Voor het verwerken van betalingen is een gecertificeerde beveiliging een absolute noodzaak. Maar wat als een medewerker vervolgens ingaat op een phishing mail of een telefoongesprek met een robot? Dan is er vaak geen technisch vangnet dat misbruik van gegevens voorkomt. Toch sta je als hotel niet machteloos. Meer veiligheidsbewustzijn helpt, zegt security officer Johannes Werkman van VSA.

“Het kat-en-muisspel met de digitale onderwereld gaat iedere dag door. Heb je vandaag je veiligheid op orde, morgen kan het anders zijn. Met alleen technische oplossingen ben je er niet. Gedrag is minstens zo belangrijk. Tussen de tachtig en negentig procent van alle aanvallen wordt veroorzaakt door onveilig klikgedrag en het bezoeken van onveilige websites”, zegt Johannes Werkman. Als security officer bij VSA is hij gespecialiseerd in hotelautomatisering en kent hij hotelorganisaties van binnenuit.

“Als ik aandring op betere beveiliging, krijg ik nog wel eens de reactie: ‘Ik heb niets te verbergen.’ Dan zeg ik: Je hebt iets heel belangrijks te verbergen: je identiteit. Je wilt niet dat een ander namens jou je gast benadert en vraagt om betalingen te doen, zoals een bekend boekingsplatform overkwam.

Criminelen hebben het vertrouwen gewonnen van hotelmedewerkers en inloggegevens op het platform buitgemaakt. Dat is hoe misbruik begint. Niet door een hack van het boekingsplatform, maar doordat een hotelier niet voorzichtig genoeg is geweest met inloggegevens.”

Tot nu toe zijn hotels niet vaak een primair doelwit voor hackers. Werkman: “Ik verwacht dat gerichte aanvallen op hotels meer gaan voorkomen. Bijvoorbeeld met phishingmails over onderwerpen die in het hotel vaak voorkomen, zoals de vraag om een reservering te bevestigen, waarbij je opnieuw moet inloggen of om een betaling opnieuw te doen, omdat deze fout zou zijn gegaan. De nieuwe betaling gaat uiteraard naar een malafide website. Als in zo’n mail ook staat dat er haast bij is, dan is de kans groot dat iemand daar in de hectiek van de dag een keer intrapt.” Nog moeilijker wordt het als AI de misleiding gaat overnemen. “Ik ken er in mijn eigen omgeving nog geen voorbeelden van, maar het gaat een keer gebeuren dat je denkt een bekende aan de lijn te hebben, terwijl die stem door AI is gegenereerd. Als een vertrouwde stem vraagt om een wachtwoord te resetten of geld over te maken, dan wordt het nog moeilijker om gezond wantrouwen te behouden.”

De belangrijkste tip om de phishing-val in een mailbericht te ontwijken ontleent Werkman aan een bekend hygiënevoorschrift. “Je moet twintig seconden je handen wassen met zeep om er zeker van te zijn dat ze schoon zijn. Als je die tijd ook neemt voor het lezen van een mailtje, kun je veel ellende voorkomen. Wat staat er nou eigenlijk? Waar word je door getriggerd? Wat is de aanhef? Wie is de afzender? Is het logisch dat er haast bij is? Of kan dit ook best even wachten tot je het met een collega hebt besproken?” Werkman weet hoe lastig het is om deze mate van bewustzijn tussen de oren te krijgen van het voltallige personeel. Daarom heeft VSA een Security Awareness training ontwikkeld, waarmee alle personeelsleden die een computer gebruiken spelenderwijs hun kennis kunnen opkrikken en op peil houden. “De training bestaat uit verschillende modules, die het hotel zelf kiest. Er zijn modules over veilige wachtwoorden, over phishing en over bescherming van privacy-gevoelige gegevens. Je leert over cybercriminaliteit met grappige filmpjes, spelletjes en questionnaires. Medewerkers kunnen de training volgen waar en wanneer ze willen en in verschillende talen.” Na het voltooien van de Security Awareness training bestaat de mogelijkheid om tests uit te voeren, zoals een phishing-simulatie. “Het hotel kan zelf een phishingmail sturen naar de hele organisatie of een select groepje en kijken of erop geklikt wordt. Niet voor naming and shaming van medewerkers die in de fout gaan, maar om het veiligheids- bewustzijn te peilen en eventueel de training te herhalen. De medewerker die op de foute link klikt, krijgt meteen al een leermoment. Die krijgt een pagina te zien waarop iets staat als: ‘Dit is een test, dus maak je geen zorgen. Maar wees scherp, want dit had ook een echte phishingmail kunnen zijn.’