Uz toliko dragocjenih podataka o kupcima koji se obrađuju svaki dan, hoteli su glavna meta povreda podataka. Od vitalne je važnosti da budu u toku s načinom na koji mogu zaštititi svoje goste kako se sigurnost podataka razvija, a tehnologije i prijetnje mijenjaju.
Posljednjih su godina hotelski lanci tražili od svojih kupaca da podijele više osobnih podataka nego ikad u zamjenu za bolju uslugu. S tim u svezi treba osigurati da ti podaci budu što sigurniji i zaštićeniji od gubitka i provale podataka. SkiftX je nedavno razgovarao s Aleksanderom Ludynia, direktorom sigurnosti Shiji Grupe, o tome što bi ugostiteljske tvrtke trebale imati na umu o sigurnosti podataka i privatnosti za godinu koja slijedi.
SkiftX: Zašto su podaci o hotelskim kupcima toliko privlačni za hakere?
Aleksander Ludynia: Krenimo s nekim dobrim vijestima: ugostiteljstvo nije među industrijama koje su cyber kriminalci najviše ciljaju, posebno u usporedbi s financijama i zdravstvom. Prema nekim izvješćima, troškovi provale ugostiteljskih podataka zapravo su se smanjili tijekom posljednjih pet godina – vjerojatno kao rezultat sigurnosnih mjera provedenih nakon ozbiljnih kršenja i sve veće usmjerenosti na privatnost širom svijeta.
Ali obilje osobnih podataka i podataka o kreditnim karticama, kao i vrijednost tih podataka, čine ove tvrtke atraktivnim za cyber kriminalce. Podaci kreditne kartice mogu jednostavno unovčiti hakeri, a osobni podaci mogu se prodavati na mračnom webu radi provođenja prevara ili krađe identiteta. Podaci o ugostiteljstvu također imaju inteligencijsku vrijednost, što može privući specijaliziranu skupinu cyber kriminalaca koji traže mjesto, preferencije, suputnike ili druge detalje povezane s gostima visokih profila.
Budući da ova kršenja mogu biti masovna i utjecati na milijune kupaca, često su javno objavljena u medijima. To obično daje dojam da je industrija manje sigurna od ostalih. Nažalost, izloženost riziku, plus sve veći broj aktivnih cyber kriminalaca, znači da će se u industriji sigurno dogoditi više povreda podataka. Sve to čini softverski inženjering sigurnosnih procesa složenijim.
SkiftX: Kako potrošači razmišljaju o dijeljenju svojih osobnih podataka s velikim hotelskim tvrtkama?
Ludynia: Gosti shvaćaju da je dijeljenje nekih njihovih osobnih podataka s hotelima dio dogovora, a oni koji su članovi programa vjernosti obično prepoznaju da se njihovi podaci koriste za poboljšanje usluga koje dobivaju – što više informacija dijele, to su finije-naštimane usluge. No, gosti ne žele da se njihovi podaci prodaju ili dijele s trećim stranama bez valjanog razloga. Hoteli također moraju uravnotežiti prikupljanje previše osobnih preferencija i osigurati da se podaci koriste za zadovoljstvo kupaca, umjesto da strogo maksimiziraju dobit.
Zahvaljujući GDPR-u i drugim propisima, nadamo se da kupci imaju veće povjerenje da hoteli neće učiniti ništa neželjeno s njihovim osobnim podacima. Naš je posao osigurati da povjerenje ostane netaknuto.
SkiftX: Uloga sigurnosti prije se uglavnom odnosila na zaštitu sustava ili tvrtke. Sada se radi o zaštiti kupaca, posebno u ugostiteljstvu. Zašto je ovo?
Ludynia: Sigurnost je uvijek bila zaštita podataka. Međutim, više se pažnje posvećuje sigurnosti osobnih podataka zbog širenja digitalne tehnologije, novih propisa, većih novčanih kazni i sve nametljivijeg marketinga. Kupci sada shvaćaju važnost kontrole tko ima pristup njihovim osobnim podacima. Očekuju da će njihovi podaci biti zaštićeni i koristiti se samo u dogovorene svrhe. Znajući koliko curenje podataka može koštati tvrtku, tvrtke preuzimaju odgovornost kako bi osigurale najvišu razinu zaštite radi zaštite podataka kupaca. Kao pružatelji usluga u oblaku, znamo da igramo vrlo važnu ulogu u ovom lancu odgovornosti.
SkiftX: Koje su neke od prednosti i nedostataka koje je GDPR donio hotelskim tvrtkama? Što mislite koliko je dobro industrija dosad reagirala?
Ludynia: GDPR je definirao što hoteli mogu, a što ne smiju raditi s osobnim podacima svojih gostiju, uklanjajući svaku nesigurnost u vezi s pravilima i načelima zaštite podataka. Pomogao je hotelima da ujedine svoje procese i interna pravila oko osobnih podataka. To je izraslo izvan Europe jer GDPR postaje standard, a njegove principe primjenjuju i hoteli i regulatori iz zemalja koje nisu članice EU-a.
Jedan od izazova koje predstavlja GDPR bila je prilagodba naslijeđenih informatičkih sustava svojim zahtjevima. U nekim su slučajevima hoteli morali odlučiti hoće li ažurirati svoj cjelokupni sustav ili se usredotočiti na primjenu novih rješenja. Vjerujem da su rješenja u oblaku izgrađena s privatnošću na razini arhitekture savršen način za rješavanje takvih problema. Također odgovornost za buduće prilagodbe prebacuju na dobavljače, što će IT osoblju u hotelima olakšati život.
