Segurança virtual: recomendações para ameaças e prevenções no seu hotel

Você pode se perguntar, por que um cibercriminoso iria atacar seu hotel em vez de, digamos, um banco? A resposta é múltipla! Os hotéis, em particular as redes hoteleiras, possuem uma riqueza de dados que inclui não só informações sobre cartões de crédito mas também detalhes pessoais dos hóspedes. Isso as torna uma verdadeira mina de ouro para criminosos da internet.

Além disso, com vários pontos de entrada como sistemas de reservas on-line, redes Wi-Fi e sistemas de ponto de venda, os hotéis podem apresentar múltiplas vulnerabilidades se não forem adequadamente protegidos.

Mas há mais! Os hotéis muitas vezes interagem com uma infinidade de fornecedores terceirizados – desde agências de viagens online a serviços de lavanderia. Cada uma dessas interações pode potencialmente introduzir vulnerabilidades se não forem gerenciadas de forma criteriosa.

Uma violação de segurança pode levar a perdas financeiras, sim. Mas você já considerou o dano à reputação do hotel? Para um segmento que prospera com confiança e fidelidade do cliente, um lapso de segurança cibernética pode ser catastrófico. Um único incidente cibernético pode desfazer anos de construção de marca e relacionamentos com clientes. 👾

Então, por onde se começa? O primeiro passo é o reconhecimento. Reconhecer que há um problema em potencial é metade do desafio ganho. A partir daí, uma abordagem múltipla que envolve treinamento de funcionários, atualizações de infraestrutura e monitoramento contínuo pode abrir caminho para um ambiente virtual mais seguro.

Veja as ameaças específicas que os hotéis enfrentam e as soluções de proteção. A segurança virtual não é um esforço único; é uma jornada contínua.

Como gestores, é crucial ser proativo e bem informado. Esta não é uma responsabilidade exclusiva da equipe de TI mas sim da alta direção e de todos os colaboradores do hotel, sem exceções.

Todos os dias, os hotéis processam grandes quantidades de dados privados. Informações confidenciais passam por vários canais a cada minuto. Muitos são dados sensíveis ou confidenciais e que precisam de proteção, como informações financeiras contendo os registros financeiros do hotel, detalhes de cartões de crédito de hóspedes, autorizações de pagamento, informações da conta bancária, histórico de compras, fornecedores, terceirizados e também informações sensíveis de contato, como nome, endereço, telefones e e-mails de hóspedes e funcionários.

Até dados demográficos como localização, idade, sexo, estado civil e preferências dos hóspedes são alvo dos criminosos da internet.

O que os hotéis devem saber sobre segurança da informação

Os hotéis são particularmente vulneráveis a ataques de segurança cibernética devido à dependência de outros parceiros como por exemplo, concluir reservas online, receber pagamentos e comunicar-se com os hóspedes.

Alta rotatividade de pessoal

A hotelaria têm enfrentado taxas de rotatividade mais altas do que muitos outros setores de negócios. E quanto maior a rotatividade, maior o risco de violações de segurança pois são mais pessoas processando dados sensíveis que, às vezes, não receberam treinamento adequado sobre segurança assim que iniciam sua jornada na empresa.

Departamentos de RH devem incluir no seu onboarding, a relevância deste tema. Responsável por TI deve estar atento às permissões de acesso que quem se vai. 🧐

Redes Wi-Fi inseguras

Redes Wi-Fi mal protegidas estão mais expostas a vários hackers e crimes virtuais. Além de abrir o hotel à ameaças de dados, as redes frágeis colocam os hóspedes sob risco de terem suas informações roubadas, dispositivos infectados ou dados comprometidos.

Erro humano

Mesmo colaboradores bem treinados podem cometer erros que abrem o hotel para ameaças de dados. Desde deixar de fazer log off de um computador até baixar um link de e-mail malicioso. Pequenos erros podem se somar e custar muito ao hotel.

As ameaças de segurança cibernética

Existe um amplo espectro de ataques de segurança virtual a que os hotéis estão expostos – desde as violações mais complexas e abrangentes até as infiltrações de rede direcionadas no local. No entanto, entender como hackers, golpistas e outros cibercriminosos atacam os hotéis pode ajudá-lo a se proteger.

A era digital trouxe consigo uma série de benefícios, mas também trouxe uma lista cada vez maior de ameaças virtuais. Você já pensou em quais dessas ameaças poderiam impactar especificamente seu hotel? 💣

Malware

É qualquer código de software ou programa de computador projetado intencionalmente para danificar, interromper ou acessar os sistemas de computador ou seus usuários. Os hotéis enfrentam ameaças de malware em várias áreas, especialmente nos sistemas de pagamento.

Esses ataques geralmente são projetados para se espalhar; eles podem começar infectando um sistema antes de se espalhar para outros.

Ransomware

No cenário virtual atual, o ransomware se destaca como uma das ameaças mais devastadoras para as empresas  e indivíduos. É um tipo específico de malware que, uma vez dentro de um sistema, bloqueia ou criptografa (usada para proteger os dados contra roubo, alteração ou comprometimento e funciona transformando os dados em um código secreto que só pode ser desbloqueado com uma chave digital exclusiva), os dados da vítima. Em termos gerais, ele sequestra os dados ou sistemas de um indivíduo ou empresa e, em troca, exige um resgate (geralmente em criptomoedas) para desbloqueá-los.

