om de deur voor cybercriminelen dicht te gooien. Eerste tip: laat de ‘sleutels’ niet rondslingeren. De sprekers benadrukken dat goede wachtwoorden en vooral een tweestapsverificatie essentiële beveiligingsmaatregelen zijn om de online accounts te beschermen tegen ongeautoriseerde toegang. Wees ook steeds alert wie je binnenlaat (opletten met zogenaamde supports en phising-mails). In dit verband is het belangrijk om de hotelmedewerkers te trainen (awareness training), zodat ze bewust worden voor het gevaar van hacking. Verder moet de hotelier goede ‘alarmen’ (anti-virus systemen) installeren en zorgen dat alle systemen up-to-date zijn.
Andere tips: zorg voor geëncrypteerde bestanden en netwerksegmentatie en maak kopieën (off-site back-ups). Eventueel moet de hotelier ook een cybersecurity-verzekering overwegen, op voorwaarde echter dat er reeds voldoende preventieve maatregelen genomen zijn.
Interactief panelgesprek
De Cyber Summit werd afgerond met een interactief panelgesprek over ‘beveiliging in vier lagen’. Naast Koert Van Espen (Apogado), die als moderator optrad, en Pieter Govers (Coriotech), namen ook Glenn Vandamme (Lighthouse), Pieter Verheye (Lightspeed), Filip Vandaele (Sophos), Tim Beyens (NVISO) en Glenn Nuytemans (KMO Assur) aan het panelgesprek deel.
Er werd gedebatteerd over fysieke beveiliging, met als voorbeeld een toegangscontrolehack in 2022, waarbij hackers een manier vonden om vele hotelkamerdeuren te openen.
Thema 2 ging over netwerkbeveiliging, met als voorbeelden onder meer het misbruik van hoteltelevisies 2024, waarbij cybercriminelen de toestellen gebruikten voor bitcoin-mining.
De panelleden waren het met elkaar eens dat netwerksegmentering een manier is om de risico’s tot grote schade te beperken. Vooral bij connected services is extra waakzaamheid vereist. Daarnaast werk je het best met een Virtual Private Network (VPN), dat een veilige, versleutelde verbinding tussen gebruiker en netwerk creëert.
Devices (computers, tablets, mobile phones) kunnen ook een risico vormen (thema 3). Voorbeeld is de Omni Hotels Cyber Attack in 2024, waarbij alle hotelsystemen werden uitgeschakeld, doordat hackers via slecht beveiligde devices waren binnengedrongen. De panelleden hamerden vooral op sterke wachtwoorden en authenticatie, dat helpt voorkomen dat onbevoegden toegang krijgen tot de apparaten. Heel belangrijk is ook versleuteling op de devices, zodat ze niet leesbaar zijn zonder de juiste toegang. Verder zorgen regelmatige updates van de software ervoor dat de kwetsbaarheden worden gedicht.
Het panelgesprek werd afgerond met het thema mensen en de bewustmaking en training. Het is volgens de panelleden zonder meer duidelijk dat bijna al de incidenten en geslaagde cyberaanvallen gebeuren via Social Engeneering en Phishing.
Medewerkers worden opgebeld of krijgen een phishing-mail van hackers die zich voordoen als collega’s of een legitieme bron. Op die manier wordt het personeel verleid om gevoelige informatie vrij te geven of om malware te downloaden. Awareness Training bij het personeel is dan ook het eerste dat hoteliers moeten doen. Het is volgens het panel zeer belangrijk dat de personeelsleden bewust worden voor het gevaar van hacking. Daarom is het aangewezen om de werknemers te trainen over hoe ze cyberaanvallen, zoals phishing-mails en malware kunnen herkennen en voorkomen.
Tot slot raadde het panel de hoteliers aan om zich te laten begeleiden door partners als Apogado en NVISO. Hoteliers die een Cybersecurity-verbetertraject opstarten, kunnen rekenen op subsidies van de Vlaamse overheid, waarmee tot de helft van de investering terugverdiend kan worden.
door Peter Van Oyen – Foto’s BHC
