HOTELLER – DATAHACKERNES FAVORITTBRANSJE

Hoteller og serveringssteder er svært utsatt for tyveri av betalingskortdata via hacking eller annen datatapping. Få bransjer har så stor flyt av kortdata og mange har ikke god nok sikkerhet når det gjelder gjestenes kortdetaljer. – Et hotell uten lås på dørene er uakseptabelt, gjestenes kredittkortinformasjon bør behandles på samme sikre måte som gjestenes eiendeler forøvrig, sier Charlotte Norwich, compliance manager i Teller AS.

Ifjor var overnattingsbransjen segmentet med klart flest datainnbrudd. Internasjonalt er  hotellbransjen den bransjen som er mest utsatt for angrep fra kredittkort-hackere. Hele 38% av slike angrep involverer hotellbransjen, mens 13% gjelder restauranter og barer, ifølge en undersøkelse fra det amerikanske datasikkerhetskonsulentselskapet Trustwave. Teller vil ikke oppgi konkret hvor stort problemet med hacking er i Norge.

Datainnbrudd kan få store konsekvenser for brukerstedene. Dersom det oppstår et datainnbrudd hos et brukersted som ikke følger PCI DSS (Payment Card Industry Data Security Standard), vil brukerstedet i sin helhet stå ansvarlig for ethvert tap som måtte oppstå i forbindelse med og i etterkant av datainnbruddet.

– Hotellene gjør svært mye for å være på topp når det gjelder utstyr og komfort, men datasikkerhet har ikke alltid like stor fokus, sier Charlotte Norwich. Hun legger til at de store kjedene og store frittstående hoteller, stort sett, er blitt veldig flinke på dette punktet.

Tidligere var netthandel mest utsatt for hacking, men denne bransjen er blitt kraftig oppgradert i den senere tid og nå er altså hotellbransjen mest i faresonen. Mange hoteller har eldre utgaver av betalingsapplikasjoner, både hardware og software, det gjør dem sårbare. Det finnes internasjonale standarder for kvaliteten på slike systemer (PCI DSS) og en global standard for oppbevaring av data. Hoteller og andre brukersteder er ikke økonomisk ansvarlig for tap av data hvis de har fulgt reglene for datasikkerhet.

De ansatte som er involvert må ha egen bruker-id, slik at det blir lettere å oppspore hvor ting eventuelt er gått galt. Det beste er at kun noen få utvalgte ansatte, for eksempel økonomisjef, har adgang til fullstendige kortdata, mens andre kun får adgang til de siste sifrene i kundenes kort.

For å sikre seg er det første man bør gjøre å sørge for at nettverket er sikkert og beskyttet mot uautorisert tilgang. Gjestenettverkssegmentene må holdes fullstendig separat fra de administrative segmentene. Ingen må heller få tillatelse til å koble private PC-er til det administrative nettverkssegmentet, selv ikke til småjobber som å skrive ut et dokument, et boardingkort eller lignende.

Selv om det meste av hackingen utføres av internasjonale kriminelle, betyr ikke det at små brukersteder i Norge kan føle seg trygge. Ifølge Teller er det ofte en eller annen form for lokal tilknytning.

– Det har vært noen mer amatørmessige tilfeller av svindel, der utro ansatte har skrevet ned enkelte kredittkortdetaljer og misbrukt dette til svindel, men slikt er forholdsvis lett å avdekke. Det store problemet er når noen kommer inn i en database. Det ligger enorme verdier i hotellenes kortdatabaser. Selv et lite hotell kan ha flere tusen kortdataer, det vil si muligheter for svindel for mange millioner kroner, hvis dataene kommer i gale hender. Mange  lagrer mer informasjon enn de trenger og har lov til, pluss at de lagrer dette over lengre tid. Ved et datainnbrudd kan kriminelle da få med seg en enorm informasjonsmengde. I tillegg til kortinformasjon kan hotellene også ha mye annen følsom informasjon om kundene lagret. Mange blir overrasket over risikoen for svindel når vi forteller dem om det, sier Charlotte Norwich i Teller.

About hkp