NORSKE HOTELLER RAMMET AV ALVORLIG DATASIKKERHETSBRIST

Thon Hotels og Nordic Choice Hotels har vært rammet av en datasikkerhetsbrist, som gjorde at hotellgjestenes innsjekkingsdetaljer lå eksponert ut mot internett. Gjestenes navn, inn- og utsjekkingsdato, mailadresse, reservasjonsnummer og hotell, har ligget tilgjengelig på nettet.

En av gjestene som har vært utsatt for dette er Roy Solberg, som jobber som it-utvikler for en bedrift i Bergen. Han har for vane å ettergå IT-løsninger til tjenestene han er i kontakt med.

Thon Hotels og Nordic Choice bruker nettløsningen til Ariane for å sende invitasjon til forhåndsinnsjekking. Stikkprøver gjennomført av Solberg tilsier at over 1,5 millioner hotellopphold fra 2016 til i dag har ligget åpent ut mot internett.

Det franske leverandørselskapet Ariane opplyser gjennom Miles Gaudoin, som er ansvarlig for Nord-Europa, at de fikset sårbarheten under 24 timer etter at de ble varslet. Datatilsynet i Norge er også varslet om hendelsen.

Ariane opplyser at deres foreløpige estimat om antall berørte hotellopphold er lavere enn Solbergs, og at flertallet ligger i deres kjernemarked i Tyskland og Frankrike.

Thon Hotels startet i august en gradvis utrulling av Arianes system, som nå brukes på 32 av deres hoteller. Nordic Choice Hotels har trappet ned deres bruk av Ariane, og det ene hotellet som i dag benytter systemet, skal fase det ut om to uker, sier sikkerhetssjef Per Thorsheim til NRK.     

https://nrkbeta.no/2018/04/19/gjester-ved-to-norske-hotellkjeder-kan-ha-fatt-sine-bookingdetaljer-eksponert/

Konserndirektør Morten Thorvaldsen i Thon Hotels forteller at feilen er rettet og at de er i dialog med Datatilsynet om videre håndtering.

Miles Gaudoin i Ariane forteller at det ikke lenger skal være mulig å utnytte svakheten Solberg avslørte, og at de nå er på vei til å være helt i samsvar med de nye personvernreglene (GDPR), som implementeres i EU 25. mai.

Blant annet vil hele nettportalen bli HTTPS-kryptert neste uke, og det gjøres nå tiltak for å påse at alle kunder følger deres sikreste løsning.

GDPR påvirker reisebransjen sterkt

EUs nye personvernforordning, GDPR (General Data Protection Regulation) er den største endringen innen personvernlovgivning i Europa på over 20 år. De nye reglene bestemmer bl.a. hvordan bedrifter skal håndtere og lagre personopplysninger. Som EØS-medlem har Norge også vedtatt å innføre GDPR. De nye reglene vil i stor grad berøre reisebransjen, som håndterer store mengder personlige data om sine kunder, f.eks. kredittkortinformasjon og passopplysninger. Hver transaksjon kan involvere utveksling av store mengder informasjon mellom reisebyråer, hoteller, hotellkjeder, transportselskaper, kortselskaper, bonusprogrammer, etc. Dette gjør reisebransjen til en av de mest sårbare sektorene for datahacking.

GDPR vil gjøre hver enkelt operatør ansvarlig for persondataene de håndterer og oppbevarer.  Alle bedrifter må skaffe oversikt over hvilke personopplysninger som er lagret hos dem, hvordan de oppbevares, hvem som har adgang til dem, etc. Alt må hele veien kunne dokumenteres.

– Om bedriften din selv er ansvarlig for driften av datasystemene, bør du derfor sørge for at dere, før 25.mai, har grunnleggende sikkerhetsrutiner iorden. Lagrer dere sensitive data, bør det også gjennomføre en risiko- og sårbarhetsanalyse.

Reaksjonsnivået ved brudd på reglene heves dramatisk og Datatilsynet vil, i ytterste konsekvens, kunne ilegge overtredelsesgebyr med 4 % av bedriftens årlige omsetning, sier advokat Vebjørn Søndersrød i Advokatfirmaet Ræder.

– Reisebransjen blir spesielt påvirket av innføringen av GDPR i den forstand at det her er tale om behandling av mange menneskers opplysninger, og at det er mange aktører involvert. Videre tror jeg at vilkårssettene og personvernerklæringene for aktører (OTA’er, reisebyråer, hotellene), ikke nødvendigvis er tydelige nok mot sluttbruker (den registrerte, personen), om hvilke andre aktører personopplysningene overføres til.

Reisebransjen vil uvegerlig måtte behandle sensitive opplysninger, f.eks. om helse, for å oppfylle sine avtaler med kunder/gjester. For eksempel allergi, sykdom, medisiner, spesielle behov. Dette er sensitive personopplysninger som krever kryptert forsendelse, høyere informasjonssikkerhet, og i praksis enda strengere krav til begrenset tilgang, sier advokat Vebjørn Søndersrød.

 

 

About hkp