Cyber Security: priorità per il comparto hospitality per evitare i rischi

Sul tema della Cyber Security ci siamo confrontati con il Prof. Manlio Del Giudice, Ordinario di Management nell’Università di Roma “Link Campus”, tra i massimi esperti del settore

Casi celebri di hackeraggi fanno riflettere molto: basti pensare al gruppo statunitense Marriott multato per 18,4 milioni di sterline (circa 20,4 milioni di euro) a causa del data breach subito, che ha colpito 339 milioni di clienti del gruppo in tutto il mondo.

Secondo una recente ricerca dell’Università di Stanford, “Updated science-wide author databases of standardized citation indicators”, pubblicata dalla rivista internazionale Plos Biology, condotta da John Ioannidis dell’Università di Stanford, Kevin Boyack e Jeroen Baas e riportante uno studio dei docenti e ricercatori più citati ed influenti al mondo su un campione totale di circa 9 milioni di scienziati e al 37° posto nella classifica generale mondiale riferita alla stessa categoria.

Con tutti i problemi che le strutture ricettive stanno affrontando anche a seguito della pandemia perché un hotel dovrebbe preoccuparsi della sicurezza informatica? 

La sicurezza informatica dev’essere una priorità per ogni operatore del comparto hospitality, per svariati motivi. Proprio la pandemia ha contribuito ad aprire gli occhi ad imprenditori e manager del settore sulle problematiche di sicurezza informatiche che le strutture alberghiere possono dover affrontare: durante i periodi critici della pandemia da Covid19 la diffusione dello smart working ha spinto molti dipendenti, in numerose parti del mondo, a ricercare proprio negli hotel spazi da adibire ad uffici diurni dove poter lavorare in modo sereno e lontano dal caos delle proprie abitazioni in lockdown totale o parziale. Le aziende del settore hospitality sono esposte a numerosi problemi di Hotel Cybersecurity che possano comprometterne redditività, credibilità, immagine, sicurezza generale: si va dagli attacchi di Phishing e di Ransomware (finalizzati a rubare dati alla struttura o ai suoi clienti per attuare frodi bancarie o ricatti) al DDoS (acronimo di Distributed Denial of Service), un attacco hacker finalizzato a saturare e mandare in tilt il sistema informatico dell’hotel attraverso richieste ripetute in modo da paralizzarne l’intera gestione elettronica ed informatica, dai sistemi TVCC agli impianti di irrigazione alla gestione degli ingressi e dei pagamenti). Dagli attacchi ai POS (Points of Sale, dove l’hacker attacca i sistemi degli intermediari finanziari collegati ai pagamenti dell’hotel, minandone di conseguenza la credibilità e l’affidabilità) all’inoculazione di più raffinati spyware “DarkHotel” i quali, attraverso attacchi MitM, punti di accesso Rogue, Evil Twin, convincono gli utenti della wi-fi dell’hotel a scaricare software in grado di controllare i propri dispositivi.

Quali sono secondo lei i rischi dal punto di vista della sicurezza informatica per una struttura ricettiva? 

I rischi per la struttura ricettiva sono enormi e numerosi e possono riguardare non solo la struttura stessa ma anche i suoi clienti e fruitori dei propri servizi informatici. Recentemente l’Internet Crime Compliant Center dell’FBI ha ravvisato un rischio concreto nell’uso delle wi-fi “pubbliche”, come spesso sono configurate quelle presenti in strutture ricettive, laddove si acceda ad informazioni sensibili in ambito lavorativo e professionale. Gli utenti, difatti, se tali wi-fi sono vulnerabili, obsolete o scarsamente protette, possono essere esposti al rischio di essere monitorati nel proprio traffico web o di essere reindirizzati a pagine fraudolente. Fino ad arrivare al rischio di cadere nella ben nota trappola del Doppelgänger, in cui gli hacker creano vere e proprie reti gemelle a quelle degli hotel, per indurre gli ospiti a connettervisi, accedendo così direttamente, in tutta tranquillità, ai loro dispositivi. Ci sono, naturalmente, molti altri rischi diretti per le aziende dell’hospitality: dal data breach all’impianto di malware o keylogger o alle celebri truffe BEC (Business Email Compromise).