Phishing

Durante um ataque de phishing, os golpistas se passam por outra pessoa, como um hotel ou representante da marca, para atrair indivíduos que forneçam seus dados pessoais ou de pagamento. Por exemplo, os hackers podem entrar em contato por e-mail ou direcionar os consumidores para um site fraudulento como uma maneira de convencê-los a compartilhar seus dados atraídos por iscas como voucher presente, diárias cortesia e outros benefícios.

DarkHotel hacking

Um termo relativamente novo, é uma forma de crime virtual que utiliza a rede wi-fi dos hotéis para atingir seus hóspedes. Ao enviar código malicioso para o servidor do hotel, um invasor pode forjar certificados digitais e atingir os hóspedes convencendo-os a baixar um software prejudicial. Especificamente ataca hotéis de alto padrão ameaçando hóspedes com um perfil específico como funcionários governamentais, executivos e profissionais que atuem na área de finanças.

Ataque distribuído de serviço (DDoS)

Um invasor sobrecarrega o website e/ou servidor do hotel com tráfego malicioso. Como resultado, o alvo trava ou não consegue operar, negando serviço a usuários legítimos e impedindo que o tráfego verdadeiro chegue ao seu destino.

Ataques em pontos de venda (PDVs)

Os hotéis usam sistemas de terceiros para capturar e processar informações do cartão do consumidor. Os ataques de POS ocorrem quando o malware infecta os sistemas de pagamento. O malware obtém informações de cartão de crédito ou débito, capturando os dados. Também pode passar pelo sistema de pagamento para outros sistemas de POS gerenciados pelo mesmo operador, potencialmente afetando várias propriedades ou marcas inteiras.

Esses ataques têm o potencial de permanecer sem serem detectados, causando danos por semanas ou meses antes de serem pegos.

Ataques Man-in-the-middle (MITM)

Em tradução livre "homem no meio" - as informações de pagamento são interceptadas ao transitar entre o hotel e seu processador de pagamento, disponibilizando os dados para serem alterados ou roubados. Os hotéis com redes wi-fi inseguras também estão sujeitos a esse tipo de ataque pois os hackers podem acessá-los para interceptar o tráfego de rede não criptografado e obter dados confidenciais.

Utilização não autorizada

Este tipo de ataque tem como foco explorar os sentimentos das vítimas, induzir determinadas ações (como clicar em algo chamativo, preencher formulários, baixar algo, instalar programas maliciosos em um sistema, entre outras coisas) e usar o próprio comportamento da vítima para facilitar o ataque. Imagine um criminoso enviando uma landing page com uma promoção para sua base de clientes solicitando dados complementares ou clicks indevidos? Que estrago!!

Roubo de identidade

Proteger as identidades e informações confidenciais dos clientes e hóspedes deve ser fundamental para todos os hotéis.

De informações de identificação pessoal a dados de cartão de crédito e bancários, a dependência do setor em sistemas on-line pode colocar muitos consumidores em risco.

Spam

É o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Os e-mails de spam incluem links para sites (muitas vezes maliciosos) ou arquivos anexados para download. 

Esteja em conformidade com a LGPD - a Lei Geral de Proteção de Dados, oferecendo opção de cancelamento nos seus e-mails marketing.

Principais riscos e implicações

Multas e repercussões regulatórias

Em todo o mundo, os órgãos reguladores estão se tornando rigorosos sobre a privacidade de dados. Regulamentações como a LGPD, a Lei Geral de Proteção de Dados impõe multa pesada aos estabelecimentos que manipulam dados pessoais de forma incorreta. O seu hotel pode pagar o prejuízo financeiro de uma não conformidade desta natureza?

Perda de confiança e reputação da marca

O vínculo entre um hotel e seus hóspedes é baseado na confiança. Uma violação, especialmente uma que comprometa dados pessoais, pode quebrar essa confiança. E em uma era onde as notícias viajam rápido, quanto tempo leva até que um único incidente afete suas reservas e a fidelidade de seus clientes? Pense nisso! 🤔

Interrupções operacionais

Além das implicações financeiras, uma violação de dados pode levar a problemas operacionais. Pense no tempo e recursos gastos na gestão das consequências. Você está preparado para tais interrupções?

Já imaginou hotel lotado e impossibilitado de efetuar o check-out no sistema? Ou hóspedes sem acesso à internet? 😡

10 dicas para melhorar sua estratégia de segurança da informação do hotel

Se você opera um pequeno hotel ou um grande resort, ajudar os hóspedes a se sentirem seguros é sua responsabilidade.

Siga estas dicas para fortalecer sua estratégia de proteção das informações do hotel e dos dados dos seus hóspedes.

1️⃣ Limite o acesso aos dados

Proteja as informações do hotel limitando quem tem acesso a dados confidenciais on-line. Nem todos os funcionários do hotel precisam de acesso a dados protegidos, como informações de pagamento de hóspedes ou registros privados de funcionários no DP.

