De horecasector is onvoldoend beschermt tegen cyberaanvallen. De horeca scoort beneden gemiddeld als het gaat om het nemen van ICT-veiligheidsmaatregelen, blijkt uit de sector update van ING.
De afgelopen twee jaar heeft er een versnelling in de digitalisering plaatsgevonden. Dit als gevolg van de pandemie waarbij veel meer thuis- en op afstand gewerkt wordt en waarbij in de horeca vaker digitaal wordt besteld. Dit heeft geleid tot een toename van het aantal aan netwerken verbonden apparaten en hiermee ook een toename van het aantal mogelijke aanvalspunten. Daarnaast zorgt de professionalisering van de cybercriminelen, de geringe pakkans en een verdergaande automatisering van aanvallen voor een toename van het aantal aanvallen en de impact ervan. Dankzij de financiële mogelijkheden van hackers om technologisch voorop te (blijven) lopen zal de cyberdreiging naar verwachting in de komende jaren verder toenemen. Het is daarom belangrijk dat bedrijven goed zijn voorbereid en beschermd voor een mogelijke cyberaanval. Het gaat er helaas al niet meer om of je wordt gehackt, maar wanneer.
Kwetsbaar punt
In de zakelijke dienstverlening gaat het vaak over vertrouwelijke informatie. Uit CBS-data van 2020 blijkt dat zakelijke dienstverleners bovengemiddeld beveiligd zijn. De horeca scoort beneden gemiddeld als het gaat om het nemen van ICT-veiligheidsmaatregelen. Dit is een kwetsbaar punt. In de horeca neemt de digitalisering verder toe en daarmee dus ook de kwetsbaarheid voor cyberaanvallen. Restaurants zijn bijvoorbeeld meer digitaal gegaan met online bestellingen en met bestellen met QR-codes aan tafel. Als je website of het systeem voor QR-bestellingen wordt gehackt heb je een groot probleem.
De horeca scoort beneden gemiddeld als het gaat om het nemen van ICT-veiligheidsmaatregelen. Dit is een kwetsbaar punt. In de horeca neemt de digitalisering verder toe en daarmee dus ook de kwetsbaarheid voor cyberaanvallen. Restaurants zijn bijvoorbeeld meer digitaal gegaan met online bestellingen en met bestellen met QR-codes aan tafel. Als je website of het systeem voor QR-bestellingen wordt gehackt heb je een groot probleem. Net als in andere sectoren hebben ook in de Services & Leisuresector de afgelopen tijd hacks plaatsgevonden. Onder andere bij uitzendbureaus, advocatenkantoren en in de hotelbranche.
Hotelbranche
Eind 2018 maakte Marriott Hotel Group bekend een datalek te hebben ontdekt in de reserveringsdatabase van dochteronderneming Starwood. Vier jaar voorafgaand aan deze ontdekking hebben hackers persoonsgegevens van gasten kunnen stelen. Hackers hebben toegang gehad tot namen, email-adressen, telefoon-en paspoortnummers, geboortedata en reserveringsdata van ongeveer 500 miljoen gasten van Starwood-hotels. Voor dit datalek heeft de Britse privacytoezichthouder ICO de hotelketen Marriott in 2020 een boete opgelegd van omgerekend 20,4 miljoen euro. Volgens ICO had Marriott onvoldoende maatregelen getroffen om de gegevens van gasten te beschermen.
Voorbereiding en preventie
Als organisatie moet je ervan uitgaan dat je op enig moment in aanraking komt met een cyberaanval. Dat betekent dat je voorbereid moet zijn en plannen klaar moet hebben liggen voor een mogelijke hack. De volgende afwegingen zijn belangrijk in die voorbereiding en zijn bepalend voor de invulling van het cybersecurity beleid.
Het aantal incident response cybersecurity bedrijven is beperkt in Nederland, hou hier rekening mee bij het opstellen van actieplannen. Verzeker je dit vooraf of wacht je het hackmoment af met het risico nul op je rekest te krijgen bij een verzoek tot incident response?
Tips voor ondernemers
1. Basis op orde: Dus zaken als software-updates, goede back-up strategie, sterke wachtwoorden en multi-factor authenticatie. Voor een kwalitatief goede back-up binnen je organisatie kan je het beste een strategie opstellen. Neem in deze strategie de risico’s (o.a. ransomware, storingen in hardware, brand) mee die je als organisatie loopt. Zorg ervoor dat het maken van een back-up wordt geautomatiseerd, zodat je het niet kan vergeten.
2. Voer regelmatig pentesten uit: Dit is een handmatige controle met als doel om zo diep mogelijk binnen te dringen in een systeem om zwakke plekken te vinden en de gevolgen hiervan te kennen. Deze zwakke plekken worden gebruikt om nog wat dieper in het systeem te komen.
3. Focus je niet alleen op de technische aspecten, maar ook op social engineering: Dit zijn technieken die cybercriminelen gebruiken om door middel van psychologische manipulatie mensen en organisaties te verleiden om persoonlijke of bedrijfsgevoelige informatie prijs te geven.
4. Neem je hele organisatie mee: In mindset, met trainingen en e-learnings. Wees open, dan bereik je het meest. Vergeet ook niet je bank te informeren als je gehackt wordt. Bekijk het informatieve ING webinar over dit onderwerp.