Quali i punti critici?

Ogni struttura alberghiera può avere tantissimi punti critici: dalla vulnerabilità delle proprie reti informatiche a quella delle applicazioni web aziendali; dai server obsoleti e poco sicuri a tutti gli aspetti critici di ogni singolo componente e processo informatico; dai dispositivi di ingresso alle reti ai desktop ed alle difese perimetrali. Purtroppo, oltre alle falle dei sistemi informatici ed elettronici, uno dei punti maggiormente critici nelle strutture alberghiere di ogni dimensione è dato dall’elemento umano: tempi di reazione agli attacchi troppo lunghi, sottovalutazione dei danni o dei rischi, assenza di attività di assesment periodiche, formazione del personale non adeguata agli attacchi del cybercrime, scarsa conoscenza degli strumenti di attacco e limitato presidio delle porte di ingresso ai sistemi informatici. E’ risaputo come il “fattore umano” sia considerato, l’anello debole nei sistemi ICT: è stimato che circa il 90% degli “incidenti informatici” sia riconducibile ad errori umani o a comportamenti errati del personale.

Quali conseguenze potrebbero nascere per una struttura ricettiva da un attacco informatico protratto ai sui danni o ai danni dei clienti? 

Le conseguenze ed i costi di un hackeraggio sono ben superiori, in molti casi, alla contrazione delle revenue causate da una pandemia globale. Il problema è che, a differenza di quest’ultima, la percezione da parte dei manager delle strutture alberghiere dei rischi di un cyber attack è spesso nettamente più bassa e, quasi sempre, viene ignorata. Senza pensare alle tipologie di attacchi più pericolosi di cybercrime, già solo in caso di “semplicissimi” data breach, l’hotel è esposto ad un danno di enorme portata: di reputazione, di ripristino del servizio, di eventuali sanzioni amministrative e di risarcimento danni da parte degli utenti a cui sono stati sottratti i dati.

Che suggerimenti può dare per affrontare il tema in modo organico? 

Le strutture del settore hospitality dovrebbe anzitutto dotarsi di un vero e proprio Hotel Cybersecurity Framework che consenta di gestire in modo sicuro il proprio business ed i dati dei propri utenti e dipendenti, tenuto conto anche degli aspetti legislativi connessi al nuovo GDPR. Può essere particolarmente utile, a tal fine, prevedere attività periodiche di Vulnerability Assessment dei propri sistemi informatici al fine di identificare obsolescenze, bug, vulnerabilità, porte facili di ingresso ad attacchi di hacker spregiudicati. Un’attività periodica, approfondita e professionale di vulnerability scanner della propria infrastruttura, può aiutare a prevenire oltre il 95% dei rischi comuni di hackeraggio e pirateria informatica più diffusi, riducendo drasticamente il rischio di perdita di dati, di immagine, di credibilità, e soprattutto di redditività. Un ruolo importante può essere, inoltre, giocato anche dalla formazione dei propri dipendenti, dal costante adeguamento ed aggiornamento dei supporti hardware e software, dall’effettuare frequentemente attività di Data Protection Impact Analysis (valutando e determinando con ragionevole certezza l’analisi del rischio tecnologico ed organizzativo della propria struttura, in relazione alle proprie scelte strategiche, strutturali e di mercato). A tal fine, i programmi di Security Awareness perseguono proprio il fine di trasformare i dipendenti delle aziende del settore hospitality, l’elemento umano dei sistemi informatici, da anello debole a motore più affidabile nel contrasto agli attacchi di cybercrime.

Manlio Del Giudice è Ordinario di Management nell’Università di Roma “Link Campus”, dove riveste anche la carica di Delegato del Rettore al Programma Erasmus, Direttore del Centro di Ricerca CERMES, Direttore del Master in “Smart Public Administration” e Coordinatore del Dottorato di Ricerca “Tech for Good”. Esperto internazionale di knowledge management, cybercrime e cybersecurity, è Editor in Chief di una tra le prime tre riviste scientifiche al mondo di Information Science e tra le prime nove di management. Il prof. Del Giudice si è collocato al primo posto tra tutti i professori Ordinari italiani nel campo della ricerca manageriale nella categoria “Economics and Business Sciences”.