Marriott-säkerhetsbrott: Den mänskliga sidan av cybersäkerhetsöverträdelser

Marriott's Starwood Hotel Group är i rampljuset som en av de värsta säkerhetsbrotten någonsin. Staten Hawaii hotar Marriott Hotels med miljarder dollar i böter. Detta öppnade en diskussion om resesäkerhet. Peter Tarlow, chef för eTNs utbildningstjänster för resesäkerhet ger lite feedback om den mänskliga sidan av cybersäkerhetsöverträdelser.

För många år sedan oroade turistsäkerhetsexperter sig över sådana mikroangrepp som: rumsinvasioner, personliga rån eller turistoffret på grund av plockfickor. Dessa problem bör inte minimeras och i många delar av världen är det fortfarande stora frågor. Ändå har dessa mikroaggressioner nu förvandlats till makroaggressioner och deras konsekvenser vibrerar i hela turistvärlden.

Den senaste olyckliga hackingen av Marriott hotel Starwood-varumärkesdatabasen som resulterade i förlust av personlig information med ungefär en halv miljard människor tjänar som ett annat exempel på att turismens värld snabbt förändras. Enligt nyhetsrapporter kan obehörig åtkomst till kundernas personliga information mycket väl ha inträffat sedan 2014. För att göra saken värre är det först fyra år senare som vi vet hela omfattningen av detta hackande eller obehöriga tagande av personlig information.

Även om ingen kan vara helt säker på vem som har vilken personlig information, verkar det som om miljontals beskyddares personliga information såsom pass- och kreditkortsnummer, födelsedatum, adresser, könens ankomst- och avgångstid och e-postmeddelanden kan nu vara i obehöriga händer; vilket innebär att dessa offer nu kan vara öppna för flera former av identitetsstöld.

Turism är databeroende. Hotell, flygbolag och andra delar av turistnäringen som en bekvämlighet för kunderna och som ett sätt att bli mer effektiva håller sina kunders kreditkortsnummer kvar. Pass och körkort används som bevis på personlig identitet och byråer som TSA i USA måste anta att identitetshandlingar inte bara är giltiga utan också förfalskade.

Databrottet från Marriott-Starwood fungerar sedan som en varning för hela turistnäringen. Om kunderna slutar vara säkra på att deras personliga information är säker och endast öppen för dem som har rätt tillgång till den, kan de långsiktiga konsekvenserna för rese- och turistbranschen bli katastrofala. För att göra saken svårare, även om turist- och resebranschen har investerat stora mängder tid och pengar i cybersäkerhet, finns det för närvarande ingen som kan garantera 100% dataskydd. Precis som det inte finns något som kallar total säkerhet i den fysiska världen, gäller samma verklighet för cybervärlden. Det kommer alltid att finnas de som söker nya sätt att skada andra. Under de senaste åren har det till exempel skett ett antal spektakulära cyberattacker inklusive:

• Hackningen av Demokratiska partiets valdata 2016
• Dataintrånget, vanligtvis kallat panama Papers på Panama advokatbyrå: Mossack Fonesca,
• Hackningen av en halv miljard Yahoo-konton 2016
• Införandet av lösenvaror i turistnäringen skapar en myriad av nya problem för resebranschen

Att inse detta faktum finns det två viktiga frågor i världen av cybersäkerhet. Den första frågan är: upprätthållande av sekretess för personuppgifter. Problemet är att oavsett vilka nya åtgärder turist- och resebranschen kan vidta för att skydda personuppgifter finns det alltid potential att vissa attacker kommer att bryta igenom vår cybersäkerhets skyddande murar. Precis som i den fysiska världen kan det aldrig finnas en total garanti för personuppgiftssäkerhet. Den andra frågan är vad gör rese- och turistbranschen när ett turismbrott inträffar. Frågorna om cyberkrishantering är lika viktiga som frågan om cybersäkerhet. Ur turistindustrins perspektiv är god cyberkrishantering avgörande för att inte bara upprätthålla kundernas förtroende utan också kundlojalitet.