Nikada nije lako prilagoditi nove propise starim sustavima, ali sveukupno vjerujem da je industrija pozitivno reagirala.
SkiftX: Kako bi hotelske tvrtke trebale razmišljati o suverenitetu podataka? Možete li dati primjer kako bi pitanje suvereniteta podataka moglo nastupiti za hotelske tvrtke?
Ludynia: Zakoni o zaštiti podataka, kao što je GDPR, ne pružaju zahtjeve za lokalizaciju podataka – umjesto toga oni reguliraju prekogranični prijenos podataka. Ta su pravila relativno transparentna i jasna. Međutim, neke su jurisdikcije razvile relevantne sektorske zakone> – paralelno sa zakonima o zaštiti podataka> – koji definiraju gdje se podaci trebaju čuvati.
Udovoljavanje zahtjevima suverenosti podataka koje donose propisi širom svijeta glavni je izazov za poslovne hotele. Budući da djeluju globalno, možda će trebati slijediti više propisa, koji bi se u nekim područjima mogli međusobno sukobljavati.
Na primjer, propisi jedne jurisdikcije mogu zahtijevati od objekta da pohranjuje podatke o svojim kupcima u zemlji u kojoj posluje. Propis druge jurisdikcije mogao bi zahtijevati da se podaci pohranjuju u zemlji u kojoj gost hotela ima državljanstvo. Hotel treba odrediti koje mjesto za pohranu podataka treba koristiti: mjesto smještaja ili državu državljanstva gosta hotela.
Suverenitet podataka također komplicira postupak objedinjavanja profila gostiju u jedan profil. To može zahtijevati od tvrtke da primijeni više mjesta za pohranu podataka i strogu kontrolu nad načinom prijenosa podataka. Znajući to, posebno smo osmislili naš sustav za upravljanje profilima kako bi se mogao prilagoditi globalnim lancima i međunarodnim propisima.
SkiftX: Što hotelska poduzeća mogu učiniti kako bi se zaštitila od kršenja podataka?
Ludynia: Oni mogu zaštititi sebe i osobne podatke i podatke o vlasnicima kartica svojih kupaca razumijevanjem njihove izloženosti riziku i primjenom odgovarajućih sigurnosnih mjera. Oni bi se trebali pozabaviti najznačajnijim rizicima ispitivanjem svojih najvrjednijih resursa, tko može ciljati tvrtku i zašto, kakvi bi se napadi mogli dogoditi i kakav bi mogao biti učinak takvih napada. Oni također moraju osigurati dostupnost i točnost svojih poslovnih sustava, kao i cjelovitost podataka u tim sustavima – na primjer, podatke i informacije potrebne za obradu rezervacija.
Iako su složena sigurnosna rješenja važna, osnovna sigurnosna higijena je ključna. To uključuje održavanje inventara sustava i podataka, redovito krpanje sustava, njihovo sigurno konfiguriranje, upravljanje pristupom i ograničavanje vanjskih pristupa sustavu. Naslijeđene sustave trebalo bi pomno nadgledati i u jednom bi trenutku možda trebalo zamijeniti novim rješenjima koja se bave trenutnim poslovnim i sigurnosnim zahtjevima koji su danas potrebni.
SkiftX: Što mogu poboljšati hotelska poduzeća kada je u pitanju sigurnost podataka?
Ludynia: Jedna od najslabijih karika u sigurnosti podataka poslovnih hotela je ta što naslijeđeni sustavi koji se često koriste otežavaju uvođenje novih sigurnosnih kontrola. Hoteli se moraju preusmjeriti na nove tehnologije i informatička rješenja sa sigurnošću i privatnošću dizajniranim unutar temeljne arhitekture, umjesto da budu dodani po potrebi.
Sljedeće područje koje treba poboljšati je osposobljavanje zaposlenika. Zaposlenici moraju biti svjesni osjetljivosti podataka koje obrađuju, prijetnji i napada s kojima se mogu suočiti te postupaka koje moraju slijediti kako bi spriječili kršenja. Bez pravilnog, redovitog treninga oni mogu postati najslabija karika. Važno je shvatiti da pitanje sigurnosti nikada nije dovršeno. Uvijek će postojati područja za poboljšanje kako se tehnološke promjene i prijetnje razvijaju.
SkiftX: Koji ćete napredak očekivati u sigurnosti podataka i privatnosti za hotelske tvrtke u 2021. godini i kasnije?
Ludynia: Očekujem da ćemo vidjeti napredak u tome kako ugostiteljske tvrtke pohranjuju i upravljaju regionalnim podacima i vjerujem da će suverenitet podataka postati važniji u smislu sigurnosti i povjerenja gostiju. Također predviđam da će se proširiti opseg onoga što smatramo “privatnim informacijama”. Trenutno podatke kao što su ime, adresa i telefonski broj smatramo osobnim podacima koji se mogu izravno identificirati. Međutim, kako tehnologija napreduje, širi opseg podataka može se koristiti za povezivanje podataka s pojedincem. Stoga bi takvi podaci poput analize ponašanja, sklonosti prehrani ili izdataka na kraju mogli biti izričito obuhvaćeni propisima o privatnosti. Napokon, sve nove tehnologije koje implementiraju hoteli stvorit će i nove rizike kojima će se sigurnosni timovi morati pozabaviti.
Tekst preuzet: Executive Q&A: What Hotels Need to Know About Data Security for 2021
Što hoteli trebaju znati o sigurnosti podataka za 2021. godinu by Armin S