Hotels als cyberrisico en wat je daar tegen kunt doen

In de Amerikaanse pers verscheen deze week de kreet “Hospitality Breach Epidemic“. Aanleiding daarvoor was de boete die Hilton moet betalen aan de toezichthouders van de staten New York en Vermont. Die boete kreeg het omdat het maanden lang zweeg over twee verschillende datalekken.

Lange lijst

In reactie op die boete werd door veel publicaties een opsomming gemaakt van de bekend geworden hotel datalekken van de afgelopen jaren. Die lijst is omvangrijk en indrukwekkend tegelijk. Hilton en Holiday Inn (just to name a few) zijn namelijk niet alleen de twee hotelketens van die naam. Daarachter gaan nog heel veel bekende en voor ons minder bekende namen schuil. Dat de Trump hotels drie keer achterelkaar met schijnbaar eenvoudige middelen digitaal kunnen worden leeg getrokken is min of meer het dieptepunt van de slachtofferlijst.

Klanten en leveranciers

Het zijn echter niet de hotels die het belangrijkste slachtoffer zijn. Dat zijn natuurlijk de klanten en leveranciers. Het begrip “klant” wordt hier met opzet gebruikt in de plaats van “gasten”. Wat nog wel eens over het hoofd wordt gezien is dat het niet alleen om de data van mensen die in de hotels overnachten gaat. Omdat er zoveel meer wordt georganiseerd en gefaciliteerd is het aantal contacten vele malen groter dan het aantal overnachtingen. Hotels zijn ook extern actief. Net zoals (vroeger?) Martinair verzorgen ze bijvoorbeeld ook de catering voor conferenties die in externe gebouwen plaatsvinden. Het is het veelvoud van activiteiten dat hotels aantrekkelijke doelwitten maakt.

Jouw klanten?

Daarmee komen we ook tot de link met de datacenter- en hostingsector. Lang niet alle hotel organisaties runnen eigen datacenters of eigen clouds. Zeker voor de kleinere merken en externe activiteiten zijn verspreid ondergebracht. Deels omdat ze ooit zijn opgekocht, deels omdat ze met reden op enige afstand worden gehouden. Wie de moeite neemt de lijst met datalekken uit te spitten zal vaststellen dat de steppingstones in een aantal gevallen – heel logisch wel – lijken te beginnen bij die kleinere satellieten, zeg maar de nevenactiviteiten.

Weet dus dat als je klanten faciliteert – met welke internet dienst dan ook – die onderdeel zijn van een hotelketen, dat zij een aantrekkelijk doelwit zijn. Soms, zo blijkt wel uit de Amerikaanse cases, hebben die deelnemingen of leveranciers dat zelf echt niet in de gaten. Omdat de hotels zelf minder kritisch kijken naar de eigen keten dan bijvoorbeeld de financiële sector, moeten die soort partijen door anderen op de risico’s gewezen worden. Dat kan dus heel goed de hoster of provider zijn.

(de illustratie toont het Amsterdamse Hilton. Dat heeft niets met bovenstaande verhaal te maken, maar is gewoon prachtig gebouw. Foto via de Wiki)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.


Laatste artikelen