De flesta kunder kan mycket väl anta att stora turistföretag gör allt för att skydda sina kunders integritet. Eftersom kunder redan har beaktat detta antagande i sina affärsförhållanden blir den verkliga frågan: när det finns en framgångsrik attack hur återfår turistindustrins affärer kundernas förtroende. Nedan följer några förslag om hantering av cyberkriser.

-Ha en plan. Det är viktigt att varje turistenhet antar att det någon gång kommer att drabbas av någon form av cyberattack. Vänta inte tills attacken inträffar för att börja ta reda på hur skadebegränsning kommer att ske. Kom ihåg att en cyberattack inte bara leder till skada på klienten utan också på klientens kund hos turistenheten. Det är viktigt att inse att media kanske inte alltid återspeglar en korrekt bild av datasekret. Således bör en plan efter cyberattack omfatta inte bara att ta hand om drabbade klienter utan också noggrant att arbeta med media så att de har full tillgång till och rapporterar korrekt information om cyberbenet.

-Säg sanningen. Så illa som brottet kan vara, inträffar turismkatastrofer när ett företag inte säger sanningen. När det väl är klart att det finns en täckning - har den utsatta verksamheten lyckats förlora kundernas förtroende två gånger: en gång på grund av dataintrånget och sedan på grund av en ovilja att tala sanningen.

-Arbeta för att återuppbygga förtroendet. Ingenting skadar en turistindustri mer än brist på aktuell och korrekt information. Efter en cyberattack för turism är kunderna med rätta upprörda och känner sig sårbara. Se till att publicera på så många sätt som möjligt hur ditt företag hjälper cyberattacker. Låt attackens offer veta att de inte är ensamma och att du har utvecklat en plan för att hjälpa dem på vilket sätt som helst. Var noga med att låta offren få veta att du fortsätter att övervaka situationen och både säkerhets- och juridiska experter ger råd om vad människor kan göra för att skydda sig själva efter en databricka.

-Tala om för allmänheten vad ditt företag gör för att hjälpa till. Skicka meddelanden om vad allmänheten ska leta efter eller vilka tecken som kan indikera personliga problem. Överväg sedan steg som: fri tillgång till ett av kredit- och dataskyddsföretagen, kontakta advokater som är beredda att hjälpa till med frågor om identitetsstöld, byta lösenord, regelbundet övervaka konton för bedrägerifrågor

-Ge information om vad resenärer kan göra för att skydda sig själva när de reser. I en värld baserad på information är det nästan omöjligt för alla resenärer att veta vad man ska göra och vad man inte ska göra. Hotell, flygbolag och flygplatser kan hjälpa till genom att påminna sina gäster att vara noga med att inte:

• Använd platser för allmän åtkomst för att överföra personliga eller ekonomiska data
• Använd Bluetooth sparsamt och gör resenärerna medvetna om att Bluetooth-kommunikation kan vara känslig för avlyssningar
• Påminn besökare om att offentliga Wi-Fi-nätverk också är sårbara
• Användningen av en smartphone kan skapa mindre sårbara hotspots.

-I en tid av både fusiska och cyberosäkerhet ser turismtjänstemän till att deras säkerhetsagenter inte bara är välutbildade i alla aspekter av säkerheten, inklusive deras kunders tull och kulturella vanor, utan också väl betalda. I ett affärssäkerhetsklimat som instabilt vårt nuvarande klimat är det viktigt att säkerhetspersonal och företagsledare arbetar tillsammans, får regelbundna nyheter och kan agera inte bara snabbt utan på ett omtänksamt och professionellt sätt med resenärer. Det gagnar inte att ha människor välutbildade i de tekniska aspekterna av säkerhet om de glömmer att deras kunder verkligen känner människor som är rädda i en värld av det okända.

Mer information om eTN Travel and Tourism Security Training av Dr Peter Tarlow besök
http://travelsecuritytraining.com/