Crie uma hierarquia de segurança da informação que limite o acesso a informações confidenciais. Restrinja também o acesso físico onde os documentos com dados sensíveis estão guardados (tanto o CPD quanto os locais onde estão arquivadas as FNRHs, por exemplo).

2️⃣ Crie uma política de segurança interna

Desenvolva uma estratégia de segurança de dados para proteger informações confidenciais. Identifique quais fontes de informação estão mais expostas e determine quais medidas de segurança o hotel pode investir para oferecer proteção adicional.

Incorpore várias medidas de segurança cibernética para aumentar sua proteção como monitoramento da rede, softwares antimalware, firewalls e ferramentas de filtragem de tráfego que fornecem vários níveis de proteção de dados.

3️⃣ Treine bem a equipe

Costuma-se dizer que o elo mais fraco em qualquer cadeia de segurança virtual é o elemento humano. Assim, uma formação abrangente e regular para suas equipes é primordial, para que elas possam reconhecer e reportar tentativas de phishing, atividades suspeitas e possíveis ameaças.

4️⃣ Faça backups regulares

Garanta que todos os dados críticos sejam copiados regularmente e com segurança. No caso infeliz de um ataque de ransomware, ter um backup atualizado pode significar a diferença entre um pequeno problema e uma grande catástrofe.

5️⃣ Adicione autenticação de dois fatores

Na autenticação de dois fatores, além da senha, se exige uma segunda verificação para efetuar o login em uma determinada conta. Isso geralmente é feito por meio de um código individual que é criado pelo serviço e enviado de forma que apenas o usuário possa recebê-lo.

Considere implementar a autenticação de dois fatores para acessar as áreas mais sensíveis da sua infraestrutura de TI, por exemplo, servidores no CPD. Ao fazer isso, mesmo que um invasor consiga roubar uma senha, ele seria bloqueado sem a camada adicional de autenticação.

6️⃣ Criptografar dados confidenciais

Uma das maneiras mais eficientes de proteger dados confidenciais, como informações de pagamento, é criptografá-los.

A criptografia armazena dados de forma alterada, garantindo que detalhes confidenciais, como informações de pagamento, nunca sejam armazenados diretamente na propriedade. Um certificado SSL/TLS é fundamental, pois indica que seu site utiliza criptografia para proteger a conexão entre o navegador e o servidor, garantindo que informações pessoais e financeiras estejam protegidas contra acessos não autorizados. 

7️⃣ Conheça e cumpra os regulamentos de segurança

Mantenha a conformidade com o Padrão de Segurança de Dados (PCI DSS) da indústria de cartões de pagamento. Este protocolo fornece um conjunto de regras e regulamentos que as empresas devem cumprir para garantir a proteção das informações de pagamento do consumidor e gerenciá-las com segurança.

8️⃣ Separe as redes de internet de hóspede e área administrativa

É recomendável que as redes de hóspede e da área administrativa estejam em LANs separadas. Com a Lei do Marco Civil e LGPD, o fornecimento de internet do hotel para o hóspede passa por uma via de mão dupla, onde o hotel precisa garantir a privacidade do hóspede, mas ao mesmo tempo ter registros que possam ser acessados em casos de investigação. Uma rede protegida por uma senha única não está mais de acordo com a legislação, sendo necessário trabalhar com autenticação de quem tem acesso ao seu Wi-Fi.  Há parceiros de softwares de gerenciamento de internet reconhecidos no mercado com Zoox, Vega IT, HSpot entre outras.

9️⃣ Utilização de sistemas de pagamento seguros

Considere utilizar algum sistema de pagamento seguro como a tokenização,  substituindo as informações financeiras sensíveis dos hóspedes por um token único, reduzindo o risco de exposição de dados.

Há ainda a conformidade com o PCI DSS compliance, padrão de segurança de dados do setor de cartões de pagamento que garante que os hotéis estejam seguindo as melhores práticas de segurança para proteger as informações financeiras dos hóspedes.

🔟 Avalie a segurança do seu hotel

A capacidade de identificar possíveis violações facilita a proteção dos hotéis contra elas. Use todas as ferramentas à sua disposição para garantir que os dados confidenciais estejam seguros.

Uma nova cultura de segurança virtual é necessária e a conscientização da relevância é fundamental pois torna as considerações de segurança da informação parte integrante do trabalho, dos hábitos e da conduta, incorporando-os no seus dia a dia.

Inventário de ativos

O inventário de ativos de TI é a listagem de todos os dispositivos, por exemplo, estações de trabalho, servidores, softwares entre outros.

Um inventário detalhado e atualizado evita o uso inadequado desses recursos e mitiga possíveis ameaças à segurança das informações, além de possibilitar valiosas informações para o planejamento de mudanças e atualizações.

É recomendável considerar esse inventário imediatamente após a implantação dos ativos, uma vez que a dificuldade para realizar essa listagem aumenta proporcionalmente à medida que novos equipamentos e softwares são adquiridos, contribuindo para o crescimento de possíveis lacunas de segurança.